Vydání Chrome 79

Google prezentovány vydání webového prohlížeče Chrome 79... Zároveň k dispozici stabilní vydání bezplatného projektu Chróm, který je základem Chromu. Prohlížeč Chrome jiné používání log Google, přítomnost systému pro zasílání upozornění v případě havárie, možnost stažení modulu Flash na vyžádání, moduly pro přehrávání chráněného video obsahu (DRM), systém automatických aktualizací a přenos při vyhledávání parametry RLZ. Další vydání Chrome 80 je naplánováno na 4. února.

hlavní změny в chróm 79:

• aktivováno Komponenta Password Checkup určená k analýze síly hesel používaných uživatelem. Při pokusu o přihlášení na jakoukoli stránku Kontrola hesla splňuje kontrola přihlašovacího jména a hesla proti databázi kompromitovaných účtů s upozorněním v případě zjištění problémů (kontrola se provádí na základě hash prefixu na straně uživatele). Kontrola se provádí proti databázi pokrývající více než 4 miliardy kompromitovaných účtů, které se objevily v uniklých uživatelských databázích. Upozornění se zobrazí také při pokusu o použití triviálních hesel, jako je „abc123“. Pro kontrolu zahrnutí kontroly hesel bylo v sekci „Synchronizace a služby Google“ implementováno speciální nastavení.
• Je představena nová technologie pro detekci phishingu v reálném čase. Dříve se ověřování provádělo přístupem k lokálně staženým blacklistům Bezpečného prohlížení, které byly aktualizovány přibližně jednou za 30 minut, což se ukázalo jako nedostatečné například v podmínkách častého přepínání domén útočníky. Nová metoda vám umožňuje kontrolovat adresy URL za chodu s předběžnou kontrolou proti seznamům povolených, které obsahují hash tisíců oblíbených webů, které jsou důvěryhodné. Pokud se otevíraná stránka nenachází na bílé listině, prohlížeč zkontroluje URL na serveru Google a odešle prvních 32 bitů SHA-256 hash odkazu, ze kterých jsou vyjmuty případné osobní údaje. Podle Googlu může nový přístup zlepšit účinnost varování pro nové phishingové stránky o 30 %.
• Přidána proaktivní ochrana proti přenosu přihlašovacích údajů Google a jakýchkoli hesel uložených ve správci hesel prostřednictvím phishingových stránek. Pokud se pokusíte zadat uložené heslo na webu, kde se toto heslo běžně nepoužívá, uživatel bude upozorněn na potenciálně nebezpečnou akci.
• Připojení pomocí TLS 1.0 a 1.1 nyní zobrazují indikátor nezabezpečeného připojení. Plná podpora TLS 1.0 a 1.1 bude zakázáno v Chrome 81, naplánováno na 17. března 2020.
• Přidána možnost zmrazit neaktivní karty, což vám umožní automaticky uvolnit z paměti karty, které byly na pozadí déle než 5 minut a neprovádějí významné akce. Rozhodnutí o vhodnosti konkrétní karty pro zmrazení se provádí na základě heuristiky. Povolení funkce se ovládá pomocí příznaku „chrome://flags/#proactive-tab-freeze“.
• zajištěno Blokování smíšeného obsahu na stránkách otevřených přes HTTPS, aby bylo zajištěno, že stránky otevřené přes https:// obsahují pouze zdroje načtené přes zabezpečený komunikační kanál. Přestože nejnebezpečnější typy smíšeného obsahu, jako jsou skripty a prvky iframe, jsou již ve výchozím nastavení blokovány, obrázky, zvukové soubory a videa lze stále stahovat přes http://. Dříve používaný indikátor smíšeného obsahu pro takové vložky se ukázal jako neúčinný a pro uživatele zavádějící, protože neposkytuje jednoznačné posouzení bezpečnosti stránky. Například prostřednictvím falšování obrázků může útočník nahradit soubory cookie pro sledování uživatelů, pokusit se zneužít slabá místa v procesorech obrázků nebo se dopustit padělání nahrazením informací poskytnutých v obrázku. Pro zakázání zamykání smíšených komponent bylo přidáno speciální nastavení, které lze vyvolat přes nabídku, která se zobrazí po kliknutí na symbol zámku.
• Přidána experimentální možnost sdílení obsahu schránky mezi desktopovou a mobilní verzí Chromu. V případech prohlížeče Chrome propojeného s jedním účtem nyní můžete přistupovat k obsahu schránky jiného zařízení, včetně sdílení schránky mezi mobilními a stolními systémy. Obsah schránky je šifrován pomocí end-to-end šifrování, které brání přístupu k textu na serverech Google. Funkce je povolena prostřednictvím možností chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui a chrome://flags#sync-clipboard-service.
• V adresním řádku se v určitých okamžicích (například při ukládání hesla) při vypnuté synchronizaci profilu kromě avatara zobrazuje název aktuálního účtu Google, aby uživatel mohl přesně identifikovat aktuální aktivní účet.
• Aktivováno pro 1 % uživatelů podpora „DNS over HTTPS“ (DoH, DNS over HTTPS). Experiment zahrnuje pouze uživatele, jejichž systémová nastavení již specifikovali poskytovatele DNS, kteří podporují DoH. Pokud má uživatel například v nastavení systému zadán DNS 8.8.8.8, bude v Chrome aktivována služba DoH společnosti Google („https://dns.google.com/dns-query“), pokud je DNS 1.1.1.1. XNUMX, poté službu DoH Cloudflare („https://cloudflare-dns.com/dns-query“) atd. Chcete-li ovládat, zda je povoleno DoH, je k dispozici nastavení „chrome://flags/#dns-over-https“. Podporovány jsou tři provozní režimy: bezpečný, automatický a vypnutý. V „zabezpečeném“ režimu jsou hostitelé určováni pouze na základě dříve uložených zabezpečených hodnot (přijatých prostřednictvím zabezpečeného připojení) a požadavků prostřednictvím DoH; záložní na běžný DNS se nepoužívá. V „automatickém“ režimu, pokud DoH a zabezpečená mezipaměť nejsou k dispozici, lze data načíst z nezabezpečené mezipaměti a přistupovat k nim prostřednictvím tradičního DNS. V režimu „vypnuto“ je nejprve zkontrolována sdílená mezipaměť, a pokud nejsou k dispozici žádná data, je odeslán požadavek prostřednictvím systémového DNS.
• Přidáno experimentální podpora ukládání vykresleného obsahu do mezipaměti při změně stránek pomocí tlačítek vpřed a zpět, což může výrazně snížit zpoždění při tomto typu navigace díky úplnému ukládání celé stránky do mezipaměti, které nevyžaduje opětovné vykreslování a načítání zdrojů. Optimalizace je patrná zejména ve verzi pro mobilní zařízení, kde nárůst výkonu při navigaci dosahuje 19 %. Režim se aktivuje pomocí možnosti „chrome://flags#back-forward-cache“.
• Smazáno nastavení „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains“, které umožnilo vrátit zobrazení protokolu v adresním řádku (nyní jsou všechny odkazy vždy zobrazeny bez https :// a http:// / a také bez „www.“).
• Sestavení pro Windows zahrnují sandboxing služby přehrávání zvuku. Chcete-li ovládat, zda je povolena izolace, je navržena vlastnost AudioSandboxEnabled.
• Nástroje centralizované správy pro podniky zahrnují schopnost definovat pravidla, která řídí, kolik paměti může instance prohlížeče spotřebovat, než se karty na pozadí uvolní. Paměť uvolněná po vyjmutí karty se zpřístupní pro použití a obsah karty se znovu načte při přepnutí na kartu.
• Linux používá vestavěný procesor pro ověřování certifikátů, který nahrazuje dříve používaný systém NSS. V tomto případě vestavěný procesor při ověřování nadále využívá úložiště NSS, ale klade přísnější požadavky na zpracování nesprávně zakódovaných a samostatně certifikovaných certifikátů (všechny certifikáty musí být certifikovány certifikační autoritou).
• Ve verzi pro platformu Android přidal možnost přiřadit adaptivní ikony pro nainstalované webové aplikace běžící v režimu progresivních webových aplikací (PWA). Adaptivní ikony se mohou přizpůsobit rozhraní používanému výrobcem zařízení, například mohou být kulaté, hranaté nebo s hladkými rohy.
• Přidat API Zařízení WebXR, která poskytuje přístup ke komponentám pro vytváření virtuální a rozšířené reality. API umožňuje sjednotit práci s různými třídami zařízení, od stacionárních náhlavních souprav pro virtuální realitu, jako je Oculus Rift, HTC Vive a Windows Mixed Reality, až po řešení založená na mobilních zařízeních, jako je Google Daydream View a Samsung Gear VR. Mezi aplikace, ve kterých může být nové API použitelné, patří programy pro sledování videa v režimu 360°, systémy pro vizualizaci trojrozměrného prostoru, vytváření virtuálních kin pro videoprezentace, provádění experimentů s vytvářením 3D rozhraní pro obchody a galerie;
  

• V režimu Origin Trials (experimentální funkce, které vyžadují samostatné aktivace) bylo navrženo několik nových API. Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
  • Pro všechny HTML elementy je navržen atribut „rendersubtree“, který zajišťuje pevné zobrazení elementu DOM. Nastavení atributu na „neviditelný“ zabrání vykreslení nebo kontrole obsahu prvku, což umožní optimalizované vykreslování. Když je nastaveno na „aktivovatelné“, prohlížeč odstraní atribut neviditelnosti, vykreslí obsah a zviditelní jej.
  • Přidána možnost API Zámek probuzení založené na mechanismu Promise, který poskytuje bezpečnější způsob ovládání deaktivace automatického zamykání obrazovek a přepínání zařízení do režimů úspory energie.
• Implementována schopnost používat atribut autofokus pro všechny prvky HTML a SVG, které mohou mít vstupní fokus.
• Pro obrázky a videa zajištěno Vypočítejte poměr stran na základě atributů Width nebo Height, pomocí kterých lze určit velikost obrázku pomocí CSS ve fázi, kdy se obrázek ještě nenačetl (řeší problém s přestavbou stránky po načtení obrázků).
• Přidána vlastnost CSS optická velikost písma, který automaticky nastaví proměnnou velikost písma v optických souřadnicích "opsz“, pokud je písmo podporuje. Režim umožňuje vybrat optimální tvar glyfu pro zadanou velikost, například použít kontrastnější glyfy pro nadpisy.
• Přidána vlastnost CSS list-style-type, který umožňuje v seznamech používat místo teček libovolné symboly, například „-“, „+“, „★“ a „▸“.
• Pokud není možné spustit Worklet.addModule(), je nyní vrácen objekt s podrobnými informacemi o povaze chyby, což vám umožňuje přesněji posoudit příčinu chyby (problémy se síťovým připojením, nesprávná syntaxe atd. .).
• Zastaveno zpracování položek при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• V JavaScript motoru V8 odneseno Optimalizace zpracování změn v reprezentaci polí v objektech, což vede k tomu, že spouštění kódu AngularJS v testovací sadě Speedometer běží o 4 % rychleji.
  

• V8 také optimalizuje zpracování getterů definovaných ve vestavěných rozhraních API, jako je Node.nodeType a Node.nodeName, při absenci obslužného programu IC (inline caching). Tato změna snížila čas strávený běhovým prostředím IC přibližně o 12 % při spouštění testů Backbone a jQuery ze sady Speedometer.
  

• Výsledky mechanismu OSR (nazývaného on-stack replacement) jsou ukládány do mezipaměti, která nahrazuje optimalizovaný kód během provádění funkce (umožňuje začít používat optimalizovaný kód pro dlouhotrvající funkce bez čekání na jejich opětovné spuštění). Ukládání OSR do mezipaměti umožňuje využít výsledky optimalizace při opětovném spuštění funkce, aniž by bylo nutné procházet opětovnou optimalizací.
  V některých testech změna zvýšila špičkový výkon o 5–18 %.
  

• Změny v nástrojích pro webové vývojáře:
  Objevil se režim ladění ke zjištění důvodů zablokování požadavku nebo odeslání souboru cookie.
  
  • V bloku se seznamem cookie přibyla možnost rychlého zobrazení hodnoty vybraného cookie kliknutím na konkrétní řádek.
    

  • Přidána možnost simulovat různá nastavení pro dotazy na média prefers-color-scheme a preferences-reduced-motion (například pro testování chování stránky s tmavým motivem systému nebo se zakázanými animovanými efekty).
    

  • Design záložky Pokrytí byl modernizován, což umožňuje vyhodnotit použitý a nevyužitý kód. Přidána možnost filtrovat informace podle jejich typu (JavaScript, CSS). Při zobrazení zdrojového textu jsou také přidány informace o použití kódu.
    

  • Přidána možnost ladit důvody pro vyžádání konkrétního síťového zdroje po zaznamenání síťové aktivity (můžete zobrazit stopu volání kódu JavaScript, které vedlo k načtení zdroje).
    

  • Přidáno nastavení „Nastavení > Předvolby > Zdroje > Výchozí odsazení“ pro určení typu odsazení (2/4/8 mezery nebo tabulátory) v kódu zobrazeném na panelech Konzola a Zdroje.

Kromě inovací a oprav chyb nová verze odstraňuje 51 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Dva problémy (CVE-2019-13725, přístup k již uvolněné paměti v kódu pro podporu Bluetooth a CVE-2019-13726, přetečení haldy ve správci hesel) jsou označeny jako kritické, tzn. vám umožní obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandboxu. Je to poprvé, co byly v rámci stejného vývojového cyklu v prohlížeči Chrome zjištěny dva kritické problémy. První zranitelnost byla nalezena výzkumníky z Tencent Keen Security Lab a prokázáno na soutěži Tianfu Cup a druhou našel Sergej Glazunov z Google Project Zero.

V rámci programu peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 37 ocenění v hodnotě 80000 20000 USD (jedno ocenění 10000 7500 USD, jedno ocenění 5000 3000 USD, dvě ocenění 2000 1000 USD, čtyři ocenění 500 15 USD, jedno ocenění XNUMX XNUMX USD, dvě ocenění XNUMX XNUMX USD a dvě ocenění XNUMX XNUMX USD odměny XNUMX $). Velikost XNUMX odměn zatím nebyla stanovena.

Zdroj: opennet.ru