Chrome versione 79

Google presentato versione del browser web Chrome 79... Contemporaneamente è disponibile rilascio stabile di un progetto gratuito cromo, che funge da base per Chrome. Browser Chrome diverso l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, la possibilità di scaricare un modulo Flash su richiesta, moduli per la riproduzione di contenuti video protetti (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione durante la ricerca parametri RLZ. La prossima release di Chrome 80 è prevista per il 4 febbraio.

Il principale modifiche в Chrome 79:

• attivato Componente Password Checkup, progettato per analizzare la forza delle password utilizzate dall'utente. Quando provi ad accedere a qualsiasi sito Controllo password esegue controllo di login e password rispetto a un database di account compromessi con un avviso se vengono rilevati problemi (il controllo viene effettuato in base a un prefisso hash da parte dell'utente). Il controllo viene effettuato su un database che copre oltre 4 miliardi di account compromessi apparsi nei database degli utenti trapelati. Viene visualizzato un avviso anche quando si tenta di utilizzare password banali come "abc123". Per controllare l'inclusione del controllo password, è stata implementata un'impostazione speciale nella sezione "Sincronizzazione e servizi Google".
• Viene presentata una nuova tecnologia per il rilevamento del phishing in tempo reale. In precedenza, la verifica veniva eseguita accedendo alle blacklist di Navigazione sicura scaricate localmente, che venivano aggiornate circa una volta ogni 30 minuti, il che si rivelava insufficiente, ad esempio, in condizioni di frequenti cambi di dominio da parte degli aggressori. Il nuovo metodo consente di controllare gli URL al volo con un controllo preliminare rispetto alle whitelist che includono hash di migliaia di siti popolari affidabili. Se il sito che si sta aprendo non è presente nella white list, il browser controlla l'URL sul server di Google, trasmettendo i primi 32 bit dell'hash SHA-256 del collegamento, da cui vengono ritagliati eventuali dati personali. Secondo Google, il nuovo approccio può migliorare del 30% l'efficacia degli avvisi per i nuovi siti di phishing.
• Aggiunta protezione proattiva contro il trasferimento delle credenziali di Google e di eventuali password archiviate nel gestore password attraverso pagine di phishing. Se provi a inserire una password salvata su un sito in cui tale password non viene normalmente utilizzata, l'utente verrà avvisato di un'azione potenzialmente pericolosa.
• Le connessioni che utilizzano TLS 1.0 e 1.1 ora mostrano un indicatore di connessione non sicura. Supporta completamente TLS 1.0 e 1.1 sarà disabilitato in Chrome 81, previsto per il 17 marzo 2020.
• Aggiunta la possibilità di bloccare le schede inattive, consentendo di scaricare automaticamente dalla memoria le schede che sono rimaste in background per più di 5 minuti e non eseguono azioni significative. La decisione sull'idoneità di una particolare scheda al congelamento viene presa in base all'euristica. L'abilitazione della funzione è controllata tramite il flag "chrome://flags/#proactive-tab-freeze".
• Fornito da Bloccare il contenuto misto sulle pagine aperte su HTTPS per garantire che le pagine aperte su https:// contengano solo risorse caricate su un canale di comunicazione sicuro. Anche se i tipi più pericolosi di contenuti misti, come script e iframe, sono già bloccati per impostazione predefinita, è comunque possibile scaricare immagini, file audio e video tramite http://. L'indicatore di contenuto misto precedentemente utilizzato per tali inserti è risultato inefficace e fuorviante per l'utente, poiché non fornisce una valutazione univoca della sicurezza della pagina. Ad esempio, attraverso lo spoofing delle immagini, un utente malintenzionato può sostituire i cookie di tracciamento dell'utente, tentare di sfruttare le vulnerabilità negli elaboratori di immagini o commettere contraffazioni sostituendo le informazioni fornite nell'immagine. Per disabilitare il blocco dei componenti misti è stata aggiunta un'apposita impostazione, alla quale si accede tramite il menu che appare cliccando sul simbolo del lucchetto.
• Aggiunta la possibilità sperimentale di condividere il contenuto degli appunti tra le versioni desktop e mobili di Chrome. Nei casi di Chrome collegati a un account, ora puoi accedere ai contenuti degli appunti di un altro dispositivo, inclusa la condivisione degli appunti tra sistemi mobili e desktop. Il contenuto degli appunti viene crittografato utilizzando la crittografia end-to-end, che impedisce l'accesso al testo sui server di Google. La funzione è abilitata tramite le opzioni chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui e chrome://flags#sync-clipboard-service.
• Nella barra degli indirizzi in determinati momenti (ad esempio, quando si salva una password) quando la sincronizzazione del profilo è disattivata, oltre all'avatar, viene visualizzato il nome dell'account Google corrente in modo che l'utente possa identificare con precisione l'account attivo corrente.
• Attivato per l'1% degli utenti sostegno “DNS su HTTPS” (DoH, DNS su HTTPS). L'esperimento coinvolge solo gli utenti le cui impostazioni di sistema hanno già specificato i provider DNS che supportano DoH. Ad esempio, se l'utente ha specificato il DNS 8.8.8.8 nelle impostazioni di sistema, in Chrome verrà attivato il servizio DoH di Google (“https://dns.google.com/dns-query”); se il DNS è 1.1.1.1. XNUMX, quindi il servizio DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), ecc. Per controllare se DoH è abilitato, viene fornita l'impostazione "chrome://flags/#dns-over-https". Sono supportate tre modalità operative: sicura, automatica e disattivata. Nella modalità “sicura”, gli host vengono determinati solo in base ai valori sicuri precedentemente memorizzati nella cache (ricevuti tramite una connessione sicura) e alle richieste tramite DoH; non viene applicato il fallback al DNS normale. Nella modalità “automatica”, se DoH e la cache sicura non sono disponibili, i dati possono essere recuperati dalla cache non sicura e accessibili tramite DNS tradizionale. In modalità “off” viene prima verificata la cache condivisa e se non sono presenti dati, la richiesta viene inviata tramite i DNS di sistema.
• Aggiunto sperimentale sostegno memorizzazione nella cache del contenuto visualizzato quando si cambiano le pagine utilizzando i pulsanti Avanti e Indietro, che può ridurre significativamente i ritardi durante questo tipo di navigazione grazie alla memorizzazione nella cache completa dell'intera pagina, che non richiede il nuovo rendering e il caricamento delle risorse. L'ottimizzazione si nota soprattutto nella versione per dispositivi mobili, dove l'incremento delle prestazioni durante la navigazione arriva al 19%. La modalità viene abilitata utilizzando l'opzione "chrome://flags#back-forward-cache".
• Eliminato impostazione “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, che permetteva di restituire la visualizzazione del protocollo nella barra degli indirizzi (ora tutti i link vengono sempre mostrati senza https :// e http:// /, e anche senza “www.”).
• Le build per Windows includono il sandboxing del servizio di riproduzione audio. Per controllare se l'isolamento è abilitato, viene proposta la proprietà AudioSandboxEnabled.
• Gli strumenti di amministrazione centralizzata per le aziende includono la possibilità di definire regole che controllano la quantità di memoria che un'istanza del browser può consumare prima che le schede in background vengano scaricate. La memoria rilasciata dopo aver scaricato una scheda diventa disponibile per l'uso e i contenuti della scheda vengono caricati nuovamente quando si passa ad essa.
• Linux utilizza un processore di verifica dei certificati integrato, che sostituisce il sistema NSS utilizzato in precedenza. In questo caso, il processore integrato continua a utilizzare l'archivio NSS durante la verifica, ma impone requisiti più rigorosi durante l'elaborazione di certificati codificati in modo errato e certificati separatamente (tutti i certificati devono essere certificati da un'autorità di certificazione).
• Nella versione per la piattaforma Android aggiunto la possibilità di assegnare icone adattive per le applicazioni Web installate in esecuzione in modalità Progressive Web Apps (PWA). Le icone adattive possono adattarsi all'interfaccia utilizzata dal produttore del dispositivo, ad esempio essendo rotonde, quadrate o con angoli smussati.
• Aggiunto API Dispositivo WebXR, che fornisce l'accesso a componenti per la creazione di realtà virtuale e aumentata. L'API consente di unificare il lavoro con varie classi di dispositivi, dai visori fissi per realtà virtuale come Oculus Rift, HTC Vive e Windows Mixed Reality, a soluzioni basate su dispositivi mobili come Google Daydream View e Samsung Gear VR. Le applicazioni in cui la nuova API potrebbe essere applicabile includono programmi per la visualizzazione di video in modalità 360°, sistemi per la visualizzazione di spazi tridimensionali, creazione di cinema virtuali per presentazioni video, conduzione di esperimenti sulla creazione di interfacce 3D per negozi e gallerie;
  

• Nella modalità Origin Trials (funzionalità sperimentali che richiedono sessioni separate Attivazione) sono state proposte diverse nuove API. La prova di origine implica la possibilità di lavorare con l'API specificata da applicazioni scaricate da localhost o 127.0.0.1 o dopo la registrazione e la ricezione di un token speciale valido per un periodo limitato per un sito specifico.
  • Per tutti gli elementi HTML viene proposto l'attributo “rendersubtree” che garantisce che la visualizzazione dell'elemento DOM sia fissa. L'impostazione dell'attributo su "invisibile" impedirà il rendering o l'ispezione del contenuto dell'elemento, consentendo un rendering ottimizzato. Se impostato su "attivabile", il browser rimuoverà l'attributo invisibile, renderà il contenuto e lo renderà visibile.
  • Aggiunta opzione API Blocco sveglia basato sul meccanismo Promise, che fornisce un modo più sicuro per controllare la disabilitazione del blocco automatico degli schermi e il passaggio dei dispositivi alle modalità di risparmio energetico.
• Implementata la possibilità di utilizzare l'attributo messa a fuoco automatica per tutti gli elementi HTML e SVG che possono avere il focus sull'input.
• Per immagini e video assicurato Calcola le proporzioni in base agli attributi Larghezza o Altezza, che possono essere utilizzati per determinare la dimensione dell'immagine utilizzando CSS nella fase in cui l'immagine non è stata ancora caricata (risolve il problema con la ricostruzione della pagina dopo il caricamento delle immagini).
• Aggiunta proprietà CSS font-optical-dimensionamento, che imposta automaticamente la dimensione variabile del carattere in coordinate ottiche "opsz", se il carattere li supporta. La modalità consente di selezionare la forma ottimale dei glifi per una dimensione specificata, ad esempio, utilizzare glifi più contrastanti per i titoli.
• Aggiunta proprietà CSS list-style-type, che consente di utilizzare qualsiasi simbolo al posto dei punti negli elenchi, ad esempio "-", "+", "★" e "▸".
• Se è impossibile eseguire Worklet.addModule(), viene ora restituito un oggetto con informazioni dettagliate sulla natura dell'errore, che consente di valutare con maggiore precisione la causa dell'errore (problemi con la connessione di rete, sintassi errata, ecc. .).
• Elaborazione degli elementi interrotta при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• Nel motore JavaScript V8 condotto Ottimizzazione della gestione delle modifiche alla rappresentazione dei campi negli oggetti, con conseguente esecuzione del codice AngularJS nella suite di test Speedometer più veloce del 4%.
  

• V8 ottimizza inoltre l'elaborazione dei getter definiti nelle API integrate, come Node.nodeType e Node.nodeName, in assenza di un gestore IC (caching in linea). La modifica ha ridotto il tempo impiegato sul runtime dell'IC di circa il 12% durante l'esecuzione dei test Backbone e jQuery dalla suite Speedometer.
  

• I risultati del meccanismo OSR (chiamato sostituzione on-stack) vengono memorizzati nella cache, che sostituisce il codice ottimizzato durante l'esecuzione della funzione (consente di iniziare a utilizzare codice ottimizzato per funzioni a lunga esecuzione senza attendere che vengano eseguite nuovamente). La memorizzazione nella cache OSR consente di utilizzare i risultati dell'ottimizzazione quando si riesegue la funzione, senza la necessità di ripetere l'ottimizzazione.
  In alcuni test, la modifica ha aumentato le prestazioni di picco del 5–18%.
  

• Cambiamenti negli strumenti per gli sviluppatori web:
  È apparso modalità di debug per determinare i motivi del blocco di una richiesta o dell'invio di un Cookie.
  
  • Nel blocco con l'elenco dei Cookie è stata aggiunta la possibilità di visualizzare velocemente il valore del Cookie selezionato cliccando su un'apposita riga.
    

  • Aggiunta la possibilità di simulare impostazioni diverse per le query multimediali Preferisce schema colori e Preferisce movimento ridotto (ad esempio, per testare il comportamento della pagina con un tema di sistema scuro o con effetti animati disabilitati).
    

  • Il design della scheda Copertura è stato modernizzato, consentendo di valutare il codice utilizzato e quello non utilizzato. Aggiunta la possibilità di filtrare le informazioni in base al tipo (JavaScript, CSS). Le informazioni sull'utilizzo del codice vengono aggiunte anche durante la visualizzazione del testo di origine.
    

  • Aggiunta la possibilità di eseguire il debug dei motivi della richiesta di una particolare risorsa di rete dopo aver registrato l'attività di rete (è possibile visualizzare una traccia della chiamata del codice JavaScript che ha portato al caricamento della risorsa).
    

  • Aggiunta l'impostazione "Impostazioni > Preferenze > Sorgenti > Rientro predefinito" per determinare il tipo di rientro (2/4/8 spazi o tabulazioni) nel codice visualizzato nei pannelli Console e Sorgenti.

Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina 51 vulnerabilità. Molte delle vulnerabilità sono state identificate come risultato di test automatizzati utilizzando gli strumenti AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Due problemi (CVE-2019-13725, accesso alla memoria già liberata nel codice per il supporto Bluetooth, e CVE-2019-13726, overflow dell'heap nel gestore password) sono contrassegnati come critici, ovvero consentono di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Questa è la prima volta che vengono identificati due problemi critici all'interno dello stesso ciclo di sviluppo in Chrome. La prima vulnerabilità è stata trovata dai ricercatori del Tencent Keen Security Lab e dimostrato alla competizione Tianfu Cup e il secondo è stato trovato da Sergei Glazunov di Google Project Zero.

Nell'ambito del programma di ricompensa in denaro per la scoperta delle vulnerabilità della versione attuale, Google ha pagato 37 premi del valore di 80000 dollari (un premio da 20000 dollari, un premio da 10000 dollari, due premi da 7500 dollari, quattro premi da 5000 dollari, un premio da 3000 dollari, due premi da 2000 dollari, due premi da 1000 dollari e otto premi da 500 dollari). premi da 15 dollari). L'entità delle XNUMX ricompense non è stata ancora determinata.

Fonte: opennet.ru