Chrome-Version 79

Google präsentiert Webbrowser-Version Chrome 79. Gleichzeitig ist verfügbar stabile Veröffentlichung eines kostenlosen Projekts Chrom, die die Basis von Chrome ist. Chrome-Browser anders die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, die Möglichkeit, auf Anfrage ein Flash-Modul herunterzuladen, Module zum Abspielen geschützter Videoinhalte (DRM), ein System zur automatischen Installation von Updates und Übertragung während der Suche RLZ-Parameter. Die nächste Veröffentlichung von Chrome 80 ist für den 4. Februar geplant.

Haupt- Veränderungen в Chrome 79:

• Aktiviert Komponente zur Passwortüberprüfung, die dazu dient, die Stärke der vom Benutzer verwendeten Passwörter zu analysieren. Wenn Sie versuchen, sich bei einer Website anzumelden, überprüfen Sie Ihr Passwort führt Überprüfung von Login und Passwort anhand einer Datenbank kompromittierter Konten mit einer Warnung, wenn Probleme erkannt werden (die Überprüfung erfolgt anhand eines Hash-Präfixes auf Benutzerseite). Die Prüfung erfolgt anhand einer Datenbank, die mehr als 4 Milliarden kompromittierte Konten umfasst, die in durchgesickerten Benutzerdatenbanken aufgetaucht sind. Eine Warnung wird auch angezeigt, wenn Sie versuchen, triviale Passwörter wie „abc123“ zu verwenden. Um die Einbindung der Passwortüberprüfung zu steuern, wurde im Abschnitt „Synchronisierung und Google-Dienste“ eine spezielle Einstellung implementiert.
• Eine neue Technologie zur Erkennung von Phishing in Echtzeit wird vorgestellt. Bisher erfolgte die Überprüfung durch Zugriff auf lokal heruntergeladene Safe Browsing-Blacklists, die etwa alle 30 Minuten aktualisiert wurden, was sich beispielsweise bei häufigem Domainwechsel durch Angreifer als unzureichend erwies. Mit der neuen Methode können Sie URLs im Handumdrehen mit einer Vorabprüfung anhand von Whitelists überprüfen, die Hashes von Tausenden vertrauenswürdigen beliebten Websites enthalten. Wenn die geöffnete Website nicht auf der Whitelist steht, überprüft der Browser die URL auf dem Google-Server und übermittelt die ersten 32 Bits des SHA-256-Hashs des Links, aus dem mögliche personenbezogene Daten herausgeschnitten werden. Laut Google kann der neue Ansatz die Wirksamkeit von Warnungen vor neuen Phishing-Seiten um 30 % verbessern.
• Proaktiver Schutz gegen die Übertragung von Google-Anmeldeinformationen und im Passwort-Manager gespeicherten Passwörtern durch Phishing-Seiten hinzugefügt. Wenn Sie versuchen, ein gespeichertes Passwort auf einer Site einzugeben, auf der dieses Passwort normalerweise nicht verwendet wird, wird der Benutzer vor einer möglicherweise gefährlichen Aktion gewarnt.
• Verbindungen, die TLS 1.0 und 1.1 verwenden, zeigen jetzt einen Indikator für eine unsichere Verbindung. Unterstützt TLS 1.0 und 1.1 vollständig wird deaktiviert in Chrome 81, geplant für den 17. März 2020.
• Es wurde die Möglichkeit hinzugefügt, inaktive Tabs einzufrieren, sodass Sie Tabs, die länger als 5 Minuten im Hintergrund waren und keine wesentlichen Aktionen ausführen, automatisch aus dem Speicher entladen können. Die Entscheidung über die Eignung eines bestimmten Tabs zum Einfrieren wird auf Basis von Heuristiken getroffen. Die Aktivierung der Funktion wird über das Flag „chrome://flags/#proactive-tab-freeze“ gesteuert.
• Zur Verfügung gestellt von Blockieren gemischter Inhalte auf Seiten, die über HTTPS geöffnet werden, um sicherzustellen, dass über https:// geöffnete Seiten nur Ressourcen enthalten, die über einen sicheren Kommunikationskanal geladen werden. Auch wenn die gefährlichsten Arten gemischter Inhalte wie Skripte und Iframes bereits standardmäßig blockiert sind, können Bilder, Audiodateien und Videos weiterhin über http:// heruntergeladen werden. Der bisher für solche Einfügungen verwendete Mixed-Content-Indikator erwies sich als wirkungslos und für den Nutzer irreführend, da er keine eindeutige Beurteilung der Sicherheit der Seite ermöglicht. Durch Bild-Spoofing kann ein Angreifer beispielsweise Benutzeraktionen durch Cookie-Tracking ersetzen, versuchen, Schwachstellen in Bildprozessoren auszunutzen, oder eine Fälschung begehen, indem er die im Bild bereitgestellten Informationen ersetzt. Um das Sperren gemischter Komponenten zu deaktivieren, wurde eine spezielle Einstellung hinzugefügt, die über das Menü aufgerufen werden kann, das erscheint, wenn Sie auf das Schlosssymbol klicken.
• Experimentelle Möglichkeit hinzugefügt, Inhalte der Zwischenablage zwischen Desktop- und Mobilversionen von Chrome zu teilen. In Chrome-Instanzen, die mit einem Konto verknüpft sind, können Sie jetzt auf den Inhalt der Zwischenablage eines anderen Geräts zugreifen und die Zwischenablage auch zwischen mobilen und Desktop-Systemen teilen. Der Inhalt der Zwischenablage wird mittels Ende-zu-Ende-Verschlüsselung verschlüsselt, wodurch ein Zugriff auf den Text auf den Google-Servern verhindert wird. Die Funktion wird über die Optionen chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui und chrome://flags#sync-clipboard-service aktiviert.
• In der Adressleiste wird zu bestimmten Zeitpunkten (z. B. beim Speichern eines Passworts) bei deaktivierter Profilsynchronisierung zusätzlich zum Avatar der Name des aktuellen Google-Kontos angezeigt, damit der Benutzer das aktuell aktive Konto genau identifizieren kann.
• Für 1 % der Benutzer aktiviert unterstützen „DNS über HTTPS“ (DoH, DNS über HTTPS). An dem Experiment sind nur Benutzer beteiligt, deren Systemeinstellungen bereits DNS-Anbieter angegeben haben, die DoH unterstützen. Wenn der Benutzer beispielsweise in den Systemeinstellungen DNS 8.8.8.8 angegeben hat, wird der DoH-Dienst von Google („https://dns.google.com/dns-query“) in Chrome aktiviert; wenn der DNS 1.1.1.1 ist. XNUMX, dann DoH Cloudflare-Dienst („https://cloudflare-dns.com/dns-query“) usw. Um zu steuern, ob DoH aktiviert ist, wird die Einstellung „chrome://flags/#dns-over-https“ bereitgestellt. Es werden drei Betriebsmodi unterstützt: sicher, automatisch und aus. Im „sicheren“ Modus werden Hosts nur anhand zuvor zwischengespeicherter sicherer Werte (über eine sichere Verbindung empfangen) und Anfragen über DoH ermittelt; ein Rückgriff auf reguläres DNS wird nicht angewendet. Wenn im „automatischen“ Modus DoH und der sichere Cache nicht verfügbar sind, können Daten aus dem unsicheren Cache abgerufen und über herkömmliches DNS abgerufen werden. Im „Aus“-Modus wird zunächst der gemeinsame Cache überprüft und wenn keine Daten vorhanden sind, wird die Anfrage über den System-DNS gesendet.
• Experimentell hinzugefügt unterstützen Zwischenspeicherung gerenderter Inhalte beim Seitenwechsel mithilfe der Vor- und Zurück-Schaltflächen, wodurch Verzögerungen bei dieser Art der Navigation aufgrund der vollständigen Zwischenspeicherung der gesamten Seite, die kein erneutes Rendern und Laden von Ressourcen erfordert, erheblich reduziert werden können. Besonders deutlich macht sich die Optimierung in der Version für mobile Geräte bemerkbar, wo die Leistungssteigerung bei der Navigation 19 % erreicht. Der Modus wird mit der Option „chrome://flags#back-forward-cache“ aktiviert.
• Gelöscht Einstellung „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains“, die es ermöglichte, die Anzeige des Protokolls in der Adressleiste zurückzugeben (jetzt werden alle Links immer ohne https angezeigt). :// und http:/ /, auch ohne „www.“).
• Builds für Windows umfassen Sandboxing des Audiowiedergabedienstes. Um zu steuern, ob die Isolation aktiviert ist, wird die Eigenschaft AudioSandboxEnabled vorgeschlagen.
• Zentralisierte Verwaltungstools für Unternehmen umfassen die Möglichkeit, Regeln zu definieren, die steuern, wie viel Speicher eine Browserinstanz verbrauchen kann, bevor Hintergrundregisterkarten entladen werden. Der nach dem Entladen eines Tabs freigegebene Speicher steht zur Nutzung zur Verfügung und der Inhalt des Tabs wird beim Wechseln erneut geladen.
• Linux verwendet einen integrierten Zertifikatsverifizierungsprozessor, der das bisher verwendete NSS-System ersetzt. In diesem Fall nutzt der eingebaute Prozessor bei der Verifizierung weiterhin den NSS-Speicher, stellt jedoch strengere Anforderungen bei der Verarbeitung falsch codierter und separat zertifizierter Zertifikate (alle Zertifikate müssen von einer Zertifizierungsstelle zertifiziert sein).
• In der Version für die Android-Plattform hinzugefügt die Möglichkeit, adaptive Symbole für installierte Webanwendungen zuzuweisen, die im Progressive Web Apps (PWA)-Modus ausgeführt werden. Adaptive Icons können sich an die vom Gerätehersteller verwendete Schnittstelle anpassen und beispielsweise rund, quadratisch oder mit glatten Ecken sein.
• Добавлен API WebXR-Gerät, das Zugriff auf Komponenten zur Erstellung virtueller und erweiterter Realität bietet. Mit der API können Sie die Arbeit mit verschiedenen Geräteklassen vereinheitlichen, von stationären Virtual-Reality-Headsets wie Oculus Rift, HTC Vive und Windows Mixed Reality bis hin zu Lösungen auf Basis mobiler Geräte wie Google Daydream View und Samsung Gear VR. Zu den Anwendungen, in denen die neue API anwendbar sein könnte, gehören Programme zum Betrachten von Videos im 360°-Modus, Systeme zur Visualisierung des dreidimensionalen Raums, die Erstellung virtueller Kinos für Videopräsentationen, die Durchführung von Experimenten zur Erstellung von 3D-Schnittstellen für Geschäfte und Galerien;
  

• Im Origin Trials-Modus (experimentelle Funktionen, die separat benötigt werden Aktivierung) wurden mehrere neue APIs vorgeschlagen. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
  • Für alle HTML-Elemente wird das Attribut „rendersubtree“ vorgeschlagen, das dafür sorgt, dass die Darstellung des DOM-Elements festgelegt ist. Wenn Sie das Attribut auf „unsichtbar“ setzen, wird verhindert, dass der Inhalt des Elements gerendert oder überprüft wird, was ein optimiertes Rendering ermöglicht. Bei der Einstellung „aktivierbar“ entfernt der Browser das unsichtbare Attribut, rendert den Inhalt und macht ihn sichtbar.
  • API-Option hinzugefügt Wakelock Basierend auf dem Promise-Mechanismus, der eine sicherere Möglichkeit bietet, die Deaktivierung der automatischen Bildschirmsperre und das Umschalten von Geräten in den Energiesparmodus zu steuern.
• Die Möglichkeit zur Verwendung des Attributs wurde implementiert Autofokus für alle HTML- und SVG-Elemente, die den Eingabefokus haben können.
• Für Bilder und Videos gesichert Berechnen Sie das Seitenverhältnis basierend auf den Attributen „Breite“ oder „Höhe“. Dies kann verwendet werden, um die Größe des Bildes mithilfe von CSS in dem Stadium zu bestimmen, in dem das Bild noch nicht geladen wurde (behebt das Problem beim Neuaufbau der Seite, nachdem Bilder geladen wurden).
• CSS-Eigenschaft hinzugefügt Schriftgröße, wodurch die variable Schriftgröße automatisch in optischen Koordinaten festgelegt wird.opsz", wenn die Schriftart sie unterstützt. Mit diesem Modus können Sie die optimale Glyphenform für eine bestimmte Größe auswählen und beispielsweise kontrastreichere Glyphen für Überschriften verwenden.
• CSS-Eigenschaft hinzugefügt Listenart-Typ, wodurch Sie beliebige Symbole anstelle von Punkten in Listen verwenden können, zum Beispiel „-“, „+“, „★“ und „▸“.
• Wenn Worklet.addModule() nicht ausgeführt werden kann, wird nun ein Objekt mit detaillierten Informationen über die Art des Fehlers zurückgegeben, wodurch Sie die Fehlerursache (Probleme mit der Netzwerkverbindung, falsche Syntax usw.) genauer einschätzen können .).
• Die Verarbeitung von Elementen wurde gestoppt при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• In der JavaScript-Engine V8 ausgetragen Optimierung der Handhabung von Änderungen an der Darstellung von Feldern in Objekten, was dazu führt, dass die AngularJS-Codeausführung in der Speedometer-Testsuite 4 % schneller läuft.
  

• V8 optimiert auch die Verarbeitung von Gettern, die in integrierten APIs wie Node.nodeType und Node.nodeName definiert sind, wenn kein IC-Handler vorhanden ist (Inline-Caching). Die Änderung reduzierte den Zeitaufwand für die IC-Laufzeit um etwa 12 %, wenn die Backbone- und jQuery-Tests aus der Speedometer-Suite ausgeführt wurden.
  

• Die Ergebnisse des OSR-Mechanismus (On-Stack Replacement genannt) werden zwischengespeichert, wodurch optimierter Code während der Funktionsausführung ersetzt wird (ermöglicht Ihnen, optimierten Code für lang laufende Funktionen zu verwenden, ohne auf deren erneute Ausführung warten zu müssen). Durch das OSR-Caching ist es möglich, die Optimierungsergebnisse beim erneuten Ausführen der Funktion zu verwenden, ohne dass eine erneute Optimierung erforderlich ist.
  In einigen Tests steigerte die Änderung die Spitzenleistung um 5–18 %.
  

• Änderungen an Tools für Webentwickler:
  Erschienen Debugging-Modus, um die Gründe für das Blockieren einer Anfrage oder das Senden eines Cookies zu ermitteln.
  
  • Im Block mit der Cookie-Liste wurde die Möglichkeit hinzugefügt, den Wert des ausgewählten Cookies durch Klicken auf eine bestimmte Zeile schnell anzuzeigen.
    

  • Es wurde die Möglichkeit hinzugefügt, verschiedene Einstellungen für die Medienabfragen „Preferes-Color-Schema“ und „Preferes-Reduced-Motion“ zu simulieren (z. B. um das Verhalten der Seite mit einem dunklen Systemdesign oder mit deaktivierten animierten Effekten zu testen).
    

  • Das Design der Registerkarte „Abdeckung“ wurde modernisiert, sodass Sie den verwendeten und nicht verwendeten Code auswerten können. Es wurde die Möglichkeit hinzugefügt, Informationen nach ihrem Typ (JavaScript, CSS) zu filtern. Bei der Anzeige des Quelltextes werden auch Informationen zur Codenutzung hinzugefügt.
    

  • Es wurde die Möglichkeit hinzugefügt, die Gründe für die Anforderung einer bestimmten Netzwerkressource nach der Aufzeichnung der Netzwerkaktivität zu debuggen (Sie können eine Ablaufverfolgung des JavaScript-Codeaufrufs anzeigen, der zum Laden der Ressource geführt hat).
    

  • Die Einstellung „Einstellungen > Voreinstellungen > Quellen > Standardeinrückung“ wurde hinzugefügt, um die Art der Einrückung (2/4/8 Leerzeichen oder Tabulatoren) im Code zu bestimmen, der in den Konsolen- und Quellenfenstern angezeigt wird.

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 51 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Zwei Probleme (CVE-2019-13725, Zugriff auf bereits freigegebenen Speicher im Code für Bluetooth-Unterstützung und CVE-2019-13726, Heap-Überlauf im Passwort-Manager) werden als kritisch markiert, d. h. ermöglichen es Ihnen, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Dies ist das erste Mal, dass zwei kritische Probleme innerhalb desselben Entwicklungszyklus in Chrome identifiziert wurden. Die erste Schwachstelle wurde von Forschern des Tencent Keen Security Lab und entdeckt gezeigt beim Tianfu-Cup-Wettbewerb, und der zweite wurde von Sergei Glazunov von Google Project Zero gefunden.

Im Rahmen des Geldprämienprogramms für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 37 Auszeichnungen im Wert von 80000 US-Dollar aus (eine Auszeichnung in Höhe von 20000 US-Dollar, eine Auszeichnung in Höhe von 10000 US-Dollar, zwei Auszeichnungen in Höhe von 7500 US-Dollar, vier Auszeichnungen in Höhe von 5000 US-Dollar, eine Auszeichnung in Höhe von 3000 US-Dollar, zwei Auszeichnungen in Höhe von 2000 US-Dollar, zwei Auszeichnungen in Höhe von 1000 US-Dollar und acht Auszeichnungen). 500-Dollar-Auszeichnungen). Die Höhe der 15 Belohnungen steht noch nicht fest.

Source: opennet.ru