Rilis Chrome 79

Google disajikan rilis browser web Krom 79... Serentak tersedia rilis stabil dari proyek gratis Khrom, yang merupakan dasar dari Chrome. Peramban Chrome berbeda penggunaan logo Google, adanya sistem pengiriman notifikasi jika terjadi crash, kemampuan mendownload modul Flash berdasarkan permintaan, modul untuk memutar konten video yang dilindungi (DRM), sistem untuk menginstal pembaruan dan transmisi secara otomatis selama pencarian parameter RLZ. Rilis Chrome 80 berikutnya dijadwalkan pada 4 Februari.

Utama perubahan в Chrome 79:

• diaktifkan Komponen Pemeriksaan Kata Sandi, dirancang untuk menganalisis kekuatan kata sandi yang digunakan oleh pengguna. Saat mencoba masuk ke situs mana pun, Pemeriksaan Kata Sandi memenuhi memeriksa login dan kata sandi terhadap database akun yang disusupi dengan peringatan jika masalah terdeteksi (pemeriksaan dilakukan berdasarkan awalan hash di sisi pengguna). Pemeriksaan dilakukan terhadap database yang mencakup lebih dari 4 miliar akun yang disusupi yang muncul di database pengguna yang bocor. Peringatan juga ditampilkan ketika mencoba menggunakan kata sandi sepele seperti "abc123". Untuk mengontrol penyertaan Pemeriksaan Kata Sandi, pengaturan khusus telah diterapkan di bagian “Sinkronisasi dan Layanan Google”.
• Sebuah teknologi baru untuk mendeteksi phishing secara real time dihadirkan. Sebelumnya, verifikasi dilakukan dengan mengakses daftar hitam Penjelajahan Aman yang diunduh secara lokal, yang diperbarui kira-kira setiap 30 menit sekali, yang ternyata tidak cukup, misalnya, dalam kondisi seringnya peralihan domain oleh penyerang. Metode baru ini memungkinkan Anda memeriksa URL dengan cepat dengan pemeriksaan awal terhadap daftar putih yang menyertakan hash dari ribuan situs populer yang dapat dipercaya. Jika situs yang dibuka tidak ada dalam daftar putih, browser memeriksa URL di server Google, mengirimkan 32 bit pertama hash SHA-256 dari tautan tersebut, yang darinya kemungkinan data pribadi dipotong. Menurut Google, pendekatan baru ini dapat meningkatkan efektivitas peringatan untuk situs phishing baru sebesar 30%.
• Menambahkan perlindungan proaktif terhadap transfer kredensial Google dan sandi apa pun yang disimpan di pengelola sandi melalui halaman phishing. Jika Anda mencoba memasukkan kata sandi yang disimpan di situs yang biasanya tidak menggunakan kata sandi tersebut, pengguna akan diperingatkan tentang tindakan yang berpotensi berbahaya.
• Koneksi yang menggunakan TLS 1.0 dan 1.1 kini menunjukkan indikator koneksi tidak aman. Mendukung penuh TLS 1.0 dan 1.1 akan dinonaktifkan di Chrome 81, dijadwalkan pada 17 Maret 2020.
• Menambahkan kemampuan untuk membekukan tab yang tidak aktif, memungkinkan Anda untuk secara otomatis membongkar tab dari memori yang telah berada di latar belakang selama lebih dari 5 menit dan tidak melakukan tindakan signifikan. Keputusan tentang kesesuaian tab tertentu untuk pembekuan dibuat berdasarkan heuristik. Mengaktifkan fungsi ini dikontrol melalui tanda “chrome://flags/#proactive-tab-freeze”.
• dijamin Memblokir konten campuran pada halaman yang dibuka melalui HTTPS untuk memastikan bahwa halaman yang dibuka melalui https:// hanya berisi sumber daya yang dimuat melalui saluran komunikasi yang aman. Meskipun jenis konten campuran yang paling berbahaya, seperti skrip dan iframe, sudah diblokir secara default, gambar, file audio, dan video masih dapat diunduh melalui http://. Indikator konten campuran yang sebelumnya digunakan untuk sisipan tersebut ternyata tidak efektif dan menyesatkan pengguna, karena tidak memberikan penilaian yang jelas terhadap keamanan halaman. Misalnya, melalui spoofing gambar, penyerang dapat mengganti Cookie pelacakan pengguna, mencoba mengeksploitasi kerentanan dalam pemroses gambar, atau melakukan pemalsuan dengan mengganti informasi yang diberikan dalam gambar. Untuk menonaktifkan penguncian komponen campuran, telah ditambahkan pengaturan khusus, yang dapat diakses melalui menu yang muncul ketika Anda mengklik simbol kunci.
• Menambahkan kemampuan eksperimental untuk berbagi konten papan klip antara Chrome versi desktop dan seluler. Jika Chrome ditautkan ke satu akun, kini Anda dapat mengakses konten papan klip perangkat lain, termasuk berbagi papan klip antara sistem seluler dan desktop. Konten papan klip dienkripsi menggunakan enkripsi ujung ke ujung, yang mencegah akses ke teks di server Google. Fungsi ini diaktifkan melalui opsi chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui dan chrome://flags#sync-clipboard-service.
• Di bilah alamat pada saat-saat tertentu (misalnya, saat menyimpan kata sandi) ketika sinkronisasi profil dimatikan, selain avatar, nama akun Google saat ini juga ditampilkan sehingga pengguna dapat mengidentifikasi akun aktif saat ini secara akurat.
• Diaktifkan untuk 1% pengguna mendukung “DNS melalui HTTPS” (DoH, DNS melalui HTTPS). Eksperimen ini hanya melibatkan pengguna yang pengaturan sistemnya telah menentukan penyedia DNS yang mendukung DoH. Misalnya, jika pengguna memiliki DNS 8.8.8.8 yang ditentukan dalam pengaturan sistem, maka layanan DoH Google (“https://dns.google.com/dns-query”) akan diaktifkan di Chrome; jika DNS-nya adalah 1.1.1.1. XNUMX, lalu layanan DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), dll. Untuk mengontrol apakah DoH diaktifkan, pengaturan “chrome://flags/#dns-over-https” disediakan. Tiga mode pengoperasian didukung: aman, otomatis, dan mati. Dalam mode “aman”, host ditentukan hanya berdasarkan nilai aman yang di-cache sebelumnya (diterima melalui koneksi aman) dan permintaan melalui DoH; penggantian ke DNS biasa tidak diterapkan. Dalam mode “otomatis”, jika DoH dan cache aman tidak tersedia, data dapat diambil dari cache yang tidak aman dan diakses melalui DNS tradisional. Dalam mode “mati”, cache bersama diperiksa terlebih dahulu dan jika tidak ada data, permintaan dikirim melalui DNS sistem.
• Menambahkan eksperimental mendukung menyimpan konten yang dirender dalam cache saat mengubah halaman menggunakan tombol maju dan kembali, yang secara signifikan dapat mengurangi penundaan selama jenis navigasi ini karena cache lengkap seluruh halaman, yang tidak memerlukan rendering ulang dan memuat sumber daya. Pengoptimalan ini terutama terlihat pada versi untuk perangkat seluler, di mana peningkatan kinerja selama navigasi mencapai 19%. Mode ini diaktifkan menggunakan opsi “chrome://flags#back-forward-cache”.
• Dihapus pengaturan "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", yang memungkinkan untuk mengembalikan tampilan protokol di bilah alamat (sekarang semua tautan selalu ditampilkan tanpa https :// dan http:/ /, dan juga tanpa “www.”).
• Build untuk Windows menyertakan sandboxing dari layanan pemutaran audio. Untuk mengontrol apakah isolasi diaktifkan, properti AudioSandboxEnabled diusulkan.
• Alat administrasi terpusat untuk perusahaan mencakup kemampuan untuk menentukan aturan yang mengontrol berapa banyak memori yang dapat digunakan oleh instance browser sebelum tab latar belakang dibongkar. Memori yang dilepaskan setelah membongkar tab menjadi tersedia untuk digunakan, dan konten tab dimuat kembali saat beralih ke tab tersebut.
• Linux menggunakan prosesor verifikasi sertifikat bawaan, yang menggantikan sistem NSS yang digunakan sebelumnya. Dalam hal ini, prosesor internal terus menggunakan penyimpanan NSS selama verifikasi, tetapi memberlakukan persyaratan yang lebih ketat saat memproses sertifikat yang dikodekan secara salah dan disertifikasi secara terpisah (semua sertifikat harus disertifikasi oleh otoritas sertifikasi).
• Dalam versi untuk platform Android ditambahkan kemampuan untuk menetapkan ikon adaptif untuk aplikasi web terinstal yang berjalan dalam mode Aplikasi Web Progresif (PWA). Ikon adaptif dapat beradaptasi dengan antarmuka yang digunakan oleh produsen perangkat, misalnya berbentuk bulat, persegi, atau dengan sudut halus.
• Ditambahkan API Perangkat WebXR, yang menyediakan akses ke komponen untuk membuat realitas virtual dan augmented. API ini memungkinkan Anda menyatukan pekerjaan dengan berbagai kelas perangkat, mulai dari headset realitas virtual stasioner seperti Oculus Rift, HTC Vive, dan Windows Mixed Reality, hingga solusi berbasis perangkat seluler seperti Google Daydream View dan Samsung Gear VR. Aplikasi di mana API baru dapat diterapkan mencakup program untuk melihat video dalam mode 360°, sistem untuk memvisualisasikan ruang tiga dimensi, membuat bioskop virtual untuk presentasi video, melakukan eksperimen dalam membuat antarmuka 3D untuk toko dan galeri;
  

• Dalam mode Uji Coba Asal (fitur eksperimental yang memerlukan uji coba terpisah pengaktifan) beberapa API baru telah diusulkan. Uji Coba Asal menyiratkan kemampuan untuk bekerja dengan API tertentu dari aplikasi yang diunduh dari localhost atau 127.0.0.1, atau setelah mendaftar dan menerima token khusus yang berlaku untuk waktu terbatas untuk situs tertentu.
  • Untuk semua elemen HTML, atribut “rendersubtree” diusulkan, yang memastikan bahwa tampilan elemen DOM diperbaiki. Menyetel atribut ke "tidak terlihat" akan mencegah konten elemen dirender atau diperiksa, sehingga memungkinkan rendering yang dioptimalkan. Jika disetel ke "dapat diaktifkan", browser akan menghapus atribut tak terlihat, merender konten, dan membuatnya terlihat.
  • Menambahkan opsi API Kunci bangun berdasarkan mekanisme Promise, yang menyediakan cara yang lebih aman untuk mengontrol penonaktifan layar kunci otomatis dan mengalihkan perangkat ke mode hemat daya.
• Menerapkan kemampuan untuk menggunakan atribut autofocus untuk semua elemen HTML dan SVG yang dapat memiliki fokus masukan.
• Untuk gambar dan video dijamin Hitung rasio aspek berdasarkan atribut Lebar atau Tinggi, yang dapat digunakan untuk menentukan ukuran gambar menggunakan CSS pada tahap ketika gambar belum dimuat (menyelesaikan masalah dengan membangun kembali halaman setelah gambar dimuat).
• Menambahkan properti CSS ukuran font-optik, yang secara otomatis mengatur ukuran font variabel dalam koordinat optik "opsz", jika font mendukungnya. Mode ini memungkinkan Anda memilih bentuk mesin terbang yang optimal untuk ukuran tertentu, misalnya, menggunakan mesin terbang yang lebih kontras untuk judul.
• Menambahkan properti CSS tipe gaya daftar, yang memungkinkan Anda menggunakan simbol apa pun alih-alih titik dalam daftar, misalnya, “-“, “+”, “★” dan “▸”.
• Jika tidak mungkin menjalankan Worklet.addModule(), sebuah objek kini dikembalikan dengan informasi mendetail tentang sifat kesalahan, yang memungkinkan Anda menilai penyebab kesalahan dengan lebih akurat (masalah dengan koneksi jaringan, sintaksis yang salah, dll. .).
• Berhenti memproses item при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• Di mesin JavaScript V8 dilakukan Optimalisasi penanganan perubahan representasi bidang dalam objek, menghasilkan eksekusi kode AngularJS di rangkaian pengujian Speedometer berjalan 4% lebih cepat.
  

• V8 juga mengoptimalkan pemrosesan getter yang ditentukan dalam API bawaan, seperti Node.nodeType dan Node.nodeName, jika tidak ada pengendali IC (inline caching). Perubahan tersebut mengurangi waktu yang dihabiskan pada runtime IC sekitar 12% saat menjalankan pengujian Backbone dan jQuery dari rangkaian Speedometer.
  

• Hasil mekanisme OSR (disebut penggantian on-stack) di-cache, yang menggantikan kode yang dioptimalkan selama eksekusi fungsi (memungkinkan Anda mulai menggunakan kode yang dioptimalkan untuk fungsi yang berjalan lama tanpa menunggu fungsi tersebut dijalankan kembali). Caching OSR memungkinkan untuk menggunakan hasil optimasi saat menjalankan kembali fungsi, tanpa perlu melalui optimasi ulang.
  Dalam beberapa pengujian, perubahan tersebut meningkatkan kinerja puncak sebesar 5–18%.
  

• Perubahan alat untuk pengembang web:
  Telah muncul mode debugging untuk menentukan alasan pemblokiran permintaan atau pengiriman Cookie.
  
  • Di blok dengan daftar Cookie, kemampuan untuk melihat dengan cepat nilai Cookie yang dipilih telah ditambahkan dengan mengklik baris tertentu.
    

  • Menambahkan kemampuan untuk mensimulasikan pengaturan yang berbeda untuk skema warna pilihan dan kueri media gerakan yang dikurangi (misalnya, untuk menguji perilaku halaman dengan tema sistem gelap atau dengan efek animasi dinonaktifkan).
    

  • Desain tab Cakupan telah dimodernisasi, memungkinkan Anda mengevaluasi kode yang digunakan dan tidak digunakan. Menambahkan kemampuan untuk memfilter informasi berdasarkan jenisnya (JavaScript, CSS). Informasi penggunaan kode juga ditambahkan saat menampilkan teks sumber.
    

  • Menambahkan kemampuan untuk men-debug alasan meminta sumber daya jaringan tertentu setelah merekam aktivitas jaringan (Anda dapat melihat jejak panggilan kode JavaScript yang menyebabkan pemuatan sumber daya).
    

  • Menambahkan pengaturan “Pengaturan > Preferensi > Sumber > Indentasi Default” untuk menentukan jenis indentasi (spasi atau tab 2/4/8) dalam kode yang ditampilkan di panel Konsol dan Sumber.

Selain inovasi dan perbaikan bug, versi baru ini menghilangkan 51 kerentanan. Banyak kerentanan yang diidentifikasi sebagai hasil pengujian otomatis menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Dua masalah (CVE-2019-13725, mengakses memori yang sudah dibebaskan dalam kode untuk dukungan Bluetooth, dan CVE-2019-13726, heap overflow di pengelola kata sandi) ditandai sebagai kritis, yaitu. memungkinkan Anda melewati semua tingkat perlindungan browser dan mengeksekusi kode pada sistem di luar lingkungan sandbox. Ini adalah pertama kalinya dua masalah kritis teridentifikasi dalam siklus pengembangan yang sama di Chrome. Kerentanan pertama ditemukan oleh peneliti dari Tencent Keen Security Lab dan didemonstrasikan di kompetisi Piala Tianfu, dan yang kedua ditemukan oleh Sergei Glazunov dari Google Project Zero.

Sebagai bagian dari program hadiah uang tunai untuk menemukan kerentanan pada rilis saat ini, Google membayar 37 penghargaan senilai $80000 (satu penghargaan $20000, satu penghargaan $10000, dua penghargaan $7500, empat penghargaan $5000, satu penghargaan $3000, dua penghargaan $2000, dua penghargaan $1000 dan delapan penghargaan $500). Besaran 15 hadiah belum ditentukan.

Sumber: opennet.ru