Chrome release 79

Google presintearre webbrowser release Chrome 79... Tagelyk beskikber stabile frijlitting fan in fergees projekt Chromium, dy't tsjinnet as de basis fan Chrome. Chrome browser ferskille it brûken fan Google-logo's, de oanwêzigens fan in systeem foar it ferstjoeren fan notifikaasjes yn gefal fan in crash, de mooglikheid om op oanfraach in Flash-module te downloaden, modules foar it spieljen fan beskerme fideo-ynhâld (DRM), in systeem foar it automatysk ynstallearjen fan updates en oerdracht by sykjen RLZ parameters. De folgjende release fan Chrome 80 is pland foar 4 febrewaris.

haad feroarings в chrome 79:

• aktivearre Wachtwurdkontrôle-komponint, ûntworpen om de sterkte te analysearjen fan wachtwurden brûkt troch de brûker. As jo ​​​​besykje oan te melden by elke side Wachtwurdkontrôle foldocht oanmelding en wachtwurd kontrolearje tsjin in databank fan kompromittearre akkounts mei in warskôging as problemen wurde ûntdutsen (kontrôle wurdt útfierd op basis fan in hash-foarheaksel oan 'e kant fan 'e brûker). De kontrôle wurdt útfierd tsjin in database dy't mear dan 4 miljard kompromittearre akkounts beslacht dy't ferskynden yn lekke brûkersdatabases. In warskôging wurdt ek werjûn as jo besykje triviale wachtwurden te brûken lykas "abc123". Om it opnimmen fan Wachtwurdkontrôle te kontrolearjen, is in spesjale ynstelling ymplementearre yn 'e seksje "Sync and Google Services".
• In nije technology foar it opspoaren fan phishing yn echte tiid wurdt presintearre. Earder waard ferifikaasje útfierd troch tagong te krijen ta lokaal ynladen Safe Browsing blacklists, dy't sawat ien kear yn 'e 30 minuten waarden bywurke, wat bliken te wêzen net genôch, bygelyks yn betingsten fan faak domein wikseljen troch oanfallers. De nije metoade lit jo URL's op 'e flecht kontrolearje mei in foarriedige kontrôle tsjin whitelists dy't hashes omfetsje fan tûzenen populêre siden dy't betrouber binne. As de side dy't iepene is net yn 'e wite list is, kontrolearret de browser de URL op' e Google-tsjinner, en ferstjoert de earste 32 bits fan 'e SHA-256-hash fan' e keppeling, wêrfan mooglike persoanlike gegevens wurde ôfsnien. Neffens Google kin de nije oanpak de effektiviteit fan warskôgingen foar nije phishing-siden mei 30% ferbetterje.
• Pro-aktive beskerming tafoege tsjin de oerdracht fan Google-bewiis en alle wachtwurden opslein yn 'e wachtwurdbehearder fia phishing-siden. As jo ​​besykje in bewarre wachtwurd yn te fieren op in side wêr't dat wachtwurd normaal net brûkt wurdt, sil de brûker warskôge wurde oer in mooglik gefaarlike aksje.
• Ferbinings mei TLS 1.0 en 1.1 litte no in ûnfeilige ferbiningsindikator sjen. Folslein stipe TLS 1.0 en 1.1 sil útskeakele wurde yn Chrome 81, pland foar 17 maart 2020.
• De mooglikheid tafoege om ynaktive ljeppers te befriezen, wêrtroch jo automatysk kinne laden fan ljepblêden fan ûnthâld dy't mear dan 5 minuten op 'e eftergrûn west hawwe en gjin wichtige aksjes útfiere. It beslút oer de geskiktheid fan in bepaalde ljepper foar befriezing wurdt makke op basis fan heuristyk. It ynskeakeljen fan de funksje wurdt regele fia de flagge "chrome://flags/#proactive-tab-freeze".
• Befeilige Blokkearje fan mingde ynhâld op siden iepene fia HTTPS om te soargjen dat siden iepene fia https:// allinich boarnen befetsje dy't laden binne oer in feilich kommunikaasjekanaal. Sels hoewol de gefaarlikste soarten mingde ynhâld, lykas skripts en iframes, al standert blokkearre binne, kinne ôfbyldings, audiobestannen en fideo's noch downloade wurde fia http://. De earder brûkte yndikator foar mingde ynhâld foar sokke ynfoegingen waard fûn net effektyf en misliedend foar de brûker, om't it gjin unambiguous beoardieling fan 'e feiligens fan' e side leveret. Bygelyks, fia ôfbylding spoofing, in oanfaller kin ferfange brûker tracking Cookies, besykje te eksploitearjen kwetsberens yn byld processors, of commit ferfalsking troch it ferfangen fan de ynformaasje levere yn de ôfbylding. Om it beskoatteljen fan mingde komponinten út te skeakeljen, is in spesjale ynstelling tafoege, dy't tagonklik is fia it menu dat ferskynt as jo op it slotsymboal klikke.
• Eksperimintele mooglikheid tafoege om klamboerdynhâld te dielen tusken buroblêd- en mobile ferzjes fan Chrome. Yn gefallen fan Chrome keppele oan ien akkount, kinne jo no tagong krije ta de ynhâld fan it klamboerd fan in oar apparaat, ynklusyf it dielen fan it klamboerd tusken mobile en buroblêdsystemen. De ynhâld fan it klamboerd wurdt fersifere mei end-to-end fersifering, dy't foarkomt tagong ta de tekst op Google-tsjinners. De funksje is ynskeakele fia de opsjes chrome://flaggen#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui en chrome://flags#sync-clipboard-service.
• Yn 'e adresbalke op bepaalde mominten (bygelyks by it bewarjen fan in wachtwurd) as profylsyngronisaasje útskeakele is, neist de avatar, wurdt de namme fan it aktuele Google-akkount werjûn, sadat de brûker it aktive akkount sekuer kin identifisearje.
• Aktivearre foar 1% fan brûkers stypje "DNS oer HTTPS" (DoH, DNS oer HTTPS). It eksperimint omfettet allinich brûkers waans systeemynstellingen al DNS-providers hawwe opjûn dy't DoH stypje. Bygelyks, as de brûker DNS 8.8.8.8 hat spesifisearre yn 'e systeemynstellingen, dan sil Google's DoH-tsjinst ("https://dns.google.com/dns-query") aktivearre wurde yn Chrome; as de DNS 1.1.1.1 is. XNUMX, dan DoH Cloudflare-tsjinst ("https://cloudflare-dns.com/dns-query"), ensfh. Om te kontrolearjen oft DoH is ynskeakele, wurdt de ynstelling "chrome://flags/#dns-over-https" levere. Trije bestjoeringsmodi wurde stipe: feilich, automatysk en út. Yn "feilige" modus wurde hosts allinich bepaald op basis fan earder yn 'e cache befeilige wearden (ûntfongen fia in feilige ferbining) en oanfragen fia DoH; weromfal nei reguliere DNS wurdt net tapast. Yn 'e "automatyske" modus, as DoH en de feilige cache net beskikber binne, kinne gegevens wurde ophelle út it ûnfeilige cache en tagong fia tradisjonele DNS. Yn "út" modus wurdt de dielde cache earst kontrolearre en as der gjin gegevens binne, wurdt it fersyk fia it systeem DNS stjoerd.
• Eksperimintele tafoege stypje caching fan werjûn ynhâld by it feroarjen fan siden mei de foarút- en werom-knoppen, wat fertragingen yn dit soarte fan navigaasje signifikant kin ferminderje troch it folsleine caching fan 'e heule side, dy't net opnij rendering en laden fan boarnen fereasket. De optimisaasje is benammen te merken yn 'e ferzje foar mobile apparaten, wêr't de prestaasjesferheging by navigaasje 19% berikt. De modus is ynskeakele mei de opsje "chrome://flaggen#back-forward-cache".
• Wiske ynstelling "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", wêrtroch't it werjaan fan it protokol yn 'e adresbalke koe weromjaan (no wurde alle keppelings altyd werjûn sûnder https :// en http:///, en ek sûnder “www.”).
• Builds foar Windows omfetsje sânboxing fan 'e audio-ôfspieltsjinst. Om te kontrolearjen oft isolaasje ynskeakele is, wurdt de AudioSandboxEnabled-eigenskip foarsteld.
• Sintrale administraasjeark foar bedriuwen omfetsje de mooglikheid om regels te definiearjen dy't kontrolearje hoefolle ûnthâld in browsereksimplaar kin konsumearje foardat eftergrûnljeppers wurde ûntladen. It ûnthâld útbrocht nei it lossen fan in ljepper wurdt beskikber foar gebrûk, en de ynhâld fan 'e ljepper wurdt laden wer by it wikseljen nei it.
• Linux brûkt in ynboude sertifikaatferifikaasjeprosessor, dy't it earder brûkte NSS-systeem ferfangt. Yn dit gefal bliuwt de ynboude prosessor de NSS-winkel te brûken by ferifikaasje, mar stelt strangere easken by it ferwurkjen fan ferkeard kodearre en apart sertifisearre sertifikaten (alle sertifikaten moatte sertifisearre wurde troch in sertifisearringsautoriteit).
• Yn 'e ferzje foar it Android-platfoarm tafoege de mooglikheid om adaptive ikoanen ta te jaan foar ynstallearre webapplikaasjes dy't rinne yn Progressive Web Apps (PWA) modus. Adaptive ikoanen kinne oanpasse oan 'e ynterface brûkt troch de apparaatfabrikant, bygelyks rûn, fjouwerkant of mei glêde hoeken.
• Added API WebXR-apparaat, dy't tagong jout ta komponinten foar it meitsjen fan firtuele en augmented reality. De API lit jo wurk ferienigje mei ferskate klassen fan apparaten, fan stasjonêre virtuele realiteit-headsets lykas Oculus Rift, HTC Vive en Windows Mixed Reality, oant oplossingen basearre op mobile apparaten lykas Google Daydream View en Samsung Gear VR. Applikaasjes wêryn't de nije API fan tapassing kin wêze omfetsje programma's foar it besjen fan fideo yn 360 ° modus, systemen foar it visualisearjen fan trijediminsjonale romte, it meitsjen fan firtuele bioskopen foar fideopresintaasje, it útfieren fan eksperiminten oer it meitsjen fan 3D-ynterfaces foar winkels en galeryen;
  

• Yn Origin Trials-modus (eksperimintele funksjes dy't apart nedich binne aktivearring) ferskate nije API's binne foarsteld. Origin Trial ymplisearret de mooglikheid om te wurkjen mei de oantsjutte API út applikaasjes ynladen fan localhost of 127.0.0.1, of nei registrearjen en ûntfange in spesjale token dat jildich is foar in beheinde tiid foar in spesifike side.
  • Foar alle HTML-eleminten wurdt it attribút "rendersubtree" foarsteld, wat derfoar soarget dat de werjefte fan it DOM-elemint fêst is. It ynstellen fan it attribút op "ûnsichtber" sil foarkomme dat de ynhâld fan it elemint wurdt werjûn of ynspekteare, wêrtroch optimalisearre werjefte mooglik is. As ynsteld op "aktivearje", sil de browser it ûnsichtbere attribút fuortsmite, de ynhâld werjaan en sichtber meitsje.
  • Added API opsje Wekker slot basearre op it Promise-meganisme, dy't in feiliger manier leveret om it útskeakeljen fan auto-lock-skermen te kontrolearjen en apparaten te wikseljen nei enerzjybesparjende modi.
• Implementearre de mooglikheid om it attribút te brûken autofocus foar alle HTML- en SVG-eleminten dy't ynfierfokus kinne hawwe.
• Foar ôfbyldings en fideo's befeilige Berekkenje de aspektferhâlding basearre op de Breedte- of Hichte-attributen, dy't brûkt wurde kinne om de grutte fan 'e ôfbylding te bepalen mei CSS op it poadium as de ôfbylding noch net laden is (lost it probleem op mei it werbouwen fan de side nei't ôfbyldings binne laden).
• Added CSS eigendom lettertype-optyske grutte, dy't automatysk de fariabele lettergrutte yn optyske koördinaten ynstelt "opsz", as it lettertype se stipet. De modus kinne jo selektearje de optimale glyph foarm foar in spesifisearre grutte, bygelyks, brûke mear kontrastearjende glyphs foar kopteksten.
• Added CSS eigendom list-styl-type, wêrmei jo alle symboalen brûke kinne ynstee fan perioaden yn listen, bygelyks "-", "+", "★" en "▸".
• As it ûnmooglik is om Worklet.addModule () út te fieren, wurdt no in objekt weromjûn mei detaillearre ynformaasje oer de aard fan 'e flater, wêrtroch jo de oarsaak fan 'e flater krekter beoardielje kinne (problemen mei de netwurkferbining, ferkearde syntaksis, ensfh. .).
• Stopte it ferwurkjen fan items при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• Yn JavaScript-motor V8 útfierd Optimalisaasje fan ôfhanneljen feroarings oan de fertsjintwurdiging fan fjilden yn objekten, resultearret yn AngularJS koade útfiering yn de Speedometer test suite rint 4% flugger.
  

• V8 optimalisearret ek de ferwurking fan getters definieare yn ynboude API's, lykas Node.nodeType en Node.nodeName, by it ûntbrekken fan in IC-hanneler (inline caching). De feroaring fermindere de tiid bestege oan IC-runtime mei sawat 12% by it útfieren fan de Backbone- en jQuery-tests fan 'e Speedometer-suite.
  

• De resultaten fan it OSR-meganisme (neamd op-stack-ferfanging) wurde yn 'e cache bewarre, dy't optimalisearre koade ferfangt by it útfieren fan' e funksje (kinne jo begjinne mei it brûken fan optimalisearre koade foar lange rinnende funksjes sûnder te wachtsjen oant se wer rinne). OSR-caching makket it mooglik om de optimalisaasjeresultaten te brûken by it opnij útfieren fan de funksje, sûnder de needsaak om troch opnij optimalisaasje te gean.
  Yn guon tests ferhege de feroaring peakprestaasjes mei 5-18%.
  

• Feroarings yn ark foar webûntwikkelders:
  Hat ferskynde debuggen modus om de redenen te bepalen foar it blokkearjen fan in fersyk of it ferstjoeren fan in koekje.
  
  • Yn it blok mei de Koekje-list is de mooglikheid om fluch de wearde fan it selektearre Koekje te besjen tafoege troch te klikken op in spesifike rigel.
    

  • De mooglikheid tafoege om ferskate ynstellings te simulearjen foar it foarkar-kleur-skema en foarkar-fermindere-beweging media-fragen (bygelyks om it gedrach fan 'e side te testen mei in tsjuster systeemtema of mei animearre effekten útskeakele).
    

  • It ûntwerp fan it ljepblêd Coverage is modernisearre, wêrtroch jo de brûkte en net brûkte koade kinne evaluearje. De mooglikheid tafoege om ynformaasje te filterjen op syn type (JavaScript, CSS). Koadegebrûksynformaasje wurdt ek tafoege by it werjaan fan de boarnetekst.
    

  • De mooglikheid tafoege om de redenen te debuggen foar it oanfreegjen fan in bepaalde netwurkboarne nei it opnimmen fan netwurkaktiviteit (jo kinne in spoar fan 'e JavaScript-koadeoprop besjen dy't late ta it laden fan' e boarne).
    

  • Tafoege "Ynstellings> Foarkarren> Boarnen> Standert ynspringing" ynstelling om it type ynspringing (2/4/8 spaasjes as ljeppers) te bepalen yn 'e koade werjûn yn' e panielen Konsole en Boarnen.

Neist ynnovaasjes en bugfixes elimineert de nije ferzje 51 kwetsberens. In protte fan 'e kwetsberens waarden identifisearre as gefolch fan automatisearre testen mei de AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-ark. Twa problemen (CVE-2019-13725, tagong ta al befrijd ûnthâld yn 'e koade foar Bluetooth-stipe, en CVE-2019-13726, heap oerstream yn' e wachtwurdbehearder) wurde markearre as kritysk, d.w.s. kinne jo omgean alle nivo 's fan blêder beskerming en útfiere koade op it systeem bûten de sânbox omjouwing. Dit is de earste kear dat twa krityske problemen binne identifisearre binnen deselde ûntwikkelingssyklus yn Chrome. De earste kwetsberens waard fûn troch ûndersikers fan Tencent Keen Security Lab en demonstrearre by de Tianfu Cup-kompetysje, en de twadde waard fûn troch Sergei Glazunov fan Google Project Zero.

As ûnderdiel fan it cashbeleanningsprogramma foar it ûntdekken fan kwetsberens foar de hjoeddeistige release, betelle Google 37 prizen fan $80000 (ien $20000-priis, ien $10000-priis, twa $7500-prizen, fjouwer $5000-prizen, ien $3000-priis, twa $2000-priis, twa $1000-priis, twa $ 500 prizen). De grutte fan 'e 15 beleannings is noch net fêststeld.

Boarne: opennet.ru