Chrome 79 vrystelling

Google aangebied webblaaier vrystelling Chrome 79... Terselfdertyd beskikbaar stabiele vrystelling van 'n gratis projek Chroom, wat die basis van Chrome is. Chrome-blaaier verskillende die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, die vermoë om 'n Flash-module op aanvraag af te laai, modules vir die speel van beskermde video-inhoud (DRM), 'n outomatiese opdateringstelsel en transmissie tydens soektog RLZ parameters. Die volgende weergawe van Chrome 80 is geskeduleer vir 4 Februarie.

Die belangrikste veranderinge в Chrome 79:

• geaktiveer Wagwoordkontrole-komponent, ontwerp om die sterkte van wagwoorde wat deur die gebruiker gebruik word, te ontleed. Wanneer jy probeer om by enige webwerf Wagwoordkontrole aan te meld vervul kontroleer login en wagwoord teen 'n databasis van gekompromitteerde rekeninge met 'n waarskuwing as probleme opgespoor word (kontrolering word uitgevoer op grond van 'n hash-voorvoegsel aan die gebruiker se kant). Die kontrole word uitgevoer teen 'n databasis wat meer as 4 miljard gekompromitteerde rekeninge dek wat in uitgelekte gebruikersdatabasisse verskyn het. 'n Waarskuwing word ook vertoon wanneer probeer om onbenullige wagwoorde soos "abc123" te gebruik. Om die insluiting van Wagwoordkontrole te beheer, is 'n spesiale instelling in die "Sinkronisering en Google-dienste"-afdeling geïmplementeer.
• 'n Nuwe tegnologie vir die opsporing van uitvissing in reële tyd word aangebied. Voorheen is verifikasie uitgevoer deur toegang te verkry tot plaaslik afgelaaide Veiligblaai-swartlyste, wat ongeveer een keer elke 30 minute opgedateer is, wat blykbaar onvoldoende was, byvoorbeeld in toestande van gereelde domeinwisseling deur aanvallers. Die nuwe metode laat jou toe om URL's op die oomblik na te gaan met 'n voorlopige kontrole teen witlyste wat hashes van duisende gewilde webwerwe insluit wat betroubaar is. As die werf wat oopgemaak word nie in die witlys is nie, gaan die blaaier die URL op die Google-bediener na en stuur die eerste 32 bisse van die SHA-256-hash van die skakel uit, waaruit moontlike persoonlike data uitgesny word. Volgens Google kan die nuwe benadering die doeltreffendheid van waarskuwings vir nuwe uitvissingswerwe met 30% verbeter.
• Bygevoeg proaktiewe beskerming teen die oordrag van Google-geloofsbriewe en enige wagwoorde wat in die wagwoordbestuurder gestoor is deur uitvissingbladsye. As jy probeer om 'n gestoorde wagwoord in te voer op 'n webwerf waar daardie wagwoord nie normaalweg gebruik word nie, sal die gebruiker gewaarsku word oor 'n potensieel gevaarlike handeling.
• Verbindings wat TLS 1.0 en 1.1 gebruik, wys nou 'n onveilige verbindingsaanwyser. Ondersteun TLS 1.0 en 1.1 ten volle sal gedeaktiveer word in Chrome 81, geskeduleer vir 17 Maart 2020.
• Bygevoeg die vermoë om onaktiewe oortjies te vries, sodat jy outomaties van geheue-oortjies kan aflaai wat vir meer as 5 minute op die agtergrond is en nie noemenswaardige aksies uitvoer nie. Die besluit oor die geskiktheid van 'n spesifieke oortjie vir vries word gemaak op grond van heuristieke. Aktivering van die funksie word beheer deur die “chrome://vlags/#proactive-tab-freeze” vlag.
• Beveilig Blokkering van gemengde inhoud op bladsye wat oor HTTPS oopgemaak is om te verseker dat bladsye wat oor https:// oopgemaak word, slegs hulpbronne bevat wat oor 'n veilige kommunikasiekanaal gelaai is. Selfs al is die gevaarlikste tipes gemengde inhoud, soos skrifte en iframes, reeds by verstek geblokkeer, kan beelde, oudiolêers en video's steeds via http:// afgelaai word. Daar is gevind dat die voorheen gebruikte aanwyser vir gemengde inhoud vir sulke invoegings ondoeltreffend en misleidend vir die gebruiker is, aangesien dit nie 'n ondubbelsinnige beoordeling van die sekuriteit van die bladsy verskaf nie. Byvoorbeeld, deur beeldbedrog kan 'n aanvaller gebruikernasporingskoekies vervang, probeer om kwesbaarhede in beeldverwerkers uit te buit, of vervalsing pleeg deur die inligting wat in die beeld verskaf word, te vervang. Om die sluiting van gemengde komponente te deaktiveer, is 'n spesiale instelling bygevoeg, wat verkry kan word deur die kieslys wat verskyn wanneer jy op die sluitsimbool klik.
• Bygevoeg eksperimentele vermoë om knipbordinhoud tussen rekenaar- en mobiele weergawes van Chrome te deel. In gevalle waar Chrome aan een rekening gekoppel is, kan jy nou toegang kry tot die inhoud van die knipbord van 'n ander toestel, insluitend om die knipbord tussen mobiele en rekenaarstelsels te deel. Die inhoud van die knipbord word geïnkripteer met end-tot-end-enkripsie, wat toegang tot die teks op Google-bedieners verhoed. Die funksie word geaktiveer deur die opsies chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui en chrome://flags#sync-clipboard-service.
• In die adresbalk op sekere oomblikke (byvoorbeeld wanneer 'n wagwoord gestoor word) wanneer profielsinchronisasie afgeskakel is, word benewens die avatar die naam van die huidige Google-rekening vertoon sodat die gebruiker die huidige aktiewe rekening akkuraat kan identifiseer.
• Geaktiveer vir 1% van gebruikers ondersteun "DNS oor HTTPS" (DoH, DNS oor HTTPS). Die eksperiment behels slegs gebruikers wie se stelselinstellings reeds DNS-verskaffers gespesifiseer het wat DoH ondersteun. Byvoorbeeld, as die gebruiker DNS 8.8.8.8 het wat in die stelselinstellings gespesifiseer is, sal Google se DoH-diens (“https://dns.google.com/dns-query”) in Chrome geaktiveer word; as die DNS 1.1.1.1 is. XNUMX, dan DoH Cloudflare-diens ("https://cloudflare-dns.com/dns-query"), ens. Om te beheer of DoH geaktiveer is, word die "chrome://flags/#dns-over-https"-instelling verskaf. Drie bedryfsmodusse word ondersteun: veilig, outomaties en af. In "veilige" modus word gashere slegs bepaal op grond van voorheen gekas veilige waardes (ontvang via 'n veilige verbinding) en versoeke via DoH; terugval na gewone DNS word nie toegepas nie. In die "outomatiese" modus, as DoH en die veilige kas nie beskikbaar is nie, kan data uit die onveilige kas herwin word en deur tradisionele DNS verkry word. In die "af"-modus word die gedeelde kas eers nagegaan en as daar geen data is nie, word die versoek deur die stelsel DNS gestuur.
• Eksperimentele bygevoeg ondersteun kas van gelewerde inhoud wanneer bladsye verander word deur die vorentoe- en terugknoppies te gebruik, wat vertragings tydens hierdie tipe navigasie aansienlik kan verminder as gevolg van volledige kas van die hele bladsy, wat nie herweergawe en laai van hulpbronne vereis nie. Die optimalisering is veral opvallend in die weergawe vir mobiele toestelle, waar die prestasieverhoging tydens navigasie 19% bereik. Die modus word geaktiveer deur die opsie "chrome://vlags#back-forward-cache" te gebruik.
• Geskrap instelling "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", wat toegelaat het om die vertoning van die protokol in die adresbalk terug te keer (nou word alle skakels altyd sonder https gewys :// en http:// /, en ook sonder “www.”).
• Builds vir Windows sluit sandboxing van die oudio-terugspeeldiens in. Om te beheer of isolasie geaktiveer is, word die AudioSandboxEnabled-eienskap voorgestel.
• Gesentraliseerde administrasiehulpmiddels vir ondernemings sluit die vermoë in om reëls te definieer wat beheer hoeveel geheue 'n blaaierinstansie kan verbruik voordat agtergrondoortjies afgelaai word. Die geheue wat vrygestel word nadat 'n oortjie afgelaai is, word beskikbaar vir gebruik, en die inhoud van die oortjie word weer gelaai wanneer daarheen oorgeskakel word.
• Linux gebruik 'n ingeboude sertifikaatverifikasieverwerker, wat die voorheen gebruikte NSS-stelsel vervang. In hierdie geval gaan die ingeboude verwerker voort om die NSS-winkel tydens verifikasie te gebruik, maar stel strenger vereistes wanneer verkeerd geënkodeerde en afsonderlik gesertifiseerde sertifikate verwerk word (alle sertifikate moet deur 'n sertifiseringsowerheid gesertifiseer word).
• In die weergawe vir die Android-platform bygevoeg die vermoë om aanpasbare ikone toe te wys vir geïnstalleerde webtoepassings wat in Progressive Web Apps (PWA) af loop. Aanpasbare ikone kan aanpas by die koppelvlak wat deur die toestelvervaardiger gebruik word, byvoorbeeld om rond, vierkantig of met gladde hoeke te wees.
• Bygevoeg API WebXR-toestel, wat toegang bied tot komponente vir die skep van virtuele en uitgebreide werklikheid. Die API laat jou toe om werk met verskeie klasse toestelle te verenig, van stilstaande virtuele realiteit-kopstukke soos Oculus Rift, HTC Vive en Windows Mixed Reality, tot oplossings gebaseer op mobiele toestelle soos Google Daydream View en Samsung Gear VR. Toepassings waarin die nuwe API van toepassing kan wees, sluit in programme om video in 360°-modus te kyk, stelsels om driedimensionele ruimte te visualiseer, die skep van virtuele teaters vir video-aanbieding, die uitvoer van eksperimente oor die skep van 3D-koppelvlakke vir winkels en galerye;
  

• In Origin Trials-modus (eksperimentele kenmerke wat afsonderlik vereis word aktivering) verskeie nuwe API's is voorgestel. Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
  • Vir alle HTML-elemente word die "rendersubtree"-kenmerk voorgestel, wat verseker dat die vertoning van die DOM-element vas is. Deur die kenmerk op "onsigbaar" te stel, sal verhoed dat die element se inhoud gelewer of geïnspekteer word, wat geoptimaliseerde weergawe moontlik maak. Wanneer dit op "aktiveerbaar" gestel is, sal die blaaier die onsigbare kenmerk verwyder, die inhoud weergee en dit sigbaar maak.
  • Bygevoeg API-opsie Wake lock gebaseer op die Promise-meganisme, wat 'n veiliger manier bied om die deaktivering van outo-sluitskerms te beheer en toestelle oor te skakel na kragbesparende modusse.
• Implementeer die vermoë om die kenmerk te gebruik autofocus vir alle HTML- en SVG-elemente wat insetfokus kan hê.
• Vir beelde en video's beveilig Bereken die aspekverhouding gebaseer op die Width- of Height-kenmerke, wat gebruik kan word om die grootte van die prent met behulp van CSS te bepaal op die stadium wanneer die prent nog nie gelaai is nie (los die probleem op met die herbou van die bladsy nadat prente gelaai is).
• Bygevoeg CSS eiendom font-optiese-grootte, wat outomaties die veranderlike lettergrootte in optiese koördinate stel "opsz", as die font hulle ondersteun. Die modus laat jou toe om die optimale gliefvorm vir 'n gespesifiseerde grootte te kies, gebruik byvoorbeeld meer kontrasterende gliewe vir opskrifte.
• Bygevoeg CSS eiendom lys-styl-tipe, wat jou toelaat om enige simbole in plaas van punte in lyste te gebruik, byvoorbeeld "-", "+", "★" en "▸".
• As dit onmoontlik is om Worklet.addModule() uit te voer, word 'n objek nou teruggestuur met gedetailleerde inligting oor die aard van die fout, wat jou in staat stel om die oorsaak van die fout meer akkuraat te assesseer (probleme met die netwerkverbinding, verkeerde sintaksis, ens. .).
• Het opgehou om items te verwerk при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• In JavaScript-enjin V8 uitgevoer Optimalisering van hanteringsveranderinge aan die voorstelling van velde in voorwerpe, wat daartoe lei dat AngularJS-kode-uitvoering in die Speedometer-toetssuite 4% vinniger loop.
  

• V8 optimaliseer ook die verwerking van getters wat in ingeboude API's gedefinieer word, soos Node.nodeType en Node.nodeName, in die afwesigheid van 'n IC-hanteerder (inline caching). Die verandering het die tyd wat aan IC-looptyd spandeer word met ongeveer 12% verminder wanneer die Backbone- en jQuery-toetse vanaf die Speedometer-suite uitgevoer word.
  

• Die resultate van die OSR (genoem op-stapel vervanging) meganisme word gekas, wat geoptimaliseerde kode vervang tydens funksie uitvoering (laat jou toe om geoptimaliseerde kode vir langlopende funksies te begin gebruik sonder om te wag dat hulle weer loop). OSR-kas maak dit moontlik om die optimaliseringsresultate te gebruik wanneer die funksie weer uitgevoer word, sonder dat dit nodig is om deur heroptimering te gaan.
  In sommige toetse het die verandering die piekprestasie met 5–18% verhoog.
  

• Veranderinge in nutsgoed vir webontwikkelaars:
  Verskyn ontfoutingsmodus om die redes vir die blokkering van 'n versoek of die stuur van 'n koekie te bepaal.
  
  • In die blok met die Koekielys is die vermoë om vinnig die waarde van die geselekteerde Koekie te sien bygevoeg deur op 'n spesifieke reël te klik.
    

  • Bygevoeg die vermoë om verskillende instellings vir die voorkeur-kleur-skema en verkies-verminderde-beweging medianavrae te simuleer (byvoorbeeld om die gedrag van die bladsy te toets met 'n donker stelsel-tema of met geanimeerde effekte gedeaktiveer).
    

  • Die ontwerp van die Dekking-oortjie is gemoderniseer, sodat jy die kode wat gebruik en nie gebruik word nie, kan evalueer. Bygevoeg die vermoë om inligting volgens die tipe te filter (JavaScript, CSS). Kodegebruikinligting word ook bygevoeg wanneer die bronteks vertoon word.
    

  • Het die vermoë bygevoeg om die redes vir die versoek van 'n spesifieke netwerkhulpbron te ontfout nadat u netwerkaktiwiteit opgeneem het (jy kan 'n spoor van die JavaScript-kode-oproep sien wat gelei het tot die laai van die hulpbron).
    

  • Bygevoeg "Instellings > Voorkeure > Bronne > Verstek inkeping" instelling om die tipe inkeping (2/4/8 spasies of oortjies) te bepaal in die kode wat in die Konsole en Bronne panele vertoon word.

Benewens innovasies en foutoplossings, skakel die nuwe weergawe 51 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Twee kwessies (CVE-2019-13725, toegang tot reeds vrygestelde geheue in die kode vir Bluetooth-ondersteuning, en CVE-2019-13726, hoop oorloop in die wagwoordbestuurder) word as krities gemerk, d.w.s. laat jou toe om alle vlakke van blaaierbeskerming te omseil en kode op die stelsel buite die sandbox-omgewing uit te voer. Dit is die eerste keer dat twee kritieke probleme binne dieselfde ontwikkelingsiklus in Chrome geïdentifiseer is. Die eerste kwesbaarheid is gevind deur navorsers van Tencent Keen Security Lab en gedemonstreer by die Tianfubeker-kompetisie, en die tweede is deur Sergei Glazunov van Google Project Zero gevind.

As deel van die kontantbeloningsprogram vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 37 toekennings ter waarde van $80000 betaal (een $20000-toekenning, een $10000-toekenning, twee $7500-toekennings, vier $5000-toekennings, een $3000-toekenning, twee $2000-toekennings, twee $1000-toekennings, twee $500-toekennings). Die grootte van die 15 belonings is nog nie bepaal nie.

Bron: opennet.ru