Конец эпохи анонимных доменных именКурс на безопасность в Chrome 150

Выпуск 150-й версии Chrome стал масштабным ответом на актуальные угрозы кибербезопасности: разработчики устранили 433 уязвимости, из которых более сорока классифицированы как опасные или критические. Однако за техническими правками скрывается более глубокая трансформация экосистемы. Одним из самых резонансных изменений стал окончательный отказ от поддержки флага kExtensionManifestV2Disabled. Это фактически закрывает лазейку для установки расширений старого стандарта Manifest V2, которые позволяли полноценно функционировать продвинутым блокировщикам рекламы, таким как uBlock Origin. Google последовательно переводит веб-индустрию на Manifest V3, что дает браузеру больше контроля над тем, как сторонние дополнения фильтруют контент.

Параллельно с этим происходит пересмотр механизмов синхронизации и приватности. Интерфейс привязки к учетной записи Google стал более лаконичным, объединяя вход в систему и синхронизацию данных в единый процесс. Примечательно, что данные для автозаполнения теперь хранятся исключительно локально и больше не перемещаются между устройствами, что подчеркивает стремление к изоляции чувствительной пользовательской информации.
В области сетевой безопасности внедряется концепция «HTTPS-First». Для пользователей с активированным режимом расширенной защиты браузер теперь автоматически перенаправляет HTTP-запросы на защищенный протокол HTTPS. Чтобы избежать полной потери доступности старых ресурсов, реализован механизм отката: если сайт не поддерживает шифрование или имеет проблемы с сертификатами, Chrome вернется к обычному HTTP, предварительно предупредив пользователя. В ближайших обновлениях этот режим станет стандартом для всех публичных сайтов, за исключением внутренних корпоративных сетей.
Техническая глубина обновления затрагивает и низкоуровневые механизмы исполнения кода. Обработчики Web Worker, создаваемые через URI-схемы «data:», теперь полностью изолированы от родительской страницы. Это критически важный шаг для предотвращения XSS-атак, при которых злоумышленники могли использовать динамически созданных воркеров для кражи Cookie или доступа к локальным хранилищам домена.
Кроме того, Google внедрила защиту от изощренных атак по сторонним каналам, использующих лимиты TCP-соединений прокси-серверов. Ранее атакующие могли манипулировать количеством открытых сокетов, чтобы определить, посещал ли пользователь определенный сайт (анализируя скорость отдачи ресурса из кэша). Теперь лимит соединений варьируется случайным образом, что делает подобные методы анализа бесполезными. Аналогичная логика защиты применена и к SVG-фильтрам: теперь запрещено их использование в изолированных или кросс-доменных iframe-блоках, что блокирует атаки класса Clickjacking и специфические GPU-эксплойты.

Взгляд в будущее реализован через поддержку алгоритма ML-DSA (CRYSTALS-Dilithium) в протоколе TLS. Это внедрение постквантовой криптографии гарантирует, что цифровые подписи останутся стойкими даже перед лицом будущих квантовых компьютеров, способных мгновенно взламывать классические методы шифрования. Для мобильных пользователей на Android добавлена поддержка стандарта FIDO Alliance Credential Exchange, позволяющая безопасно переносить пароли и биометрические данные между разными менеджерами паролей с использованием сквозного шифрования.
Разработчики также получили новые инструменты для работы с AI-агентами через протокол WebMCP, а возможности редактирования CSS расширились за счет поддержки правил @container и @function непосредственно в панели стилей. Гибкость PWA-приложений увеличилась благодаря возможности бесшовного переноса на новый поддомен без необходимости ручной переустановки со стороны пользователя.
Завершает общую картину стратегическое решение Google об ускорении темпов развития. Начиная с сентября 2026 года, цикл выпуска обновлений сократится с четырех до двух недель. Этот переход на более динамичный график позволит быстрее внедрять исправления и новые функции, превращая Chrome в максимально адаптивный инструмент, способный мгновенно реагировать на изменения современного веба.

