Chrome Version 79

Google présenté version du navigateur Web Chrome 79... Simultanément est disponible version stable d'un projet libre Chrome, qui est la base de Chrome. Navigateur Chrome différent l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, la possibilité de charger le module Flash à la demande, des modules de lecture de contenus vidéo protégés (DRM), un système de mise à jour automatique, et la transmission sur recherche Paramètres RLZ. La prochaine version de Chrome 80 est prévue pour le 4 février.

principal changements в Chrome 79:

• activé Composant Password Checkup, conçu pour analyser la force des mots de passe utilisés par l'utilisateur. Lorsque vous essayez de vous connecter à un site, vérification du mot de passe effectue vérification du login et du mot de passe par rapport à une base de données de comptes compromis avec un avertissement si des problèmes sont détectés (la vérification est effectuée sur la base d'un préfixe de hachage du côté de l'utilisateur). La vérification est effectuée sur une base de données couvrant plus de 4 milliards de comptes compromis apparus dans des bases de données d'utilisateurs divulguées. Un avertissement s'affiche également lorsque vous tentez d'utiliser des mots de passe triviaux tels que « abc123 ». Pour contrôler l'inclusion de la vérification du mot de passe, un paramètre spécial a été implémenté dans la section « Synchronisation et services Google ».
• Une nouvelle technologie de détection du phishing en temps réel est présentée. Auparavant, la vérification était effectuée en accédant aux listes noires de navigation sécurisée téléchargées localement, qui étaient mises à jour environ toutes les 30 minutes, ce qui s'avérait insuffisant, par exemple, dans des conditions de changement de domaine fréquent par des attaquants. La nouvelle méthode vous permet de vérifier les URL à la volée avec une vérification préliminaire par rapport aux listes blanches qui incluent des hachages de milliers de sites populaires dignes de confiance. Si le site ouvert ne figure pas dans la liste blanche, le navigateur vérifie l'URL sur le serveur de Google, en transmettant les 32 premiers bits du hachage SHA-256 du lien, à partir duquel d'éventuelles données personnelles sont supprimées. Selon Google, la nouvelle approche peut améliorer de 30 % l’efficacité des avertissements pour les nouveaux sites de phishing.
• Ajout d'une protection proactive contre le transfert des informations d'identification Google et de tout mot de passe stocké dans le gestionnaire de mots de passe via des pages de phishing. Si vous essayez de saisir un mot de passe enregistré sur un site où ce mot de passe n'est normalement pas utilisé, l'utilisateur sera averti d'une action potentiellement dangereuse.
• Les connexions utilisant TLS 1.0 et 1.1 affichent désormais un indicateur de connexion non sécurisée. Prise en charge complète de TLS 1.0 et 1.1 sera désactivé dans Chrome 81, prévu pour le 17 mars 2020.
• Ajout de la possibilité de geler les onglets inactifs, vous permettant de décharger automatiquement de la mémoire les onglets qui sont en arrière-plan depuis plus de 5 minutes et n'effectuent pas d'actions significatives. La décision quant à l'adéquation d'un onglet particulier au gel est prise sur la base d'heuristiques. L'activation de la fonction est contrôlée via le drapeau « chrome://flags/#proactive-tab-freeze ».
• Fourni par Bloquer le contenu mixte sur les pages ouvertes via HTTPS pour garantir que les pages ouvertes via https:// contiennent uniquement des ressources chargées via un canal de communication sécurisé. Même si les types de contenus mixtes les plus dangereux, tels que les scripts et les iframes, sont déjà bloqués par défaut, les images, fichiers audio et vidéos peuvent toujours être téléchargés via http://. L'indicateur de contenu mixte précédemment utilisé pour de tels encarts s'est révélé inefficace et trompeur pour l'utilisateur, car il ne fournit pas une évaluation sans ambiguïté de la sécurité de la page. Par exemple, grâce à l'usurpation d'image, un attaquant peut remplacer les cookies de suivi des utilisateurs, tenter d'exploiter les vulnérabilités des processeurs d'image ou commettre une contrefaçon en remplaçant les informations fournies dans l'image. Pour désactiver le verrouillage des composants mixtes, un paramètre spécial a été ajouté, accessible via le menu qui apparaît lorsque vous cliquez sur le symbole du cadenas.
• Ajout de la possibilité expérimentale de partager le contenu du presse-papiers entre les versions de bureau et mobiles de Chrome. Dans les instances de Chrome liées à un compte, vous pouvez désormais accéder au contenu du presse-papiers d'un autre appareil, y compris le partage du presse-papiers entre les systèmes mobiles et de bureau. Le contenu du presse-papiers est crypté de bout en bout, ce qui empêche l'accès au texte sur les serveurs de Google. La fonction est activée via les options chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui et chrome://flags#sync-clipboard-service.
• Dans la barre d'adresse à certains moments (par exemple, lors de l'enregistrement d'un mot de passe) lorsque la synchronisation du profil est désactivée, en plus de l'avatar, le nom du compte Google actuel est affiché afin que l'utilisateur puisse identifier avec précision le compte actif actuel.
• Activé pour 1 % des utilisateurs soutenir « DNS sur HTTPS » (DoH, DNS sur HTTPS). L'expérience implique uniquement les utilisateurs dont les paramètres système ont déjà spécifié des fournisseurs DNS prenant en charge DoH. Par exemple, si l'utilisateur a spécifié DNS 8.8.8.8 dans les paramètres système, le service DoH de Google (« https://dns.google.com/dns-query ») sera activé dans Chrome ; si le DNS est 1.1.1.1. XNUMX, puis le service DoH Cloudflare (« https://cloudflare-dns.com/dns-query »), etc. Pour contrôler si DoH est activé, le paramètre « chrome://flags/#dns-over-https » est fourni. Trois modes de fonctionnement sont pris en charge : sécurisé, automatique et désactivé. En mode « sécurisé », les hôtes sont déterminés uniquement sur la base des valeurs sécurisées précédemment mises en cache (reçues via une connexion sécurisée) et des requêtes via DoH ; le repli vers le DNS standard n'est pas appliqué. En mode « automatique », si DoH et le cache sécurisé ne sont pas disponibles, les données peuvent être récupérées du cache non sécurisé et accessibles via le DNS traditionnel. En mode « off », le cache partagé est d'abord vérifié et s'il n'y a pas de données, la requête est envoyée via le DNS du système.
• Ajout expérimental soutenir mise en cache du contenu rendu lors du changement de page à l'aide des boutons avant et arrière, ce qui peut réduire considérablement les retards lors de ce type de navigation grâce à la mise en cache complète de la page entière, qui ne nécessite pas de nouveau rendu ni de chargement de ressources. L'optimisation est particulièrement visible dans la version pour appareils mobiles, où l'augmentation des performances lors de la navigation atteint 19 %. Le mode est activé à l'aide de l'option « chrome://flags#back-forward-cache ».
• Supprimé réglage « chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains », qui permettait de renvoyer l'affichage du protocole dans la barre d'adresse (désormais tous les liens sont toujours affichés sans https :// et http:/ /, et également sans « www. »).
• Les versions pour Windows incluent le sandboxing du service de lecture audio. Pour contrôler si l'isolation est activée, la propriété AudioSandboxEnabled est proposée.
• Les outils d'administration centralisés pour les entreprises incluent la possibilité de définir des règles qui contrôlent la quantité de mémoire qu'une instance de navigateur peut consommer avant le déchargement des onglets en arrière-plan. La mémoire libérée après le déchargement d'un onglet devient disponible et le contenu de l'onglet est à nouveau chargé lors du passage à celui-ci.
• Linux utilise un processeur de vérification de certificat intégré, qui remplace le système NSS précédemment utilisé. Dans ce cas, le processeur intégré continue d'utiliser le magasin NSS lors de la vérification, mais impose des exigences plus strictes lors du traitement de certificats mal codés et certifiés séparément (tous les certificats doivent être certifiés par une autorité de certification).
• Dans la version pour la plateforme Android ajoutée la possibilité d'attribuer des icônes adaptatives aux applications Web installées s'exécutant en mode Progressive Web Apps (PWA). Les icônes adaptatives peuvent s'adapter à l'interface utilisée par le fabricant de l'appareil, par exemple en étant rondes, carrées ou avec des coins lisses.
• Добавлен API Appareil WebXR, qui donne accès à des composants permettant de créer de la réalité virtuelle et augmentée. L'API vous permet d'unifier le travail avec différentes classes d'appareils, depuis les casques de réalité virtuelle fixes comme Oculus Rift, HTC Vive et Windows Mixed Reality, jusqu'aux solutions basées sur des appareils mobiles tels que Google Daydream View et Samsung Gear VR. Les applications dans lesquelles la nouvelle API peut être applicable incluent des programmes pour visualiser des vidéos en mode 360°, des systèmes pour visualiser l'espace tridimensionnel, créer des cinémas virtuels pour la présentation vidéo, mener des expériences sur la création d'interfaces 3D pour les magasins et les galeries ;
  

• En mode Origin Trials (fonctionnalités expérimentales nécessitant un Activation) a proposé plusieurs nouvelles API. Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
  • Pour tous les éléments HTML, l'attribut « rendersubtree » est proposé, qui garantit que l'affichage de l'élément DOM est fixe. Définir l'attribut sur "invisible" empêchera le rendu ou l'inspection du contenu de l'élément, permettant ainsi un rendu optimisé. Lorsqu'il est défini sur « activable », le navigateur supprimera l'attribut invisible, restituera le contenu et le rendra visible.
  • Option API ajoutée Verrouillage de réveil basé sur le mécanisme Promise, qui offre un moyen plus sécurisé de contrôler la désactivation des écrans de verrouillage automatique et de faire passer les appareils en modes d'économie d'énergie.
• Implémentation de la possibilité d'utiliser l'attribut autofocus pour tous les éléments HTML et SVG pouvant avoir le focus d’entrée.
• Pour les images et vidéos sécurisé Calculez le rapport hauteur/largeur en fonction des attributs Largeur ou Hauteur, qui peuvent être utilisés pour déterminer la taille de l'image à l'aide de CSS au stade où l'image n'est pas encore chargée (résout le problème de reconstruction de la page après le chargement des images).
• Propriété CSS ajoutée dimensionnement optique de la police, qui définit automatiquement la taille de police variable en coordonnées optiques "opsz", si la police les prend en charge. Le mode vous permet de sélectionner la forme de glyphe optimale pour une taille spécifiée, par exemple, d'utiliser des glyphes plus contrastés pour les titres.
• Propriété CSS ajoutée type de liste, qui vous permet d'utiliser n'importe quel symbole à la place des points dans les listes, par exemple « - », « + », « ★ » et « ▸ ».
• S'il est impossible d'exécuter Worklet.addModule(), un objet est désormais renvoyé avec des informations détaillées sur la nature de l'erreur, ce qui permet d'évaluer plus précisément la cause de l'erreur (problèmes de connexion réseau, syntaxe incorrecte, etc. .).
• Arrêt du traitement des éléments lors de leur déplacement entre les documents. Lors du transfert entre documents, l'exécution des événements « erreur » et « chargement » liés au script est également désactivée.
• Dans le moteur JavaScript V8 tenue Optimisation de la gestion des modifications apportées à la représentation des champs dans les objets, ce qui entraîne une exécution du code AngularJS dans la suite de tests Speedometer 4 % plus rapide.
  

• La V8 optimise également le traitement des getters définis dans les API intégrées, telles que Node.nodeType et Node.nodeName, en l'absence de gestionnaire IC (mise en cache en ligne). Le changement a réduit le temps passé sur l'exécution d'IC ​​d'environ 12 % lors de l'exécution des tests Backbone et jQuery à partir de la suite Speedometer.
  

• Les résultats du mécanisme OSR (appelé remplacement sur pile) sont mis en cache, ce qui remplace le code optimisé lors de l'exécution de la fonction (vous permet de commencer à utiliser du code optimisé pour les fonctions de longue durée sans attendre leur exécution à nouveau). La mise en cache OSR permet d'utiliser les résultats de l'optimisation lors de la réexécution de la fonction, sans avoir besoin de passer par une ré-optimisation.
  Dans certains tests, le changement a augmenté les performances maximales de 5 à 18 %.
  

• Modifications des outils pour les développeurs Web :
  Est apparu mode débogage pour déterminer les raisons du blocage d’une requête ou de l’envoi d’un Cookie.
  
  • Dans le bloc avec la liste des Cookies, la possibilité de visualiser rapidement la valeur du Cookie sélectionné a été ajoutée en cliquant sur une ligne spécifique.
    

  • Ajout de la possibilité de simuler différents paramètres pour les requêtes multimédias préfère le schéma de couleurs et préfère le mouvement réduit (par exemple, pour tester le comportement de la page avec un thème système sombre ou avec des effets animés désactivés).
    

  • Le design de l'onglet Couverture a été modernisé, vous permettant d'évaluer le code utilisé et non utilisé. Ajout de la possibilité de filtrer les informations par type (JavaScript, CSS). Des informations sur l'utilisation du code sont également ajoutées lors de l'affichage du texte source.
    

  • Ajout de la possibilité de déboguer les raisons de la demande d'une ressource réseau particulière après l'enregistrement de l'activité réseau (vous pouvez visualiser une trace de l'appel de code JavaScript qui a conduit au chargement de la ressource).
    

  • Ajout du paramètre « Paramètres > Préférences > Sources > Indentation par défaut » pour déterminer le type d'indentation (2/4/8 espaces ou tabulations) dans le code affiché dans les panneaux Console et Sources.

En plus des innovations et des corrections de bugs, la nouvelle version élimine 51 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Deux problèmes (CVE-2019-13725, accès à la mémoire déjà libérée dans le code pour la prise en charge Bluetooth, et CVE-2019-13726, débordement de tas dans le gestionnaire de mots de passe) sont marqués comme critiques, c'est-à-dire vous permettent de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. C'est la première fois que deux problèmes critiques sont identifiés au sein du même cycle de développement dans Chrome. La première vulnérabilité a été découverte par des chercheurs du Tencent Keen Security Lab et démontré lors de la compétition de la Coupe Tianfu, et le second a été trouvé par Sergei Glazunov de Google Project Zero.

Dans le cadre du programme de récompense en espèces pour la découverte des vulnérabilités de la version actuelle, Google a versé 37 récompenses d'une valeur de 80000 20000 $ (une récompense de 10000 7500 $, une récompense de 5000 3000 $, deux récompenses de 2000 1000 $, quatre récompenses de 500 15 $, une récompense de XNUMX XNUMX $, deux récompenses de XNUMX XNUMX $, deux récompenses de XNUMX XNUMX $ et huit récompenses). récompenses de XNUMX $). Le montant des XNUMX récompenses n’a pas encore été déterminé.

Source: opennet.ru