إصدار الكروم 79

متصفح الجوجل مقدم إصدار متصفح الويب الكروم 79... معا متاح إصدار مستقر لمشروع مجاني الكروم، وهو أساس Chrome. متصفح كروم مختلف استخدام شعارات Google ، ووجود نظام لإرسال الإشعارات في حالة حدوث عطل ، والقدرة على تنزيل وحدة فلاش عند الطلب ، ووحدات لتشغيل محتوى الفيديو المحمي (DRM) ، ونظام التحديث التلقائي ، والإرسال عند البحث معلمات RLZ. من المقرر إطلاق الإصدار التالي من Chrome 80 في الرابع من فبراير.

رئيسي التغييرات в الكروم 79:

• مفعل مكون فحص كلمة المرور، المصمم لتحليل قوة كلمات المرور التي يستخدمها المستخدم. عند محاولة تسجيل الدخول إلى أي موقع فحص كلمة المرور يفي التحقق من تسجيل الدخول وكلمة المرور في قاعدة بيانات للحسابات المخترقة مع تحذير في حالة اكتشاف مشاكل (يتم إجراء التحقق بناءً على بادئة التجزئة من جانب المستخدم). يتم إجراء الفحص وفقًا لقاعدة بيانات تغطي أكثر من 4 مليارات حساب مخترق ظهرت في قواعد بيانات المستخدمين المسربة. يتم أيضًا عرض تحذير عند محاولة استخدام كلمات مرور تافهة مثل "abc123". للتحكم في تضمين فحص كلمة المرور، تم تنفيذ إعداد خاص في قسم "المزامنة وخدمات Google".
• يتم تقديم تقنية جديدة للكشف عن التصيد الاحتيالي في الوقت الفعلي. في السابق، تم إجراء التحقق من خلال الوصول إلى القوائم السوداء للتصفح الآمن التي تم تنزيلها محليًا، والتي تم تحديثها مرة واحدة كل 30 دقيقة تقريبًا، والتي تبين أنها غير كافية، على سبيل المثال، في ظروف التبديل المتكرر للنطاق من قبل المهاجمين. تسمح لك الطريقة الجديدة بالتحقق من عناوين URL بسرعة من خلال فحص أولي للقوائم البيضاء التي تتضمن تجزئات لآلاف المواقع الشهيرة الجديرة بالثقة. إذا لم يكن الموقع الذي يتم فتحه مدرجًا في القائمة البيضاء، فسيقوم المتصفح بفحص عنوان URL على خادم Google، وإرسال أول 32 بت من تجزئة SHA-256 للرابط، والتي يتم قطع البيانات الشخصية المحتملة منها. ووفقا لشركة جوجل، فإن النهج الجديد يمكن أن يحسن فعالية التحذيرات لمواقع التصيد الجديدة بنسبة 30%.
• تمت إضافة حماية استباقية ضد نقل بيانات اعتماد Google وأي كلمات مرور مخزنة في مدير كلمات المرور من خلال صفحات التصيد الاحتيالي. إذا حاولت إدخال كلمة مرور محفوظة على موقع لا يتم استخدام كلمة المرور هذه فيه عادةً، فسيتم تحذير المستخدم بشأن أي إجراء قد يكون خطيرًا.
• تُظهر الاتصالات التي تستخدم TLS 1.0 و1.1 الآن مؤشر اتصال غير آمن. الدعم الكامل لTLS 1.0 و1.1 سيتم تعطيل في Chrome 81، المقرر في 17 مارس 2020.
• تمت إضافة القدرة على تجميد علامات التبويب غير النشطة، مما يسمح لك بإلغاء التحميل تلقائيًا من علامات تبويب الذاكرة التي كانت موجودة في الخلفية لأكثر من 5 دقائق ولا تقوم بأي إجراءات مهمة. يتم اتخاذ القرار بشأن مدى ملاءمة علامة تبويب معينة للتجميد بناءً على الاستدلال. يتم التحكم في تمكين الوظيفة عبر علامة "chrome://flags/#proactive-tab-freeze".
• مؤمن حظر المحتوى المختلط على الصفحات المفتوحة عبر HTTPS للتأكد من أن الصفحات المفتوحة عبر https:// تحتوي فقط على الموارد المحملة عبر قناة اتصال آمنة. على الرغم من أن أخطر أنواع المحتوى المختلط، مثل البرامج النصية وإطارات iframe، محظورة بالفعل افتراضيًا، إلا أنه لا يزال من الممكن تنزيل الصور والملفات الصوتية ومقاطع الفيديو عبر http://. تبين أن مؤشر المحتوى المختلط المستخدم سابقًا لمثل هذه الإدخالات غير فعال ومضلل للمستخدم، لأنه لا يوفر تقييمًا لا لبس فيه لأمان الصفحة. على سبيل المثال، من خلال انتحال الصور، يمكن للمهاجم استبدال ملفات تعريف الارتباط لتتبع المستخدم، أو محاولة استغلال نقاط الضعف في معالجات الصور، أو ارتكاب التزوير عن طريق استبدال المعلومات المقدمة في الصورة. لتعطيل قفل المكونات المختلطة، تمت إضافة إعداد خاص يمكن استدعاؤه من خلال القائمة التي تظهر عند النقر فوق رمز القفل.
• تمت إضافة إمكانية تجريبية لمشاركة محتوى الحافظة بين إصدارات سطح المكتب والجوال من Chrome. في حالات ربط Chrome بحساب واحد، يمكنك الآن الوصول إلى محتويات الحافظة لجهاز آخر، بما في ذلك مشاركة الحافظة بين أنظمة الهاتف المحمول وسطح المكتب. يتم تشفير محتويات الحافظة باستخدام التشفير الشامل، مما يمنع الوصول إلى النص الموجود على خوادم Google. يتم تمكين الوظيفة من خلال الخيارات chrome://flags#shared-clipboard-receiver وchrome://flags#shared-clipboard-ui وchrome://flags#sync-clipboard-service.
• في شريط العناوين في لحظات معينة (على سبيل المثال، عند حفظ كلمة المرور) عند إيقاف تشغيل مزامنة الملف الشخصي، بالإضافة إلى الصورة الرمزية، يتم عرض اسم حساب Google الحالي حتى يتمكن المستخدم من تحديد الحساب النشط الحالي بدقة.
• تم تفعيله لـ 1% من المستخدمين دعم "DNS عبر HTTPS" (DoH، DNS عبر HTTPS). تتضمن التجربة فقط المستخدمين الذين حددت إعدادات نظامهم بالفعل موفري DNS الذين يدعمون DoH. على سبيل المثال، إذا كان المستخدم لديه DNS 8.8.8.8 محددًا في إعدادات النظام، فسيتم تنشيط خدمة DoH من Google ("https://dns.google.com/dns-query") في Chrome؛ إذا كان DNS 1.1.1.1. XNUMX، ثم خدمة DoH Cloudflare ("https://cloudflare-dns.com/dns-query")، وما إلى ذلك. للتحكم في تمكين DoH، يتم توفير الإعداد "chrome://flags/#dns-over-https". يتم دعم ثلاثة أوضاع تشغيل: آمن، تلقائي، وإيقاف التشغيل. في الوضع "الآمن"، يتم تحديد المضيفين فقط بناءً على القيم الآمنة المخزنة مؤقتًا مسبقًا (التي يتم تلقيها عبر اتصال آمن) والطلبات عبر DoH؛ ولا يتم تطبيق الرجوع إلى DNS العادي. في الوضع "التلقائي"، في حالة عدم توفر DoH وذاكرة التخزين المؤقت الآمنة، يمكن استرداد البيانات من ذاكرة التخزين المؤقت غير الآمنة والوصول إليها من خلال DNS التقليدي. في وضع "إيقاف التشغيل"، يتم فحص ذاكرة التخزين المؤقت المشتركة أولاً وإذا لم تكن هناك بيانات، يتم إرسال الطلب عبر DNS الخاص بالنظام.
• تمت إضافة التجريبية دعم التخزين المؤقت للمحتوى المعروض عند تغيير الصفحات باستخدام زري الأمام والخلف، والذي يمكن أن يقلل بشكل كبير من التأخير أثناء هذا النوع من التنقل بسبب التخزين المؤقت الكامل للصفحة بأكملها، والذي لا يتطلب إعادة العرض وتحميل الموارد. ويُلاحظ التحسين بشكل خاص في إصدار الأجهزة المحمولة، حيث يصل الأداء أثناء التنقل إلى 19%. يتم تمكين الوضع باستخدام خيار "chrome://flags#back-forward-cache".
• تم الحذف الإعداد "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains"، والذي يسمح بإرجاع عرض البروتوكول في شريط العناوين (الآن يتم عرض جميع الروابط دائمًا بدون https // وhttp:/ /، وأيضًا بدون "www.").
• تشتمل إصدارات Windows على وضع الحماية لخدمة تشغيل الصوت. للتحكم في تمكين العزل، يتم اقتراح خاصية AudioSandboxEnabled.
• تتضمن أدوات الإدارة المركزية للمؤسسات القدرة على تحديد القواعد التي تتحكم في مقدار الذاكرة التي يمكن أن يستهلكها مثيل المتصفح قبل إلغاء تحميل علامات تبويب الخلفية. تصبح الذاكرة التي تم تحريرها بعد تفريغ علامة التبويب متاحة للاستخدام، ويتم تحميل محتويات علامة التبويب مرة أخرى عند التبديل إليها.
• يستخدم Linux معالجًا مدمجًا للتحقق من الشهادات، والذي يحل محل نظام NSS المستخدم سابقًا. في هذه الحالة، يستمر المعالج المدمج في استخدام مخزن NSS أثناء التحقق، ولكنه يفرض متطلبات أكثر صرامة عند معالجة الشهادات المشفرة بشكل غير صحيح والمصدقة بشكل منفصل (يجب أن تكون جميع الشهادات معتمدة من قبل سلطة التصديق).
• في النسخة المخصصة لمنصة أندرويد مضاف القدرة على تعيين أيقونات قابلة للتكيف لتطبيقات الويب المثبتة التي تعمل في وضع تطبيقات الويب التقدمية (PWA). يمكن أن تتكيف الرموز التكيفية مع الواجهة التي تستخدمها الشركة المصنعة للجهاز، على سبيل المثال، أن تكون مستديرة أو مربعة أو ذات زوايا ناعمة.
• وأضاف API جهاز ويب اكس ار، والذي يوفر الوصول إلى المكونات اللازمة لإنشاء الواقع الافتراضي والمعزز. تسمح لك واجهة برمجة التطبيقات (API) بتوحيد العمل مع فئات مختلفة من الأجهزة، بدءًا من سماعات الواقع الافتراضي الثابتة مثل Oculus Rift وHTC Vive وWindows Mixed Reality، إلى الحلول المستندة إلى الأجهزة المحمولة مثل Google Daydream View وSamsung Gear VR. تشمل التطبيقات التي قد تنطبق فيها واجهة برمجة التطبيقات الجديدة برامج لعرض الفيديو في وضع 360 درجة، وأنظمة لتصور الفضاء ثلاثي الأبعاد، وإنشاء دور سينما افتراضية لعرض الفيديو، وإجراء تجارب لإنشاء واجهات ثلاثية الأبعاد للمتاجر والمعارض؛
  

• في وضع Origin Trials (الميزات التجريبية التي تتطلب منفصلة التنشيط) تم اقتراح العديد من واجهات برمجة التطبيقات الجديدة. تتضمن تجربة الأصل القدرة على العمل مع واجهة برمجة التطبيقات المحددة من التطبيقات التي تم تنزيلها من المضيف المحلي أو 127.0.0.1، أو بعد التسجيل واستلام رمز خاص صالح لفترة محدودة لموقع معين.
  • بالنسبة لجميع عناصر HTML، يتم اقتراح سمة "rendersubtree"، والتي تضمن إصلاح عرض عنصر DOM. سيؤدي تعيين السمة إلى "غير مرئي" إلى منع عرض محتوى العنصر أو فحصه، مما يسمح بالعرض الأمثل. عند التعيين على "قابل للتنشيط"، سيقوم المتصفح بإزالة السمة غير المرئية وعرض المحتوى وجعله مرئيًا.
  • تمت إضافة خيار واجهة برمجة التطبيقات ويك لوك استنادًا إلى آلية Promise، التي توفر طريقة أكثر أمانًا للتحكم في تعطيل شاشات القفل التلقائي وتحويل الأجهزة إلى أوضاع توفير الطاقة.
• نفذت القدرة على استخدام السمة ضبط تلقائي للصورة لجميع عناصر HTML وSVG التي يمكن أن يكون لها تركيز على الإدخال.
• للصور ومقاطع الفيديو مؤمن احسب نسبة العرض إلى الارتفاع بناءً على سمات العرض أو الارتفاع، والتي يمكن استخدامها لتحديد حجم الصورة باستخدام CSS في المرحلة التي لم يتم فيها تحميل الصورة بعد (يحل مشكلة إعادة بناء الصفحة بعد تحميل الصور).
• تمت إضافة خاصية CSS حجم الخط البصري، الذي يقوم تلقائيًا بتعيين حجم الخط المتغير في الإحداثيات البصرية "opsz"، إذا كان الخط يدعمها. يتيح لك الوضع تحديد الشكل الرسومي الأمثل لحجم محدد، على سبيل المثال، استخدام المزيد من الحروف الرسومية المتباينة للعناوين.
• تمت إضافة خاصية CSS نوع نمط القائمة، والذي يسمح لك باستخدام أي رموز بدلاً من النقاط في القوائم، على سبيل المثال، "-"، و"+"، و"★" و"▸".
• إذا كان من المستحيل تنفيذ Worklet.addModule()، فسيتم الآن إرجاع كائن بمعلومات مفصلة حول طبيعة الخطأ، مما يسمح لك بتقييم سبب الخطأ بشكل أكثر دقة (مشاكل في الاتصال بالشبكة، وبناء جملة غير صحيح، وما إلى ذلك) .).
• توقفت عن معالجة العناصر при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• في محرك جافا سكريبت V8 تم تنفيذها تحسين معالجة التغييرات في تمثيل الحقول في الكائنات، مما يؤدي إلى تنفيذ كود AngularJS في مجموعة اختبار Speedometer بشكل أسرع بنسبة 4%.
  

• يعمل V8 أيضًا على تحسين معالجة الحروف المحددة في واجهات برمجة التطبيقات المضمنة، مثل Node.nodeType وNode.nodeName، في حالة عدم وجود معالج IC (التخزين المؤقت المضمن). أدى هذا التغيير إلى تقليل الوقت المستغرق في تشغيل IC بنسبة 12% تقريبًا عند تشغيل اختبارات Backbone وjQuery من مجموعة Speedometer.
  

• يتم تخزين نتائج آلية OSR (وتسمى الاستبدال على المكدس) مؤقتًا، والتي تحل محل التعليمات البرمجية المُحسّنة أثناء تنفيذ الوظيفة (تسمح لك بالبدء في استخدام التعليمات البرمجية المُحسّنة للوظائف طويلة الأمد دون انتظار تشغيلها مرة أخرى). يتيح التخزين المؤقت لـ OSR إمكانية استخدام نتائج التحسين عند إعادة تشغيل الوظيفة، دون الحاجة إلى إعادة التحسين.
  في بعض الاختبارات، أدى التغيير إلى زيادة الأداء الأقصى بنسبة 5-18%.
  

• التغييرات في الأدوات لمطوري الويب:
  ظهر وضع التصحيح لتحديد أسباب حظر الطلب أو إرسال ملف تعريف الارتباط.
  
  • في الكتلة التي تحتوي على قائمة ملفات تعريف الارتباط، تمت إضافة القدرة على عرض قيمة ملف تعريف الارتباط المحدد بسرعة من خلال النقر على سطر معين.
    

  • تمت إضافة القدرة على محاكاة إعدادات مختلفة لنظام الألوان المفضل واستعلامات الوسائط المفضلة ذات الحركة المنخفضة (على سبيل المثال، لاختبار سلوك الصفحة مع سمة نظام داكنة أو مع تعطيل التأثيرات المتحركة).
    

  • تم تحديث تصميم علامة التبويب "التغطية"، مما يسمح لك بتقييم الكود المستخدم وغير المستخدم. تمت إضافة القدرة على تصفية المعلومات حسب نوعها (JavaScript، CSS). تتم أيضًا إضافة معلومات استخدام الكود عند عرض النص المصدر.
    

  • تمت إضافة القدرة على تصحيح أسباب طلب مورد شبكة معين بعد تسجيل نشاط الشبكة (يمكنك عرض تتبع استدعاء كود JavaScript الذي أدى إلى تحميل المورد).
    

  • تمت إضافة إعداد "الإعدادات > التفضيلات > المصادر > المسافة البادئة الافتراضية" لتحديد نوع المسافة البادئة (2/4/8 مسافات أو علامات تبويب) في الكود المعروض في لوحات وحدة التحكم والمصادر.

بالإضافة إلى الابتكارات وإصلاحات الأخطاء، يزيل الإصدار الجديد 51 نقطة ضعف. تم التعرف على العديد من نقاط الضعف نتيجة للاختبار الآلي باستخدام أدوات AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. تم وضع علامة على مشكلتين (CVE-2019-13725، الوصول إلى الذاكرة المحررة بالفعل في التعليمات البرمجية لدعم Bluetooth، وCVE-2019-13726، تجاوز سعة الكومة في مدير كلمات المرور) على أنها حرجة، أي. تسمح لك بتجاوز كافة مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية. هذه هي المرة الأولى التي يتم فيها تحديد مشكلتين خطيرتين خلال نفس دورة التطوير في Chrome. تم اكتشاف الثغرة الأمنية الأولى من قبل باحثين من Tencent Keen Security Lab و مُبَرهن في مسابقة كأس تيانفو، والثاني تم العثور عليه بواسطة سيرجي جلازونوف من Google Project Zero.

كجزء من برنامج المكافآت النقدية لاكتشاف الثغرات الأمنية في الإصدار الحالي، دفعت Google 37 جائزة بقيمة 80000 دولار أمريكي (جائزة واحدة بقيمة 20000 دولار أمريكي، وجائزة واحدة بقيمة 10000 دولار أمريكي، وجائزتين بقيمة 7500 دولار أمريكي، وأربع جوائز بقيمة 5000 دولار أمريكي، وجائزة واحدة بقيمة 3000 دولار أمريكي، وجائزتين بقيمة 2000 دولار أمريكي، وجائزتين بقيمة 1000 دولار أمريكي، وثمانية جوائز جوائز بقيمة 500 دولار). ولم يتم تحديد حجم المكافآت الـ15 بعد.

المصدر: opennet.ru