Chrome útgáfa 79

Google fram útgáfu vefvafra Chrome 79... Samtímis laus stöðug útgáfa af ókeypis verkefni Króm, sem þjónar sem grunnur Chrome. Chrome vafri öðruvísi notkun Google lógóa, tilvist kerfis til að senda tilkynningar ef hrun er, möguleiki á að hlaða niður Flash-einingu sé þess óskað, einingar til að spila verndað myndbandsefni (DRM), kerfi til að setja upp uppfærslur sjálfkrafa og senda meðan á leit stendur. RLZ breytur. Næsta útgáfa af Chrome 80 er áætluð 4. febrúar.

Helstu breytingar в Chrome 79:

• virkjað Lykilorðsskoðunarhluti, hannaður til að greina styrk lykilorða sem notandinn notar. Þegar þú reynir að skrá þig inn á hvaða síðu sem er Lykilorðsskoðun uppfyllir athuga innskráningu og lykilorð á móti gagnagrunni yfir reikninga í hættu með viðvörun ef vandamál finnast (athugun fer fram á grundvelli kjötkássaforskeytis á hlið notandans). Athugunin fer fram á gagnagrunni sem nær yfir meira en 4 milljarða reikninga í hættu sem birtust í notendagagnagrunnum sem lekið var. Viðvörun birtist einnig þegar reynt er að nota léttvæg lykilorð eins og „abc123“. Til að stjórna skráningu lykilorðaskoðunar hefur sérstök stilling verið innleidd í hlutanum „Samstilling og þjónustu Google“.
• Ný tækni til að greina vefveiðar í rauntíma er kynnt. Áður var staðfesting framkvæmd með því að fá aðgang að staðbundnum niðurhaluðum bannlista fyrir örugga vafra, sem voru uppfærðir um það bil einu sinni á 30 mínútna fresti, sem reyndist ófullnægjandi, til dæmis við aðstæður þar sem árásarmenn skiptu oft um lén. Nýja aðferðin gerir þér kleift að athuga vefslóðir á flugi með bráðabirgðaathugun gegn hvítlistum sem innihalda kjötkássa þúsunda vinsælra vefsvæða sem eru áreiðanlegar. Ef vefsíðan sem verið er að opna er ekki á hvíta listanum athugar vafrinn slóðina á Google þjóninum og sendir fyrstu 32 bitana af SHA-256 kjötkássa hlekksins, sem hugsanlegar persónuupplýsingar eru skornar út úr. Samkvæmt Google getur nýja nálgunin bætt skilvirkni viðvarana fyrir nýjar vefveiðar um 30%.
• Bætt við fyrirbyggjandi vörn gegn flutningi á Google skilríkjum og öllum lykilorðum sem geymd eru í lykilorðastjóranum í gegnum vefveiðarsíður. Ef þú reynir að slá inn vistað lykilorð á síðu þar sem það lykilorð er venjulega ekki notað verður notandinn varaður við hugsanlega hættulegri aðgerð.
• Tengingar sem nota TLS 1.0 og 1.1 sýna nú óöruggan tengingarvísi. Styður TLS 1.0 og 1.1 að fullu verður óvirkt í Chrome 81, áætlaður 17. mars 2020.
• Bætti við möguleikanum á að frysta óvirka flipa, sem gerir þér kleift að afhlaða sjálfkrafa af minnisflipa sem hafa verið í bakgrunni í meira en 5 mínútur og framkvæma ekki verulegar aðgerðir. Ákvörðun um hæfi tiltekins flipa til frystingar er tekin á grundvelli heuristics. Kveikt er á aðgerðinni með „chrome://flags/#proactive-tab-freeze“ fánanum.
• Tryggt Lokað á blandað efni á síðum sem eru opnaðar í gegnum HTTPS til að tryggja að síður sem opnaðar eru yfir https:// innihaldi aðeins tilföng sem eru hlaðin yfir örugga samskiptarás. Jafnvel þó að hættulegustu tegundir blandaðs efnis, eins og forskriftir og iframes, séu nú þegar læstar sjálfgefið, gæti samt verið hlaðið niður myndum, hljóðskrám og myndböndum í gegnum http://. Vísirinn sem áður var notaður fyrir blandað efni fyrir slíkar innskot reyndist óvirkur og villandi fyrir notandann, þar sem hann gefur ekki ótvírætt mat á öryggi síðunnar. Til dæmis, með myndskemmdum, getur árásarmaður komið í staðinn fyrir notendarakningarkökur, reynt að nýta sér veikleika í myndvinnslum eða framið fölsun með því að skipta út upplýsingum sem gefnar eru upp á myndinni. Til að slökkva á læsingu á blönduðum íhlutum hefur verið bætt við sérstakri stillingu sem hægt er að nálgast í gegnum valmyndina sem birtist þegar smellt er á læsingartáknið.
• Bætti við tilraunagetu til að deila efni á klemmuspjaldi milli skjáborðsútgáfu og farsímaútgáfu af Chrome. Í tilfellum þar sem Chrome er tengt við einn reikning geturðu nú fengið aðgang að innihaldi klemmuspjaldsins í öðru tæki, þar á meðal að deila klemmuspjaldinu á milli farsíma- og tölvukerfa. Innihald klemmuspjaldsins er dulkóðað með dulkóðun frá enda til enda, sem kemur í veg fyrir aðgang að textanum á netþjónum Google. Aðgerðin er virkjuð í gegnum valkostina chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui og chrome://flags#sync-clipboard-service.
• Í veffangastikunni á ákveðnum augnablikum (til dæmis þegar þú vistar lykilorð) þegar slökkt er á samstillingu prófílsins, auk avatarsins, birtist nafn núverandi Google reiknings svo að notandinn geti nákvæmlega auðkennt núverandi virka reikning.
• Virkjað fyrir 1% notenda styðja „DNS yfir HTTPS“ (DoH, DNS yfir HTTPS). Tilraunin tekur aðeins til notenda sem hafa þegar tilgreint DNS veitendur sem styðja DoH. Til dæmis, ef notandinn er með DNS 8.8.8.8 sem tilgreint er í kerfisstillingunum, þá verður DoH þjónusta Google („https://dns.google.com/dns-query“) virkjuð í Chrome; ef DNS er 1.1.1.1. XNUMX, síðan DoH Cloudflare þjónusta ("https://cloudflare-dns.com/dns-query") o.s.frv. Til að stjórna því hvort DoH sé virkt er „chrome://flags/#dns-over-https“ stillingin til staðar. Þrjár aðgerðastillingar eru studdar: örugg, sjálfvirk og slökkt. Í „öruggri“ stillingu eru hýsingar aðeins ákvarðaðir út frá öruggum gildum sem áður hafa verið vistuð í skyndiminni (móttekin í gegnum örugga tengingu) og beiðnum um DoH; afturför í venjulegt DNS er ekki beitt. Í „sjálfvirku“ stillingunni, ef DoH og örugga skyndiminni eru ekki tiltæk, er hægt að sækja gögn úr óörugga skyndiminni og fá aðgang að þeim í gegnum hefðbundið DNS. Í „slökkt“ ham er samnýtt skyndiminni fyrst athugað og ef engin gögn eru til er beiðnin send í gegnum DNS kerfið.
• Bætt við tilraunastarfsemi styðja skyndiminni á birtu efni þegar skipt er um síður með því að nota fram- og afturhnappana, sem getur dregið verulega úr töfum á þessari tegund flakks vegna fullkomins skyndiminni á allri síðunni, sem krefst ekki endurbirtingar og hleðslu á tilföngum. Hagræðingin er sérstaklega áberandi í útgáfunni fyrir farsíma, þar sem frammistöðuaukningin á leiðsögn nær 19%. Stillingin er virkjuð með því að nota „chrome://flags#back-forward-cache“ valkostinn.
• Eytt stilling „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains“, sem gerði kleift að skila birtingu samskiptareglunnar í veffangastikunni (nú eru allir tenglar alltaf sýndir án https :// og http:// /, og einnig án „www.“).
• Byggingar fyrir Windows innihalda sandkassa í hljóðspilunarþjónustunni. Til að stjórna því hvort einangrun sé virkjuð er AudioSandboxEnabled eignin lögð til.
• Miðstýrð stjórnunarverkfæri fyrir fyrirtæki fela í sér möguleikann á að skilgreina reglur sem stjórna því hversu mikið minni vafratilvik geta neytt áður en bakgrunnsflipar eru afhlaðnir. Minnið sem losnar eftir að flipa hefur verið afhlaðin verður tiltækt til notkunar og innihald flipans hlaðast aftur þegar skipt er yfir í hann.
• Linux notar innbyggðan vottunarstaðfestingargjörva, sem kemur í stað NSS kerfisins sem áður var notað. Í þessu tilviki heldur innbyggði örgjörvinn áfram að nota NSS verslunina meðan á sannprófun stendur, en setur strangari kröfur þegar unnið er með rangt kóðuð og sérvottuð vottorð (öll vottorð verða að vera vottuð af vottunaryfirvöldum).
• Í útgáfunni fyrir Android vettvang bætt við getu til að úthluta aðlögunartáknum fyrir uppsett vefforrit sem keyra í Progressive Web Apps (PWA) ham. Aðlögunartákn geta lagað sig að viðmótinu sem framleiðandi tækisins notar, til dæmis að vera kringlótt, ferningur eða með slétt horn.
• Bætt við API WebXR tæki, sem veitir aðgang að íhlutum til að búa til sýndar- og aukinn veruleika. API gerir þér kleift að sameina vinnu með ýmsum flokkum tækja, allt frá kyrrstæðum sýndarveruleika heyrnartólum eins og Oculus Rift, HTC Vive og Windows Mixed Reality, til lausna sem byggja á fartækjum eins og Google Daydream View og Samsung Gear VR. Forrit þar sem nýja API gæti átt við eru meðal annars forrit til að skoða myndband í 360° stillingu, kerfi til að sjá fyrir sér þrívítt rými, búa til sýndarbíó til kynningar á myndbandi, gera tilraunir til að búa til þrívíddarviðmót fyrir verslanir og gallerí;
  

• Í upprunaprófunarham (tilraunaeiginleikar sem krefjast sérstakrar virkjun) Nokkur ný API hafa verið lögð til. Uppruni prufa felur í sér getu til að vinna með tilgreint API úr forritum sem hlaðið er niður frá localhost eða 127.0.0.1, eða eftir að hafa skráð og fengið sérstakan tákn sem gildir í takmarkaðan tíma fyrir tiltekna síðu.
  • Fyrir alla HTML þætti er „rendersubtree“ eigindin lögð til, sem tryggir að birting DOM einingarinnar sé fast. Með því að stilla eigindina á „ósýnilegt“ kemur í veg fyrir að efni þáttarins sé birt eða skoðað, sem gerir kleift að bjartsýni flutnings. Þegar stillt er á „virkjanlegt“ mun vafrinn fjarlægja ósýnilega eiginleikann, birta efnið og gera það sýnilegt.
  • Bætt við API valmöguleika Vökulás byggt á Promise vélbúnaðinum, sem veitir öruggari leið til að stjórna slökkva á sjálfvirkum læsingum skjáa og skipta um tæki í orkusparnaðarstillingu.
• Innleitt hæfileikann til að nota eiginleikann sjálfvirk fókus fyrir alla HTML og SVG þætti sem geta haft inntaksfókus.
• Fyrir myndir og myndbönd tryggð Reiknaðu stærðarhlutfallið út frá Width eða Height eiginleikum, sem hægt er að nota til að ákvarða stærð myndarinnar með CSS á því stigi þegar myndin hefur ekki enn hlaðið (leysir vandamálið við að endurbyggja síðuna eftir að myndir hafa verið hlaðnar).
• Bætt við CSS eign letur-ljós-stærð, sem stillir sjálfkrafa breytilega leturstærð í ljóshnitum "opsz", ef leturgerðin styður þær. Stillingin gerir þér kleift að velja ákjósanlegasta glýfaformið fyrir tiltekna stærð, til dæmis notaðu andstæðari táknmyndir fyrir fyrirsagnir.
• Bætt við CSS eign list-stíl-gerð, sem gerir þér kleift að nota hvaða tákn sem er í stað punkta í listum, til dæmis „-“, „+“, „★“ og „▸“.
• Ef það er ómögulegt að keyra Worklet.addModule(), er hlutur nú skilað með nákvæmum upplýsingum um eðli villunnar, sem gerir þér kleift að meta orsök villunnar nákvæmari (vandamál við nettenginguna, röng setningafræði o.s.frv. .).
• Hætti að vinna þætti þegar þeir voru færðir á milli skjala. Þegar flutt er á milli skjala er framkvæmd á skriftutengdum „villu“ og „hleðslu“ atburðum einnig óvirk.
• Í JavaScript vél V8 framkvæmt Hagræðing á meðhöndlun breytinga á framsetningu sviða í hlutum, sem leiðir til þess að AngularJS kóða keyrsla í hraðamælisprófunarsvítunni keyrir 4% hraðar.
  

• V8 fínstillir einnig vinnslu getters sem eru skilgreindir í innbyggðum API, eins og Node.nodeType og Node.nodeName, í fjarveru IC meðhöndlunar (innbyggður skyndiminni). Breytingin minnkaði þann tíma sem varið var í IC keyrslutíma um það bil 12% þegar keyrt var Backbone og jQuery prófin úr Speedometer svítunni.
  

• Niðurstöður OSR-kerfisins (kallað á stafla skipti) eru í skyndiminni, sem kemur í stað bjartsýniskóða við framkvæmd aðgerða (gerir þér kleift að byrja að nota bjartsýniskóða fyrir langvarandi aðgerðir án þess að bíða eftir að þær keyri aftur). OSR skyndiminni gerir það mögulegt að nota hagræðingarniðurstöðurnar þegar aðgerðin er keyrð aftur, án þess að þurfa að fara í gegnum endurhagræðingu.
  Í sumum prófunum jók breytingin hámarksárangur um 5–18%.
  

• Breytingar á verkfærum fyrir vefhönnuði:
  Birtist villuleitarstillingu til að ákvarða ástæður fyrir því að loka á beiðni eða senda vafraköku.
  
  • Í reitnum með vafrakökulistanum hefur möguleikanum á að skoða fljótt gildi valinna kökunnar verið bætt við með því að smella á tiltekna línu.
    

  • Bætti við hæfileikanum til að líkja eftir mismunandi stillingum fyrir miðlafyrirspurnir frekar-litasamsetningar og kýs-minnkaðrar hreyfingar (til dæmis til að prófa hegðun síðunnar með dökku kerfisþema eða með hreyfimyndir óvirkar).
    

  • Hönnun umfjöllunar flipans hefur verið nútímavædd, sem gerir þér kleift að meta kóðann sem notaður er og ekki notaður. Bætti við möguleikanum á að sía upplýsingar eftir tegund (JavaScript, CSS). Upplýsingar um kóðanotkun er einnig bætt við þegar frumtextinn er sýndur.
    

  • Bætti við hæfileikanum til að kemba ástæður þess að beðið var um tiltekið nettilfang eftir að hafa skráð netvirkni (þú getur skoðað ummerki um JavaScript kóðakallið sem leiddi til hleðslu á tilfönginni).
    

  • Bætt við stillingu „Stillingar > Kjörstillingar > Heimildir > Sjálfgefin inndráttur“ til að ákvarða tegund inndráttar (2/4/8 bil eða flipar) í kóðanum sem birtist á Console og Sources spjaldið.

Til viðbótar við nýjungar og villuleiðréttingar, útrýmir nýja útgáfan 51 veikleika. Margir af veikleikunum voru auðkenndir sem afleiðing af sjálfvirkum prófunum með AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL verkfærunum. Tvö mál (CVE-2019-13725, aðgangur að þegar losað minni í kóðanum fyrir Bluetooth-stuðning og CVE-2019-13726, hrúga yfirfall í lykilorðastjóranum) eru merkt sem mikilvæg, þ.e. leyfa þér að komast framhjá öllum stigum vafraverndar og keyra kóða á kerfinu utan sandkassaumhverfisins. Þetta er í fyrsta skipti sem tvö mikilvæg vandamál hafa fundist innan sömu þróunarlotunnar í Chrome. Fyrsta varnarleysið fannst af vísindamönnum frá Tencent Keen Security Lab og sýnt fram á á Tianfu Cup keppninni og sá seinni fannst af Sergei Glazunov frá Google Project Zero.

Sem hluti af peningaverðlaunaáætluninni til að uppgötva veikleika fyrir núverandi útgáfu, greiddi Google 37 verðlaun að verðmæti $80000 (ein $20000 verðlaun, ein $10000 verðlaun, tvö $7500 verðlaun, fjögur $5000 verðlaun, ein $3000 verðlaun, tvö $2000 og tvö $1000 verðlaun, $ 500 verðlaun). Stærð 15 verðlaunanna hefur ekki enn verið ákveðin.

Heimild: opennet.ru