Rhyddhad Chrome 79

Google wedi'i gyflwyno rhyddhau porwr gwe Chrome 79... Ar yr un pryd ar gael rhyddhau prosiect am ddim yn sefydlog Cromiwm, sy'n gwasanaethu fel sail Chrome. Porwr Chrome gwahanol y defnydd o logos Google, presenoldeb system ar gyfer anfon hysbysiadau rhag ofn y bydd damwain, y gallu i lawrlwytho modiwl Flash ar gais, modiwlau ar gyfer chwarae cynnwys fideo gwarchodedig (DRM), system ar gyfer gosod diweddariadau a thrawsyriant yn awtomatig wrth chwilio Paramedrau RLZ. Mae'r datganiad nesaf o Chrome 80 wedi'i drefnu ar gyfer Chwefror 4ydd.

Y prif newidiadau в Chrome 79:

• actifadu Elfen Gwirio Cyfrinair, wedi'i chynllunio i ddadansoddi cryfder cyfrineiriau a ddefnyddir gan y defnyddiwr. Wrth geisio mewngofnodi i unrhyw safle Gwirio Cyfrinair yn cyflawni gwirio mewngofnodi a chyfrinair yn erbyn cronfa ddata o gyfrifon dan fygythiad gyda rhybudd os canfyddir problemau (gwirio yn seiliedig ar ragddodiad hash ar ochr y defnyddiwr). Gwneir y gwiriad yn erbyn cronfa ddata sy'n cwmpasu mwy na 4 biliwn o gyfrifon dan fygythiad a ymddangosodd mewn cronfeydd data defnyddwyr a ddatgelwyd. Mae rhybudd hefyd yn cael ei arddangos wrth geisio defnyddio cyfrineiriau dibwys fel "abc123". Er mwyn rheoli cynnwys Gwirio Cyfrinair, mae gosodiad arbennig wedi'i roi ar waith yn yr adran "Sync and Google Services".
• Cyflwynir technoleg newydd ar gyfer canfod gwe-rwydo mewn amser real. Yn flaenorol, cyflawnwyd dilysu trwy gyrchu rhestrau gwahardd Pori Diogel a lawrlwythwyd yn lleol, a oedd yn cael eu diweddaru tua unwaith bob 30 munud, a drodd yn annigonol, er enghraifft, mewn amodau newid parth yn aml gan ymosodwyr. Mae'r dull newydd yn caniatáu ichi wirio URLau ar y hedfan gyda gwiriad rhagarweiniol yn erbyn rhestri gwyn sy'n cynnwys hashes o filoedd o wefannau poblogaidd sy'n ddibynadwy. Os nad yw'r wefan sy'n cael ei hagor yn y rhestr wen, mae'r porwr yn gwirio'r URL ar weinydd Google, gan drosglwyddo'r 32 did cyntaf o stwnsh SHA-256 y ddolen, y mae data personol posibl yn cael ei dorri allan ohono. Yn ôl Google, gall y dull newydd wella effeithiolrwydd rhybuddion ar gyfer safleoedd gwe-rwydo newydd 30%.
• Ychwanegwyd amddiffyniad rhagweithiol rhag trosglwyddo tystlythyrau Google ac unrhyw gyfrineiriau sydd wedi'u storio yn y rheolwr cyfrinair trwy dudalennau gwe-rwydo. Os ceisiwch roi cyfrinair sydd wedi'i gadw ar safle lle nad yw'r cyfrinair hwnnw'n cael ei ddefnyddio fel arfer, bydd y defnyddiwr yn cael ei rybuddio am weithred a allai fod yn beryglus.
• Mae cysylltiadau sy'n defnyddio TLS 1.0 a 1.1 bellach yn dangos dangosydd cysylltiad ansicr. Cefnogi TLS 1.0 ac 1.1 yn llawn bydd yn anabl yn Chrome 81, wedi'i drefnu ar gyfer Mawrth 17, 2020.
• Ychwanegwyd y gallu i rewi tabiau anactif, sy'n eich galluogi i ddadlwytho'n awtomatig o dabiau cof sydd wedi bod yn y cefndir am fwy na 5 munud ac nad ydynt yn cyflawni gweithredoedd sylweddol. Mae'r penderfyniad ynghylch addasrwydd tab penodol ar gyfer rhewi yn seiliedig ar heuristics. Mae galluogi'r swyddogaeth yn cael ei reoli trwy'r faner “chrome://flags/#proactive-tab-freeze”.
• Wedi'i sicrhau Blocio cynnwys cymysg ar dudalennau a agorwyd dros HTTPS i sicrhau bod tudalennau a agorwyd dros https:// yn cynnwys adnoddau wedi'u llwytho dros sianel gyfathrebu ddiogel yn unig. Er bod y mathau mwyaf peryglus o gynnwys cymysg, fel sgriptiau ac iframes, eisoes wedi'u rhwystro'n ddiofyn, gellid dal i lawrlwytho delweddau, ffeiliau sain a fideos trwy http://. Canfuwyd bod y dangosydd cynnwys cymysg a ddefnyddiwyd yn flaenorol ar gyfer mewnosodiadau o'r fath yn aneffeithiol ac yn gamarweiniol i'r defnyddiwr, gan nad yw'n darparu asesiad diamwys o ddiogelwch y dudalen. Er enghraifft, trwy ffugio delweddau, gall ymosodwr gymryd lle Cwcis olrhain defnyddwyr, ceisio manteisio ar wendidau mewn proseswyr delwedd, neu ffugio trwy ddisodli'r wybodaeth a ddarperir yn y ddelwedd. I analluogi cloi cydrannau cymysg, mae gosodiad arbennig wedi'i ychwanegu, y gellir ei gyrchu trwy'r ddewislen sy'n ymddangos pan gliciwch ar y symbol clo.
• Ychwanegwyd gallu arbrofol i rannu cynnwys clipfwrdd rhwng fersiynau bwrdd gwaith a symudol o Chrome. Mewn achosion o Chrome yn gysylltiedig ag un cyfrif, gallwch nawr gyrchu cynnwys clipfwrdd dyfais arall, gan gynnwys rhannu'r clipfwrdd rhwng systemau symudol a bwrdd gwaith. Mae cynnwys y clipfwrdd yn cael ei amgryptio gan ddefnyddio amgryptio pen-i-ben, sy'n atal mynediad i'r testun ar weinyddion Google. Mae'r swyddogaeth wedi'i galluogi trwy'r opsiynau chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui a chrome://flags#sync-clipboard-service.
• Yn y bar cyfeiriad ar adegau penodol (er enghraifft, wrth arbed cyfrinair) pan fydd cydamseru proffil yn cael ei ddiffodd, yn ogystal â'r avatar, mae enw'r cyfrif Google cyfredol yn cael ei arddangos fel y gall y defnyddiwr adnabod y cyfrif gweithredol cyfredol yn gywir.
• Wedi'i actifadu ar gyfer 1% o ddefnyddwyr cefnogaeth “DNS dros HTTPS” (DoH, DNS dros HTTPS). Mae'r arbrawf yn cynnwys defnyddwyr yn unig y mae eu gosodiadau system eisoes wedi nodi darparwyr DNS sy'n cefnogi'r Adran Iechyd. Er enghraifft, os oes gan y defnyddiwr DNS 8.8.8.8 wedi'i nodi yng ngosodiadau'r system, yna bydd gwasanaeth DoH Google (“https://dns.google.com/dns-query”) yn cael ei actifadu yn Chrome; os yw'r DNS yn 1.1.1.1. XNUMX, yna gwasanaeth DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), ac ati. Er mwyn rheoli a yw DoH wedi'i alluogi, darperir y gosodiad “chrome://flags/#dns-over-https”. Cefnogir tri dull gweithredu: diogel, awtomatig ac i ffwrdd. Yn y modd “diogel”, pennir gwesteiwyr yn unig yn seiliedig ar werthoedd diogel a storiwyd yn flaenorol (a dderbyniwyd trwy gysylltiad diogel) a cheisiadau trwy'r Adran Iechyd; ni chymhwysir wrth gefn i DNS rheolaidd. Yn y modd “awtomatig”, os nad yw DoH a'r storfa ddiogel ar gael, gellir adfer data o'r storfa anniogel a'i gyrchu trwy DNS traddodiadol. Yn y modd “off”, mae'r storfa a rennir yn cael ei wirio gyntaf ac os nad oes data, anfonir y cais trwy'r system DNS.
• Ychwanegwyd arbrofol cefnogaeth caching o gynnwys wedi'i rendro wrth newid tudalennau gan ddefnyddio'r botymau ymlaen ac yn ôl, a all leihau oedi yn sylweddol yn ystod y math hwn o lywio oherwydd caching cyflawn o'r dudalen gyfan, nad oes angen ail-rendro a llwytho adnoddau. Mae'r optimeiddio yn arbennig o amlwg yn y fersiwn ar gyfer dyfeisiau symudol, lle mae'r cynnydd mewn perfformiad yn ystod llywio yn cyrraedd 19%. Mae'r modd wedi'i alluogi gan ddefnyddio'r opsiwn "chrome://flags#back-forward-cache".
• Wedi'i ddileu gosod “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, a oedd yn caniatáu dychwelyd arddangosiad y protocol yn y bar cyfeiriad (nawr mae pob dolen bob amser yn cael ei dangos heb https :// a http:// /, a hefyd heb “www.”).
• Mae Adeiladau ar gyfer Windows yn cynnwys bocsio tywod y gwasanaeth chwarae sain. Er mwyn rheoli a yw ynysu wedi'i alluogi, cynigir yr eiddo AudioSandboxEnabled.
• Mae offer gweinyddu canolog ar gyfer mentrau yn cynnwys y gallu i ddiffinio rheolau sy'n rheoli faint o gof y gall enghraifft porwr ei ddefnyddio cyn dadlwytho tabiau cefndir. Daw'r cof sy'n cael ei ryddhau ar ôl dadlwytho tab ar gael i'w ddefnyddio, ac mae cynnwys y tab yn cael ei lwytho eto wrth newid iddo.
• Mae Linux yn defnyddio prosesydd dilysu tystysgrif adeiledig, sy'n disodli'r system NSS a ddefnyddiwyd yn flaenorol. Yn yr achos hwn, mae'r prosesydd adeiledig yn parhau i ddefnyddio'r storfa NSS yn ystod y dilysu, ond mae'n gosod gofynion mwy llym wrth brosesu tystysgrifau wedi'u hamgodio'n anghywir ac wedi'u hardystio ar wahân (rhaid i awdurdod ardystio ardystio pob tystysgrif).
• Yn y fersiwn ar gyfer y llwyfan Android wedi adio y gallu i neilltuo eiconau addasol ar gyfer cymwysiadau gwe gosodedig sy'n rhedeg yn y modd Apiau Gwe Blaengar (PWA). Gall eiconau addasol addasu i'r rhyngwyneb a ddefnyddir gan wneuthurwr y ddyfais, er enghraifft, bod yn grwn, yn sgwâr, neu gyda chorneli llyfn.
• Wedi adio API Dyfais WebXR, sy'n darparu mynediad i gydrannau ar gyfer creu realiti rhithwir ac estynedig. Mae'r API yn caniatáu ichi uno gwaith gyda gwahanol ddosbarthiadau o ddyfeisiau, o glustffonau rhith-realiti llonydd fel Oculus Rift, HTC Vive a Windows Mixed Reality, i atebion sy'n seiliedig ar ddyfeisiau symudol fel Google Daydream View a Samsung Gear VR. Ymhlith y cymwysiadau y gall yr API newydd fod yn berthnasol iddynt mae rhaglenni ar gyfer gwylio fideo yn y modd 360 °, systemau ar gyfer delweddu gofod tri dimensiwn, creu sinemâu rhithwir ar gyfer cyflwyno fideo, cynnal arbrofion ar greu rhyngwynebau 3D ar gyfer siopau ac orielau;
  

• Yn y modd Treialon Tarddiad (nodweddion arbrofol sydd angen ar wahân actifadu) mae sawl API newydd wedi'u cynnig. Mae Origin Trial yn awgrymu'r gallu i weithio gyda'r API penodedig o gymwysiadau a lawrlwythwyd o localhost neu 127.0.0.1, neu ar ôl cofrestru a derbyn tocyn arbennig sy'n ddilys am gyfnod cyfyngedig ar gyfer gwefan benodol.
  • Ar gyfer pob elfen HTML, cynigir y briodwedd “rendersubtree”, sy'n sicrhau bod arddangosiad yr elfen DOM yn sefydlog. Bydd gosod y priodoledd i "anweledig" yn atal cynnwys yr elfen rhag cael ei rendro neu ei archwilio, gan ganiatáu ar gyfer rendro wedi'i optimeiddio. Pan gaiff ei osod i "activatable", bydd y porwr yn dileu'r priodoledd anweledig, yn gwneud y cynnwys ac yn ei wneud yn weladwy.
  • Ychwanegwyd opsiwn API Clo deffro yn seiliedig ar fecanwaith Addewid, gan ddarparu ffordd fwy diogel o reoli analluogi sgriniau cloi ceir a newid dyfeisiau i foddau arbed pŵer.
• Wedi gweithredu'r gallu i ddefnyddio'r priodoledd autofocus ar gyfer yr holl elfennau HTML a SVG a all gael ffocws mewnbwn.
• Ar gyfer delweddau a fideos sicrhau Cyfrifwch y gymhareb agwedd yn seiliedig ar y priodoleddau Lled neu Uchder, y gellir eu defnyddio i bennu maint y ddelwedd gan ddefnyddio CSS ar y cam pan nad yw'r ddelwedd wedi'i llwytho eto (yn datrys y broblem gydag ailadeiladu'r dudalen ar ôl i'r delweddau gael eu llwytho).
• Ychwanegwyd priodwedd CSS ffont-optegol-sizing, sy'n gosod maint y ffont amrywiol yn awtomatig mewn cyfesurynnau optegol"opsz" , os yw'r ffont yn eu cefnogi. Mae'r modd yn caniatáu ichi ddewis y siâp glyff gorau posibl ar gyfer maint penodol, er enghraifft, defnyddio glyffau mwy cyferbyniol ar gyfer penawdau.
• Ychwanegwyd priodwedd CSS rhestr-arddull-math, sy'n eich galluogi i ddefnyddio unrhyw symbolau yn lle cyfnodau mewn rhestrau, er enghraifft, “-“, “+”, “★” a “▸”.
• Os yw'n amhosibl gweithredu Worklet.addModule(), dychwelir gwrthrych nawr gyda gwybodaeth fanwl am natur y gwall, sy'n eich galluogi i asesu achos y gwall yn fwy cywir (problemau gyda'r cysylltiad rhwydwaith, cystrawen anghywir, ac ati .).
• Wedi stopio prosesu elfennau wrth eu symud rhwng dogfennau. Wrth drosglwyddo rhwng dogfennau, mae gweithredu digwyddiadau “gwall” a “llwyth” sy'n gysylltiedig â sgript hefyd yn anabl.
• Yn injan JavaScript V8 ei gynnal Optimeiddio trin newidiadau i gynrychiolaeth meysydd mewn gwrthrychau, gan arwain at weithredu cod AngularJS yn y gyfres prawf Speedometer yn rhedeg 4% yn gyflymach.
  

• Mae V8 hefyd yn gwneud y gorau o brosesu derbynwyr a ddiffinnir mewn APIs adeiledig, megis Node.nodeType a Node.nodeName, yn absenoldeb triniwr IC (caching mewnol). Gostyngodd y newid yr amser a dreuliwyd ar amser rhedeg IC tua 12% wrth redeg y profion asgwrn cefn a jQuery o'r gyfres Speedometer.
  

• Mae canlyniadau'r mecanwaith OSR (a elwir yn amnewid ar y pentwr) yn cael eu storio, sy'n disodli'r cod wedi'i optimeiddio yn ystod gweithredu swyddogaeth (sy'n caniatáu ichi ddechrau defnyddio'r cod wedi'i optimeiddio ar gyfer swyddogaethau hirdymor heb aros iddynt redeg eto). Mae caching OSR yn ei gwneud hi'n bosibl defnyddio'r canlyniadau optimeiddio wrth ail-redeg y swyddogaeth, heb yr angen i fynd trwy ail-optimeiddio.
  Mewn rhai profion, cynyddodd y newid berfformiad brig 5-18%.
  

• Newidiadau mewn offer ar gyfer datblygwyr gwe:
  Ymddangos modd dadfygio i bennu'r rhesymau dros rwystro cais neu anfon Cwci.
  
  • Yn y bloc gyda'r rhestr Cwcis, mae'r gallu i weld gwerth y Cwci a ddewiswyd yn gyflym wedi'i ychwanegu trwy glicio ar linell benodol.
    

  • Ychwanegwyd y gallu i efelychu gwahanol osodiadau ar gyfer y cynllun dewis-liw ac ymholiadau cyfryngau cynnig-lleihaol sy'n ffafrio (er enghraifft, i brofi ymddygiad y dudalen gyda thema system dywyll neu gydag effeithiau animeiddiedig wedi'u hanalluogi).
    

  • Mae dyluniad y tab Cwmpas wedi'i foderneiddio, sy'n eich galluogi i werthuso'r cod a ddefnyddiwyd ac na ddefnyddiwyd. Ychwanegwyd y gallu i hidlo gwybodaeth yn ôl ei math (JavaScript, CSS). Ychwanegir gwybodaeth am ddefnydd cod hefyd wrth arddangos y testun ffynhonnell.
    

  • Ychwanegwyd y gallu i ddadfygio'r rhesymau dros ofyn am adnodd rhwydwaith penodol ar ôl cofnodi gweithgaredd rhwydwaith (gallwch weld olion galwad cod JavaScript a arweiniodd at lwytho'r adnodd).
    

  • Ychwanegwyd gosodiad “Gosodiadau> Dewisiadau> Ffynonellau> Mewnoliad Diofyn” i benderfynu ar y math o fewnoliad (2/4/8 gofod neu dabiau) yn y cod a ddangosir yn y paneli Consol a Ffynonellau.

Yn ogystal ag arloesiadau a thrwsio namau, mae'r fersiwn newydd yn dileu 51 o wendidau. Nodwyd llawer o'r gwendidau o ganlyniad i brofion awtomataidd gan ddefnyddio'r offer AddressSanitizer, MemorySanitizer, Union Flow Control, LibFuzzer ac AFL. Mae dau fater (CVE-2019-13725, cyrchu cof sydd eisoes wedi'i ryddhau yn y cod ar gyfer cefnogaeth Bluetooth, a CVE-2019-13726, gorlif pentwr yn y rheolwr cyfrinair) wedi'u nodi'n hollbwysig, h.y. caniatáu ichi osgoi pob lefel o amddiffyniad porwr a gweithredu cod ar y system y tu allan i amgylchedd y blwch tywod. Dyma'r tro cyntaf i ddwy broblem hollbwysig gael eu nodi o fewn yr un cylch datblygu yn Chrome. Canfuwyd y bregusrwydd cyntaf gan ymchwilwyr o Tencent Keen Security Lab a dangoswyd yng nghystadleuaeth Cwpan Tianfu, a darganfuwyd yr ail gan Sergei Glazunov o Google Project Zero.

Fel rhan o'r rhaglen gwobrau arian parod ar gyfer darganfod gwendidau ar gyfer y datganiad cyfredol, talodd Google 37 dyfarniad gwerth $80000 (un dyfarniad $20000, un dyfarniad $10000, dau ddyfarniad $7500, pedwar dyfarniad $5000, un dyfarniad $3000, dau ddyfarniad $2000, dau ddyfarniad $1000, dau ddyfarniad $500. gwobrau $15). Nid yw maint y XNUMX gwobr wedi'i bennu eto.

Ffynhonnell: opennet.ru