Chrome'i väljalase 79

Google esitatakse veebibrauseri väljalase Chrome 79... Samaaegselt saadaval tasuta projekti stabiilne väljalase kroom, mis on Chrome'i aluseks. Chrome'i brauser erinev Google'i logode kasutamine, teadete saatmise süsteemi olemasolu krahhi korral, võimalus nõudmisel alla laadida Flash-moodul, moodulid kaitstud videosisu (DRM) esitamiseks, süsteem värskenduste automaatseks installimiseks ja edastamiseks otsingu ajal RLZ parameetrid. Chrome 80 järgmine väljalase on kavandatud 4. veebruarile.

Kõik muutused в Kroom 79:

• aktiveeritud Paroolikontrolli komponent, mis on loodud kasutaja kasutatavate paroolide tugevuse analüüsimiseks. Kui proovite mõnele saidile sisse logida Paroolikontroll täidab sisselogimise ja parooli kontrollimine ohustatud kontode andmebaasist koos hoiatusega, kui probleeme tuvastatakse (kontroll toimub kasutajapoolse räsiprefiksi alusel). Kontrollitakse andmebaasi, mis hõlmab enam kui 4 miljardit ohustatud kontot, mis ilmusid lekkinud kasutajate andmebaasides. Hoiatus kuvatakse ka triviaalsete paroolide (nt "abc123") kasutamisel. Paroolikontrolli kaasamise kontrollimiseks on jaotises „Sünkroonimine ja Google'i teenused” rakendatud spetsiaalne seade.
• Esitletakse uut tehnoloogiat andmepüügi reaalajas tuvastamiseks. Varem tehti kontrollimiseks ligipääsu kohalikult allalaaditud turvalise sirvimise mustadele nimekirjadele, mida uuendati ligikaudu kord 30 minuti jooksul, mis osutus ebapiisavaks näiteks ründajate sagedase domeenivahetuse tingimustes. Uus meetod võimaldab teil URL-e käigupealt kontrollida, tehes esialgse kontrolli tuhandete populaarsete usaldusväärsete saitide räsisid sisaldavate valgete nimekirjade suhtes. Kui avatav sait ei ole valges nimekirjas, kontrollib brauser Google'i serveris URL-i, edastades lingi SHA-32 räsi esimesed 256 bitti, millest lõigatakse välja võimalikud isikuandmed. Google’i sõnul võib uus lähenemine parandada uute andmepüügisaitide hoiatuste tõhusust 30%.
• Lisatud ennetav kaitse Google'i mandaatide ja paroolihaldurisse salvestatud paroolide edastamise vastu andmepüügilehtede kaudu. Kui proovite sisestada salvestatud parooli saidile, kus seda parooli tavaliselt ei kasutata, hoiatatakse kasutajat potentsiaalselt ohtliku toimingu eest.
• TLS 1.0 ja 1.1 kasutavad ühendused näitavad nüüd ebaturvalise ühenduse indikaatorit. Toetage täielikult TLS 1.0 ja 1.1 keelatakse Chrome 81-s, mis on kavandatud 17. märtsiks 2020.
• Lisatud on võimalus külmutada mitteaktiivsed vahelehed, mis võimaldab teil automaatselt mälukaartidelt maha laadida, mis on olnud taustal üle 5 minuti ja ei tee olulisi toiminguid. Otsus konkreetse vahelehe külmutamiseks sobivuse kohta tehakse heuristika põhjal. Funktsiooni lubamist juhitakse lipuga „chrome://flags/#proactive-tab-freeze”.
• Turvatud Segatud sisu blokeerimine HTTPS-i kaudu avatud lehtedel tagamaks, et https:// kaudu avatud lehed sisaldavad ainult turvalise sidekanali kaudu laaditud ressursse. Kuigi kõige ohtlikumad segasisu tüübid, nagu skriptid ja iframe'id, on vaikimisi juba blokeeritud, saab pilte, helifaile ja videoid siiski alla laadida http:// kaudu. Varem kasutatud segasisu indikaator selliste lisade puhul leiti olevat ebaefektiivne ja kasutajat eksitav, kuna see ei anna üheselt hinnangut lehe turvalisusele. Näiteks võib ründaja piltide võltsimise kaudu asendada kasutajate jälgimise küpsiseid, proovida ära kasutada pildiprotsessorite turvaauke või sooritada võltsimist, asendades pildil oleva teabe. Segakomponentide lukustamise keelamiseks on lisatud spetsiaalne seadistus, millele pääseb ligi lukusümbolile klõpsamisel ilmuva menüü kaudu.
• Lisatud eksperimentaalne võimalus jagada lõikepuhvri sisu Chrome'i laua- ja mobiiliversioonide vahel. Kui Chrome on lingitud ühe kontoga, pääsete nüüd juurde teise seadme lõikepuhvri sisule, sealhulgas saate jagada lõikepuhvrit mobiil- ja lauaarvutisüsteemide vahel. Lõikepuhvri sisu krüpteeritakse täiskrüptimisega, mis takistab juurdepääsu Google'i serverites olevale tekstile. Funktsioon on lubatud valikute chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui ja chrome://flags#sync-clipboard-service kaudu.
• Aadressiribal teatud hetkedel (näiteks parooli salvestamisel), kui profiili sünkroonimine on välja lülitatud, kuvatakse lisaks avatarile ka praeguse Google'i konto nimi, et kasutaja saaks hetkel aktiivse konto täpselt tuvastada.
• Aktiveeritud 1% kasutajatest toetama "DNS HTTPS-i kaudu" (DoH, DNS HTTPS-i kaudu). Katse hõlmab ainult kasutajaid, kelle süsteemiseaded on juba määranud DoH-d toetavad DNS-i pakkujad. Näiteks kui kasutajal on süsteemiseadetes määratud DNS 8.8.8.8, siis aktiveeritakse Chrome'is Google'i DoH-teenus (“https://dns.google.com/dns-query”), kui DNS on 1.1.1.1. XNUMX, seejärel DoH Cloudflare'i teenus (“https://cloudflare-dns.com/dns-query”) jne. DoH lubamise kontrollimiseks pakutakse seadet „chrome://flags/#dns-over-https”. Toetatud on kolm töörežiimi: turvaline, automaatne ja välja lülitatud. Turvarežiimis määratakse hostid ainult eelnevalt vahemällu salvestatud turvaliste väärtuste (saadud turvalise ühenduse kaudu) ja DoH kaudu päringute põhjal; tavalist DNS-i ei rakendata. Kui DoH ja turvaline vahemälu pole "automaatses" režiimis saadaval, saab andmeid hankida ebaturvalisest vahemälust ja pääseda juurde traditsioonilise DNS-i kaudu. Väljalülitatud režiimis kontrollitakse esmalt jagatud vahemälu ja andmete puudumisel saadetakse päring süsteemi DNS-i kaudu.
• Lisatud eksperimentaalne toetama renderdatud sisu vahemällu salvestamine lehtede vahetamisel edasi- ja tagasinuppude abil, mis võib seda tüüpi navigeerimisel märkimisväärselt vähendada viivitusi kogu lehe täieliku vahemällu salvestamise tõttu, mis ei nõua ressursside uuesti renderdamist ja laadimist. Optimeerimine on eriti märgatav mobiilseadmetele mõeldud versioonis, kus jõudluse kasv navigeerimisel ulatub 19% -ni. Režiim on lubatud suvandi „chrome://flags#back-forward-cache” abil.
• Kustutatud säte “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, mis võimaldas aadressiribal taastada protokolli kuva (nüüd näidatakse kõiki linke alati ilma https-ita :// ja http:/ / ning ka ilma „www.“).
• Windowsi versioonid hõlmavad heli taasesitusteenuse liivakasti. Isolatsiooni lubamise kontrollimiseks pakutakse välja atribuut AudioSandboxEnabled.
• Ettevõtete tsentraliseeritud haldustööriistad sisaldavad võimalust määratleda reegleid, mis kontrollivad, kui palju mälu brauseri eksemplar võib tarbida enne tausta vahekaartide mahalaadimist. Pärast vahelehe mahalaadimist vabanev mälu muutub kasutamiseks kättesaadavaks ja sellele üleminekul laaditakse vahelehe sisu uuesti.
• Linux kasutab sisseehitatud sertifikaadi kontrollimise protsessorit, mis asendab varem kasutatud NSS-süsteemi. Sellisel juhul jätkab sisseehitatud protsessor kontrollimise ajal NSS-i poe kasutamist, kuid seab rangemad nõuded valesti kodeeritud ja eraldi sertifitseeritud sertifikaatide töötlemisel (kõik sertifikaadid peavad olema sertifitseeritud sertifitseerimisasutuse poolt).
• Androidi platvormi versioonis lisatud võimalus määrata adaptiivseid ikoone installitud veebirakendustele, mis töötavad progressiivsete veebirakenduste (PWA) režiimis. Adaptiivsed ikoonid võivad kohanduda seadme tootja kasutatava liidesega, olles näiteks ümmargused, kandilised või siledate nurkadega.
• Lisatud API WebXR-seade, mis annab juurdepääsu komponentidele virtuaalse ja liitreaalsuse loomiseks. API võimaldab teil ühtlustada tööd erinevate seadmeklassidega, alates statsionaarsetest virtuaalreaalsuse peakomplektidest, nagu Oculus Rift, HTC Vive ja Windows Mixed Reality, kuni mobiilseadmetel põhinevate lahendusteni, nagu Google Daydream View ja Samsung Gear VR. Rakendused, milles uus API võib olla rakendatav, hõlmavad programme video vaatamiseks 360° režiimis, kolmemõõtmelise ruumi visualiseerimise süsteeme, videoesitluseks virtuaalsete kinode loomist, kaupluste ja galeriide 3D-liideste loomise katseid;
  

• Origin Trials režiimis (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimine) on välja pakutud mitmeid uusi API-sid. Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
  • Kõigi HTML-i elementide jaoks pakutakse välja atribuut "rendersubtree", mis tagab DOM-i elemendi kuvamise fikseerimise. Atribuudi määramine olekusse "nähtamatu" takistab elemendi sisu renderdamist või kontrollimist, võimaldades optimeeritud renderdamist. Kui seade on "aktiveeritav", eemaldab brauser nähtamatu atribuudi, renderdab sisu ja muudab selle nähtavaks.
  • Lisatud API valik Äratuslukk põhineb Promise mehhanismil, mis annab turvalisema võimaluse kontrollida automaatlukustuse ekraanide keelamist ja seadmete energiasäästurežiimidele lülitamist.
• Rakendatud atribuudi kasutamise võimalus autofookus kõigi HTML- ja SVG-elementide jaoks, millel võib olla sisendfookus.
• Piltide ja videote jaoks kindlustatud Arvutage kuvasuhe atribuutide Width või Height põhjal, mida saab kasutada CSS-i abil pildi suuruse määramiseks etapis, mil pilt pole veel laaditud (lahendab lehe uuesti ülesehitamise probleemi pärast piltide laadimist).
• Lisatud CSS-i atribuut fondi optiline suuruse muutmine, mis määrab automaatselt muutuva fondi suuruse optilistes koordinaatides "opsz", kui font neid toetab. Režiim võimaldab valida määratud suuruse jaoks optimaalse glüüfikuju, näiteks kasutada pealkirjade jaoks kontrastsemaid glüüfe.
• Lisatud CSS-i atribuut list-stiilis-tüüp, mis võimaldab loendites punktide asemel kasutada mis tahes sümboleid, näiteks “-”, “+”, “★” ja “▸”.
• Kui Worklet.addModule() on võimatu käivitada, tagastatakse nüüd objekt üksikasjaliku teabega vea olemuse kohta, mis võimaldab täpsemalt hinnata vea põhjust (võrguühenduse probleemid, vale süntaks jne .).
• Üksuste töötlemine on peatatud при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScripti mootoris V8 läbi viidud Objektide väljade esituse muudatuste haldamise optimeerimine, mille tulemuseks on AngularJS-koodi täitmine spidomeetri testikomplektis 4% kiiremini.
  

• V8 optimeerib ka sisseehitatud API-des (nt Node.nodeType ja Node.nodeName) määratletud getterite töötlemist IC-käitleja puudumisel (inline caching). Muudatus vähendas IC käitusajal kuluvat aega umbes 12%, kui käitati Speedometer komplektist selgroogu ja jQuery teste.
  

• OSR-i (nn on-stack asendamise) mehhanismi tulemused salvestatakse vahemällu, mis asendab optimeeritud koodi funktsiooni täitmise ajal (võimaldab hakata kasutama optimeeritud koodi kauakestvate funktsioonide jaoks, ootamata nende uuesti käivitamist). OSR-i vahemälu võimaldab kasutada optimeerimise tulemusi funktsiooni uuesti käivitamisel, ilma et oleks vaja uuesti optimeerida.
  Mõnes testis suurendas muudatus tipptulemust 5–18%.
  

• Muudatused veebiarendajate tööriistades:
  Ilmunud silumisrežiim, et teha kindlaks päringu blokeerimise või küpsise saatmise põhjused.
  
  • Küpsiste loendiga plokki on lisatud võimalus kiiresti vaadata valitud küpsise väärtust, klõpsates konkreetsel real.
    

  • Lisatud on võimalus simuleerida erinevaid sätteid eelistab-värviskeemi ja eelistab-vähendatud liikumisega meediumipäringute jaoks (näiteks lehe käitumise testimiseks tumeda süsteemiteema või animeeritud efektide keelamisega).
    

  • Vahekaardi Katvus kujundust on kaasajastatud, mis võimaldab hinnata kasutatud ja kasutamata koodi. Lisatud on võimalus filtreerida teavet selle tüübi järgi (JavaScript, CSS). Koodikasutusinfo lisatakse ka lähteteksti kuvamisel.
    

  • Lisatud on võimalus siluda konkreetse võrguressursi taotlemise põhjuseid pärast võrgutegevuse salvestamist (saate vaadata ressursi laadimiseni viinud JavaScripti koodikutse jälge).
    

  • Lisati säte „Seaded > Eelistused > Allikad > Vaiketõmme“, et määrata taande tüüp (2/4/8 tühikud või tabeldusmärgid) paneelidel Konsool ja Allikad kuvatavas koodis.

Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 51 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Kaks probleemi (CVE-2019-13725, Bluetoothi ​​toe koodis juba vabastatud mälu juurde pääsemine ja CVE-2019-13726, kuhja ületäitumine paroolihalduris) on märgitud kriitiliseks, s.t. võimaldab teil mööda minna kõigist brauseri kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. See on esimene kord, kui Chrome'is tuvastatakse sama arendustsükli jooksul kaks kriitilist probleemi. Esimese haavatavuse leidsid Tencent Keen Security Labi teadlased ja demonstreeris Tianfu Cupi võistlusel ja teise leidis Sergei Glazunov Google Project Zerost.

Osana rahalise preemiaprogrammi praeguse versiooni haavatavuste avastamise eest maksis Google 37 auhinda väärtuses 80000 20000 dollarit (üks 10000 7500 dollari suurune auhind, üks 5000 3000 dollari auhind, kaks 2000 dollarit, neli 1000 dollarit, üks 500 dollarit, 15 kaheksa, XNUMX dollarit, XNUMX kaheksa XNUMX dollari auhinnad). XNUMX preemia suurust pole veel kindlaks määratud.

Allikas: opennet.ru