Кампанія Google рэліз web-браўзэра . Адначасова стабільны выпуск свабоднага праекта , Які выступае асновай Chrome. Браўзэр Chrome выкарыстаннем лагатыпаў Google, наяўнасцю сістэмы адпраўкі апавяшчэнняў у выпадку краху, магчымасцю загрузкі модуля Flash па запыце, модулямі для прайгравання абароненага відэакантэнту (DRM), сістэмай аўтаматычнай усталёўкі абнаўленняў і перадачай пры пошуку . Наступны выпуск Chrome 79 запланаваны на 10 снежня.
:
- эксперыментальная падтрымка "DNS па-над HTTPS" (DoH, DNS over HTTPS), якая будзе выбарачна ўключана для асобных катэгорый карыстальнікаў, у сістэмных настойках якіх ужо пазначаны DNS-правайдэры, якія падтрымліваюць DoH. Напрыклад, калі ў карыстача ў сістэмных наладах паказаны DNS 8.8.8.8, то ў Chrome будзе актываваны DoH-сэрвіс Google ("https://dns.google.com/dns-query"), калі DNS - 1.1.1.1, то DoH сэрвіс Cloudflare ("https://cloudflare-dns.com/dns-query") і да т.п.
Для кіравання уключэннем DoH прадугледжана настройка "chrome://flags/#dns-over-https". Падтрымліваецца тры рэжыму працы "secure", "automatic" і "off". У рэжыме «secure» хасты вызначаюцца толькі на аснове раней пракэшаваных бяспечных значэнняў (атрыманых праз абароненае злучэнне) і запытаў праз DoH, адкат на звычайны DNS не прымяняецца. У рэжыме "automatic" калі DoH і абаронены кэш недаступныя дапушчаецца атрыманне дадзеных з небяспечнага кэша і зварот праз традыцыйны DNS. У рэжыме "off" спачатку правяраецца агульны кэш і калі дадзеных няма, запыт адпраўляецца праз сістэмны DNS.
- У сродках сінхранізацыі з'явілася папярэдняя падтрымка сумеснага буфера абмену, якая пакуль не актывавана для ўсіх карыстальнікаў. У злучаных адным уліковым запісам асобніках Chrome зараз можна атрымаць доступ да змесціва буфера абмену іншай прылады, у тым ліку магчымы сумесны доступ да буфера абмену паміж мабільнай і настольнай сістэмай. Змесціва буфера абмену шыфруецца з ужываннем скразнога (end-to-end) шыфравання, не які дазваляе атрымаць доступ да тэксту на серверах Google;
- Для асобных катэгорый карыстальнікаў уключана эксперыментальная магчымасць змены тэмы афармлення і кастамізацыі экрана, які паказвае пры адкрыцці новай укладкі. У меню "Наладзіць", якое адлюстроўваецца ў ніжнім правым куце экрана новай укладкі, акрамя выбару фонавага малюнка, з'явілася падтрымка змены метаду кампаноўкі цэтлікаў і магчымасць змены тэмы афармлення. Цэтлікі могуць быць аўтаматычна прапанаваны на аснове найболей часта адчыняных сайтаў, падабраны карыстачом або наогул адключаныя. Тэму афармлення можна абраць з набору наканаваных тэм або стварыўшы ўласную на аснове выбару жаданых кветак у палітры. Для ўключэння новых магчымасцяў можна выкарыстоўваць сцягі "chrome://flags/#ntp-customization-menu-v2" і
"chrome://flags/#chrome-colors"; - Для прадпрыемстваў у адрасным радку па змаўчанні ўключана магчымасць пошуку файлаў у сховішча Google Drive. Пошук ажыццяўляецца не толькі па загалоўках, але і па зместу дакументаў з улікам гісторыі іх адкрыцця ў мінулым;
- У склад уключаны кампанент Password Checkup, які будзе паступальна актывавацца для асобных катэгорый карыстальнікаў (для прымусовага ўключэння прадугледжаны сцяг "chrome://flags/#password-leak-detection"). Password Checkup раней у выглядзе , прызначанага для аналізу надзейнасці выкарыстоўваных карыстачом пароляў. Пры спробе ўваходу на любы сайт Password Checkup выконвае праверку лагіна і пароля па базе скампраметаваных уліковых запісаў з высновай папярэджання ў выпадку выяўлення праблем (праверка на аснове хэш-прэфікса на баку карыстальніка). Праверка ажыццяўляецца па базе, якая ахоплівае больш за 4 мільярды скампраметаваных акаўнтаў, якія фігуравалі ва ўцечках карыстацкіх баз. Папярэджанне таксама выводзіцца пры спробе выкарыстання трывіяльных пароляў, такіх як "abc123";
- Дададзена магчымасць ініцыявання званка з Android-прылады, прывязанага да таго ж уліковага запісу Google. У настольным браўзэры карыстач можа вылучыць нумар тэлефона ў тэксце, клікнуць правай кнопкай мышы і перанакіраваць аперацыю здзяйсненне званка на Android-прылада, пасля чаго на тэлефоне ўсплыве апавяшчэнне, якое дазваляе ініцыяваць званок;
- Зменены фармат падказкі, якая адлюстроўваецца пры навядзенні мышы на загаловак укладкі. Падказка зараз адлюстроўваецца ў выглядзе ўсплывальнага блока, на якім паказаны поўны тэкст загалоўка і URL старонкі. Блок зручна выкарыстоўваць для хуткага пошуку патрэбнай старонкі пры адкрыцці вельмі вялікай колькасці ўкладак (замест перабору ўкладак можна правесці мышшу па-над панэляй з укладкамі і знайсці шуканую старонку). У будучыні ў дадзеным блоку плануецца забяспечыць адлюстраванне эскіза старонкі;
- Дададзена эксперыментальная магчымасць (chrome://flags/#enable-force-dark) прымусовага выкарыстання цёмнай тэмы афармлення пры праглядзе сайтаў. Для забеспячэння цёмнага прадстаўлення сайта выкарыстоўваецца інвертаванне кветак;
- падтрымка спецыфікацыі , якая дазваляе рэгістраваць уласныя CSS-уласцівасці, заўсёды маюць пэўны тып, якія дазваляюць усталёўваць значэнне па змаўчанні і дапушчальныя прывязку анімацыйных эфектаў. Для рэгістрацыі ўласцівасці можа выкарыстоўвацца метад registerProperty() або CSS-правіла "@property", напрыклад:
CSS.registerProperty({
name: "-my-font-size",
syntax: «length›»,
initialValue: "0px",
inherits: false
}); - У рэжыме Origin Trials (эксперыментальныя магчымасці, якія патрабуюць асобнай ) прапанавана некалькі новых API. Origin Trial мае на ўвазе магчымасць працы з паказаным API з прыкладанняў, загружаных з localhost або 127.0.0.1, або пасля праходжання рэгістрацыі і атрымання спецыяльнага токена, які дзейнічае абмежаваны час для канкрэтнага сайта.
- API , які дазваляе ствараць web-прыкладанні, якія ўзаемадзейнічаюць з файламі ў лакальнай ФС. Напрыклад, новы API можа быць запатрабаваны ў якія запускаюцца ў браўзэры інтэграваных асяроддзях распрацоўкі, рэдактарах тэксту, малюнкаў і відэа. Для атрымання магчымасці прамога запісу і чытанні файлаў, выкарыстанні дыялогаў для адкрыцця і захаванні файлаў, а таксама для навігацыі па змесце каталогаў, прыкладанне запытвае ў карыстача адмысловае пацверджанне;
- механізм , які дазваляе размяшчаць на іншых сайтах верыфікаваныя копій web-старонак, якія выглядаюць для карыстальніка як зыходныя старонкі (без змены URL), магчымасцю загрузкі cубрэсурсаў (CSS, JS, карцінкі і да т.п.) з арыгінальнага сайта. Першакрыніца рэсурса задаецца праз HTTP-загаловак Link, у якім таксама паказваецца праверачны хэш для верыфікацыі кожнага рэсурсу. Пры дапамозе новай магчымасці пастаўшчыкі кантэнту могуць ствараць адзіны падпісаны HTML-файл, які ахоплівае і ўсе звязаныя з ім субрэсурсы;
- API , які дазваляе web-дадатку атрымаць доступ да SMS-паведамленняў, напрыклад, для аўтаматызацыі верыфікацыі аперацыі па адпраўленым праз SMS аднаразоваму коду. Доступ прадастаўляецца толькі да SMS, у якіх указаны спецыяльны тэг, які вызначае прывязку паведамлення да канкрэтнага web-дадатку;
- API , які дазваляе ствараць web-прыкладанні, якія ўзаемадзейнічаюць з файламі ў лакальнай ФС. Напрыклад, новы API можа быць запатрабаваны ў якія запускаюцца ў браўзэры інтэграваных асяроддзях распрацоўкі, рэдактарах тэксту, малюнкаў і відэа. Для атрымання магчымасці прамога запісу і чытанні файлаў, выкарыстанні дыялогаў для адкрыцця і захаванні файлаў, а таксама для навігацыі па змесце каталогаў, прыкладанне запытвае ў карыстача адмысловае пацверджанне;
- Істотна павялічана прадукцыйнасць загрузкі аб'ектаў ArrayBuffer праз Web Socket. На платформе Linux адзначаецца павелічэнне хуткасці загрузкі ў 7.5 раз, у Windows - у 4.1 разы, у macOS - у 7.8 раз;
- Дададзена магчымасць вызначэння ў працэнтах значэння празрыстасці ў CSS-уласцівасцях opacity, stop-opacity, fill-opacity, stroke-opacity, і shape-image-threshold. Напрыклад, замест "opacity: 0.5" зараз можна ўказваць "opacity: 50%";
- У API дазволена перадача адвольныя пазнакі часу ў выклікі performance.measure() і performance.mark() для выканання вымярэнняў паміж імі, а таксама ўказанне адвольных метададзеных;
- У API Media Session падтрымка вызначэння апрацоўшчыкаў змены пазіцыі ў патоку (seekto), акрамя раней даступных апрацоўшчыкаў прыпынення і пачатку прайгравання;
- У JavaScript-рухавічку V8 рэжым фонавага разбору скрыптоў на лета па меры іх загрузкі па сетцы. Рэалізаваная аптымізацыя дазволіла на 5-20% скараціць час кампіляцыі скрыптоў. У новым выпуску таксама павялічана прадукцыйнасць дэструктурызацыі аб'екта (пераўтварэнне "const {x, y} = object;" у "const x = object.x; const y = object.y;"). Падвышаная хуткасць апрацоўкі выразаў RegExp з несупадальнымі супастаўленнямі.
Істотна (на 9-20%) падвышаная хуткасць выкліку функцый JavaScript з WebAssembly і наадварот. Пры кампіляцыі байткода падвышаная эфектыўнасць пабудовы табліц прывязкі да зыходных пазіцый, якая дазволіла скараціць спажыванне памяці на
1-2.5%. - інструменты для web-распрацоўшчыкаў. Панэль аўдыту зараз можа выкарыстоўвацца ў камбінацыі з іншымі магчымасцямі, такімі як блакіроўка запытаў і перавызначэнне загрузак. Дададзена падтрымка адладкі апрацоўшчыкаў плацяжоў праз API Payment. У панэлі аналізу прадукцыйнасці дададзены пазнакі LCP (Largest Contentful Paint), якія адлюстроўваюць час адмалёўкі самых буйных элементаў;
- механізм блакавання межсайтового скрыптынгу XSS Auditor, які прызнаны неэфектыўным (нападаючыя ўжо даўно ўжываюць метады для абыходу абароны XSS Auditor) і дадавалым новыя вектары для ўцечкі інфармацыі;
- У версіі для Android забяспечана магчымасці выкарыстання цёмнай тэмы афармлення для меню, налад і рэжыму навігацыі па адчыненых сайтах.
Акрамя новаўвядзенняў і выпраўленні памылак у новай версіі ўхілена . Многія з уразлівасцяў выяўлены ў выніку аўтаматызаванага тэсціравання інструментамі , , , и . Крытычных праблем, якія дазваляюць абыйсці ўсе ўзроўні абароны браўзэра і выканаць код у сістэме за межамі sandbox-акружэнні, не выяўлена. У рамках праграмы па выплаце грашовай узнагароды за выяўленне ўразлівасцяў для бягучага рэлізу кампанія Google выплаціла 21 прэмію на суму 59500 даляраў ЗША (адна прэмія $20000, адна прэмія $15000, адна прэмія $5000, дзве прэміі $3000,тры прэміі $2000, пяць $1000). Памер 500 узнагароджанняў пакуль не вызначаны.
Крыніца: opennet.ru