Chrome izdanje 79

Google predstavljen izdanje web pretraživača Chrome 79... Istovremeno na raspolaganju stabilno izdanje besplatnog projekta hrom, koji služi kao osnova Chrome-a. Chrome pretraživač drugačiji upotreba Google logotipa, prisustvo sistema za slanje obavještenja u slučaju pada, mogućnost preuzimanja Flash modula na zahtjev, moduli za reprodukciju zaštićenog video sadržaja (DRM), sistem za automatsko instaliranje ažuriranja i prijenos tokom pretraživanja RLZ parametri. Sljedeće izdanje Chrome 80 zakazano je za 4. februar.

Glavni promjena в Chrome 79:

• aktiviran Komponenta Password Checkup, dizajnirana za analizu jačine lozinki koje koristi korisnik. Prilikom pokušaja prijave na bilo koju stranicu Provjera lozinke ispunjava provjera logina i lozinke u bazi podataka kompromitovanih naloga uz upozorenje ako se otkriju problemi (provjera se vrši na osnovu hash prefiksa na strani korisnika). Provjera se vrši prema bazi podataka koja pokriva više od 4 milijarde kompromitovanih naloga koji su se pojavili u bazama podataka korisnika koji su procurili. Upozorenje se također prikazuje kada pokušavate koristiti trivijalne lozinke kao što je "abc123". Za kontrolu uključivanja Provjere lozinke implementirana je posebna postavka u odjeljku "Sinhronizacija i Google usluge".
• Predstavljena je nova tehnologija za otkrivanje phishinga u realnom vremenu. Prethodno se verifikacija vršila pristupanjem lokalno preuzetim crnim listama Sigurnog pregledavanja, koje su se ažurirale otprilike svakih 30 minuta, što se pokazalo nedovoljnim, na primjer, u uvjetima čestih promjena domena od strane napadača. Nova metoda vam omogućava da provjeravate URL-ove u hodu uz preliminarnu provjeru u odnosu na bijele liste koje uključuju hešove hiljada popularnih web lokacija koje su pouzdane. Ako web lokacija koja se otvara nije na bijeloj listi, pretraživač provjerava URL na Google serveru, prenoseći prva 32 bita SHA-256 heša veze, iz kojih se izrezuju mogući lični podaci. Prema Google-u, novi pristup može poboljšati efikasnost upozorenja za nove phishing stranice za 30%.
• Dodata proaktivna zaštita od prijenosa Google vjerodajnica i svih lozinki pohranjenih u upravitelju lozinki putem stranica za krađu identiteta. Ako pokušate da unesete sačuvanu lozinku na sajtu gde se ta lozinka inače ne koristi, korisnik će biti upozoren na potencijalno opasnu radnju.
• Veze koje koriste TLS 1.0 i 1.1 sada pokazuju indikator nesigurne veze. Potpuna podrška za TLS 1.0 i 1.1 će biti onemogućeno u Chrome 81, zakazano za 17. mart 2020.
• Dodana je mogućnost zamrzavanja neaktivnih kartica, što vam omogućava da automatski ispraznite kartice iz memorije koje su bile u pozadini više od 5 minuta i ne poduzimaju značajne radnje. Odluka o prikladnosti određene kartice za zamrzavanje se donosi na osnovu heuristike. Omogućavanje funkcije kontrolira se putem zastavice “chrome://flags/#proactive-tab-freeze”.
• Osigurano Blokiranje mješovitog sadržaja na stranicama otvorenim preko HTTPS-a kako bi se osiguralo da stranice otvorene preko https:// sadrže samo resurse učitane preko sigurnog komunikacijskog kanala. Iako su najopasniji tipovi mješovitog sadržaja, kao što su skripte i iframeovi, već blokirani prema zadanim postavkama, slike, audio datoteke i video zapisi i dalje se mogu preuzimati putem http://. Pokazalo se da je prethodno korišteni indikator mješovitog sadržaja za takve umetke nedjelotvoran i obmanjujući korisnika, jer ne daje nedvosmislenu procjenu sigurnosti stranice. Na primjer, lažiranjem slike, napadač može zamijeniti kolačiće za praćenje korisnika, pokušati iskoristiti ranjivosti u procesorima slika ili počiniti krivotvorenje zamjenom informacija datih na slici. Za onemogućavanje zaključavanja mješovitih komponenti dodana je posebna postavka kojoj se može pristupiti kroz meni koji se pojavljuje kada kliknete na simbol katanca.
• Dodata eksperimentalna mogućnost dijeljenja sadržaja međuspremnika između desktop i mobilnih verzija Chromea. U slučajevima Chrome-a koji je povezan s jednim računom, sada možete pristupiti sadržaju međuspremnika drugog uređaja, uključujući dijeljenje međuspremnika između mobilnih i desktop sistema. Sadržaj međuspremnika je šifrovan korišćenjem end-to-end enkripcije, što onemogućava pristup tekstu na Google serverima. Funkcija je omogućena preko opcija chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui i chrome://flags#sync-clipboard-service.
• U adresnoj traci u određenim trenucima (na primjer, prilikom pohranjivanja lozinke) kada je sinhronizacija profila isključena, osim avatara, prikazuje se i naziv trenutnog Google naloga kako bi korisnik mogao precizno identificirati trenutno aktivni nalog.
• Aktivirano za 1% korisnika podrška “DNS preko HTTPS-a” (DoH, DNS preko HTTPS-a). Eksperiment uključuje samo korisnike čije sistemske postavke već imaju specificirane DNS provajdere koji podržavaju DoH. Na primjer, ako korisnik ima DNS 8.8.8.8 naveden u sistemskim postavkama, tada će se Googleova DoH usluga (“https://dns.google.com/dns-query”) aktivirati u Chromeu; ako je DNS 1.1.1.1. XNUMX, zatim DoH Cloudflare usluga (“https://cloudflare-dns.com/dns-query”), itd. Da biste kontrolisali da li je DoH omogućen, obezbeđena je postavka "chrome://flags/#dns-over-https". Podržana su tri načina rada: siguran, automatski i isključen. U "sigurnom" načinu rada, hostovi se određuju samo na osnovu prethodno keširanih sigurnih vrijednosti (primljenih putem sigurne veze) i zahtjeva putem DoH-a; povratak na uobičajeni DNS se ne primjenjuje. U „automatskom“ načinu rada, ako DoH i bezbedna keš memorija nisu dostupni, podaci se mogu preuzeti iz nesigurne keš memorije i pristupiti im preko tradicionalnog DNS-a. U “off” modu se prvo provjerava dijeljena keš memorija i ako nema podataka, zahtjev se šalje preko sistemskog DNS-a.
• Dodano eksperimentalno podrška keširanje renderovanog sadržaja pri promeni stranica pomoću dugmadi za napred i nazad, što može značajno da smanji kašnjenja tokom ove vrste navigacije zbog potpunog keširanja cele stranice, što ne zahteva ponovno prikazivanje i učitavanje resursa. Optimizacija je posebno uočljiva u verziji za mobilne uređaje, gdje povećanje performansi tokom navigacije dostiže 19%. Režim je omogućen pomoću opcije "chrome://flags#back-forward-cache".
• Izbrisano podešavanje “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, što je omogućilo vraćanje prikaza protokola u adresnu traku (sada su svi linkovi uvijek prikazani bez https:// i http:/ /, kao i bez “www.”).
• Izgradnje za Windows uključuju sandboxing usluge audio reprodukcije. Za kontrolu da li je izolacija omogućena, predloženo je svojstvo AudioSandboxEnabled.
• Centralizovani administrativni alati za preduzeća uključuju mogućnost definisanja pravila koja kontrolišu koliko memorije instanca pretraživača može da potroši pre nego što se pozadinske kartice isprazne. Memorija oslobođena nakon izbacivanja kartice postaje dostupna za korištenje, a sadržaj kartice se ponovo učitava pri prelasku na nju.
• Linux koristi ugrađeni procesor za verifikaciju certifikata, koji zamjenjuje prethodno korišteni NSS sistem. U ovom slučaju, ugrađeni procesor nastavlja da koristi NSS skladište tokom verifikacije, ali nameće strože zahteve kada obrađuje pogrešno kodirane i posebno sertifikovane sertifikate (svi sertifikati moraju biti overeni od strane sertifikacionog tela).
• U verziji za Android platformu dodano mogućnost dodjeljivanja prilagodljivih ikona za instalirane web aplikacije koje rade u načinu rada Progressive Web Apps (PWA). Prilagodljive ikone mogu se prilagoditi interfejsu koji koristi proizvođač uređaja, na primjer, okrugle, kvadratne ili sa glatkim uglovima.
• Dodano API WebXR uređaj, koji omogućava pristup komponentama za kreiranje virtuelne i proširene stvarnosti. API vam omogućava da objedinite rad sa različitim klasama uređaja, od stacionarnih slušalica za virtuelnu stvarnost kao što su Oculus Rift, HTC Vive i Windows Mixed Reality, do rešenja zasnovanih na mobilnim uređajima kao što su Google Daydream View i Samsung Gear VR. Aplikacije u kojima bi novi API mogao biti primenljiv uključuju programe za gledanje videa u režimu od 360°, sisteme za vizuelizaciju trodimenzionalnog prostora, kreiranje virtuelnih bioskopa za video prezentaciju, provođenje eksperimenata na kreiranju 3D interfejsa za prodavnice i galerije;
  

• U Origin probnom načinu (eksperimentalne funkcije koje zahtijevaju odvojene aktivacija) predloženo je nekoliko novih API-ja. Origin Trial podrazumijeva mogućnost rada sa navedenim API-jem iz aplikacija preuzetih sa localhost ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji važi ograničeno vrijeme za određenu lokaciju.
  • Za sve HTML elemente predlaže se atribut “rendersubtree” koji osigurava da je prikaz DOM elementa fiksan. Postavljanje atributa na "nevidljiv" će spriječiti prikazivanje ili provjeru sadržaja elementa, omogućavajući optimizirano prikazivanje. Kada se postavi na "aktivibilno", pretraživač će ukloniti nevidljivi atribut, prikazati sadržaj i učiniti ga vidljivim.
  • Dodata API opcija Wake lock zasnovan na mehanizmu Promise, koji pruža sigurniji način kontrole onemogućavanja automatskog zaključavanja ekrana i prebacivanja uređaja u režime za uštedu energije.
• Implementirana mogućnost korištenja atributa autofokus za sve HTML i SVG elemente koji mogu imati fokus za unos.
• Za slike i video zapise osiguran Izračunajte omjer na osnovu atributa Width ili Height, koji se mogu koristiti za određivanje veličine slike pomoću CSS-a u fazi kada slika još nije učitana (rješava problem sa ponovnom izgradnjom stranice nakon što se slike učitaju).
• Dodato CSS svojstvo veličina optičkih slova, koji automatski postavlja promjenjivu veličinu fonta u optičkim koordinatama "opsz", ako ih font podržava. Režim vam omogućava da odaberete optimalni oblik glifa za određenu veličinu, na primjer, koristite kontrastnije glifove za naslove.
• Dodato CSS svojstvo tip-stil liste, što vam omogućava da koristite bilo koje simbole umjesto tačaka na listama, na primjer, “-“, “+”, “★” i “▸”.
• Ako je nemoguće izvršiti Worklet.addModule(), sada se vraća objekt s detaljnim informacijama o prirodi greške, što vam omogućava da preciznije procijenite uzrok greške (problemi s mrežnom vezom, neispravna sintaksa itd. .).
• Zaustavljena obrada elemenata prilikom njihovog premještanja između dokumenata. Prilikom prijenosa između dokumenata, izvršavanje događaja “greške” i “učitavanja” povezanih sa skriptom je također onemogućeno.
• U JavaScript motoru V8 sprovedeno Optimizacija rukovanja promjenama u predstavljanju polja u objektima, što rezultira izvršavanjem AngularJS koda u testnom paketu Speedometer koji radi 4% brže.
  

• V8 takođe optimizuje obradu gettera definisanih u ugrađenim API-jima, kao što su Node.nodeType i Node.nodeName, u odsustvu IC rukovaoca (inline keširanje). Promjena je smanjila vrijeme provedeno na IC runtime-u za približno 12% pri pokretanju Backbone i jQuery testova iz paketa Speedometer.
  

• Rezultati mehanizma OSR (koji se naziva zamjena na steku) se keširaju, koji zamjenjuje optimizirani kod tokom izvršavanja funkcije (omogućava vam da počnete koristiti optimizirani kod za dugotrajne funkcije bez čekanja da se ponovo pokrenu). OSR keširanje omogućava korištenje rezultata optimizacije prilikom ponovnog pokretanja funkcije, bez potrebe za ponovnom optimizacijom.
  U nekim testovima, promjena je povećala vršne performanse za 5–18%.
  

• Promjene u alatima za web programere:
  Pojavio se način za otklanjanje grešaka za utvrđivanje razloga za blokiranje zahtjeva ili slanja kolačića.
  
  • U blok sa listom kolačića dodata je mogućnost brzog pregleda vrijednosti odabranog kolačića klikom na određeni red.
    

  • Dodata je mogućnost simulacije različitih postavki za medijske upite prefers-color-scheme i prefers-reduced-motion (na primjer, za testiranje ponašanja stranice s tamnom temom sistema ili s onemogućenim animiranim efektima).
    

  • Dizajn kartice Pokrivenost je moderniziran, što vam omogućava da procijenite kod koji se koristi i koji se ne koristi. Dodata mogućnost filtriranja informacija prema njihovom tipu (JavaScript, CSS). Informacije o korištenju koda se također dodaju prilikom prikaza izvornog teksta.
    

  • Dodata je mogućnost otklanjanja grešaka razloga za traženje određenog mrežnog resursa nakon snimanja mrežne aktivnosti (možete vidjeti trag poziva JavaScript koda koji je doveo do učitavanja resursa).
    

  • Dodata postavka „Postavke > Preference > Izvori > Podrazumevano uvlačenje“ za određivanje vrste uvlačenja (2/4/8 razmaka ili tabulatora) u kodu prikazanom na panelima Konzola i Izvori.

Pored inovacija i ispravki grešaka, nova verzija eliminiše 51 ranjivost. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Dva problema (CVE-2019-13725, pristup već oslobođenoj memoriji u kodu za podršku za Bluetooth, i CVE-2019-13726, prelivanje hrpe u menadžeru lozinki) označeni su kao kritični, tj. omogućavaju vam da zaobiđete sve nivoe zaštite pretraživača i izvršite kod na sistemu izvan okruženja sandbox-a. Ovo je prvi put da su dva kritična problema identificirana unutar istog razvojnog ciklusa u Chromeu. Prvu ranjivost pronašli su istraživači iz Tencent Keen Security Lab i demonstrirano na takmičenju Tianfu Cup, a drugog je pronašao Sergej Glazunov iz Google Project Zero.

Kao dio programa novčane nagrade za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 37 nagrada u vrijednosti od 80000 dolara (jedna nagrada od 20000 dolara, jedna nagrada od 10000 dolara, dvije nagrade od 7500 dolara, četiri nagrade od 5000 dolara, jedna nagrada od 3000 dolara, dvije nagrade od 2000 dolara i dvije nagrade od 1000 dolara $500 nagrada). Veličina 15 nagrada još nije određena.

izvor: opennet.ru