文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Chrome 释出紧急更新,修复正被利用的高危 0day 漏洞。该漏洞是 Mojo 组件数据验证不足导致的,编号为 CVE-2022-3075。基于 Chromium 的 Microsoft Edge 也释出更新修复相同的漏洞。最新的紧急更新是今年至今 Chrome 浏览器第六次修复 0day:CVE-2022-0609(二月)、CVE-2022-1096(三月)、CVE-2022-1364(四月)、CVE-2022-2294(七月) 和 CVE-2022-2856(八月)。
Chrome 94 的 Android 版本去年推出了名为“关注(Follow)”的类 RSS 阅读器功能。用户可以添加对网站的关注,浏览器的新标签页变成了简化版的 RSS 阅读器,以时间顺序展示所关注网站的更新。现在该功能开始进入到桌面版本和 ChromeOS 上。该功能被称为 Web Feed,Google Chrome 工程师 Adriana Porter Felt 证实它能从没有 RSS feed 的网站拉取内容。她表示功能还在开发之中,需要改进。它有可能在 9 月底随 Chrome 106 提供给用户使用。不同于 Android 版本在新标签页展示 RSS feed,桌面版本将通过侧边栏显示相应内容。
20 多年前针对微软的反垄断案件中,Windows 捆绑的 IE 浏览器是主要目标。如今新一代的监管机构和竞争对手再次质疑这些互联网入口是否受到了过于严格的控制。Google 和苹果通过 Chrome 和 Safari 控制着八成以上的浏览器市场份额。英国竞争和市场管理局(CMA) 6 月表示,作为对苹果和 Google 反垄断调查的一项内容,该机构正在审查浏览器开发商在移动设备上的竞争。Google 发言人表示,人们选择使用 Chrome 浏览器,是因为它“快速、安全且能提供最佳体验”。该发言人还称,Google 已将Chrome浏览器的底层代码免费开放给其他人使用。苹果发言人表示,该公司“完全有兴趣支持由第三方浏览器和网络应用组成的强大生态系统,并将继续促进创新和扩大选项,与此同时会确保用户的隐私和安全得到保护”。软件开发商表示,浏览器是苹果和 Google 在过去 10 年占据互联网市场主导地位的关键战略手段之一。
Google 原计划于 2022 年在 Chrome 中淘汰第三方 Cookie,但之后推迟到了 2023 年,现在又推迟到了 2024 年下半年。苹果 Safari 和 Mozilla 的 Firefox 已默认屏蔽了第三方 cookie,Google Chrome 是目前市场份额最高的浏览器,而 Google 同时也是最大的网络广告商,它淘汰第三方 cookie 的计划以及替代 cookie 方案引发了它可能获得相对于竞争对手优势的担忧。Google 目前正在测试的替代方案是隐私沙盒( Privacy Sandbox),它以合作伙伴的反馈为由延长其测试时间。
Chrome 宣布了一系列依赖于机器学习的新安全功能,其中之一是屏蔽大部分恼人的通知权限提示。当用户访问网站时,经常会收到提示询问是否愿意接收通知。这种通知提示出现的频率是如此之高,以至于这越来越像是一种垃圾信息。Firefox 等浏览器默认对此类通知进行限制。如今 Chrome 将利用新的机器学习模型去自动阻止用户可能会忽略的网站提示。
根据 Atlas VPN 的估计,苹果的 Safari 是 Google Chrome 之外唯一一个用户数超过 10 亿的浏览器,当然 Safari 的用户数远逊于 Chrome,后者估计有接近 34 亿的用户。这一估计包含了桌面和移动版本,在苹果的 iPhone 和 iPad 移动平台上 Safari 是默认的浏览器,它没有 Android 和 Windows 版本。
Google 在给 Chrome Web Store 开发者的邮件中表示,它将给知名的扩展开发商和发行商展示徽章。Google 新设立了两个徽章:精选徽章(Featured)和知名发行商徽章(Established)。两个徽章将在未来几周内在 Chrome Web Store 内展示。获得徽章将能获得更高的搜索排名。Google 称精选徽章将授予遵循最佳技术实践、满足高标准用户体验和设计的扩展,由 Chrome Web Store 团队手动颁发。知名发行商徽章将授予获得验证并有良好记录的扩展开发商和发行商账号。两个徽章是无法通过付费获得的,但开发商可以为精选徽章递交申请。
Chrome 和 Firefox 将在几个月内版本号超过 100。对于依赖浏览器版本号执行业务逻辑的网站来说,这有可能会导致问题。为什么版本号从两位数增加到三位数会出现问题?当浏览器版本号 12 年前从一位数增加到两位数时,User-Agent 解析库发现了很多问题。部分解析库可能含有硬编码的假设或 bug,没有考虑版本号突破三位数的情况。在版本号突破两位数后,很多解析库改进了解析逻辑,因而突破三位数造成的问题估计会更少。Firefox 计划在 3 月 8 日发布 Firefox 100 的首个 Nightly 版本,5 月 3 日发布正式版本。而 Chrome 将在 3 月 29 日发布 v100 版本。
Google 宣布了 Chrome OS 的一个新版本 Chrome OS Flex,设计运行在旧的 PC 和 Mac 上。Chrome OS Flex 的外观与运行在 Chromebook 笔记本电脑上的 Chrome OS 相同,基于相同的代码库和发布周期。Google 称,安装 Chrome OS Flex 非常简单,首先是创建一个可引导的 U 盘,然后用几分钟时间在设备上安装替代原操作系统。新系统仍然处于早期发布阶段(early access),Google 称其一大特性是支持 Google Assistant 智能助手和 Android 手机同步。Chromebook 在教育领域广泛使用。
为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求,Chrome 将实现名为 Private Network Access (PNA)的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出,PNA 将在 Chrome 中引入一个机制,外部域名在尝试与本地网络设备建立连接前需要征得系统许可,如果本地设备如服务器或路由器没有回应,尝试建立连接的请求将被阻止。
斯堪的纳维亚的一家连锁酒店上个月成为勒索软件攻击的受害者,酒店采取了一种新颖的应对方法——将所有受到影响的系统切换成 Chrome OS。Nordic Choice Hotels 在北欧经营着 200 多家酒店,12 月 2 日,酒店成了勒索软件攻击的受害者,黑客用 Conti 勒索软件对其部分内部系统进行加密。攻击让酒店员工无法访问客人的预订数据,也无法向新到来的客人发放房门卡。但是在刚刚发布的新闻稿中,Nordic Choice 表示,酒店没有联系黑客协商获得解锁受感染设备的解密密钥的赎金,而是选择将其整个 PC 机群从 Windows 迁移到 Chrome OS。
连锁酒店解释称:“在不到 24 小时内,第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里,整个公司的 2000 台计算机都完成了切换,涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示,在攻击之前,该酒店就已在进行一个试点项目测试该工具,希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示:“因此当我们突然不得不应对网络攻击时,在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示,除了在攻击期间迁移的 2,000 台计算机之外,它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示,让旧电脑改用 Chrome OS 而不是购买新硬件,有望省下 670 万美元。
连锁酒店解释称:“在不到 24 小时内,第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里,整个公司的 2000 台计算机都完成了切换,涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示,在攻击之前,该酒店就已在进行一个试点项目测试该工具,希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示:“因此当我们突然不得不应对网络攻击时,在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示,除了在攻击期间迁移的 2,000 台计算机之外,它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示,让旧电脑改用 Chrome OS 而不是购买新硬件,有望省下 670 万美元。
Alphabet 首席执行官 Sundar Picha 必须就 Google Chrome 浏览器隐身模式的隐私问题在加州联邦法院接受质询。提起诉讼的消费者律师想向 Pichai 询问用户在使用 Google Chrome 浏览器时对其在线隐私的误解。根据北加州地方法院周一发布的命令,Pichai 最多需要提供两个小时的证词。这起 2020 年 6 月提起的诉讼声称 Google 会跟踪用户,即使他们使用的是隐身模式在线浏览。Google 对此说法持有异议,称其隐私说明已清楚说明隐身浏览模式不会让用户的在线活动“隐形”。在一则更早的命令中,Lucy Koh 法官还允许消费者就隐身模式借隐私之名推广品牌向Google 的首席营销官 Lorraine Twohill 进行质询。Google 曾试图驳回消费者的要求,但是到目前为止,Koh 已让本案继续进行。 Google 还反对对 Pichai 进行质询,表示负责 Chrome 和隐身模式的是更低级别的员工,找他们回答关于隐私浏览的询问才更合适。
Google 本月初通知扩展开发者,宣布从 2022 年 1 月 17 日起 Chrome Web Store 将停止接受可见性设为 Public 或 Unlisted 的新 Manifest V2 扩展,到 6 月这一限制将扩大到设为 Private 的新扩展。Google 开始加速推广受争议的 Manifest V3 扩展。在安全、隐私和性能的名义下,Manifest v3 限制了广告和内容屏蔽功能,对扩展规则的数量设置了上限。此举将严重影响广告和内容屏蔽扩展的可用性。电子前哨基金会 EFF 就此向 Chrome 用户发出警告,称 Manifest V3 将严重损害到隐私保护方面的工作,Manifest V3 将限制广告和内容屏蔽扩展的性能, Google 是最大的网络广告公司,它的跟踪器安装在四分之三的网站上。它的限制“让人不寒而栗”。
Google 释出了 Chrome v95,主要变化包括:移除对 File Transfer Protocol(FTP) 协议的支持,不再支持网址如 ftp://;移除对 Universal 2nd Factor (U2F)标准的支持;浏览器 cookies 加入文件大小限制;移除对结尾为数字的非 IPv4 主机名网址的支持,如 http://example.0.1;加入了新的 UI 组件 Side Panel,可用于访问 Reading List 和书签,该组件需要手动启用;其他还有安全修正等等。
Chrome 安全团队在官方博客上表示 Google 正探索在 Chrome 中使用 Rust 语言。Google 安全研究人员去年指出 Chrome/Chromium 项目七成以上的严重安全 bug 是内存安全问题,主要是 C 或 C++ 语言中的指针错误导致的。在致力于让 C++ 更安全的同时,Google Chrome 也在探索使用 Rust 语言。Rust 是 Mozilla 开发的内存安全语言,能在编译时发现指针错误。但让 Rust 和 C++ 语言良好合作仍然是一个开放式问题。即使 Google 立即开始用 Rust 语言为 Chrome 开发大型组件,相当大一部分的安全漏洞在几年内是不会消失的。Google 开发者表示他们开始在 Chromium 源码树中尝试有限的不面向用户的 Rust 实验,但暂时不会将其用于 Chrome 产品。
Google 释出了 Chrome 94,主要变化包括:引入 Idle Detection API,移除 AppCache,新的 VirtualKeyboard API,新的 JavaScript Self Profiling API 允许开发者从终端用户收集 JS 性能档案,等等。其中最富有争议的是 Idle Detection API,它设计用于多用户应用如会议、聊天和游戏,当检测到用户空闲时通知应用,检测空闲根据鼠标键盘停止使用、锁屏、从当前应用运行窗口切换出去等信号。Mozilla 开发者 Tantek Çelik 认为 Idle Detection API 对监控资本主义非常有吸引力,能用于侵犯用户隐私,浪费计算机本地资源。
Chrome 是基于开源的 Chromium 项目,该项目由 Google 等公司合作开发,但主要由 Google 控制和管理。对 Chromium 源代码的分析发现了 PreconnectToSearch 功能,当该功能启用之后浏览器会预先打开和维护一个默认搜索引擎的连接。预连接会预先解析域名、与服务器协商和建立安全连接。所有这些都需要时间,预连接意味着可以节省时间更快的返回用户的查询结果。在比较慢的网络中,预连接能节省十几秒;在比较快的网络中能节省半秒。如果用户不执行搜索,预连接也可能会略微影响页面加载速度。但有一个问题是,Chromium 会检查默认搜索引擎设置,只在默认设置为 Google 时启用该功能。这使得其它搜索引擎在 Chrome 浏览器的搜索速度上相比 Google 处于竞争劣势。