Chrome 79. bertsioa

Google aurkeztu web arakatzailea kaleratzea Chrome 79... Aldi berean eskuragarri doako proiektu baten kaleratze egonkorra Chromium, Chrome-ren oinarri gisa balio duena. Chrome arakatzailea hainbat Google-ren logotipoak erabiltzea, hutsegitearen kasuan jakinarazpenak bidaltzeko sistemaren presentzia, Flash modulua eskatuz gero deskargatzeko aukera, babestutako bideo-edukia (DRM) erreproduzitzeko moduluak, eguneraketak automatikoki instalatzeko eta bilaketan zehar transmititzeko sistema bat. RLZ parametroak. Chrome 80-ren hurrengo bertsioa otsailaren 4rako aurreikusita dago.

Nagusia aldaketak в Chrome 79:

• aktibatuta Pasahitzen egiaztapenaren osagaia, erabiltzaileak erabiltzen dituen pasahitzen indarra aztertzeko diseinatua. Pasahitz-egiaztapena edozein gunetan saioa hasten saiatzean betetzen du Saio-hasiera eta pasahitza arriskuan dauden kontuen datu-base baten aurka egiaztatzea, arazoak hautematen badira abisu batekin (erabiltzaileen alboko hash-aurrizki batean oinarrituta egiten da egiaztapena). Egiaztapena filtrazioko erabiltzaileen datu-baseetan agertutako arriskuan dauden 4 milioi kontu baino gehiago biltzen dituen datu-base baten aurka egiten da. "abc123" bezalako pasahitz hutsalak erabiltzen saiatzean ere abisu bat bistaratzen da. Pasahitz-egiaztapena sartzea kontrolatzeko, ezarpen berezi bat ezarri da "Sync eta Google Zerbitzuak" atalean.
• Phishing denbora errealean detektatzeko teknologia berri bat aurkezten da. Aurretik, egiaztapena tokiko deskargatutako Arakatze Seguruko zerrenda beltzetan sartuz egiten zen, gutxi gorabehera 30 minuturo behin eguneratzen zirenak, eta hori nahikoa ez zen, adibidez, erasotzaileek maiz domeinu-aldaketaren baldintzetan. Metodo berriak URLak berehala egiaztatzeko aukera ematen du, fidagarriak diren milaka gune ezagunen hashak biltzen dituzten zerrenda zurien aurkako aurretiazko egiaztapenarekin. Irekitzen ari den gunea zerrenda zurian ez badago, arakatzaileak URLa egiaztatzen du Google zerbitzarian, estekaren SHA-32 hash-aren lehen 256 bitak transmitituz, eta bertatik datu pertsonal posibleak ebakitzen dira. Google-ren arabera, ikuspegi berriak % 30 hobetu dezake phishing gune berrientzako abisuen eraginkortasuna.
• Babes proaktiboa gehitu da Google-ren kredentzialak eta pasahitz-kudeatzailean gordetako pasahitzak phishing orrien bidez transferitzearen aurka. Pasahitz hori normalean erabiltzen ez den gune batean gordetako pasahitz bat sartzen saiatzen bazara, erabiltzailea arriskutsua izan daitekeen ekintza bati buruz ohartaraziko da.
• TLS 1.0 eta 1.1 erabiltzen duten konexioek konexio seguruaren adierazle bat erakusten dute orain. TLS 1.0 eta 1.1 guztiz onartzen ditu desgaitu egingo da Chrome 81-n, 17ko martxoaren 2020rako aurreikusita.
• Fitxa inaktiboak izozteko gaitasuna gehitu da, 5 minutu baino gehiago atzeko planoan egon diren eta ekintza esanguratsurik egiten ez duten memoria-fitxetatik automatikoki deskargatzeko aukera emanez. Fitxa jakin bat izozteko egokitasunari buruzko erabakia heuristikoetan oinarritzen da. Funtzioa gaitzea "chrome://flags/#proactive-tab-freeze" banderaren bidez kontrolatzen da.
• Bermatua HTTPS bidez irekitako orrialdeetan eduki mistoa blokeatzea https:// bidez irekitako orriek komunikazio-kanal seguru baten bidez kargatutako baliabideak baino ez dituztela ziurtatzeko. Nahiz eta eduki misto mota arriskutsuenak, hala nola scriptak eta iframeak, lehenespenez blokeatuta egon, irudiak, audio-fitxategiak eta bideoak oraindik deskarga daitezke http://-ren bidez. Aurretik erabilitako eduki mistoaren adierazlea ez da eraginkorra eta erabiltzailearentzat engainagarria dela ikusi, ez baitu orriaren segurtasunaren balorazio argirik ematen. Esaterako, irudiaren faltsutzearen bidez, erasotzaileak erabiltzaileen jarraipeneko cookieak ordezkatu ditzake, irudi prozesadoreetako ahuleziak ustiatzen saiatu edo faltsutzea egin dezake irudian emandako informazioa ordezkatuz. Osagai mistoen blokeoa desgaitzeko, ezarpen berezi bat gehitu da, blokeoaren ikurra sakatzean agertzen den menuaren bidez sar daitekeena.
• Arbeleko edukia Chrome-ren mahaigaineko eta mugikorreko bertsioen artean partekatzeko gaitasun esperimentala gehitu da. Kontu bati lotuta dagoen Chrome-ren kasuetan, orain beste gailu bateko arbeleko edukia atzi dezakezu, arbela mugikorren eta mahaigaineko sistemen artean partekatzea barne. Arbeleko edukia muturreko enkriptatzea erabiliz enkriptatzen da, eta horrek Google zerbitzarietako testura sarbidea eragozten du. Funtzioa chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui eta chrome://flags#sync-clipboard-service aukeren bidez gaitzen da.
• Helbide-barran une jakin batzuetan (adibidez, pasahitza gordetzean) profilaren sinkronizazioa desaktibatuta dagoenean, avatarrez gain, uneko Google kontuaren izena bistaratzen da, erabiltzaileak uneko kontu aktiboa zehaztasunez identifikatu dezan.
• Erabiltzaileen %1entzat aktibatuta onartzen "DNS HTTPS bidez" (DoH, DNS HTTPS bidez). Esperimentuan sistemaren ezarpenek DoH onartzen duten DNS hornitzaileak zehaztu dituzten erabiltzaileek soilik hartzen dute parte. Adibidez, erabiltzaileak sistemaren ezarpenetan DNS 8.8.8.8 zehaztuta badu, Google-ren DoH zerbitzua ("https://dns.google.com/dns-query") aktibatuko da Chrome-n; DNS 1.1.1.1 bada. XNUMX, gero DoH Cloudflare zerbitzua ("https://cloudflare-dns.com/dns-query"), etab. DoH gaituta dagoen kontrolatzeko, "chrome://flags/#dns-over-https" ezarpena eskaintzen da. Hiru funtzionamendu modu onartzen dira: segurua, automatikoa eta itzalita. Modu "seguruan", ostalariak aldez aurretik cachean gordetako balio seguruetan (konexio seguru baten bidez jasotakoak) eta DoH bidezko eskaeren arabera soilik zehazten dira; ez da DNS arruntaren ordezkapena aplikatzen. "Automatiko" moduan, DoH eta cache segurua erabilgarri ez badaude, datuak cache segurutik berreskura daitezke eta DNS tradizionalen bidez atzitu. "Desaktibatuta" moduan, partekatutako cachea egiaztatzen da lehenik eta daturik ez badago, eskaera sistemako DNS bidez bidaltzen da.
• Esperimentala gehitu da onartzen Errendatutako edukiaren cachean gordetzea aurrera eta atzera botoiak erabiliz orrialdeak aldatzean, eta horrek nabigazio mota honetan atzerapenak nabarmen murrizten ditu orrialde osoaren cache osoa delako, eta horrek ez baitu baliabideak berriro errendatu eta kargatu behar. Optimizazioa bereziki nabarmena da gailu mugikorretarako bertsioan, non nabigazioan errendimenduaren igoera %19ra iristen den. Modua gaitzen da "chrome://flags#back-forward-cache" aukera erabiliz.
• Ezabatu da "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains" ezarriz, protokoloaren bistaratzea helbide-barran itzultzeko aukera ematen zuen (orain esteka guztiak beti agertzen dira https gabe :// eta http:/ /, eta “www.” gabe ere.
• Windows-erako eraikitzeek audioa erreproduzitzeko zerbitzuaren sandboxing barne hartzen dute. Isolamendua gaituta dagoen ala ez kontrolatzeko, AudioSandboxEnabled propietatea proposatzen da.
• Enpresentzako administrazio zentralizatuko tresnek arakatzaile-instantzia batek zenbat memoria kontsumitu dezakeen atzeko planoko fitxak deskargatu aurretik kontrolatzen duten arauak definitzeko gaitasuna dute. Fitxa bat deskargatu ondoren askatzen den memoria erabilgarri egongo da eta fitxaren edukia berriro kargatzen da hara aldatzean.
• Linux-ek ziurtagiriak egiaztatzeko prozesadore integratua erabiltzen du, lehen erabilitako NSS sistema ordezkatzen duena. Kasu honetan, integratutako prozesadoreak NSS biltegia erabiltzen jarraitzen du egiaztatzen zehar, baina baldintza zorrotzagoak ezartzen ditu gaizki kodetutako eta bereizita ziurtatutako ziurtagiriak prozesatzen direnean (ziurtagiri guztiak ziurtagiri-agintari batek ziurtatu behar ditu).
• Android plataformarako bertsioan gehitu Progressive Web Apps (PWA) moduan exekutatzen diren instalatutako web aplikazioei ikono moldagarriak esleitzeko gaitasuna. Ikono moldagarriak gailuaren fabrikatzaileak erabiltzen duen interfazera egokitu daitezke, adibidez, biribilak, karratuak edo izkin leunak izanik.
• Gehituta API WebXR gailua, errealitate birtuala eta areagotua sortzeko osagaietarako sarbidea ematen duena. APIak hainbat gailu klaserekin bateratzeko aukera ematen du, Oculus Rift, HTC Vive eta Windows Mixed Reality bezalako errealitate birtualeko entzungailu finkoetatik, Google Daydream View eta Samsung Gear VR bezalako gailu mugikorretan oinarritutako soluzioetaraino. API berria aplikagarria izan daitekeen aplikazioen artean daude bideoak 360° moduan ikusteko programak, hiru dimentsioko espazioa ikusteko sistemak, bideoak aurkezteko zinema birtualak sortzea, denda eta galerietarako 3D interfazeak sortzeko esperimentuak egitea;
  

• Jatorrizko probak moduan (bereziak behar dituzten ezaugarri esperimentalak aktibazioa) hainbat API berri proposatu dira. Origin Trial-ek localhost edo 127.0.0.1 deskargatutako aplikazioetatik zehaztutako APIarekin lan egiteko gaitasuna dakar, edo gune jakin baterako denbora mugatu baterako balio duen token berezi bat erregistratu eta jaso ondoren.
  • HTML elementu guztietarako, "rendersubtree" atributua proposatzen da, DOM elementuaren bistaratzea finkoa dela ziurtatzen duena. Atributua "ikusezina" gisa ezartzeak elementuaren edukia errendatzea edo ikuskatzea eragotziko du, errendatze optimizatua ahalbidetuz. "Aktibagarri" gisa ezartzen denean, arakatzaileak atributu ikusezina kenduko du, edukia errendatuko du eta ikusgai jarriko du.
  • API aukera gehitu da Wake lock Promise mekanismoan oinarrituta, blokeo automatikoko pantailak desgaitzea eta gailuak energia aurrezteko moduetara aldatzeko modu seguruagoa eskaintzen duena.
• Atributua erabiltzeko gaitasuna inplementatu da Autofokatzedun Sarrera fokua izan dezaketen HTML eta SVG elementu guztietarako.
• Irudi eta bideoetarako bermatuta Kalkulatu aspektu-erlazioa Zabalera edo Altuera atributuetan oinarrituta, irudiaren tamaina CSS erabiliz irudia oraindik kargatu ez den fasean (irudiak kargatu ondoren orria berreraikitzearen arazoa konpontzen du).
• CSS propietatea gehitu da letra-tipikoa-tamaina, eta horrek automatikoki ezartzen du letra-tamaina aldakorra koordenatu optikoetan "opsz", letra-tipoak onartzen baditu. Moduari esker, tamaina zehatz baterako glifo-forma optimoa hauta dezakezu, adibidez, goiburuetarako glifo kontrastatuagoak erabili.
• CSS propietatea gehitu da zerrenda-estilo-mota, zerrendetan puntuen ordez edozein sinbolo erabiltzeko aukera ematen duena, adibidez, “-“, “+”, “★” eta “▸”.
• Worklet.addModule() exekutatu ezinezkoa bada, objektu bat itzultzen da akatsaren izaerari buruzko informazio zehatza duena, eta horrek errorearen kausa zehatzago ebaluatzeko aukera ematen du (sare-konexioaren arazoak, sintaxi okerra, etab. .).
• Elementuak prozesatzeari utzi dio при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScript motorra V8-n egindako Objektuen eremuen irudikapenean aldaketak kudeatzeko optimizazioa, eta horren ondorioz, AngularJS kodea exekutatzen da Speedometer test suitean % 4 azkarrago exekutatzen.
  

• V8-k integratutako APIetan definitutako getter-en prozesamendua ere optimizatzen du, hala nola Node.nodeType eta Node.nodeName, IC kudeatzailerik ezean (linean caching). Aldaketak % 12 gutxi gorabehera murriztu zuen IC exekuzioan igarotako denbora Speedometer suiteko Backbone eta jQuery probak exekutatzen direnean.
  

• OSR (on-stack replacement) mekanismoaren emaitzak cachean gordetzen dira, funtzioen exekuzioan kode optimizatua ordezkatzen duena (luzeko funtzioetarako kode optimizatua erabiltzen hasteko aukera ematen du berriro exekutatu arte itxaron gabe). OSR cacheak optimizazio-emaitzak erabiltzea ahalbidetzen du funtzioa berriro exekutatzen denean, berriro optimizatu beharrik gabe.
  Proba batzuetan, aldaketak errendimendu gailurra % 5-18 handitu zuen.
  

• Web garatzaileentzako tresnetan aldaketak:
  agertu arazketa modua eskaera blokeatzeko edo Cookie bat bidaltzeko arrazoiak zehazteko.
  
  • Cookie zerrenda duen blokean, hautatutako Cookiearen balioa azkar ikusteko aukera gehitu da lerro zehatz batean klik eginez.
    

  • Pres-kolore-eskema eta hobespen-mugimendu murriztuko multimedia-kontsultetarako ezarpen desberdinak simulatzeko gaitasuna gehitu da (adibidez, orriaren portaera probatzeko sistema ilunaren gai batekin edo animazio-efektuak desgaituta).
    

  • Estaldura fitxaren diseinua modernizatu da, erabilitako eta erabiltzen ez den kodea ebaluatzeko aukera emanez. Informazioa bere motaren arabera iragazteko gaitasuna gehitu da (JavaScript, CSS). Kodearen erabilerari buruzko informazioa ere gehitzen da iturburuko testua bistaratzen denean.
    

  • Sareko jarduera grabatu ondoren sareko baliabide jakin bat eskatzeko arrazoiak arazteko gaitasuna gehitu da (baliabidea kargatu zuen JavaScript kodearen deiaren arrasto bat ikus dezakezu).
    

  • "Ezarpenak > Hobespenak > Iturburuak > Koska lehenetsia" ezarpena gehitu da koska mota (2/4/8 espazio edo tabulazioak) Kontsolan eta Iturburuen paneletan bistaratzen den kodean zehazteko.

Berrikuntzez eta akatsen konponketez gain, bertsio berriak 51 ahultasun ezabatzen ditu. Ahultasun asko AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer eta AFL tresnak erabiliz proba automatizatuen ondorioz identifikatu ziren. Bi arazo (CVE-2019-13725, jada askatutako memorian Bluetooth-a euskarrirako kodean atzitzea eta CVE-2019-13726, pasahitzaren kudeatzailean pila gainezkatzea) kritiko gisa markatzen dira, hau da. arakatzailearen babes-maila guztiak saihesteko eta sisteman kodea exekutatzeko aukera ematen dizu sandbox ingurunetik kanpo. Chrome-n garapen-ziklo berean bi arazo kritiko identifikatzen diren lehen aldia da. Lehen ahultasuna Tencent Keen Security Lab-eko ikertzaileek aurkitu zuten eta frogatu Tianfu Cup lehiaketan, eta Google Project Zero-ko Sergei Glazunov-ek aurkitu zuen bigarrena.

Uneko bertsiorako ahuleziak ezagutzeko diru-sarien programaren barruan, Google-k 37 $ balio duten 80000 sari ordaindu zituen (20000 $ sari bat, 10000 $ sari bat, bi $ 7500 sari, lau $ 5000 sari, 3000 $ sari bat, bi $ 2000, bi zortzi $ 1000 sariak). 500 sarien tamaina ez da oraindik zehaztu.

Iturria: opennet.ru