Chrome 79 թողարկում

Google- ը ներկայացրել վեբ բրաուզերի թողարկում Chrome 79. Միաժամանակ հասանելի է անվճար նախագծի կայուն թողարկում Chromium, որը ծառայում է որպես Chrome-ի հիմք։ Chrome բրաուզեր տարբեր Google-ի լոգոների օգտագործում, վթարի դեպքում ծանուցումներ ուղարկելու համակարգի առկայություն, պահանջով Flash մոդուլ ներբեռնելու հնարավորություն, պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներ, որոնման ընթացքում թարմացումների և փոխանցման ավտոմատ տեղադրման համակարգ։ RLZ պարամետրեր. Chrome 80-ի հաջորդ թողարկումը նախատեսված է փետրվարի 4-ին:

Հիմնական փոփոխություններ в Chrome 79:

• ակտիվացված Գաղտնաբառի ստուգման բաղադրիչ, որը նախատեսված է օգտագործողի կողմից օգտագործվող գաղտնաբառերի ուժը վերլուծելու համար: Երբ փորձում եք մուտք գործել որևէ կայք Password Checkup կատարում է մուտքի և գաղտնաբառի ստուգում վտանգված հաշիվների տվյալների բազայի նկատմամբ՝ նախազգուշացումով, եթե խնդիրներ հայտնաբերվեն (ստուգումն իրականացվում է օգտագործողի կողմից հաշ նախածանցի հիման վրա): Ստուգումն իրականացվում է տվյալների բազայի նկատմամբ, որն ընդգրկում է ավելի քան 4 միլիարդ վտանգված հաշիվներ, որոնք հայտնվել են օգտատերերի տվյալների բազաներում արտահոսքի մեջ: Նախազգուշացում է ցուցադրվում նաև, երբ փորձում եք օգտագործել չնչին գաղտնաբառեր, ինչպիսիք են «abc123»: Գաղտնաբառի ստուգման ընդգրկումը վերահսկելու համար հատուկ կարգավորում է ներդրվել «Համաժամեցում և Google ծառայություններ» բաժնում:
• Ներկայացված է իրական ժամանակում ֆիշինգը հայտնաբերելու նոր տեխնոլոգիա։ Նախկինում ստուգումն իրականացվում էր տեղական ներբեռնված Safe Browsing-ի սև ցուցակներին մուտք գործելու միջոցով, որոնք թարմացվում էին մոտավորապես 30 րոպեն մեկ, ինչը անբավարար էր, օրինակ՝ հարձակվողների կողմից տիրույթի հաճախակի փոխարկման պայմաններում։ Նոր մեթոդը թույլ է տալիս անմիջապես ստուգել URL-ները՝ նախնական ստուգմամբ սպիտակ ցուցակների դեմ, որոնք ներառում են հազարավոր հայտնի կայքերի հեշեր, որոնք վստահելի են: Եթե ​​բացվող կայքը սպիտակ ցուցակում չէ, զննարկիչը ստուգում է URL-ը Google-ի սերվերում՝ փոխանցելով հղման SHA-32 հեշի առաջին 256 բիթերը, որոնցից հնարավոր անձնական տվյալները կտրվում են։ Ըստ Google-ի՝ նոր մոտեցումը կարող է 30%-ով բարելավել նոր ֆիշինգ կայքերի համար նախազգուշացումների արդյունավետությունը։
• Ավելացվեց պրոակտիվ պաշտպանություն Google-ի հավատարմագրերի և գաղտնաբառերի կառավարիչում պահվող ցանկացած գաղտնաբառի փոխանցումից ֆիշինգ էջերի միջոցով: Եթե ​​դուք փորձեք մուտքագրել պահպանված գաղտնաբառ մի կայքում, որտեղ այդ գաղտնաբառը սովորաբար չի օգտագործվում, օգտվողը կզգուշացվի պոտենցիալ վտանգավոր գործողության մասին:
• TLS 1.0 և 1.1-ի օգտագործող միացումներն այժմ ցույց են տալիս անապահով կապի ցուցիչ: Լիովին աջակցում է TLS 1.0 և 1.1 հաշմանդամ կլինի Chrome 81-ում, որը նախատեսված է 17 թվականի մարտի 2020-ին:
• Ավելացվել է ոչ ակտիվ ներդիրները սառեցնելու հնարավորությունը, որը թույլ է տալիս ավտոմատ կերպով բեռնաթափել հիշողության ներդիրներից, որոնք ֆոնին են եղել ավելի քան 5 րոպե և չեն կատարել նշանակալի գործողություններ: Սառեցման համար որոշակի ներդիրի համապատասխանության մասին որոշումը կայացվում է էվրիստիկայի հիման վրա: Ֆունկցիան միացնելը վերահսկվում է «chrome://flags/#proactive-tab-freeze» դրոշի միջոցով:
• Ապահովված է HTTPS-ով բացված էջերի խառը բովանդակության արգելափակում, որպեսզի ապահովվի, որ https://-ով բացված էջերը պարունակում են միայն անվտանգ հաղորդակցման ալիքով բեռնված ռեսուրսներ: Թեև խառը բովանդակության ամենավտանգավոր տեսակները, ինչպիսիք են սկրիպտները և iframe-ները, արդեն արգելափակված են լռելյայնորեն, պատկերները, աուդիո ֆայլերը և տեսանյութերը դեռ կարող են ներբեռնվել http://-ի միջոցով: Նման ներդիրների համար նախկինում օգտագործված խառը բովանդակության ցուցիչը անարդյունավետ է և ապակողմնորոշիչ է օգտատիրոջ համար, քանի որ այն չի տալիս էջի անվտանգության միանշանակ գնահատական: Օրինակ՝ պատկերների կեղծման միջոցով հարձակվողը կարող է փոխարինել օգտատերերի հետագծման թխուկները, փորձել օգտագործել պատկերների մշակման խոցելիությունը կամ կեղծել՝ փոխարինելով պատկերում ներկայացված տեղեկատվությունը: Խառը բաղադրիչների կողպումն անջատելու համար ավելացվել է հատուկ կարգավորում, որին կարելի է մուտք գործել ցանկի միջոցով, որը հայտնվում է կողպեքի խորհրդանիշի վրա սեղմելիս:
• Ավելացվեց սեղմատախտակի բովանդակությունը Chrome-ի աշխատասեղանի և բջջային տարբերակների միջև համօգտագործելու փորձնական հնարավորություն: Մեկ հաշվի հետ կապված Chrome-ի օրինակներում այժմ կարող եք մուտք գործել մեկ այլ սարքի սեղմատախտակի բովանդակությունը, ներառյալ՝ շարժական և աշխատասեղանի համակարգերի միջև սեղմատախտակի համօգտագործումը: Քեղատախտակի բովանդակությունը գաղտնագրված է ծայրից ծայր ծածկագրման միջոցով, որը թույլ չի տալիս մուտք գործել տեքստ Google-ի սերվերներում: Ֆունկցիան միացված է chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui և chrome://flags#sync-clipboard-service տարբերակների միջոցով:
• Հասցեների տողում որոշակի պահերին (օրինակ՝ գաղտնաբառ պահելիս), երբ պրոֆիլի համաժամացումը անջատված է, ավատարից բացի, ցուցադրվում է ընթացիկ Google հաշվի անունը, որպեսզի օգտագործողը կարողանա ճշգրիտ նույնականացնել ընթացիկ ակտիվ հաշիվը:
• Ակտիվացված է օգտատերերի 1%-ի համար աջակցություն «DNS HTTPS-ով» (DoH, DNS՝ HTTPS-ով): Փորձը ներառում է միայն այն օգտվողները, որոնց համակարգի կարգավորումներն արդեն նշել են DNS մատակարարներ, որոնք աջակցում են DoH: Օրինակ, եթե օգտվողը ունի DNS 8.8.8.8, որը նշված է համակարգի կարգավորումներում, ապա Google-ի DoH ծառայությունը («https://dns.google.com/dns-query») կակտիվանա Chrome-ում, եթե DNS-ը 1.1.1.1 է: XNUMX, ապա DoH Cloudflare ծառայություն («https://cloudflare-dns.com/dns-query») և այլն: Կառավարելու համար, թե արդյոք DoH-ը միացված է, տրամադրվում է «chrome://flags/#dns-over-https» կարգավորումը: Աջակցվում են երեք գործառնական ռեժիմներ՝ անվտանգ, ավտոմատ և անջատված: «Ապահով» ռեժիմում հոսթները որոշվում են միայն նախկինում պահված անվտանգ արժեքների հիման վրա (ստացված անվտանգ կապի միջոցով) և DoH-ի միջոցով հարցումների հիման վրա, սովորական DNS-ին վերադարձը չի կիրառվում: «Ավտոմատ» ռեժիմում, եթե DoH-ը և ապահով քեշը անհասանելի են, տվյալները կարող են առբերվել անապահով քեշից և մուտք գործել ավանդական DNS-ի միջոցով: «Անջատված» ռեժիմում նախ ստուգվում է ընդհանուր քեշը, և եթե տվյալներ չկան, հարցումն ուղարկվում է համակարգի DNS-ի միջոցով:
• Ավելացվեց փորձնական աջակցություն վերարտադրված բովանդակության քեշավորում՝ էջերը փոխելու ժամանակ՝ օգտագործելով առաջ և հետ կոճակները, ինչը կարող է զգալիորեն նվազեցնել ձգձգումները այս տեսակի նավիգացիայի ժամանակ՝ ամբողջ էջի ամբողջական քեշավորման պատճառով, ինչը չի պահանջում ռեսուրսների վերաարտադրում և բեռնում: Օպտիմալացումը հատկապես նկատելի է շարժական սարքերի համար նախատեսված տարբերակում, որտեղ նավիգացիայի ժամանակ կատարողականի բարձրացումը հասնում է 19%-ի։ Ռեժիմը միացված է «chrome://flags#back-forward-cache» տարբերակի միջոցով:
• Ջնջված է կարգավորում «chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains», որը թույլ է տալիս վերադարձնել արձանագրության ցուցադրումը հասցեագոտում (այժմ բոլոր հղումները միշտ ցուցադրվում են առանց https-ի: :// և http:/ /, ինչպես նաև առանց «www.»-ի):
• Windows-ի համար նախատեսված կառուցվածքները ներառում են աուդիո նվագարկման ծառայության sandboxing: Որպեսզի վերահսկեն, թե արդյոք մեկուսացումը միացված է, առաջարկվում է AudioSandboxEnabled հատկությունը:
• Ձեռնարկությունների համար կենտրոնացված կառավարման գործիքները ներառում են կանոններ սահմանելու հնարավորություն, որոնք վերահսկում են, թե որքան հիշողություն կարող է սպառել զննարկիչի օրինակը նախքան ֆոնային ներդիրները բեռնաթափվելը: Ներդիրը բեռնաթափելուց հետո թողարկված հիշողությունը հասանելի է դառնում օգտագործման համար, և ներդիրի բովանդակությունը կրկին բեռնվում է դրան անցնելիս:
• Linux-ն օգտագործում է ներկառուցված վկայականի ստուգման պրոցեսոր, որը փոխարինում է նախկինում օգտագործված NSS համակարգին։ Այս դեպքում ներկառուցված պրոցեսորը շարունակում է օգտագործել NSS խանութը ստուգման ընթացքում, սակայն ավելի խիստ պահանջներ է դնում սխալ կոդավորված և առանձին հավաստագրված վկայագրերի մշակման ժամանակ (բոլոր վկայագրերը պետք է վավերացված լինեն սերտիֆիկացման մարմնի կողմից):
• Android պլատֆորմի համար նախատեսված տարբերակում ավելացրել է Պրոգրեսիվ վեբ հավելվածների (PWA) ռեժիմով աշխատող տեղադրված վեբ հավելվածների համար հարմարվողական պատկերակներ նշանակելու ունակություն: Հարմարվող պատկերակները կարող են հարմարվել սարքի արտադրողի կողմից օգտագործվող ինտերֆեյսին, օրինակ՝ լինելով կլոր, քառակուսի կամ հարթ անկյուններով:
• Ավելացված է API WebXR սարք, որն ապահովում է վիրտուալ և ընդլայնված իրականություն ստեղծելու բաղադրիչներին հասանելիություն։ API-ն թույլ է տալիս միավորել տարբեր դասերի սարքերի հետ աշխատանքը՝ սկսած անշարժ վիրտուալ իրականության ականջակալներից, ինչպիսիք են Oculus Rift-ը, HTC Vive-ը և Windows Mixed Reality-ը, մինչև լուծումներ՝ հիմնված բջջային սարքերի վրա, ինչպիսիք են Google Daydream View-ը և Samsung Gear VR-ը: Ծրագրերը, որոնցում նոր API-ն կարող է կիրառելի է, ներառում են 360° ռեժիմով տեսանյութ դիտելու ծրագրեր, եռաչափ տարածության վիզուալիզացման համակարգեր, վիդեոներկայացման համար վիրտուալ կինոթատրոններ ստեղծելու, խանութների և պատկերասրահների համար 3D ինտերֆեյս ստեղծելու փորձեր անցկացնելը.
  

• Origin Trials ռեժիմում (փորձարարական հատկանիշներ, որոնք պահանջում են առանձին ակտիվացում) առաջարկվել են մի քանի նոր API-ներ: Origin Trial-ը ենթադրում է նշված API-ի հետ աշխատելու հնարավորություն՝ localhost-ից կամ 127.0.0.1-ից ներբեռնված հավելվածներից, կամ գրանցվելուց և հատուկ նշան ստանալուց հետո, որը վավեր է որոշակի կայքի համար սահմանափակ ժամանակով:
  • Բոլոր HTML տարրերի համար առաջարկվում է «rendersubtree» հատկանիշը, որն ապահովում է DOM տարրի ցուցադրման ամրագրումը։ Հատկանիշը «անտեսանելի» դնելը թույլ չի տա տարրի բովանդակության ցուցադրումը կամ ստուգումը, ինչը թույլ կտա օպտիմիզացված արտապատկերումը: Երբ սահմանվի «ակտիվացվող», զննարկիչը կհեռացնի անտեսանելի հատկանիշը, կդարձնի բովանդակությունը և կդարձնի այն տեսանելի:
  • Ավելացվեց API տարբերակ Wake lock հիմնված է Promise մեխանիզմի վրա, որն ապահովում է ավելի անվտանգ միջոց՝ վերահսկելու ավտոմատ կողպման էկրանների անջատումը և սարքերը էներգախնայողության ռեժիմների անցնելը:
• Իրականացրել է հատկանիշն օգտագործելու ունակությունը ավտոֆոկուս բոլոր HTML և SVG տարրերի համար, որոնք կարող են ունենալ մուտքային ֆոկուս:
• Պատկերների և տեսանյութերի համար ապահովված Հաշվեք կողմերի հարաբերակցությունը՝ հիմնվելով Width կամ Height ատրիբուտների վրա, որոնք կարող են օգտագործվել CSS-ի միջոցով պատկերի չափը որոշելու համար այն փուլում, երբ պատկերը դեռ չի բեռնվել (լուծում է պատկերների բեռնումից հետո էջը վերակառուցելու խնդիրը):
• Ավելացվեց CSS հատկություն font-optical-sizing, որն ավտոմատ կերպով սահմանում է տառատեսակի փոփոխական չափը օպտիկական կոորդինատներում:opsz«, եթե տառատեսակը աջակցում է դրանք։ Ռեժիմը թույլ է տալիս ընտրել որոշակի չափսի օպտիմալ հոլովակի ձևը, օրինակ՝ վերնագրերի համար օգտագործել ավելի հակապատկեր հոլովներ:
• Ավելացվեց CSS հատկություն ցուցակ-ոճ-տիպ, որը թույլ է տալիս ցուցակներում կետերի փոխարեն օգտագործել ցանկացած նշան, օրինակ՝ «-», «+», «★» և «▸»:
• Եթե ​​անհնար է գործարկել Worklet.addModule(), ապա այժմ օբյեկտը վերադարձվում է սխալի բնույթի մասին մանրամասն տեղեկություններով, ինչը թույլ է տալիս ավելի ճշգրիտ գնահատել սխալի պատճառը (ցանցային կապի հետ կապված խնդիրներ, սխալ շարահյուսություն և այլն): .).
• Դադարեցվել է իրերի մշակումը при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScript V8 շարժիչում իրականացվել է Օբյեկտներում դաշտերի ներկայացման փոփոխությունների մշակման օպտիմիզացում, ինչը հանգեցնում է AngularJS կոդի կատարմանը Speedometer-ի թեստային փաթեթում 4%-ով ավելի արագ:
  

• V8-ը նաև օպտիմիզացնում է ներկառուցված API-ներում սահմանված ստացողների մշակումը, ինչպիսիք են Node.nodeType-ը և Node.nodeName-ը, IC մշակողի բացակայության դեպքում (ներկառուցված քեշավորում): Փոփոխությունը նվազեցրեց IC-ի գործարկման ժամանակը մոտավորապես 12%-ով, երբ գործարկվում էր Backbone և jQuery թեստերը Speedometer փաթեթից:
  

• OSR-ի (կոչվում է on-stack-ի փոխարինում) մեխանիզմի արդյունքները պահվում են քեշում, որը փոխարինում է օպտիմիզացված կոդը ֆունկցիայի կատարման ժամանակ (թույլ է տալիս սկսել օպտիմիզացված կոդ օգտագործել երկարատև գործառույթների համար՝ չսպասելով, որ դրանք նորից գործարկվեն): OSR caching-ը հնարավորություն է տալիս օգտագործել օպտիմիզացման արդյունքները գործառույթը վերագործարկելիս՝ առանց վերաօպտիմիզացիայի անցնելու անհրաժեշտության:
  Որոշ թեստերում փոփոխությունը բարձրացրել է առավելագույն կատարողականությունը 5-18%-ով:
  

• Վեբ մշակողների գործիքների փոփոխություններ.
  Հայտնվեց վրիպազերծման ռեժիմ՝ հարցումն արգելափակելու կամ թխուկ ուղարկելու պատճառները որոշելու համար:
  
  • Cookie ցուցակով բլոկում ավելացվել է ընտրված թխուկի արժեքը արագ դիտելու հնարավորությունը՝ սեղմելով կոնկրետ տողի վրա:
    

  • Ավելացվել է նախընտրելի գույների սխեմայի և նախընտրում է կրճատված շարժման մեդիա հարցումների տարբեր կարգավորումներ մոդելավորելու ունակություն (օրինակ՝ էջի վարքագիծը ստուգելու մութ համակարգի թեմայով կամ անիմացիոն էֆեկտներով անջատված):
    

  • Ծածկույթի ներդիրի դիզայնը արդիականացվել է, ինչը թույլ է տալիս գնահատել օգտագործված և չօգտագործված կոդը: Ավելացվել է տեղեկատվությունը զտելու հնարավորությունն ըստ իր տեսակի (JavaScript, CSS): Կոդերի օգտագործման մասին տեղեկությունները ավելացվում են նաև սկզբնաղբյուր տեքստը ցուցադրելիս:
    

  • Ավելացվեց ցանցի ակտիվությունը գրանցելուց հետո որոշակի ցանցային ռեսուրս պահանջելու պատճառները վրիպազերծելու հնարավորությունը (կարող եք դիտել JavaScript կոդի զանգի հետքը, որը հանգեցրել է ռեսուրսի բեռնմանը):
    

  • Ավելացվեց «Կարգավորումներ > Նախապատվություններ > Աղբյուրներ > Լռելյայն նահանջ» պարամետրը` Վահանակի և Աղբյուրների վահանակներում ցուցադրվող կոդի մեջ ներքևի տեսակը (2/4/8 բացատ կամ ներդիր) որոշելու համար:

Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 51 խոցելիություն: Խոցելիություններից շատերը հայտնաբերվել են ավտոմատացված թեստավորման արդյունքում՝ օգտագործելով AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer և AFL գործիքները: Երկու խնդիր (CVE-2019-13725, Bluetooth-ի աջակցության կոդում արդեն ազատված հիշողություն մուտք գործելը և CVE-2019-13726, գաղտնաբառերի կառավարիչում կույտային արտահոսք) նշվում են որպես կարևոր, այսինքն. թույլ է տալիս շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել ավազի տուփից դուրս: Սա առաջին դեպքն է, երբ հայտնաբերվում են երկու կարևոր խնդիրներ Chrome-ի զարգացման նույն ցիկլի ընթացքում: Առաջին խոցելիությունը հայտնաբերել են Tencent Keen Security Lab-ի և ցուցադրվել է Tianfu Cup մրցույթում, իսկ երկրորդը գտել է Սերգեյ Գլազունովը Google Project Zero-ից։

Որպես ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար կանխիկ դրամական պարգևատրման ծրագրի մաս՝ Google-ը վճարել է 37 պարգև՝ 80000 դոլար արժողությամբ (մեկ $20000, մեկ $10000, երկու $7500, չորս $5000, մեկ $3000, երկու $2000 և $1000 մրցանակ։ $500 մրցանակ): 15 պարգեւների չափը դեռ որոշված ​​չէ։

Source: opennet.ru