Versión de Chrome 79

Google presentado versión do navegador web Chrome 79... Simultaneamente dispoñible liberación estable dun proxecto gratuíto Cromo, que serve como base de Chrome. navegador Chrome diferente o uso de logotipos de Google, a presenza dun sistema para enviar notificacións en caso de falla, a posibilidade de descargar un módulo Flash baixo petición, módulos para reproducir contido de vídeo protexido (DRM), un sistema para instalar automaticamente actualizacións e transmisión durante a busca Parámetros RLZ. A próxima versión de Chrome 80 está programada para o 4 de febreiro.

O principal cambios в cromo 79:

• activado Compoñente de verificación de contrasinais, deseñado para analizar a forza dos contrasinais utilizados polo usuario. Ao tentar iniciar sesión en calquera sitio Comprobación de contrasinal cumpre comprobando o inicio de sesión e o contrasinal cunha base de datos de contas comprometidas cunha advertencia se se detectan problemas (a verificación realízase en base a un prefixo hash do lado do usuario). A comprobación realízase contra unha base de datos que abarca máis de 4 millóns de contas comprometidas que apareceron en bases de datos de usuarios filtradas. Tamén se mostra unha advertencia cando se intenta utilizar contrasinais triviais como "abc123". Para controlar a inclusión da Comprobación de contrasinal, implementouse unha configuración especial na sección "Sincronización e Servizos de Google".
• Preséntase unha nova tecnoloxía para detectar phishing en tempo real. Anteriormente, a verificación realizábase accedendo ás listas negras de Navegación segura descargadas localmente, que se actualizaban aproximadamente unha vez cada 30 minutos, o que resultou ser insuficiente, por exemplo, en condicións de frecuente cambio de dominio por parte dos atacantes. O novo método permítelle comprobar os URL sobre a marcha cunha comprobación preliminar contra as listas brancas que inclúen hash de miles de sitios populares que son fiables. Se o sitio que se está a abrir non está na lista branca, o navegador comproba o URL no servidor de Google, transmitindo os primeiros 32 bits do hash SHA-256 da ligazón, do que se recortan posibles datos persoais. Segundo Google, o novo enfoque pode mellorar nun 30% a eficacia das advertencias dos novos sitios de phishing.
• Engadiuse protección proactiva contra a transferencia de credenciais de Google e de calquera contrasinal almacenado no xestor de contrasinais a través de páxinas de phishing. Se tentas introducir un contrasinal gardado nun sitio onde normalmente non se usa ese contrasinal, avisarase ao usuario sobre unha acción potencialmente perigosa.
• As conexións que usan TLS 1.0 e 1.1 agora mostran un indicador de conexión insegura. Soporta totalmente TLS 1.0 e 1.1 estará desactivado en Chrome 81, programado para o 17 de marzo de 2020.
• Engadida a posibilidade de conxelar as pestanas inactivas, o que lle permite descargar automaticamente das pestanas de memoria que levan máis de 5 minutos en segundo plano e que non realizan accións significativas. A decisión sobre a idoneidade dunha pestana particular para a conxelación tómase en función da heurística. A activación da función contrólase mediante a marca "chrome://flags/#proactive-tab-freeze".
• Asegurado Bloquear contido mixto nas páxinas abertas a través de HTTPS para garantir que as páxinas abertas a través de https:// conteñan só recursos cargados a través dunha canle de comunicación segura. Aínda que os tipos máis perigosos de contido mixto, como scripts e iframes, xa están bloqueados por defecto, as imaxes, os ficheiros de audio e os vídeos aínda se poden descargar a través de http://. O indicador de contido mixto usado anteriormente para tales insercións resultou ineficaz e enganoso para o usuario, xa que non proporciona unha avaliación inequívoca da seguridade da páxina. Por exemplo, mediante a suplantación de imaxes, un atacante pode substituír as cookies de seguimento do usuario, tentar explotar vulnerabilidades dos procesadores de imaxes ou cometer falsificación substituíndo a información proporcionada na imaxe. Para desactivar o bloqueo de compoñentes mixtos, engadiuse unha configuración especial, á que se pode acceder a través do menú que aparece ao facer clic no símbolo do bloqueo.
• Engadiuse a capacidade experimental para compartir contido do portapapeis entre as versións de Chrome para escritorio e móbil. Nos casos de Chrome ligado a unha conta, agora podes acceder ao contido do portapapeis doutro dispositivo, incluíndo compartir o portapapeis entre os sistemas móbiles e de escritorio. O contido do portapapeis está cifrado mediante o cifrado de extremo a extremo, o que impide o acceso ao texto nos servidores de Google. A función está habilitada a través das opcións chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui e chrome://flags#sync-clipboard-service.
• Na barra de enderezos en determinados momentos (por exemplo, ao gardar un contrasinal) cando a sincronización do perfil está desactivada, ademais do avatar, móstrase o nome da conta actual de Google para que o usuario poida identificar con precisión a conta activa actual.
• Activado para o 1% dos usuarios apoiar "DNS sobre HTTPS" (DoH, DNS sobre HTTPS). O experimento só implica usuarios cuxa configuración do sistema xa especificaron provedores de DNS que admitan DoH. Por exemplo, se o usuario ten o DNS 8.8.8.8 especificado na configuración do sistema, entón o servizo DoH de Google ("https://dns.google.com/dns-query") activarase en Chrome; se o DNS é 1.1.1.1. XNUMX, despois o servizo DoH Cloudflare ("https://cloudflare-dns.com/dns-query"), etc. Para controlar se o DoH está activado, ofrécese a configuración "chrome://flags/#dns-over-https". Admítense tres modos de funcionamento: seguro, automático e desactivado. No modo "seguro", os anfitrións determínanse só en función de valores seguros previamente almacenados na memoria caché (recibidos mediante unha conexión segura) e solicitudes a través de DoH; non se aplica a alternativa ao DNS normal. No modo "automático", se o DoH e a caché segura non están dispoñibles, os datos pódense recuperar da caché insegura e acceder a través do DNS tradicional. No modo "desactivado", compróbase primeiro a caché compartida e, se non hai datos, a solicitude envíase a través do DNS do sistema.
• Engadido experimental apoiar almacenamento en caché do contido renderizado ao cambiar de páxina mediante os botóns adiante e atrás, o que pode reducir significativamente os atrasos durante este tipo de navegación debido ao almacenamento en caché completo de toda a páxina, que non require volver renderizar nin cargar recursos. A optimización nótase especialmente na versión para dispositivos móbiles, onde o aumento do rendemento durante a navegación alcanza o 19%. O modo está habilitado mediante a opción "chrome://flags#back-forward-cache".
• Eliminado configurando "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", que permitiu devolver a visualización do protocolo na barra de enderezos (agora todas as ligazóns sempre se mostran sen https :// e http://, e tamén sen “www.”).
• As compilacións para Windows inclúen sandboxing do servizo de reprodución de audio. Para controlar se o illamento está habilitado, proponse a propiedade AudioSandboxEnabled.
• As ferramentas de administración centralizada para as empresas inclúen a capacidade de definir regras que controlan canta memoria pode consumir unha instancia de navegador antes de descargar as pestanas en segundo plano. A memoria liberada despois de descargar unha pestana queda dispoñible para o seu uso e o contido da pestana cárgase de novo ao cambiar a ela.
• Linux usa un procesador de verificación de certificados integrado, que substitúe ao sistema NSS usado anteriormente. Neste caso, o procesador integrado segue a usar o almacén NSS durante a verificación, pero impón requisitos máis estritos ao procesar certificados codificados incorrectamente e certificados por separado (todos os certificados deben estar certificados por unha autoridade de certificación).
• Na versión para a plataforma Android engadido a capacidade de asignar iconas adaptativas para as aplicacións web instaladas que se executan no modo Progressive Web Apps (PWA). As iconas adaptativas poden adaptarse á interface utilizada polo fabricante do dispositivo, por exemplo, sendo redondas, cadradas ou con esquinas suaves.
• Engadido API Dispositivo WebXR, que proporciona acceso a compoñentes para a creación de realidade virtual e aumentada. A API permítelle unificar o traballo con varias clases de dispositivos, desde auriculares de realidade virtual estacionarios como Oculus Rift, HTC Vive e Windows Mixed Reality, ata solucións baseadas en dispositivos móbiles como Google Daydream View e Samsung Gear VR. Entre as aplicacións nas que se pode aplicar a nova API destacan programas para visualizar vídeos en modo 360°, sistemas de visualización de espazos tridimensionales, creación de cines virtuais para a presentación de vídeos, realización de experimentos de creación de interfaces 3D para tendas e galerías;
  

• No modo Probas de orixe (funcións experimentais que requiren separado activación) propuxéronse varias API novas. Origin Trial implica a capacidade de traballar coa API especificada desde aplicacións descargadas desde localhost ou 127.0.0.1, ou despois de rexistrarse e recibir un token especial que é válido por un tempo limitado para un sitio específico.
  • Para todos os elementos HTML, proponse o atributo "rendersubtree", que garante que a visualización do elemento DOM sexa fixa. Establecer o atributo como "invisible" evitará que o contido do elemento sexa renderizado ou inspeccionado, permitindo unha representación optimizada. Cando se define como "activable", o navegador eliminará o atributo invisible, mostrará o contido e facelo visible.
  • Opción API engadida Wake lock baseado no mecanismo Promise, que ofrece unha forma máis segura de controlar a desactivación das pantallas de bloqueo automático e cambiar os dispositivos aos modos de aforro de enerxía.
• Implementouse a capacidade de usar o atributo enfoque automático para todos os elementos HTML e SVG que poden ter foco de entrada.
• Para imaxes e vídeos asegurado Calcula a relación de aspecto en función dos atributos Ancho ou Alto, que se poden usar para determinar o tamaño da imaxe mediante CSS na fase en que a imaxe aínda non se cargou (resolve o problema de reconstruír a páxina despois de cargar as imaxes).
• Engadida propiedade CSS tamaño de letra óptico, que define automaticamente o tamaño variable da fonte en coordenadas ópticas "opsz", se o tipo de letra os admite. O modo permítelle seleccionar a forma de glifo óptima para un tamaño especificado, por exemplo, usar glifos máis contrastantes para os títulos.
• Engadida propiedade CSS tipo de estilo de lista, que lle permite usar calquera símbolo en lugar de puntos nas listas, por exemplo, "-", "+", "★" e "▸".
• Se é imposible executar Worklet.addModule(), agora devólvese un obxecto con información detallada sobre a natureza do erro, o que lle permite avaliar con máis precisión a causa do erro (problemas coa conexión de rede, sintaxe incorrecta, etc.) .).
• Deixou de procesar elementos ao movelos entre documentos. Ao transferir entre documentos, a execución de eventos de "erro" e "carga" relacionados co script tamén está desactivada.
• No motor JavaScript V8 realizadas Optimización do manexo de cambios na representación de campos en obxectos, o que resulta nunha execución de código AngularJS na suite de probas Speedometer funcionando un 4% máis rápido.
  

• V8 tamén optimiza o procesamento dos getters definidos nas API integradas, como Node.nodeType e Node.nodeName, en ausencia dun controlador de IC (caché en liña). O cambio reduciu o tempo de execución do IC nun 12 % aproximadamente cando se executan as probas de Backbone e jQuery da suite Speedometer.
  

• Os resultados do mecanismo OSR (chamado substitución na pila) almacénanse na memoria caché, que substitúe o código optimizado durante a execución da función (permítelle comezar a usar código optimizado para funcións de longa duración sen esperar a que se volvan executar). O caché OSR permite utilizar os resultados da optimización ao volver executar a función, sen necesidade de re-optimizar.
  Nalgunhas probas, o cambio aumentou o rendemento máximo nun 5-18%.
  

• Cambios nas ferramentas para desenvolvedores web:
  Apareceu modo de depuración para determinar os motivos para bloquear unha solicitude ou enviar unha cookie.
  
  • No bloque coa lista de cookies, engadiuse a posibilidade de ver rapidamente o valor da cookie seleccionada facendo clic nunha liña específica.
    

  • Engadiuse a posibilidade de simular diferentes configuracións para as consultas multimedia de preferencias-esquema de cores e preferencias-movemento reducido (por exemplo, para probar o comportamento da páxina cun tema do sistema escuro ou con efectos animados desactivados).
    

  • Modernizouse o deseño da pestana Cobertura, o que permite avaliar o código utilizado e non utilizado. Engadida a posibilidade de filtrar información polo seu tipo (JavaScript, CSS). Tamén se engade información de uso do código cando se mostra o texto de orixe.
    

  • Engadida a posibilidade de depurar os motivos para solicitar un recurso de rede en particular despois de gravar a actividade da rede (podes ver un rastro da chamada de código JavaScript que levou á carga do recurso).
    

  • Engadiuse a configuración "Configuración > Preferencias > Fontes > Sangría predeterminada" para determinar o tipo de sangría (espazos 2/4/8 ou tabulacións) no código que se mostra nos paneis da Consola e Fontes.

Ademais de innovacións e correccións de erros, a nova versión elimina 51 vulnerabilidades. Moitas das vulnerabilidades identificáronse como resultado de probas automatizadas mediante as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Dous problemas (CVE-2019-13725, acceso á memoria xa liberada no código para compatibilidade con Bluetooth, e CVE-2019-13726, desbordamento do montón no xestor de contrasinais) están marcados como críticos, é dicir. permítelle ignorar todos os niveis de protección do navegador e executar código no sistema fóra do entorno sandbox. Esta é a primeira vez que se identifican dous problemas críticos dentro do mesmo ciclo de desenvolvemento en Chrome. A primeira vulnerabilidade foi atopada polos investigadores de Tencent Keen Security Lab e demostrado na competición da Copa Tianfu, e o segundo foi atopado por Sergei Glazunov de Google Project Zero.

Como parte do programa de recompensas en metálico para descubrir vulnerabilidades para a versión actual, Google pagou 37 premios por valor de 80000 dólares (un premio de 20000 dólares, un premio de 10000 dólares, dous premios de 7500 dólares, catro premios de 5000 dólares, un premio de 3000 dólares, dous premios de 2000 dólares e dous premios de $1000). Aínda non se determinou o tamaño das 500 recompensas.

Fonte: opennet.ru