Ang pagpagawas sa Chrome 79

Google gipresentar pagpagawas sa web browser Chrome 79... Dungan magamit stable nga pagpagawas sa usa ka libre nga proyekto chromium, nga nagsilbi nga sukaranan sa Chrome. Chrome browser lahi ang paggamit sa mga logo sa Google, ang presensya sa usa ka sistema alang sa pagpadala sa mga pahibalo kung adunay usa ka pag-crash, ang abilidad sa pag-download sa usa ka Flash module kung gihangyo, mga module alang sa pagdula sa giprotektahan nga sulud sa video (DRM), usa ka sistema alang sa awtomatikong pag-install sa mga update ug transmission sa panahon sa pagpangita Mga parameter sa RLZ. Ang sunod nga pagpagawas sa Chrome 80 gikatakda alang sa Pebrero 4.

nag-unang mga pagbag-o в Chrome 79:

• gi-activate Ang bahin sa Password Checkup, gidisenyo aron analisahon ang kusog sa mga password nga gigamit sa tiggamit. Sa pagsulay sa pag-log in sa bisan unsang site Password Checkup nagtuman pagsusi sa login ug password batok sa usa ka database sa mga nakompromiso nga mga account nga adunay pasidaan kung adunay mga problema nga makit-an (ang pagsusi gihimo base sa usa ka hash prefix sa kilid sa user). Ang pagsusi gihimo batok sa usa ka database nga naglangkob sa labaw pa sa 4 bilyon nga nakompromiso nga mga account nga nagpakita sa mga leaked nga database sa tiggamit. Ang usa ka pasidaan gipakita usab kung mosulay sa paggamit sa mga walay hinungdan nga mga password sama sa "abc123". Aron makontrol ang paglakip sa Password Checkup, usa ka espesyal nga setting ang gipatuman sa seksyon nga "Sync ug Google Services".
• Usa ka bag-ong teknolohiya alang sa pag-ila sa phishing sa tinuud nga oras gipresentar. Kaniadto, ang pag-verify gihimo pinaagi sa pag-access sa lokal nga na-download nga Safe Browsing blacklist, nga gi-update halos kausa sa matag 30 minuto, nga nahimo’g dili igo, pananglitan, sa mga kondisyon sa kanunay nga pagbalhin sa domain sa mga tig-atake. Ang bag-ong pamaagi nagtugot kanimo sa pagsusi sa mga URL sa langaw gamit ang pasiuna nga pagsusi batok sa mga whitelist nga naglakip sa mga hash sa liboan ka sikat nga mga site nga kasaligan. Kung ang site nga giablihan wala sa puti nga lista, ang browser nagsusi sa URL sa Google server, nga nagpadala sa unang 32 ka bits sa SHA-256 nga hash sa link, diin ang posible nga personal nga datos giputol. Sumala sa Google, ang bag-ong pamaagi makapauswag sa pagka-epektibo sa mga pasidaan alang sa bag-ong mga phishing site sa 30%.
• Gidugang ang proactive nga proteksyon batok sa pagbalhin sa mga kredensyal sa Google ug bisan unsang mga password nga gitipigan sa tagdumala sa password pinaagi sa mga panid sa phishing. Kung mosulay ka sa pagsulod sa usa ka gitipigan nga password sa usa ka site diin kana nga password dili kasagaran gigamit, ang tiggamit mapasidan-an bahin sa usa ka mahimo’g peligro nga aksyon.
• Ang mga koneksyon gamit ang TLS 1.0 ug 1.1 karon nagpakita sa usa ka dili sigurado nga timailhan sa koneksyon. Bug-os nga pagsuporta sa TLS 1.0 ug 1.1 ma-disabled sa Chrome 81, nga gikatakda sa Marso 17, 2020.
• Gidugang ang abilidad sa pag-freeze sa dili aktibo nga mga tab, nga gitugotan ka nga awtomatiko nga mag-unload gikan sa mga tab sa panumduman nga naa sa background sa sobra sa 5 minuto ug wala maghimo hinungdanon nga mga aksyon. Ang desisyon bahin sa pagkahaom sa usa ka partikular nga tab alang sa pagyelo gihimo base sa heuristics. Ang pagpaandar sa function kontrolado pinaagi sa "chrome://flags/#proactive-tab-freeze" nga bandera.
• Gisiguro Ang pagbabag sa nagkasagol nga sulud sa mga panid nga giablihan sa HTTPS aron masiguro nga ang mga panid nga giablihan sa https:// adunay mga kapanguhaan lamang nga gikarga sa usa ka luwas nga channel sa komunikasyon. Bisan pa nga ang labing kuyaw nga mga tipo sa nagkasagol nga sulud, sama sa mga script ug iframe, gibabagan na pinaagi sa default, ang mga imahe, audio file ug mga video mahimo gihapon nga ma-download pinaagi sa http://. Ang gigamit kaniadto nga sagol nga indikasyon sa sulud alang sa ingon nga mga pagsal-ot nakit-an nga dili epektibo ug nagpahisalaag sa tiggamit, tungod kay wala kini maghatag usa ka dili klaro nga pagsusi sa seguridad sa panid. Pananglitan, pinaagi sa pag-spoof sa imahe, mahimong ilisan sa usa ka tig-atake ang Cookies sa pagsubay sa tiggamit, pagsulay sa pagpahimulos sa mga kahuyangan sa mga tigproseso sa imahe, o paghimo og palsipikado pinaagi sa pag-ilis sa impormasyon nga gihatag sa imahe. Aron ma-disable ang pag-lock sa nagkasagol nga mga sangkap, usa ka espesyal nga setting ang gidugang, nga mahimong ma-access pinaagi sa menu nga makita kung imong gi-klik ang simbolo sa lock.
• Gidugang ang abilidad sa eksperimento sa pagpaambit sa sulod sa clipboard tali sa desktop ug mobile nga mga bersyon sa Chrome. Sa mga higayon sa Chrome nga na-link sa usa ka account, mahimo nimong ma-access ang mga sulud sa clipboard sa laing aparato, lakip ang pagpaambit sa clipboard tali sa mga mobile ug desktop system. Ang mga sulod sa clipboard gi-encrypt gamit ang end-to-end encryption, nga nagpugong sa pag-access sa teksto sa mga server sa Google. Gipaandar ang function pinaagi sa mga opsyon chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui ug chrome://flags#sync-clipboard-service.
• Sa address bar sa pipila ka mga gutlo (pananglitan, kung nagtipig sa usa ka password) kung ang pag-synchronize sa profile gipalong, dugang sa avatar, ang ngalan sa karon nga Google account gipakita aron ang tiggamit tukma nga makaila sa karon nga aktibo nga account.
• Gi-aktibo alang sa 1% sa mga tiggamit pagsuporta "DNS sa HTTPS" (DoH, DNS sa HTTPS). Ang eksperimento naglambigit lamang sa mga tiggamit kansang mga setting sa sistema nakapiho na sa mga DNS providers nga nagsuporta sa DoH. Pananglitan, kung ang tiggamit adunay DNS 8.8.8.8 nga gitakda sa mga setting sa sistema, nan ang serbisyo sa DoH sa Google ("https://dns.google.com/dns-query") ma-aktibo sa Chrome; kung ang DNS 1.1.1.1. XNUMX, dayon serbisyo sa DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), ug uban pa. Aron makontrol kung gi-enable ba ang DoH, gihatag ang setting nga "chrome://flags/#dns-over-https". Tulo ka mga operating mode ang gisuportahan: luwas, awtomatiko ug wala. Sa “secure” mode, ang mga host determinado lang base sa kanhi naka-cache nga secure values ​​(nadawat pinaagi sa secure nga koneksyon) ug mga hangyo pinaagi sa DoH; fallback sa regular nga DNS wala magamit. Sa "awtomatikong" mode, kung ang DoH ug ang luwas nga cache dili magamit, ang datos mahimong makuha gikan sa dili sigurado nga cache ug ma-access pinaagi sa tradisyonal nga DNS. Sa "off" mode, ang gipaambit nga cache una nga gisusi ug kung walay datos, ang hangyo ipadala pinaagi sa sistema sa DNS.
• Gidugang eksperimento pagsuporta pag-cache sa gihubad nga sulod sa dihang mag-ilis sa mga panid gamit ang forward ug back button, nga makapamenos pag-ayo sa mga paglangay atol niining matang sa nabigasyon tungod sa kompletong pag-cache sa tibuok panid, nga wala magkinahanglan ug re-rendering ug loading sa mga kahinguhaan. Ang pag-optimize labi ka mamatikdan sa bersyon alang sa mga mobile device, diin ang pagtaas sa pasundayag sa panahon sa nabigasyon moabot sa 19%. Gipaandar ang mode gamit ang opsyon nga "chrome://flags#back-forward-cache".
• Gipapas pagbutang sa "chrome: // flags / #omnibox-ui-hide-steady-state-url-scheme-and-subdomains", nga gitugotan nga ibalik ang pagpakita sa protocol sa address bar (karon ang tanan nga mga link kanunay nga gipakita nga wala https :// ug http:///, ug walay “www.”).
• Ang mga pagtukod alang sa Windows naglakip sa sandboxing sa serbisyo sa audio playback. Aron makontrol kung gi-enable ba ang isolation, gisugyot ang AudioSandboxEnabled property.
• Ang sentralisadong mga galamiton sa administrasyon alang sa mga negosyo naglakip sa abilidad sa paghubit sa mga lagda nga nagkontrolar kon unsa kadaghang panumduman ang makunsumo sa usa ka browser sa dili pa madiskarga ang mga tab sa background. Ang panumduman nga gipagawas human sa pagdiskarga sa usa ka tab mahimong magamit, ug ang mga sulod sa tab makarga pag-usab sa dihang mobalhin niini.
• Gigamit sa Linux ang usa ka built-in nga processor sa pag-verify sa sertipiko, nga nagpuli sa kaniadto gigamit nga sistema sa NSS. Sa kini nga kaso, ang built-in nga processor nagpadayon sa paggamit sa tindahan sa NSS sa panahon sa pag-verify, apan nagpahamtang sa labi ka higpit nga mga kinahanglanon kung ang pagproseso sa dili husto nga pag-encode ug gilain nga sertipikado nga mga sertipiko (ang tanan nga mga sertipiko kinahanglan nga sertipikado sa usa ka awtoridad sa sertipikasyon).
• Sa bersyon alang sa Android nga plataporma gidugang ang abilidad sa pag-assign sa adaptive nga mga icon alang sa na-install nga web application nga nagdagan sa Progressive Web Apps (PWA) mode. Ang mapahiangay nga mga icon mahimong mopahiangay sa interface nga gigamit sa tiggama sa aparato, pananglitan, lingin, kuwadrado, o adunay hapsay nga mga kanto.
• Gidugang API WebXR device, nga naghatag og access sa mga component para sa paghimo og virtual ug augmented reality. Gitugotan ka sa API nga mahiusa ang trabaho sa lainlaing klase sa mga aparato, gikan sa mga nakahunong nga virtual reality headset sama sa Oculus Rift, HTC Vive ug Windows Mixed Reality, hangtod sa mga solusyon nga gibase sa mga mobile device sama sa Google Daydream View ug Samsung Gear VR. Ang mga aplikasyon diin ang bag-ong API mahimong magamit naglakip sa mga programa alang sa pagtan-aw sa video sa 360° mode, mga sistema alang sa paghanduraw sa tulo-ka-dimensional nga luna, paghimo og mga virtual nga sinehan alang sa video presentation, pagpahigayon og mga eksperimento sa pagmugna og 3D interface alang sa mga tindahan ug mga galeriya;
  

• Sa Origin Trials mode (mga eksperimento nga mga bahin nga nagkinahanglan og bulag pagpaaktibo) daghang bag-ong mga API ang gisugyot. Ang Origin Trial nagpasabot sa abilidad sa pagtrabaho uban sa espesipikong API gikan sa mga aplikasyon nga gi-download gikan sa localhost o 127.0.0.1, o human sa pagparehistro ug pagdawat sa usa ka espesyal nga timaan nga balido sa limitado nga panahon alang sa usa ka piho nga site.
  • Alang sa tanang elemento sa HTML, gisugyot ang attribute nga "rendersubtree", nga nagsiguro nga ang elemento sa DOM gipakita. Ang pagbutang sa attribute ngadto sa "invisible" magpugong sa content sa elemento nga ma-render o masusi, nga magtugot alang sa optimized rendering. Kung gitakda sa "maaktibo", tangtangon sa browser ang dili makita nga hiyas, i-render ang sulud ug himuon kini nga makita.
  • Gidugang nga kapilian sa API Pagmata lock base sa mekanismo sa Saad, nga naghatag ug mas luwas nga paagi sa pagkontrolar sa pag-disable sa mga auto-lock screen ug pagbalhin sa mga device ngadto sa power-saving modes.
• Gipatuman ang abilidad sa paggamit sa hiyas autofocus alang sa tanang HTML ug SVG nga mga elemento nga mahimong adunay input focus.
• Alang sa mga imahe ug video gisiguro Kalkulahin ang aspect ratio base sa Width o Height attributes, nga magamit sa pagdeterminar sa gidak-on sa hulagway gamit ang CSS sa entablado nga wala pa makarga ang hulagway (masulbad ang problema sa pagtukod pag-usab sa panid human makarga ang mga hulagway).
• Gidugang CSS kabtangan font-optical-siizing, nga awtomatiko nga nagtakda sa variable nga gidak-on sa font sa optical coordinates "opsz", kung ang font nagsuporta kanila. Gitugotan ka sa mode nga mapili ang labing maayo nga porma sa glyph alang sa usa ka piho nga gidak-on, pananglitan, gamita ang daghang magkalainlain nga mga glyph alang sa mga ulohan.
• Gidugang CSS kabtangan listahan-estilo-type, nga nagtugot kanimo sa paggamit sa bisan unsang mga simbolo imbes nga mga yugto sa mga lista, pananglitan, "-", "+", "★" ug "▸".
• Kung imposible nga ipatuman ang Worklet.addModule(), ang usa ka butang gibalik karon nga adunay detalyado nga kasayuran bahin sa kinaiya sa sayup, nga nagtugot kanimo nga mas tukma nga masusi ang hinungdan sa sayup (mga problema sa koneksyon sa network, sayup nga syntax, etc. .).
• Gihunong ang pagproseso sa nga mga elemento kung gibalhin sila taliwala sa mga dokumento. Kung magbalhinbalhin tali sa mga dokumento, ang pagpatuman sa mga panghitabo nga "error" ug "load" nga may kalabutan sa script gi-disable usab.
• Sa JavaScript engine V8 gipatuman Ang pag-optimize sa pagdumala sa mga pagbag-o sa representasyon sa mga natad sa mga butang, nga miresulta sa AngularJS code execution sa Speedometer test suite nga nagdagan nga 4% nga mas paspas.
  

• Gi-optimize usab sa V8 ang pagproseso sa mga getter nga gihubit sa mga built-in nga API, sama sa Node.nodeType ug Node.nodeName, kung wala ang IC handler (inline caching). Ang pagbag-o nagpamenos sa oras nga gigugol sa IC runtime sa gibana-bana nga 12% kung nagpadagan sa Backbone ug jQuery nga mga pagsulay gikan sa Speedometer suite.
  

• Ang mga resulta sa mekanismo sa OSR (gitawag nga on-stack replacement) gi-cache, nga nag-ilis sa optimized code atol sa function execution (nagtugot kanimo sa pagsugod sa paggamit sa optimized code alang sa dugay na nga mga function nga dili maghulat nga kini modagan pag-usab). Ang OSR caching nagpaposible sa paggamit sa mga resulta sa pag-optimize kung ipadagan pag-usab ang function, nga dili kinahanglan nga moagi sa re-optimization.
  Sa pipila ka mga pagsulay, ang pagbag-o nagdugang sa peak performance sa 5-18%.
  

• Mga pagbag-o sa mga himan alang sa mga web developer:
  Nagpakita debugging mode aron mahibal-an ang mga hinungdan sa pagbabag sa usa ka hangyo o pagpadala sa usa ka Cookie.
  
  • Sa block nga adunay lista sa Cookie, ang abilidad sa dali nga pagtan-aw sa kantidad sa napili nga Cookie gidugang pinaagi sa pag-klik sa usa ka piho nga linya.
    

  • Gidugang ang abilidad sa pag-simulate sa lain-laing mga setting alang sa prefers-color-scheme ug prefers-reduced-motion media query (pananglitan, aron sulayan ang kinaiya sa panid nga adunay tema nga dark system o adunay mga animated effect nga gi-disable).
    

  • Ang disenyo sa tab nga Coverage gi-moderno, nga nagtugot kanimo sa pagtimbang-timbang sa code nga gigamit ug wala gigamit. Gidugang ang abilidad sa pagsala sa impormasyon pinaagi sa matang niini (JavaScript, CSS). Ang kasayuran sa paggamit sa code gidugang usab kung gipakita ang gigikanan nga teksto.
    

  • Gidugang ang abilidad sa pag-debug sa mga hinungdan sa paghangyo sa usa ka partikular nga kapanguhaan sa network pagkahuman sa pagrekord sa kalihokan sa network (mahimo nimong tan-awon ang usa ka pagsubay sa tawag sa code sa JavaScript nga nagdala sa pagkarga sa kapanguhaan).
    

  • Gidugang ang "Settings> Preferences> Sources> Default Indentation" setting aron mahibal-an ang matang sa indentation (2/4/8 nga mga espasyo o tab) sa code nga gipakita sa Console ug Sources panels.

Dugang sa mga inobasyon ug pag-ayo sa bug, ang bag-ong bersyon nagwagtang sa 51 nga mga kahuyangan. Daghan sa mga kahuyangan ang giila isip resulta sa automated testing gamit ang AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ug AFL tools. Duha ka isyu (CVE-2019-13725, pag-access sa napagawas na nga memorya sa code alang sa suporta sa Bluetooth, ug CVE-2019-13726, heap overflow sa password manager) gimarkahan nga kritikal, i.e. motugot kanimo sa paglaktaw sa tanang lebel sa proteksyon sa browser ug pagpatuman sa code sa sistema gawas sa sandbox environment. Kini ang una nga higayon nga duha ka kritikal nga mga problema ang nahibal-an sulod sa parehas nga siklo sa pag-uswag sa Chrome. Ang unang kahuyang nakit-an sa mga tigdukiduki gikan sa Tencent Keen Security Lab ug gipakita sa kompetisyon sa Tianfu Cup, ug ang ikaduha nakit-an ni Sergei Glazunov gikan sa Google Project Zero.

Isip kabahin sa cash reward program alang sa pagdiskubre sa mga kahuyangan alang sa kasamtangan nga pagpagawas, ang Google mibayad og 37 ka mga awards nga nagkantidad og $80000 (usa ka $20000 award, usa ka $10000 award, duha ka $7500 awards, upat $5000 awards, usa $3000 award, duha $2000 awards, ug duha $1000 awards $500 nga mga awards). Ang gidak-on sa 15 nga mga ganti wala pa matino.

Source: opennet.ru