Chrome Versión 79

Google presentado lanzamiento del navegador web Chrome 79... Simultaneamente esta disponible lanzamiento estable de un proyecto libre Cromo, que es la base de Chrome. navegador cromo diferente el uso de logotipos de Google, la presencia de un sistema para enviar notificaciones en caso de falla, la capacidad de cargar el módulo Flash a pedido, módulos para reproducir contenido de video protegido (DRM), un sistema de actualización automática y transmisión en búsqueda Parámetros RLZ. El próximo lanzamiento de Chrome 80 está previsto para el 4 de febrero.

El principal cambios в Chrome 79:

• activado Componente de verificación de contraseña, diseñado para analizar la seguridad de las contraseñas utilizadas por el usuario. Al intentar iniciar sesión en cualquier sitio Comprobación de contraseña realiza verificar el inicio de sesión y la contraseña con una base de datos de cuentas comprometidas con una advertencia si se detectan problemas (la verificación se lleva a cabo basándose en un prefijo hash del lado del usuario). La verificación se lleva a cabo en una base de datos que cubre más de 4 mil millones de cuentas comprometidas que aparecieron en bases de datos de usuarios filtradas. También se muestra una advertencia al intentar utilizar contraseñas triviales como "abc123". Para controlar la inclusión de Verificación de contraseña, se ha implementado una configuración especial en la sección “Sincronización y servicios de Google”.
• Se presenta una nueva tecnología para detectar phishing en tiempo real. Anteriormente, la verificación se realizaba accediendo a listas negras de Navegación Segura descargadas localmente, que se actualizaban aproximadamente una vez cada 30 minutos, lo que resultó ser insuficiente, por ejemplo, en condiciones de frecuentes cambios de dominio por parte de los atacantes. El nuevo método le permite verificar las URL sobre la marcha con una verificación preliminar con listas blancas que incluyen hashes de miles de sitios populares que son confiables. Si el sitio que se abre no está en la lista blanca, el navegador comprueba la URL en el servidor de Google y transmite los primeros 32 bits del hash SHA-256 del enlace, de los que se eliminan posibles datos personales. Según Google, el nuevo enfoque puede mejorar en un 30% la eficacia de las advertencias de nuevos sitios de phishing.
• Se agregó protección proactiva contra la transferencia de credenciales de Google y cualquier contraseña almacenada en el administrador de contraseñas a través de páginas de phishing. Si intenta ingresar una contraseña guardada en un sitio donde normalmente no se usa esa contraseña, se advertirá al usuario sobre una acción potencialmente peligrosa.
• Las conexiones que utilizan TLS 1.0 y 1.1 ahora muestran un indicador de conexión insegura. Totalmente compatible con TLS 1.0 y 1.1 será deshabilitado en Chrome 81, previsto para el 17 de marzo de 2020.
• Se agregó la capacidad de congelar pestañas inactivas, lo que le permite descargar automáticamente de la memoria pestañas que han estado en segundo plano durante más de 5 minutos y no realizan acciones importantes. La decisión sobre la idoneidad de una pestaña particular para congelarse se toma basándose en heurísticas. La habilitación de la función se controla mediante el indicador “chrome://flags/#proactive-tab-freeze”.
• Proporcionado por Bloquear contenido mixto en páginas abiertas a través de HTTPS para garantizar que las páginas abiertas a través de https:// contengan solo recursos cargados a través de un canal de comunicación seguro. Aunque los tipos más peligrosos de contenido mixto, como scripts e iframes, ya están bloqueados de forma predeterminada, aún se pueden descargar imágenes, archivos de audio y vídeos a través de http://. El indicador de contenido mixto utilizado anteriormente para este tipo de inserciones resultó ineficaz y engañoso para el usuario, ya que no proporciona una evaluación inequívoca de la seguridad de la página. Por ejemplo, mediante la suplantación de imágenes, un atacante puede sustituir las cookies de seguimiento del usuario, intentar explotar las vulnerabilidades de los procesadores de imágenes o cometer falsificación reemplazando la información proporcionada en la imagen. Para deshabilitar el bloqueo de componentes mixtos, se ha agregado una configuración especial, a la que se puede acceder a través del menú que aparece al hacer clic en el símbolo de candado.
• Se agregó la capacidad experimental para compartir el contenido del portapapeles entre las versiones de escritorio y móvil de Chrome. En instancias de Chrome vinculadas a una cuenta, ahora puede acceder al contenido del portapapeles de otro dispositivo, incluido compartir el portapapeles entre sistemas móviles y de escritorio. El contenido del portapapeles se cifra mediante cifrado de extremo a extremo, lo que impide el acceso al texto en los servidores de Google. La función se habilita a través de las opciones chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui y chrome://flags#sync-clipboard-service.
• En la barra de direcciones, en ciertos momentos (por ejemplo, al guardar una contraseña), cuando la sincronización del perfil está desactivada, además del avatar, se muestra el nombre de la cuenta actual de Google para que el usuario pueda identificar con precisión la cuenta activa actual.
• Activado para el 1% de los usuarios. apoyar “DNS sobre HTTPS” (DoH, DNS sobre HTTPS). El experimento involucra solo a usuarios cuyas configuraciones del sistema ya hayan especificado proveedores de DNS que admitan DoH. Por ejemplo, si el usuario tiene DNS 8.8.8.8 especificado en la configuración del sistema, entonces el servicio DoH de Google (“https://dns.google.com/dns-query”) se activará en Chrome; si el DNS es 1.1.1.1. XNUMX, luego el servicio DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), etc. Para controlar si DoH está habilitado, se proporciona la configuración “chrome://flags/#dns-over-https”. Se admiten tres modos de funcionamiento: seguro, automático y apagado. En el modo "seguro", los hosts se determinan únicamente en función de valores seguros previamente almacenados en caché (recibidos a través de una conexión segura) y solicitudes a través de DoH; no se aplica el respaldo al DNS normal. En el modo "automático", si DoH y el caché seguro no están disponibles, los datos se pueden recuperar del caché inseguro y acceder a ellos a través del DNS tradicional. En modo “off”, primero se verifica el caché compartido y si no hay datos, la solicitud se envía a través del DNS del sistema.
• Añadido experimental apoyar almacenamiento en caché del contenido renderizado al cambiar de página usando los botones de avance y retroceso, lo que puede reducir significativamente los retrasos durante este tipo de navegación debido al almacenamiento en caché completo de toda la página, que no requiere volver a renderizar ni cargar recursos. La optimización es especialmente notable en la versión para dispositivos móviles, donde el aumento del rendimiento durante la navegación alcanza el 19%. El modo se habilita mediante la opción “chrome://flags#back-forward-cache”.
• Remoto configurando “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, lo que permitió devolver la visualización del protocolo en la barra de direcciones (ahora todos los enlaces siempre se muestran sin https :// y http:/ /, y también sin “www.”).
• Las compilaciones para Windows incluyen sandboxing del servicio de reproducción de audio. Para controlar si el aislamiento está habilitado, se propone la propiedad AudioSandboxEnabled.
• Las herramientas de administración centralizada para empresas incluyen la capacidad de definir reglas que controlan cuánta memoria puede consumir una instancia del navegador antes de que se descarguen las pestañas en segundo plano. La memoria liberada después de descargar una pestaña queda disponible para su uso y el contenido de la pestaña se carga nuevamente al cambiar a ella.
• Linux utiliza un procesador de verificación de certificados integrado, que reemplaza el sistema NSS utilizado anteriormente. En este caso, el procesador integrado continúa utilizando el almacén NSS durante la verificación, pero impone requisitos más estrictos al procesar certificados codificados incorrectamente y certificados por separado (todos los certificados deben estar certificados por una autoridad de certificación).
• En la versión para la plataforma Android. agregado la capacidad de asignar íconos adaptables para aplicaciones web instaladas que se ejecutan en modo de aplicaciones web progresivas (PWA). Los iconos adaptables pueden adaptarse a la interfaz utilizada por el fabricante del dispositivo, por ejemplo, siendo redondos, cuadrados o con esquinas suaves.
• Добавлен API Dispositivo WebXR, que proporciona acceso a componentes para la creación de realidad virtual y aumentada. La API le permite unificar el trabajo con varias clases de dispositivos, desde cascos de realidad virtual estacionarios como Oculus Rift, HTC Vive y Windows Mixed Reality, hasta soluciones basadas en dispositivos móviles como Google Daydream View y Samsung Gear VR. Las aplicaciones en las que la nueva API puede ser aplicable incluyen programas para ver videos en modo 360°, sistemas para visualizar espacios tridimensionales, crear cines virtuales para presentaciones de videos, realizar experimentos para crear interfaces 3D para tiendas y galerías;
  

• En el modo Origin Trials (funciones experimentales que requieren activación) se han propuesto varias API nuevas. Origin Trial implica la capacidad de trabajar con la API especificada desde aplicaciones descargadas de localhost o 127.0.0.1, o después de registrarse y recibir un token especial que es válido por un tiempo limitado para un sitio específico.
  • Para todos los elementos HTML, se propone el atributo "rendersubtree", que garantiza que la visualización del elemento DOM sea fija. Establecer el atributo en "invisible" evitará que el contenido del elemento se represente o inspeccione, lo que permitirá una representación optimizada. Cuando se establece en "activable", el navegador eliminará el atributo invisible, mostrará el contenido y lo hará visible.
  • Opción API agregada Bloqueo de activación basado en el mecanismo Promise, que proporciona una forma más segura de controlar la desactivación de pantallas de bloqueo automático y el cambio de dispositivos a modos de ahorro de energía.
• Implementada la capacidad de usar el atributo. enfoque automático para todos los elementos HTML y SVG que pueden tener foco de entrada.
• Para imágenes y vídeos asegurado Calcule la relación de aspecto según los atributos Ancho o Alto, que se pueden usar para determinar el tamaño de la imagen usando CSS en la etapa en la que la imagen aún no se ha cargado (resuelve el problema de reconstruir la página después de cargar las imágenes).
• Propiedad CSS agregada tamaño-óptico-de-fuente, que establece automáticamente el tamaño de fuente variable en coordenadas ópticas "opsz", si la fuente los admite. El modo le permite seleccionar la forma de glifo óptima para un tamaño específico, por ejemplo, usar glifos más contrastantes para los títulos.
• Propiedad CSS agregada tipo de estilo de lista, que le permite utilizar cualquier símbolo en lugar de puntos en las listas, por ejemplo, “-”, “+”, “★” y “▸”.
• Si es imposible ejecutar Worklet.addModule(), ahora se devuelve un objeto con información detallada sobre la naturaleza del error, lo que le permite evaluar con mayor precisión la causa del error (problemas con la conexión de red, sintaxis incorrecta, etc. .).
• Se detuvo el procesamiento de elementos при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• En el motor JavaScript V8 llevado a cabo Optimización del manejo de cambios en la representación de campos en objetos, lo que da como resultado que la ejecución del código AngularJS en el conjunto de pruebas Speedometer se ejecute un 4% más rápido.
  

• V8 también optimiza el procesamiento de captadores definidos en las API integradas, como Node.nodeType y Node.nodeName, en ausencia de un controlador IC (almacenamiento en caché en línea). El cambio redujo el tiempo dedicado al tiempo de ejecución de IC en aproximadamente un 12 % al ejecutar las pruebas Backbone y jQuery desde la suite Speedometer.
  

• Los resultados del mecanismo OSR (llamado reemplazo en la pila) se almacenan en caché, lo que reemplaza el código optimizado durante la ejecución de la función (le permite comenzar a usar código optimizado para funciones de ejecución prolongada sin esperar a que se ejecuten nuevamente). El almacenamiento en caché de OSR permite utilizar los resultados de la optimización al volver a ejecutar la función, sin la necesidad de volver a optimizarla.
  En algunas pruebas, el cambio aumentó el rendimiento máximo entre un 5% y un 18%.
  

• Cambios en herramientas para desarrolladores web:
  Ha aparecido modo de depuración para determinar los motivos para bloquear una solicitud o enviar una cookie.
  
  • En el bloque con la lista de Cookies se ha añadido la posibilidad de visualizar rápidamente el valor de la Cookie seleccionada haciendo clic en una línea concreta.
    

  • Se agregó la capacidad de simular diferentes configuraciones para las consultas de medios de preferencia de esquema de color y preferencia de movimiento reducido (por ejemplo, para probar el comportamiento de la página con un tema de sistema oscuro o con efectos animados deshabilitados).
    

  • Se ha modernizado el diseño de la pestaña Cobertura, permitiéndole evaluar el código utilizado y no utilizado. Se agregó la capacidad de filtrar información por su tipo (JavaScript, CSS). La información de uso del código también se agrega al mostrar el texto fuente.
    

  • Se agregó la capacidad de depurar los motivos para solicitar un recurso de red en particular después de registrar la actividad de la red (puede ver un rastro de la llamada del código JavaScript que condujo a la carga del recurso).
    

  • Se agregó la configuración “Configuración > Preferencias > Fuentes > Sangría predeterminada” para determinar el tipo de sangría (2/4/8 espacios o tabulaciones) en el código que se muestra en los paneles Consola y Fuentes.

Además de las innovaciones y correcciones de errores, la nueva versión elimina 51 vulnerabilidades. Muchas de las vulnerabilidades se identificaron como resultado de pruebas automatizadas utilizando las herramientas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer y AFL. Dos problemas (CVE-2019-13725, acceso a la memoria ya liberada en el código para compatibilidad con Bluetooth, y CVE-2019-13726, desbordamiento del montón en el administrador de contraseñas) están marcados como críticos, es decir. le permiten omitir todos los niveles de protección del navegador y ejecutar código en el sistema fuera del entorno sandbox. Esta es la primera vez que se identifican dos problemas críticos dentro del mismo ciclo de desarrollo en Chrome. La primera vulnerabilidad fue encontrada por investigadores de Tencent Keen Security Lab y demostrado en la competición de la Copa Tianfu, y el segundo lo encontró Sergei Glazunov de Google Project Zero.

Como parte del programa de recompensas en efectivo por descubrir vulnerabilidades para la versión actual, Google pagó 37 premios por valor de 80000 dólares (un premio de 20000 dólares, un premio de 10000 dólares, dos premios de 7500 dólares, cuatro premios de 5000 dólares, un premio de 3000 dólares, dos premios de 2000 dólares, dos premios de 1000 dólares y ocho premios de $500). Aún no se ha determinado el tamaño de las 15 recompensas.

Fuente: opennet.ru