Chromen julkaisu 79

Google esitetty verkkoselaimen julkaisu Chrome 79... Samanaikaisesti saatavilla ilmaisen projektin vakaa julkaisu Kromi, joka toimii Chromen perustana. Chrome-selain eri Google-logojen käyttö, järjestelmän olemassaolo ilmoitusten lähettämiseksi kaatuessa, mahdollisuus ladata Flash-moduuli pyynnöstä, moduulit suojatun videosisällön (DRM) toistamiseen, järjestelmä päivitysten automaattiseen asentamiseen ja lähettämiseen haun aikana RLZ-parametrit. Chrome 80:n seuraava julkaisu julkaistaan ​​helmikuun 4. päivänä.

Pääasiallinen muutokset в kromi 79:

• aktivoitu Salasanan tarkistuskomponentti, joka on suunniteltu analysoimaan käyttäjän käyttämien salasanojen vahvuutta. Kun yrität kirjautua sisään mille tahansa sivustolle Salasanan tarkistus täyttää kirjautumistunnuksen ja salasanan tarkistaminen vaarantuneiden tilien tietokannasta ja varoitus, jos ongelmia havaitaan (tarkistus suoritetaan käyttäjän puolella olevan hash-etuliiteen perusteella). Tarkastus suoritetaan tietokannassa, joka kattaa yli 4 miljardia vaarantunutta tiliä, jotka esiintyivät vuotaneissa käyttäjätietokantoissa. Varoitus näytetään myös, kun yritetään käyttää triviaaleja salasanoja, kuten "abc123". Salasanan tarkistuksen sisällyttämisen hallitsemiseksi "Synkronointi- ja Google-palvelut" -osioon on otettu käyttöön erityinen asetus.
• Uusi tekniikka tietojenkalastelun tunnistamiseen reaaliajassa on esitelty. Aiemmin varmennus suoritettiin käyttämällä paikallisesti ladattuja Selaussuojan mustia listoja, jotka päivitettiin noin 30 minuutin välein, mikä osoittautui riittämättömäksi esimerkiksi hyökkääjien toistuvien verkkotunnusten vaihtamisen yhteydessä. Uuden menetelmän avulla voit tarkistaa URL-osoitteet lennossa tekemällä alustavan tarkistuksen valkoisiin listoihin, jotka sisältävät tuhansien suosittujen luotettavien sivustojen tiivisteitä. Jos avattava sivusto ei ole sallittujen listalla, selain tarkistaa URL-osoitteen Google-palvelimelta ja välittää linkin SHA-32-hajakoodin ensimmäiset 256 ​​bittiä, joista mahdolliset henkilötiedot leikataan pois. Googlen mukaan uusi lähestymistapa voi parantaa uusien tietojenkalastelusivustojen varoitusten tehokkuutta 30 %.
• Lisätty ennakoiva suojaus Google-tunnistetietojen ja salasanojen hallintaan tallennettujen salasanojen siirtoa vastaan ​​tietojenkalastelusivujen kautta. Jos yrität syöttää tallennettua salasanaa sivustolle, jossa sitä ei normaalisti käytetä, käyttäjää varoitetaan mahdollisesti vaarallisesta toiminnasta.
• TLS 1.0- ja 1.1-yhteyksissä näkyy nyt suojaamattoman yhteyden ilmaisin. Täysin tuki TLS 1.0 ja 1.1 poistetaan käytöstä Chrome 81:ssä, ajoitettu 17. maaliskuuta 2020.
• Lisätty mahdollisuus jäädyttää ei-aktiiviset välilehdet, jolloin voit automaattisesti purkaa muistin välilehdistä, jotka ovat olleet taustalla yli 5 minuuttia ja jotka eivät suorita merkittäviä toimintoja. Päätös tietyn välilehden soveltuvuudesta jäädyttämiseen tehdään heuristiikan perusteella. Toiminnon käyttöönottoa ohjataan "chrome://flags/#proactive-tab-freeze"-lipulla.
• turvattu Sekasisällön estäminen HTTPS:n kautta avatuilla sivuilla varmistaaksesi, että https:// kautta avatut sivut sisältävät vain suojatun viestintäkanavan kautta ladattuja resursseja. Vaikka vaarallisimmat sekasisällön tyypit, kuten komentosarjat ja iframe-kehykset, on jo oletusarvoisesti estetty, kuvia, äänitiedostoja ja videoita voidaan silti ladata http://-osoitteen kautta. Aiemmin käytetty sekasisällön ilmaisin tällaisille lisäyksille todettiin tehottomaksi ja käyttäjää harhaanjohtavaksi, koska se ei anna yksiselitteistä arviota sivun turvallisuudesta. Esimerkiksi kuvien huijauksen avulla hyökkääjä voi korvata käyttäjän seurantaevästeet, yrittää hyödyntää kuvankäsittelylaitteiden haavoittuvuuksia tai tehdä väärennöksiä korvaamalla kuvan sisältämät tiedot. Sekakomponenttien lukituksen poistamiseksi on lisätty erityinen asetus, johon pääset valikon kautta, joka tulee näkyviin, kun napsautat lukkokuvaketta.
• Lisätty kokeellinen mahdollisuus jakaa leikepöydän sisältöä Chromen työpöytä- ja mobiiliversioiden välillä. Jos Chrome on linkitetty yhteen tiliin, voit nyt käyttää toisen laitteen leikepöydän sisältöä, mukaan lukien leikepöydän jakaminen mobiili- ja työpöytäjärjestelmien välillä. Leikepöydän sisältö on salattu päästä päähän -salauksella, joka estää pääsyn tekstiin Googlen palvelimilla. Toiminto otetaan käyttöön vaihtoehdoilla chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui ja chrome://flags#sync-clipboard-service.
• Osoitepalkissa tiettyinä hetkinä (esimerkiksi salasanaa tallennettaessa), kun profiilin synkronointi on kytketty pois päältä, avatarin lisäksi näytetään nykyisen Google-tilin nimi, jotta käyttäjä voi tunnistaa tarkasti nykyisen aktiivisen tilin.
• Aktivoitu 1 %:lle käyttäjistä tukea "DNS HTTPS:n kautta" (DoH, DNS HTTPS:n yli). Kokeilussa ovat mukana vain käyttäjät, joiden järjestelmäasetukset ovat jo määrittäneet DoH:ta tukevat DNS-palveluntarjoajat. Jos käyttäjällä on esimerkiksi järjestelmäasetuksissa määritetty DNS 8.8.8.8, Googlen DoH-palvelu ("https://dns.google.com/dns-query") aktivoituu Chromessa; jos DNS on 1.1.1.1. XNUMX, sitten DoH Cloudflare -palvelu ("https://cloudflare-dns.com/dns-query") jne. Voit hallita, onko DoH käytössä, "chrome://flags/#dns-over-https"-asetus. Kolmea käyttötilaa tuetaan: suojattu, automaattinen ja pois päältä. "Suojatussa" tilassa isännät määritetään vain aiemmin välimuistissa olevien suojattujen arvojen (saanutaan suojatun yhteyden kautta) ja DoH:n kautta tehtyjen pyyntöjen perusteella; palautusta tavalliseen DNS:ään ei käytetä. Jos DoH ja suojattu välimuisti eivät ole käytettävissä "automaattisessa" tilassa, tiedot voidaan hakea suojaamattomasta välimuistista ja käyttää perinteisen DNS:n kautta. Pois päältä -tilassa jaettu välimuisti tarkistetaan ensin ja jos tietoja ei ole, pyyntö lähetetään järjestelmän DNS:n kautta.
• Lisätty kokeellinen tukea renderoidun sisällön välimuisti, kun sivua vaihdetaan eteenpäin- ja taaksepäin-painikkeilla, mikä voi merkittävästi vähentää viiveitä tämäntyyppisen navigoinnin aikana, koska koko sivu on tallennettu välimuistiin, mikä ei vaadi resurssien uudelleenrenderöimistä ja lataamista. Optimointi on erityisen havaittavissa mobiililaitteiden versiossa, jossa suorituskyvyn kasvu navigoinnin aikana on 19%. Tila otetaan käyttöön "chrome://flags#back-forward-cache" -vaihtoehdolla.
• Poistettu asetus "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", joka mahdollisti protokollan näyttämisen osoitepalkissa (nyt kaikki linkit näytetään aina ilman https :// ja http:// / ja myös ilman "www."
• Windows-versiot sisältävät äänentoistopalvelun hiekkalaatikon. AudioSandboxEnabled-ominaisuuden ohjaamiseksi, onko eristys käytössä.
• Keskitetyt hallintatyökalut yrityksille sisältävät mahdollisuuden määrittää sääntöjä, jotka ohjaavat kuinka paljon muistia selainesiintymä voi kuluttaa ennen kuin taustavälilehdet puretaan. Välilehden purkamisen jälkeen vapautunut muisti tulee käyttöön, ja välilehden sisältö ladataan uudelleen, kun siihen vaihdetaan.
• Linux käyttää sisäänrakennettua varmennetarkistusprosessoria, joka korvaa aiemmin käytetyn NSS-järjestelmän. Tässä tapauksessa sisäänrakennettu prosessori jatkaa NSS-säilön käyttöä varmennuksen aikana, mutta asettaa tiukemmat vaatimukset käsiteltäessä väärin koodattuja ja erikseen varmennettuja varmenteita (kaikkien varmenteiden on oltava varmentajan varmentamia).
• Android-alustan versiossa lisätty mahdollisuus määrittää mukautuvia kuvakkeita asennetuille verkkosovelluksille, jotka toimivat Progressive Web Apps (PWA) -tilassa. Mukautuvat kuvakkeet voivat mukautua laitteen valmistajan käyttämään käyttöliittymään, esimerkiksi pyöreäksi, neliömäiseksi tai sileiksi kulmiksi.
• lisättyä API WebXR-laite, joka tarjoaa pääsyn komponentteihin virtuaalisen ja lisätyn todellisuuden luomiseen. API mahdollistaa työn yhdistämisen eri laiteluokkien kanssa kiinteistä virtuaalitodellisuuskuulokkeista, kuten Oculus Rift, HTC Vive ja Windows Mixed Reality, mobiililaitteisiin perustuviin ratkaisuihin, kuten Google Daydream View ja Samsung Gear VR. Sovelluksia, joissa uutta APIa voidaan soveltaa, ovat ohjelmat videon katseluun 360°-tilassa, järjestelmät kolmiulotteisen tilan visualisoimiseksi, virtuaalisten elokuvateattereiden luominen videoesitystä varten, kokeilut 3D-rajapintojen luomiseksi kauppoihin ja gallerioihin;
  

• Origin Trials -tilassa (kokeelliset ominaisuudet, jotka vaativat erilliset aktivointi) on ehdotettu useita uusia sovellusliittymiä. Origin Trial tarkoittaa kykyä työskennellä määritetyn API:n kanssa localhostista tai 127.0.0.1:stä ladatuista sovelluksista tai rekisteröitymisen ja erityisen tunnuksen vastaanottamisen jälkeen, joka on voimassa rajoitetun ajan tietyllä sivustolla.
  • Kaikille HTML-elementeille ehdotetaan "rendersubtree"-attribuuttia, joka varmistaa, että DOM-elementin näyttö on kiinteä. Attribuutin asettaminen "näkymättömäksi" estää elementin sisällön hahmontamisen tai tarkastamisen, mikä mahdollistaa optimoidun renderöinnin. Kun asetus on "aktivoitavissa", selain poistaa näkymätön-attribuutin, renderöi sisällön ja tekee siitä näkyvän.
  • Lisätty API-vaihtoehto Herätyslukko perustuu Promise-mekanismiin, joka tarjoaa turvallisemman tavan hallita automaattisten lukitusnäyttöjen poistamista käytöstä ja laitteiden kytkemistä virransäästötiloihin.
• Otettu käyttöön attribuutin käyttökyky automaattitarkennus kaikille HTML- ja SVG-elementeille, joilla voi olla syötekohtaa.
• Kuville ja videoille turvattu Laske kuvasuhde Width- tai Height-attribuuttien perusteella, joiden avulla voidaan määrittää kuvan koko CSS:n avulla siinä vaiheessa, kun kuvaa ei ole vielä ladattu (ratkaisee sivun uudelleenrakentamisen ongelman kuvien latauksen jälkeen).
• Lisätty CSS-ominaisuus fontin optinen mitoitus, joka asettaa automaattisesti muuttuvan kirjasinkoon optisina koordinaatteina "opsz", jos fontti tukee niitä. Tilan avulla voit valita optimaalisen kuvion muodon tietylle koolle, esimerkiksi käyttää kontrastivärisempiä kuvioita otsikoissa.
• Lisätty CSS-ominaisuus lista-tyylinen, jonka avulla voit käyttää mitä tahansa symboleja pisteiden sijaan luetteloissa, esimerkiksi “-”, “+”, “★” ja “▸”.
• Jos Worklet.addModule() -komentoa ei voida suorittaa, palautetaan nyt objekti, jossa on yksityiskohtaiset tiedot virheen luonteesta, jonka avulla voit arvioida tarkemmin virheen syyn (verkkoyhteyden ongelmat, virheellinen syntaksi jne. .).
• Kohteiden käsittely lopetettu при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScript-moottorissa V8 toteutettu Objektien kenttien esityksen muutosten käsittelyn optimointi, mikä johtaa AngularJS-koodin suorittamiseen Speedometer-testisarjassa 4 % nopeammin.
  

• V8 optimoi myös sisäänrakennetuissa API:issa, kuten Node.nodeType ja Node.nodeName, määriteltyjen getterien käsittelyn IC-käsittelijän puuttuessa (inline caching). Muutos vähensi IC-ajon aikana käytettyä aikaa noin 12 %, kun Speedometer-sarjan runko- ja jQuery-testit suoritettiin.
  

• OSR-mekanismin (jota kutsutaan pinon korvaamiseksi) tulokset tallennetaan välimuistiin, mikä korvaa optimoidun koodin toiminnon suorittamisen aikana (voit aloittaa optimoidun koodin käyttämisen pitkäkestoisille funktioille odottamatta niiden suorittamista uudelleen). OSR-välimuisti mahdollistaa optimointitulosten käytön, kun toimintoa ajetaan uudelleen, ilman että sinun tarvitsee suorittaa uudelleenoptimointia.
  Joissakin testeissä muutos nosti huippusuorituskykyä 5–18 %.
  

• Muutoksia verkkokehittäjien työkaluihin:
  On ilmestynyt virheenkorjaustila määrittääksesi syyt pyynnön estämiseen tai evästeen lähettämiseen.
  
  • Evästeluettelon lohkoon on lisätty mahdollisuus tarkastella nopeasti valitun evästeen arvoa napsauttamalla tiettyä riviä.
    

  • Lisätty mahdollisuus simuloida erilaisia ​​asetuksia prefers-color-scheme- ja prefers-reduced-motion -mediakyselyille (esimerkiksi sivun toiminnan testaamiseksi tummalla järjestelmäteemalla tai animoiduilla tehosteilla).
    

  • Kattavuus-välilehden ulkoasua on modernisoitu, joten voit arvioida käytetyn ja käyttämättömän koodin. Lisätty mahdollisuus suodattaa tietoja sen tyypin mukaan (JavaScript, CSS). Koodin käyttötiedot lisätään myös lähdetekstiä näytettäessä.
    

  • Lisätty mahdollisuus korjata syyt tietyn verkkoresurssin pyytämiseen verkkotoiminnan tallennuksen jälkeen (voit nähdä jäljen JavaScript-koodikutsusta, joka johti resurssin lataamiseen).
    

  • Lisätty "Asetukset > Asetukset > Lähteet > Oletussisennys" -asetus, joka määrittää sisennyksen tyypin (2/4/8 välilyöntiä tai sarkainta) konsoli- ja Lähteet-paneeleissa näkyvässä koodissa.

Innovaatioiden ja virheenkorjausten lisäksi uusi versio eliminoi 51 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisen testauksen tuloksena AddressSanitizer-, MemorySanitizer-, Control Flow Integrity-, LibFuzzer- ja AFL-työkaluilla. Kaksi ongelmaa (CVE-2019-13725, Bluetooth-tuen koodissa jo vapautetun muistin käyttö ja CVE-2019-13726, keon ylivuoto salasananhallinnassa) on merkitty kriittisiksi, ts. avulla voit ohittaa kaikki selaimen suojaustasot ja suorittaa koodia järjestelmässä hiekkalaatikkoympäristön ulkopuolella. Tämä on ensimmäinen kerta, kun Chromessa on tunnistettu kaksi kriittistä ongelmaa saman kehityssyklin aikana. Tencent Keen Security Labin tutkijat löysivät ensimmäisen haavoittuvuuden osoittanut Tianfu Cup -kilpailussa, ja toisen löysi Sergei Glazunov Google Project Zerosta.

Osana käteispalkkioohjelmaa nykyisen julkaisun haavoittuvuuksien löytämisestä Google maksoi 37 palkintoa, joiden arvo on 80000 20000 dollaria (yksi 10000 7500 dollarin palkinto, yksi 5000 3000 dollarin palkinto, kaksi 2000 1000 dollarin palkintoa, neljä 500 15 dollarin palkintoa, yksi XNUMX XNUMX dollarin palkinto, XNUMX kahdeksan, kaksi XNUMX dollaria XNUMX dollarin palkinnot). XNUMX palkinnon kokoa ei ole vielä päätetty.

Lähde: opennet.ru