Кінець ери анонімних доменних імен
Курс на безпеку в Chrome 150

Реліз 150-ї версії Chrome став фундаментальною відповіддю на сучасні виклики кібербезпеки: розробники усунули 433 уразливості, з яких понад сорок класифіковано як небезпечні або критичні. Проте за технічними правками криється глибша трансформація екосистеми. Однією з найбільш резонансних змін стала остаточна відмова від підтримки прапорця kExtensionManifestV2Disabled. Це фактично закриває лазівку для встановлення розширень старого стандарту Manifest V2, які забезпечували повноцінне функціонування просунутих блокувальників реклами, як-от uBlock Origin. Google послідовно переводить вебіндустрію на Manifest V3, що надає браузеру більше контролю над тим, як сторонні додатки фільтрують контент.

Паралельно з цим відбувається перегляд механізмів синхронізації та приватності. Інтерфейс інтеграції з обліковим записом Google набув більш лаконічного вигляду, об'єднуючи вхід у систему та синхронізацію даних у єдиний процес. Примітно, що дані для автозаповнення відтепер зберігаються виключно локально і більше не переміщуються між пристроями, що підкреслює прагнення до ізоляції чутливої користувацької інформації.
У сфері мережевої безпеки імплементується концепція «HTTPS-First». Для користувачів із активованим режимом розширеного захисту браузер тепер автоматично перенаправляє HTTP-запити на захищений протокол HTTPS. Щоб уникнути повної втрати доступності застарілих ресурсів, реалізовано механізм відкату: якщо сайт не підтримує шифрування або має проблеми з сертифікатами, Chrome повернеться до звичайного HTTP, попередньо сповістивши користувача. Найближчим часом цей режим стане стандартом для всіх публічних сайтів, за винятком внутрішніх корпоративних мереж.
Технологічний стек оновлення охоплює й низькорівневі механізми виконання коду. Обробники Web Worker, що створюються через URI-схеми «data:», тепер повністю ізольовані від батьківської сторінки. Це критично важливий крок для запобігання XSS-атакам, під час яких зловмисники могли використовувати динамічно створених воркерів для викрадення Cookie або отримання доступу до локальних сховищ домену.
Окрім цього, Google інтегрувала захист від складних side-channel атак, що використовують ліміти TCP-з'єднань проксі-серверів. Раніше атакувальні могли маніпулювати кількістю відкритих сокетів, щоб визначити, чи відвідував користувач певний сайт (аналізуючи швидкість віддачі ресурсу з кешу). Тепер ліміт з'єднань варіюється випадковим чином, що робить подібні методи аналізу марними. Аналогічна логіка захисту застосована і до SVG-фільтрів: тепер заборонено їх використання в ізольованих або кросдоменних iframe-блоках, що блокує атаки класу Clickjacking та специфічні GPU-експлойти.

Вектор розвитку на перспективу відображено через підтримку алгоритму ML-DSA (CRYSTALS-Dilithium) у протоколі TLS. Це впровадження постквантової криптографії гарантує, що цифрові підписи залишаться стійкими навіть перед обличчям майбутніх квантових комп'ютерів, здатних миттєво зламувати класичні методи шифрування. Для мобільних користувачів на Android додано підтримку стандарту FIDO Alliance Credential Exchange, що дозволяє безпечно переносити паролі та біометричні дані між різними менеджерами паролів за допомогою наскрізного шифрування.
Девелопери також отримали новий інструментарій для взаємодії з AI-агентами за допомогою протоколу WebMCP, а можливості редагування CSS розширилися завдяки підтримці правил @container та @function безпосередньо в панелі стилів. Гнучкість PWA-додатків зросла завдяки можливості безшовного перенесення на новий піддомен без необхідності ручного перевстановлення з боку користувача.
Завершальним штрихом стало стратегічне рішення Google щодо акселерації циклів розробки. Починаючи з вересня 2026 року, цикл випуску оновлень скоротиться з чотирьох до двох тижнів. Цей перехід на більш динамічний графік дозволить швидше впроваджувати виправлення та нові функції, перетворюючи Chrome на максимально адаптивний інструмент, здатний миттєво реагувати на зміни сучасного вебу.

