Ukukhishwa kwesiphequluli sewebhu se-Chrome 142

I-Google ikhiphe inguqulo 142 yesiphequluli sewebhu se-Chrome. Ukukhishwa okuzinzile kwephrojekthi ye-Chromium yomthombo ovulekile, isisekelo se-Chrome, nakho kuyatholakala. I-Chrome ihlukile ku-Chromium ekusebenziseni kwayo amalogo e-Google, isistimu yezaziso zokuphahlazeka, amamojula okudlala okuqukethwe kwevidiyo okukopishwe (DRM), ukufakwa kwesibuyekezo esizenzakalelayo, ukuhlukaniswa kwe-sandbox okuhlala kuvuliwe, ukunikezwa kokhiye be-Google API, kanye nokudlula kwemingcele ye-RLZ ngesikhathi sokusesha. Kulabo abadinga isikhathi esengeziwe sokuvuselela, igatsha elihlukile leSitebele Esinwetshiwe ligcinwa amasonto ayisishiyagalombili. Ukukhishwa okulandelayo, i-Chrome 143, kuhlelelwe uDisemba 2.

Izinguquko ezibalulekile ku-Chrome 142:

• Ukuvikelwa kokufinyelela ohlelweni lwendawo kuyasebenza uma usebenzisana namawebhusayithi omphakathi. Uma ufinyelela iwebhusayithi kunethiwekhi yomphakathi noma yangaphakathi (i-intranet), Amakheli e-IP Uma ufinyelela uhlelo lwendawo noma isikhombimsebenzisi se-loopback (127.0.0.0/8), isiphequluli sizobonisa ibhokisi lengxoxo kumsebenzisi ocela isiqinisekiso. Imizamo yokulanda izinsiza, izicelo zokulanda (), kanye nokufakwa kwe-iframe kuyahlanganiswa. Ukuvikelwa okwamanje akusebenzi ekuxhumaneni nge-WebSockets, i-WebTransport, kanye ne-WebRTC, kodwa kuzongezwa kulezi zobuchwepheshe kamuva.

  Abahlaseli basebenzisa ukufinyelela kwensiza yangaphakathi ukuze benze ukuhlasela kwe-CSRF kumarutha, izindawo zokufinyelela, amaphrinta, izixhumanisi zewebhu yebhizinisi, namanye amadivayisi namasevisi amukela kuphela izicelo ezivela kunethiwekhi yendawo. Ngaphezu kwalokho, ukuskena izinsiza zangaphakathi kungasetshenziselwa ukuhlonza okungaqondile noma ukuqoqa ulwazi mayelana nenethiwekhi yendawo.
• Ukusebenzelana okukodwa, okwenziwe lula kwethulwe ukuze kuxhunywe i-akhawunti ye-Google kanye nokuvumelanisa idatha, njengamaphasiwedi alondoloziwe namabhukhimakhi. Ukuvumelanisa kuhlanganiswe nokungena ngemvume kwe-akhawunti futhi akwethulwa njengenketho ehlukile kuzilungiselelo. Abasebenzisi bangaxhuma i-Chrome ku-akhawunti yabo ye-Google futhi bayisebenzisele ukugcina amaphasiwedi, amabhukumaka, umlando wokuphequlula, namathebhu. Lesi sici siyasebenza okwamanje kwabanye abasebenzisi, futhi sizonwetshwa kancane kancane.
• Kusetshenziswa imodeli entsha yokuhlukaniswa kwenqubo - "Ukuhlukaniswa Kwemvelaphi", lapho umthombo ngamunye wokuqukethwe (umsuka - inqwaba yephrothokholi, isizinda futhi i-port, isibonelo, "https://foo.example.com"), ihlukaniswe ngenqubo ehlukile yokuhumusha. Njengoba ukwandisa ubunye bokuhlukanisa kungaholela ekusetshenzisweni kwememori okwandisiwe kanye nomthwalo we-CPU, imodi entsha yokuhlukanisa ivulwa kuphela ezinhlelweni ezine-RAM engaphezu kuka-4 GB. Kuhadiwe enamandla aphansi, indlela endala yokuhlukanisa izoqhubeka isetshenziswa, ehlukanisa yonke imithombo yokuqukethwe ehlukene ehlotshaniswa nesayithi elilodwa (isibonelo, i-foo.example.com kanye ne-bar.example.com) ngenqubo ehlukile.
• Kuzinhlelo ezine Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• Enguqulweni ye Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• Ukuqaliswa kwephrothokholi ye-DTLS (Datagram Transport Layer Security, i-analog ye-TLS ye-UDP) esetshenziselwa uxhumo lwe-WebRTC ihlanganisa ukusetshenziswa kwama-algorithms wokubethela we-post-quantum.
• Isimo sokwenza kusebenze, esisethwe ngesikhathi somsebenzisi ekhasini, manje siyalondolozwa ngemva kokuzulazulela kwelinye ikhasi kusizinda esifanayo. Ukulondoloza ukwenza kusebenze kuzokwenza kube lula ukuthuthukiswa kwezinhlelo zokusebenza zewebhu ezinamakhasi amaningi futhi kuxazulule izinkinga ezifana nokusetha ukugxila kokokufaka lapho isayithi libonisa ikhibhodi yalo ebonakalayo.
• Izigaba ezingamanga ze-CSS ":okuhlosiwe-ngaphambili" kanye ":okuhlosiwe-ngemuva" kwengeziwe ukuze kuchazwe omaka bangaphambilini nabalandelayo ngokuhlobene nendawo yamanje yokuskrola (":ithagethi-yamanje").
• Iziqukathi zesitayela (@container) kanye nomsebenzi othi if() manje zisekela I-Range Syntax echazwe ekucacisweni kweMedia Queries Level 4, okuvumela ukusetshenziswa kwezisetshenziswa ezivamile zokuqhathanisa zezibalo kanye nama-opharetha anengqondo ukuze kuchazwe ububanzi bamanani. Isibonelo, ungakwazi manje ukucacisa okuthi "@container style(—inner-padding > 1em)" kanye "nombala wangemuva: if(style(attr(data-columns, type) ) > 2): okuluhlaza okwesibhakabhaka; okunye: mhlophe);"
• " "" kanye " " izingxenye manje zisekela isibaluli se-"interestfor". Lesi sibaluli singasetshenziswa ukuqalisa izenzo, njengokubonisa isigelekeqe, lapho umsebenzisi ebonisa intshisekelo kusici. Isiphequluli sibona izehlakalo ezinjengokuhambisa phezulu kanye nokubamba isikhombi phezu kwento, ukucindezela okhiye abashisayo, noma ukubamba ukuthinta isikrini njengezinkomba zokuthakaselayo. Uma into enesibaluli esithi "interestfor" ikhonjwa, isiphequluli sikhiqiza i-InterestEvent.
• Ukuthuthukiswa kwenziwe kumathuluzi kanjiniyela wewebhu. Inkinobho yokuqalisa esheshayo yomsizi we-AI yengezwe ekhoneni eliphezulu kwesokudla. Into yemenyu yokuqukethwe "Buza i-AI" iqanjwe kabusha ukuze ithi "Susa iphutha nge-AI" futhi yanwetshwa ukuze ihlanganise ikhono lokwenza izenzo ezisheshayo kuye ngomongo. Kukhonsoli yewebhu nephaneli yekhodi, umsizi we-Gemini AI manje usengakwazi ukukhiqiza izincomo ngekhodi.

  Amathuluzi onjiniyela wewebhu manje ahlanganisa nohlelo lukanjiniyela we-Google (GDP). Onjiniyela manje sebengakwazi ukufinyelela iphrofayela yabo ye-GDP ngokuqondile kusukela ku-Chrome DevTools futhi bathole imiklomelo ngokuqedela imisebenzi ethile ngaphakathi kwalesi sixhumanisi.

  

Ngokungeziwe kuzici ezintsha nokulungiswa kweziphazamisi, inguqulo entsha ibhekana nokuba sengozini okungu-20. Ubungozi obuningi buhlonzwe ngokuhlolwa okuzenzakalelayo kusetshenziswa i-AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, kanye ne-AFL. Azikho izinkinga ezibalulekile ezingavumela ukweqa zonke izendlalelo zokuvikela isiphequluli nokusebenzisa ikhodi ngaphandle kwendawo ye-sandbox eziboniwe. Njengengxenye yohlelo lwenzuzo yokuba sengozini ekukhishweni kwamanje, i-Google isungule amabhonasi angu-20 afinyelela ku-$130,000 (amabhonasi amabili angu-$50,000, ibhonasi engu-$10000 eyodwa, amabhonasi amathathu ka-$3000, amabhonasi amabili ka-$2000, namabhonasi amathathu ka-$1000). Amanani ayisishiyagalombili amabhonasi abengakanqunywa.

Ukwengeza, ubungozi obungapakishwanga buphawulwe enjinini ye-Blink, okubangela ukuthi isiphequluli siphaphaze futhi sibe yiqhwa lapho sisebenzisa ikhodi ethile ye-JavaScript. Ukuba sengozini kubangelwa izinkinga zezakhiwo enjinini enikezelayo ezihlobene nokuntuleka komkhawulo wesilinganiso sokubuyekeza isakhiwo se-"document.title". Lokhu kuntuleka komkhawulo kuvumela i-"document.title" ukuthi isetshenziselwe ukwenza amashumi ezigidi zezinguquko ku-DOM ngomzuzwana. Lokhu kubangela ukuthi isixhumi esibonakalayo sibe yiqhwa phakathi nemizuzwana embalwa ngenxa yokuvinjwa kwentambo enkulu kanye nokusetshenziswa kwenkumbulo okubalulekile. Ngemuva kwemizuzwana engu-15-60, isiphequluli siyaphahlazeka.

Source: opennet.ru