Chrome Eldono 79

Guglo prezentita eldono de TTT-legilo Chrome 79... Samtempe disponebla stabila liberigo de senpaga projekto kromio, kiu funkcias kiel la bazo de Chrome. Chrome retumilo diferencas la uzo de Google-emblemoj, la ĉeesto de sistemo por sendi sciigojn en kazo de kraŝo, la kapablo elŝuti Flash-modulon laŭpeto, moduloj por ludi protektitan videoenhavon (DRM), sistemo por aŭtomate instali ĝisdatigojn kaj transdonon dum serĉo RLZ-parametroj. La sekva eldono de Chrome 80 estas planita por la 4-a de februaro.

Ĉefa ŝanĝi в Kromio 79:

• aktivigita Pasvortkontrola komponanto, dizajnita por analizi la forton de pasvortoj uzataj de la uzanto. Kiam vi provas ensaluti al iu ajn retejo Pasvorto Kontrolo plenumas kontrolante ensaluton kaj pasvorton kontraŭ datumbazo de kompromititaj kontoj kun averto se problemoj estas detektitaj (kontrolado estas farita surbaze de hash-prefikso flanke de la uzanto). La kontrolo estas farita kontraŭ datumbazo kovranta pli ol 4 miliardojn kompromititajn kontojn kiuj aperis en likitaj uzantdatumbazoj. Averto ankaŭ montriĝas kiam oni provas uzi bagatelajn pasvortojn kiel "abc123". Por kontroli la inkludon de Pasvortkontrolo, speciala agordo estis efektivigita en la sekcio "Sync kaj Google Services".
• Nova teknologio por detekti phishing en reala tempo estas prezentita. Antaŭe, konfirmo estis farita per aliro al loke elŝutitaj nigraj listoj de Sekura Foliumado, kiuj estis ĝisdatigitaj proksimume unufoje ĉiujn 30 minutojn, kiuj montriĝis nesufiĉaj, ekzemple, en kondiĉoj de ofta domajna ŝanĝado de atakantoj. La nova metodo permesas vin kontroli URL-ojn sur la flugo kun prepara kontrolo kontraŭ blankaj listoj, kiuj inkluzivas haŝojn de miloj da popularaj retejoj, kiuj estas fidindaj. Se la retejo malfermita ne estas en la blanka listo, la retumilo kontrolas la URL sur la Guglo-servilo, transdonante la unuajn 32 bitojn de la SHA-256-hash de la ligilo, el kiu eblaj personaj datumoj estas eltranĉitaj. Laŭ Google, la nova aliro povas plibonigi la efikecon de avertoj por novaj phishing-ejoj je 30%.
• Aldonita proaktiva protekto kontraŭ la translokigo de Google-akreditaĵoj kaj ajnaj pasvortoj konservitaj en la pasvortmanaĝero per phishing-paĝoj. Se vi provas enigi konservitan pasvorton en retejo kie tiu pasvorto ne estas normale uzata, la uzanto estos avertita pri eble danĝera ago.
• Konektoj uzantaj TLS 1.0 kaj 1.1 nun montras nesekuran ligan indikilon. Plene subtenas TLS 1.0 kaj 1.1 estos malŝaltita en Chrome 81, planita por la 17-a de marto 2020.
• Aldonita la eblo frostigi neaktivajn langetojn, permesante vin aŭtomate malŝarĝi el memoraj langetoj, kiuj estis en la fono dum pli ol 5 minutoj kaj ne faras signifajn agojn. La decido pri la taŭgeco de aparta langeto por frostigo estas farita surbaze de heŭristiko. Ebligi la funkcion estas kontrolita per la flago "chrome://flags/#proactive-tab-freeze".
• Sekurigita Blokado de miksita enhavo sur paĝoj malfermitaj per HTTPS por certigi, ke paĝoj malfermitaj per https:// enhavas nur rimedojn ŝarĝitajn per sekura komunika kanalo. Kvankam la plej danĝeraj specoj de miksita enhavo, kiel skriptoj kaj iframoj, jam estas blokitaj defaŭlte, bildoj, sondosieroj kaj filmetoj ankoraŭ povus esti elŝutitaj per http://. La antaŭe uzata miksenhava indikilo por tiaj enmetoj estis trovita neefika kaj misgvida por la uzanto, ĉar ĝi ne disponigas unusignifan takson de la sekureco de la paĝo. Ekzemple, per bildfalsado, atakanto povas anstataŭigi uzantajn spurajn Kuketojn, provi ekspluati vundeblecojn en bildprocesoroj aŭ fari falsaĵon anstataŭigante la informojn provizitajn en la bildo. Por malŝalti la ŝlosadon de miksitaj komponantoj, speciala agordo estis aldonita, kiu estas alirebla per la menuo, kiu aperas kiam vi alklakas la simbolon de ŝlosilo.
• Aldonita eksperimenta kapablo kunhavigi enhavon de la tondujo inter labortablaj kaj moveblaj versioj de Chrome. En kazoj de Chrome ligita al unu konto, vi nun povas aliri la enhavon de la tondujo de alia aparato, inkluzive de dividado de la tondujo inter poŝtelefonaj kaj labortablaj sistemoj. La enhavo de la tondujo estas ĉifrita per fin-al-fina ĉifrado, kiu malhelpas aliron al la teksto en Google-serviloj. La funkcio estas ebligita per la opcioj chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui kaj chrome://flags#sync-clipboard-service.
• En la adresbreto en certaj momentoj (ekzemple, kiam konservas pasvorton) kiam profilsinkronigo estas malŝaltita, krom la avataro, la nomo de la nuna Google-konto montriĝas por ke la uzanto povu precize identigi la nunan aktivan konton.
• Aktivigita por 1% de uzantoj subteno "DNS super HTTPS" (DoH, DNS super HTTPS). La eksperimento implikas nur uzantojn, kies sistemaj agordoj jam precizigis DNS-provizantojn, kiuj subtenas DoH. Ekzemple, se la uzanto havas DNS 8.8.8.8 specifita en la sistemaj agordoj, tiam la servo DoH de Google ("https://dns.google.com/dns-query") estos aktivigita en Chrome; se la DNS estas 1.1.1.1. XNUMX, tiam DoH Cloudflare-servo ("https://cloudflare-dns.com/dns-query"), ktp. Por kontroli ĉu DoH estas ebligita, la agordo "chrome://flags/#dns-over-https" estas provizita. Tri operaciumoj estas subtenataj: sekura, aŭtomata kaj malŝaltita. En "sekura" reĝimo, gastigantoj estas determinitaj nur surbaze de antaŭe konservitaj sekuraj valoroj (ricevitaj per sekura konekto) kaj petoj per DoH; restarigo al regula DNS ne estas aplikata. En la "aŭtomata" reĝimo, se DoH kaj la sekura kaŝmemoro estas neatingeblaj, datumoj povas esti prenitaj de la nesekura kaŝmemoro kaj alireblaj per tradicia DNS. En "for" reĝimo, la komuna kaŝmemoro unue estas kontrolita kaj se ne estas datumoj, la peto estas sendita per la sistemo DNS.
• Aldonita eksperimenta subteno kaŝmemoro de bildita enhavo dum ŝanĝado de paĝoj per la butonoj antaŭen kaj malantaŭen, kiuj povas signife redukti prokrastojn dum ĉi tiu speco de navigado pro kompleta kaŝmemoro de la tuta paĝo, kiu ne postulas re-prezentadon kaj ŝarĝon de rimedoj. La optimumigo estas precipe rimarkinda en la versio por porteblaj aparatoj, kie la rendimentopliiĝo dum navigado atingas 19%. La reĝimo estas ebligita per la opcio "chrome://flags#back-forward-cache".
• Forigita agordante "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", kiu permesis redoni la montradon de la protokolo en la adresbreto (nun ĉiuj ligiloj estas ĉiam montritaj sen https :// kaj http://, kaj ankaŭ sen “www.”).
• Konstruaĵoj por Vindozo inkluzivas sandboxing de la aŭda reludiservo. Por kontroli ĉu izolado estas ebligita, la posedaĵo AudioSandboxEnabled estas proponita.
• Alcentrigitaj administraj iloj por entreprenoj inkluzivas la kapablon difini regulojn, kiuj kontrolas kiom da memoro retumila petskribo povas konsumi antaŭ ol fonaj klapetoj estas malŝarĝitaj. La memoro liberigita post malŝarĝo de langeto fariĝas disponebla por uzo, kaj la enhavo de la langeto denove estas ŝarĝita kiam oni ŝanĝas al ĝi.
• Linukso uzas enkonstruitan atestilkontrolan procesoron, kiu anstataŭigas la antaŭe uzitan NSS-sistemon. En ĉi tiu kazo, la enkonstruita procesoro daŭre uzas la NSS-butikon dum konfirmo, sed trudas pli striktajn postulojn dum prilaborado de malĝuste kodigitaj kaj aparte atestitaj atestiloj (ĉiuj atestiloj devas esti atestitaj de atestadaŭtoritato).
• En la versio por la Android-platformo aldonis la kapablo asigni adaptajn ikonojn por instalitaj TTT-aplikoj kurantaj en Progressive Web Apps (PWA) reĝimo. Adaptaj ikonoj povas adaptiĝi al la interfaco uzata de la fabrikanto de la aparato, ekzemple, estante rondaj, kvadrataj aŭ kun glataj anguloj.
• Aldonita API WebXR-aparato, kiu disponigas aliron al komponentoj por krei virtualan kaj pliigitan realecon. La API permesas vin unuigi laboron kun diversaj klasoj de aparatoj, de senmovaj virtualrealaj aŭdiloj kiel Oculus Rift, HTC Vive kaj Windows Mixed Reality, ĝis solvoj bazitaj sur porteblaj aparatoj kiel Google Daydream View kaj Samsung Gear VR. Aplikoj en kiuj la nova API povas esti aplikebla inkluzivas programojn por spekti videon en 360°-reĝimo, sistemojn por bildigi tridimensian spacon, krei virtualajn kinejojn por videoprezento, farado de eksperimentoj pri kreado de 3D-interfacoj por vendejoj kaj galerioj;
  

• En Origin Trials-reĝimo (eksperimentaj ecoj kiuj postulas apartajn aktivigo) pluraj novaj APIoj estis proponitaj. Origin Trial implicas la kapablon labori kun la specifita API de aplikoj elŝutitaj de localhost aŭ 127.0.0.1, aŭ post registriĝo kaj ricevado de speciala signo kiu validas por limigita tempo por specifa retejo.
  • Por ĉiuj HTML-elementoj, la atributo "rendersubtree" estas proponita, kiu certigas, ke la montrado de la DOM-elemento estas fiksita. Agordi la atributon al "nevidebla" malhelpos la enhavon de la elemento esti bildigata aŭ inspektita, ebligante optimumigitan bildigon. Kiam agordita al "aktivebla", la retumilo forigos la nevideblan atributon, redonos la enhavon kaj faros ĝin videbla.
  • Aldonita API-opcio Wake lock surbaze de la Promise-mekanismo, kiu disponigas pli sekuran manieron kontroli la malfunkciigon de aŭtomataj ŝlosilaj ekranoj kaj ŝanĝi aparatojn al energiŝparaj reĝimoj.
• Efektivigis la kapablon uzi la atributon aŭtofokuso por ĉiuj HTML kaj SVG-elementoj kiuj povas havi enigfokuson.
• Por bildoj kaj filmetoj sekurigita Kalkulu la bildformaton bazitan sur la atributoj Larĝo aŭ Alteco, kiuj povas esti uzataj por determini la grandecon de la bildo uzante CSS en la stadio kiam la bildo ankoraŭ ne ŝargis (solvas la problemon kun rekonstruado de la paĝo post kiam bildoj estas ŝarĝitaj).
• Aldonita CSS-posedaĵo tipar-optika-dimensionado, kiu aŭtomate fiksas la varian tiparon en optikaj koordinatoj "opsz", se la tiparo subtenas ilin. La reĝimo permesas elekti la optimuman glifformon por specifa grandeco, ekzemple, uzu pli kontrastajn glifojn por titoloj.
• Aldonita CSS-posedaĵo listo-stila-tipo, kiu ebligas al vi uzi iujn ajn simbolojn anstataŭ punktojn en listoj, ekzemple, “-“, “+”, “★” kaj “▸”.
• Se estas neeble ekzekuti Worklet.addModule(), objekto nun estas resendita kun detalaj informoj pri la naturo de la eraro, kio ebligas al vi pli precize taksi la kaŭzon de la eraro (problemoj kun la reto-konekto, malĝusta sintakso ktp. .).
• Ĉesis prilabori erojn при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• En JavaScript-motoro V8 efektivigita Optimumigo de pritraktado de ŝanĝoj al la reprezentado de kampoj en objektoj, rezultigante AngularJS-kodan ekzekuton en la testaro de Speedometer funkcianta je 4% pli rapide.
  

• V8 ankaŭ optimumigas la pretigon de getters difinitaj en enkonstruitaj APIoj, kiel ekzemple Node.nodeType kaj Node.nodeName, en la foresto de IC-traktilo (enlinia kaŝmemoro). La ŝanĝo reduktis la tempon pasigitan en IC-rultempo je proksimume 12% dum rulado de la Testoj de Backbone kaj jQuery de la serio Speedometer.
  

• La rezultoj de la mekanismo OSR (nomita sur-staka anstataŭaĵo) estas kaŝmemorigitaj, kiu anstataŭigas optimumigitan kodon dum funkcia ekzekuto (ebligas al vi komenci uzi optimumigitan kodon por longdaŭraj funkcioj sen atendi, ke ili ruliĝos denove). OSR-kaŝmemoro ebligas uzi la optimumigajn rezultojn dum refunkciado de la funkcio, sen neceso trapasi re-optimumigon.
  En kelkaj testoj, la ŝanĝo pliigis pintan efikecon je 5-18%.
  

• Ŝanĝoj en iloj por retaj programistoj:
  Aperis sencimiga reĝimo por determini la kialojn por bloki peton aŭ sendi Kuketon.
  
  • En la bloko kun la Kuketo-listo, la kapablo rapide vidi la valoron de la elektita Kuketo estis aldonita klakante sur specifa linio.
    

  • Aldonita la kapablo simuli malsamajn agordojn por la preferoj-kolorskemo kaj preferoj-reduktita-moviĝdemandoj (ekzemple, por testi la konduton de la paĝo kun malhela sistema temo aŭ kun viglaj efikoj malebligitaj).
    

  • La dezajno de la langeto Kovrado estis modernigita, permesante al vi taksi la uzatan kaj ne uzatan kodon. Aldonis la kapablon filtri informojn laŭ ĝia tipo (JavaScript, CSS). Informoj pri uzado de kodo ankaŭ estas aldonitaj dum montrado de la fontteksto.
    

  • Aldonis la kapablon sencimigi la kialojn por peti apartan retan rimedon post registri la retan agadon (vi povas vidi spuron de la JavaScript-kodovoko kiu kaŭzis la ŝarĝon de la rimedo).
    

  • Aldonita agordo "Agordoj> Preferoj> Fontoj> Defaŭlta Indentaĵo" por determini la tipon de indentaĵo (2/4/8 spacoj aŭ langetoj) en la kodo montrata en la paneloj Konzolo kaj Fontoj.

Krom novigoj kaj korektoj de cimoj, la nova versio forigas 51 vundeblecojn. Multaj el la vundeblecoj estis identigitaj kiel rezulto de aŭtomatigita testado uzante la AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer kaj AFL-iloj. Du aferoj (CVE-2019-13725, aliranta jam liberigitan memoron en la kodo por Bluetooth-subteno, kaj CVE-2019-13726, amaso superfluo en la pasvortmanaĝero) estas markitaj kiel kritikaj, t.e. permesas vin preteriri ĉiujn nivelojn de retumila protekto kaj ekzekuti kodon en la sistemo ekster la sablokesto-medio. Ĉi tio estas la unua fojo, ke du kritikaj problemoj estas identigitaj ene de la sama disvolva ciklo en Chrome. La unua vundebleco estis trovita de esploristoj de Tencent Keen Security Lab kaj pruvis ĉe la konkurso de Tianfu Cup, kaj la dua estis trovita de Sergej Glazunov el Guglo-Projekto Nulo.

Kiel parto de la kontanta rekompenca programo por malkovri vundeblecojn por la nuna eldono, Google pagis 37 premiojn kun valoro de $ 80000 (unu $ 20000 premio, unu $ 10000 premio, du $ 7500 premioj, kvar $ 5000 premioj, unu $ 3000 premio, du $ 2000 kaj ok $ 1000 premioj. $500 premioj). La grandeco de la 15 rekompencoj ankoraŭ ne estis determinita.

fonto: opennet.ru