Chrome udgivelse 79

Google fremlagde udgivelse af webbrowser Chrome 79... Samtidigt ledig stabil udgivelse af et gratis projekt Chromium, som fungerer som grundlaget for Chrome. Chrome browser anderledes brugen af ​​Google-logoer, tilstedeværelsen af ​​et system til at sende meddelelser i tilfælde af et nedbrud, muligheden for at downloade et Flash-modul efter anmodning, moduler til afspilning af beskyttet videoindhold (DRM), et system til automatisk installation af opdateringer og transmission under søgning RLZ parametre. Den næste udgivelse af Chrome 80 er planlagt til den 4. februar.

The main ændringer в Chrome 79:

• aktiveret Kodeordstjek-komponent, designet til at analysere styrken af ​​adgangskoder, der bruges af brugeren. Når du forsøger at logge ind på en hvilken som helst side Password Checkup opfylder kontrol af login og adgangskode mod en database med kompromitterede konti med en advarsel, hvis der opdages problemer (kontrol udføres baseret på et hash-præfiks på brugerens side). Kontrollen udføres mod en database, der dækker mere end 4 milliarder kompromitterede konti, der dukkede op i lækkede brugerdatabaser. En advarsel vises også, når du forsøger at bruge trivielle adgangskoder, såsom "abc123". For at kontrollere medtagelsen af ​​adgangskodetjek er der implementeret en særlig indstilling i afsnittet "Synkronisering og Google-tjenester".
• En ny teknologi til at opdage phishing i realtid præsenteres. Tidligere blev verifikation udført ved at få adgang til lokalt downloadede Safe Browsing-sortlister, som blev opdateret cirka en gang hvert 30. minut, hvilket viste sig at være utilstrækkeligt, for eksempel under forhold med hyppige domæneskift fra angribere. Den nye metode giver dig mulighed for at tjekke URL'er på farten med en foreløbig kontrol mod hvidlister, der inkluderer hashes af tusindvis af populære websteder, der er troværdige. Hvis webstedet, der åbnes, ikke er på hvidlisten, tjekker browseren URL'en på Google-serveren og transmitterer de første 32 bit af SHA-256-hashen af ​​linket, hvorfra eventuelle personlige data er skåret ud. Ifølge Google kan den nye tilgang forbedre effektiviteten af ​​advarsler til nye phishing-sider med 30 %.
• Tilføjet proaktiv beskyttelse mod overførsel af Google-legitimationsoplysninger og eventuelle adgangskoder gemt i adgangskodeadministratoren gennem phishing-sider. Hvis du forsøger at indtaste en gemt adgangskode på et websted, hvor adgangskoden normalt ikke bruges, vil brugeren blive advaret om en potentielt farlig handling.
• Forbindelser med TLS 1.0 og 1.1 viser nu en usikker forbindelsesindikator. Understøtter fuldt ud TLS 1.0 og 1.1 vil blive deaktiveret i Chrome 81, planlagt til den 17. marts 2020.
• Tilføjet muligheden for at fryse inaktive faner, så du automatisk kan udlæse fra hukommelsesfaner, der har været i baggrunden i mere end 5 minutter og ikke udfører væsentlige handlinger. Beslutningen om egnetheden af ​​en bestemt fane til frysning træffes baseret på heuristik. Aktivering af funktionen styres via flaget "chrome://flags/#proactive-tab-freeze".
• Sikret Blokering af blandet indhold på sider åbnet over HTTPS for at sikre, at sider åbnet over https:// kun indeholder ressourcer indlæst over en sikker kommunikationskanal. Selvom de farligste typer blandet indhold, såsom scripts og iframes, allerede er blokeret som standard, kunne billeder, lydfiler og videoer stadig downloades via http://. Den tidligere anvendte indikator for blandet indhold for sådanne indlæg viste sig at være ineffektiv og vildledende for brugeren, da den ikke giver en entydig vurdering af sidens sikkerhed. Gennem billedspoofing kan en angriber f.eks. erstatte brugersporingscookies, forsøge at udnytte sårbarheder i billedprocessorer eller begå forfalskning ved at erstatte informationen i billedet. For at deaktivere låsning af blandede komponenter er der tilføjet en særlig indstilling, som kan hentes frem via menuen, der kommer frem, når du klikker på låsesymbolet.
• Tilføjet eksperimentel mulighed for at dele udklipsholderindhold mellem desktop- og mobilversioner af Chrome. I tilfælde af Chrome knyttet til én konto, kan du nu få adgang til indholdet af udklipsholderen på en anden enhed, herunder deling af udklipsholderen mellem mobil- og desktopsystemer. Indholdet af udklipsholderen er krypteret ved hjælp af ende-til-ende-kryptering, som forhindrer adgang til teksten på Googles servere. Funktionen aktiveres gennem mulighederne chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui og chrome://flags#sync-clipboard-service.
• I adresselinjen på bestemte tidspunkter (for eksempel når du gemmer en adgangskode), når profilsynkronisering er slået fra, vises navnet på den aktuelle Google-konto ud over avataren, så brugeren nøjagtigt kan identificere den aktuelle aktive konto.
• Aktiveret for 1 % af brugerne støtte "DNS over HTTPS" (DoH, DNS over HTTPS). Eksperimentet involverer kun brugere, hvis systemindstillinger allerede har angivet DNS-udbydere, der understøtter DoH. For eksempel, hvis brugeren har DNS 8.8.8.8 specificeret i systemindstillingerne, så aktiveres Googles DoH-tjeneste (“https://dns.google.com/dns-query”) i Chrome; hvis DNS er 1.1.1.1. XNUMX, derefter DoH Cloudflare-tjeneste ("https://cloudflare-dns.com/dns-query") osv. For at kontrollere, om DoH er aktiveret, er indstillingen "chrome://flags/#dns-over-https" angivet. Tre driftstilstande understøttes: sikker, automatisk og slukket. I "sikker" tilstand bestemmes værter kun baseret på tidligere cachelagrede sikre værdier (modtaget via en sikker forbindelse) og anmodninger via DoH; fallback til almindelig DNS anvendes ikke. I den "automatiske" tilstand, hvis DoH og den sikre cache ikke er tilgængelig, kan data hentes fra den usikre cache og tilgås via traditionel DNS. I "fra"-tilstand kontrolleres den delte cache først, og hvis der ikke er nogen data, sendes anmodningen gennem systemets DNS.
• Tilføjet eksperimentel støtte caching af gengivet indhold ved sideskift ved brug af frem- og tilbage-knapperne, hvilket kan reducere forsinkelser markant under denne type navigation på grund af fuldstændig caching af hele siden, hvilket ikke kræver gengivelse og indlæsning af ressourcer. Optimeringen er især mærkbar i versionen til mobile enheder, hvor ydelsesforøgelsen under navigation når op på 19%. Tilstanden er aktiveret ved hjælp af "chrome://flags#back-forward-cache".
• Slettet indstilling af "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", hvilket gjorde det muligt at returnere visningen af ​​protokollen i adresselinjen (nu vises alle links altid uden https:// og http:// /, og også uden “www.”).
• Builds til Windows inkluderer sandboxing af lydafspilningstjenesten. For at kontrollere, om isolering er aktiveret, foreslås egenskaben AudioSandboxEnabled.
• Centraliserede administrationsværktøjer til virksomheder omfatter muligheden for at definere regler, der styrer, hvor meget hukommelse en browserinstans kan forbruge, før baggrundsfaner fjernes. Hukommelsen, der frigives efter aflæsning af en fane, bliver tilgængelig til brug, og indholdet af fanen indlæses igen, når der skiftes til den.
• Linux bruger en indbygget certifikatverifikationsprocessor, som erstatter det tidligere brugte NSS-system. I dette tilfælde fortsætter den indbyggede processor med at bruge NSS-lageret under verifikation, men stiller strengere krav ved behandling af forkert kodede og separat certificerede certifikater (alle certifikater skal være certificeret af en certificeringsmyndighed).
• I versionen til Android-platformen tilføjet evnen til at tildele adaptive ikoner til installerede webapplikationer, der kører i Progressive Web Apps (PWA)-tilstand. Adaptive ikoner kan tilpasse sig den grænseflade, der bruges af enhedsproducenten, for eksempel at være runde, firkantede eller med glatte hjørner.
• Tilføjet API WebXR-enhed, som giver adgang til komponenter til at skabe virtuel og augmented reality. API'en giver dig mulighed for at forene arbejdet med forskellige klasser af enheder, fra stationære virtual reality-headset som Oculus Rift, HTC Vive og Windows Mixed Reality til løsninger baseret på mobile enheder såsom Google Daydream View og Samsung Gear VR. Applikationer, hvori den nye API kan anvendes, omfatter programmer til visning af video i 360°-tilstand, systemer til visualisering af tredimensionelt rum, skabelse af virtuelle biografer til videopræsentation, udførelse af eksperimenter med at skabe 3D-grænseflader til butikker og gallerier;
  

• I tilstanden Origin Trials (eksperimentelle funktioner, der kræver separate aktivering) flere nye API'er er blevet foreslået. Origin Trial indebærer evnen til at arbejde med den specificerede API fra applikationer downloadet fra localhost eller 127.0.0.1, eller efter registrering og modtagelse af et særligt token, der er gyldigt i en begrænset periode for et specifikt websted.
  • For alle HTML-elementer foreslås attributten "rendersubtree", som sikrer, at visningen af ​​DOM-elementet er fast. Indstilling af attributten til "usynlig" forhindrer elementets indhold i at blive gengivet eller inspiceret, hvilket giver mulighed for optimeret gengivelse. Når den er indstillet til "aktiverbar", vil browseren fjerne den usynlige attribut, gengive indholdet og gøre det synligt.
  • Tilføjet API mulighed Wake lock baseret på Promise-mekanismen, som giver en mere sikker måde at kontrollere deaktivering af automatisk låseskærme og skifte enheder til strømbesparende tilstande.
• Implementeret muligheden for at bruge attributten autofokus for alle HTML- og SVG-elementer, der kan have inputfokus.
• Til billeder og videoer sikret Beregn billedformatet baseret på attributterne Bredde eller Højde, som kan bruges til at bestemme størrelsen af ​​billedet ved hjælp af CSS på det tidspunkt, hvor billedet endnu ikke er indlæst (løser problemet med at genopbygge siden efter billederne er indlæst).
• Tilføjet CSS-egenskab font-optisk-størrelse, som automatisk indstiller den variable skriftstørrelse i optiske koordinater "opsz", hvis skrifttypen understøtter dem. Tilstanden giver dig mulighed for at vælge den optimale glyfform for en specificeret størrelse, for eksempel ved at bruge mere kontrasterende glyffer til overskrifter.
• Tilføjet CSS-egenskab liste-stil-type, som giver dig mulighed for at bruge alle symboler i stedet for punktum på lister, f.eks. "-", "+", "★" og "▸".
• Hvis det er umuligt at udføre Worklet.addModule(), returneres et objekt nu med detaljerede oplysninger om fejlens art, hvilket giver dig mulighed for mere præcist at vurdere årsagen til fejlen (problemer med netværksforbindelsen, forkert syntaks osv.) .).
• Stoppet med at behandle varer при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• I JavaScript-motor V8 udført Optimering af håndtering af ændringer i repræsentationen af ​​felter i objekter, hvilket resulterer i, at AngularJS-kodeeksekvering i Speedometer-testsuiten kører 4 % hurtigere.
  

• V8 optimerer også behandlingen af ​​gettere defineret i indbyggede API'er, såsom Node.nodeType og Node.nodeName, i mangel af en IC-handler (inline caching). Ændringen reducerede tiden brugt på IC-runtid med cirka 12 %, når du kørte Backbone- og jQuery-testene fra Speedometer-pakken.
  

• Resultaterne af OSR (kaldet on-stack replacement) mekanisme cachelagres, som erstatter optimeret kode under funktionsudførelse (giver dig mulighed for at begynde at bruge optimeret kode til langvarige funktioner uden at vente på, at de kører igen). OSR caching gør det muligt at bruge optimeringsresultaterne, når funktionen køres igen, uden at det er nødvendigt at gennemgå re-optimering.
  I nogle test øgede ændringen topydelsen med 5-18 %.
  

• Ændringer i værktøjer til webudviklere:
  Har dukket op fejlretningstilstand for at bestemme årsagerne til at blokere en anmodning eller sende en cookie.
  
  • I blokken med Cookie-listen er muligheden for hurtigt at se værdien af ​​den valgte Cookie blevet tilføjet ved at klikke på en bestemt linje.
    

  • Tilføjet muligheden for at simulere forskellige indstillinger for foretrækker-farve-skemaet og foretrækker-reduceret-bevægelse medieforespørgsler (for eksempel for at teste opførselen af ​​siden med et mørkt systemtema eller med animerede effekter deaktiveret).
    

  • Designet af fanen Dækning er blevet moderniseret, så du kan evaluere den anvendte kode og ikke brugt. Tilføjet muligheden for at filtrere information efter dens type (JavaScript, CSS). Kodebrugsoplysninger tilføjes også, når kildeteksten vises.
    

  • Tilføjet muligheden for at fejlsøge årsagerne til at anmode om en bestemt netværksressource efter registrering af netværksaktivitet (du kan se et spor af JavaScript-kodekaldet, der førte til indlæsning af ressourcen).
    

  • Tilføjet indstillingen "Indstillinger > Præferencer > Kilder > Standardindrykning" for at bestemme typen af ​​indrykning (2/4/8 mellemrum eller tabulatorer) i koden, der vises i panelerne Konsol og Kilder.

Ud over innovationer og fejlrettelser eliminerer den nye version 51 sårbarheder. Mange af sårbarhederne blev identificeret som et resultat af automatiseret test ved hjælp af AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL værktøjerne. To problemer (CVE-2019-13725, adgang til allerede frigjort hukommelse i koden til Bluetooth-understøttelse og CVE-2019-13726, heap overflow i adgangskodehåndteringen) er markeret som kritiske, dvs. giver dig mulighed for at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Det er første gang, at to kritiske problemer er blevet identificeret inden for samme udviklingscyklus i Chrome. Den første sårbarhed blev fundet af forskere fra Tencent Keen Security Lab og demonstreret ved Tianfu Cup-konkurrencen, og den anden blev fundet af Sergei Glazunov fra Google Project Zero.

Som en del af kontantbelønningsprogrammet for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 37 priser til en værdi af $80000 (en pris på $20000, en pris på $10000, to priser på $7500, fire priser på $5000, en pris på $3000, to priser på $2000 og to $1000, 500 dollars priser). Størrelsen af ​​de 15 belønninger er endnu ikke fastlagt.

Kilde: opennet.ru