Chrome 79 リリース

グーグル 提示 ウェブブラウザのリリース クローム79。 同時に 利用可能です 無料プロジェクトの安定リリース クロム、Chromeの基礎です。 Chromeブラウザ 異なる Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、リクエストに応じて Flash モジュールをダウンロードする機能、保護されたビデオ コンテンツ (DRM) を再生するモジュール、更新を自動的にインストールし、検索中に送信するシステム RLZパラメータ。 Chrome 80 の次回リリースは 4 月 XNUMX 日に予定されています。

メイン 変更 в クロム 79:

• アクティブ化 パスワード チェックアップ コンポーネント。ユーザーが使用するパスワードの強度を分析するように設計されています。 サイトにログインするときのパスワードチェック 実行する ログインとパスワードを侵害されたアカウントのデータベースと照合してチェックし、問題が検出された場合は警告を発します (チェックはユーザー側のハッシュ プレフィックスに基づいて実行されます)。 このチェックは、漏洩したユーザー データベースに含まれる 4 億を超える侵害されたアカウントを対象とするデータベースに対して実行されます。 「abc123」などの簡単なパスワードを使用しようとすると、警告が表示されます。 パスワード チェックアップの組み込みを制御するために、「同期と Google サービス」セクションに特別な設定が実装されています。
• フィッシングをリアルタイムで検出する新しいテクノロジーが紹介されています。 以前は、ローカルにダウンロードされたセーフ ブラウジング ブラックリストにアクセスすることで検証が実行されていましたが、このブラックリストは約 30 分に 32 回更新されていましたが、攻撃者による頻繁なドメイン切り替えの状況などでは不十分であることが判明しました。 新しい方法では、信頼できる数千の人気サイトのハッシュを含むホワイトリストとの事前チェックにより、その場で URL をチェックできます。 開かれているサイトがホワイト リストにない場合、ブラウザは Google サーバー上の URL をチェックし、リンクの SHA-256 ハッシュの最初の 30 ビットを送信し、個人データの可能性がある部分が切り取られます。 Google によると、この新しいアプローチにより、新しいフィッシング サイトに対する警告の有効性が XNUMX% 向上する可能性があります。
• フィッシング ページを介した Google 認証情報およびパスワード マネージャーに保存されているパスワードの転送に対するプロアクティブな保護が追加されました。 保存されているパスワードを通常は使用しないサイトで入力しようとすると、危険な操作を行う可能性があるという警告がユーザーに表示されます。
• TLS 1.0 および 1.1 を使用した接続では、安全でない接続インジケーターが表示されるようになりました。 TLS 1.0および1.1を完全にサポート 無効になります Chrome 81 では、17 年 2020 月 XNUMX 日に予定されています。
• 非アクティブなタブをフリーズする機能が追加されました。これにより、5 分以上バックグラウンドにあり、重要なアクションを実行しなかったタブをメモリから自動的にアンロードできるようになります。 特定のタブがフリーズに適しているかどうかは、ヒューリスティックに基づいて決定されます。 この機能の有効化は、「chrome://flags/#proactive-tab-freeze」フラグによって制御されます。
• によって提供された HTTPS 経由で開かれたページ上の混合コンテンツをブロックして、https:// 経由で開かれたページに安全な通信チャネル経由でロードされたリソースのみが含まれるようにします。 スクリプトや iframe などの最も危険な種類の混合コンテンツはデフォルトですでにブロックされていますが、画像、音声ファイル、ビデオは http:// 経由でダウンロードされる可能性があります。 このような挿入に以前使用されていた混合コンテンツ インジケーターは、ページのセキュリティの明確な評価を提供しないため、効果がなく、ユーザーに誤解を招くことが判明しました。 たとえば、攻撃者は画像のなりすましを通じて、ユーザー追跡 Cookie を置き換えたり、画像プロセッサの脆弱性を悪用したり、画像内で提供される情報を置き換えることによって偽造を行ったりすることができます。 混合コンポーネントのロックを無効にするために、ロック記号をクリックすると表示されるメニューからアクセスできる特別な設定が追加されました。
• Chrome のデスクトップ バージョンとモバイル バージョンの間でクリップボードのコンテンツを共有する実験的な機能が追加されました。 XNUMX つのアカウントにリンクされた Chrome のインスタンスでは、モバイル システムとデスクトップ システム間でクリップボードを共有するなど、別のデバイスのクリップボードの内容にアクセスできるようになりました。 クリップボードの内容はエンドツーエンド暗号化を使用して暗号化され、Google サーバー上のテキストへのアクセスが防止されます。 この機能は、chrome://flags#shared-clipboard-receiver、chrome://flags#shared-clipboard-ui、および chrome://flags#sync-clipboard-service のオプションによって有効になります。
• プロファイルの同期がオフになっている特定の瞬間（パスワードを保存するときなど）のアドレス バーには、アバターに加えて、現在の Google アカウントの名前が表示されるため、ユーザーは現在アクティブなアカウントを正確に識別できます。
• 1% のユーザーがアクティベートされました サポート 「DNS over HTTPS」（DoH、DNS over HTTPS）。 この実験には、システム設定で DoH をサポートする DNS プロバイダーがすでに指定されているユーザーのみが参加します。 たとえば、ユーザーがシステム設定で DNS 8.8.8.8 を指定している場合、DNS が 1.1.1.1 の場合、Google の DoH サービス (「https://dns.google.com/dns-query」) が Chrome で有効になります。 XNUMX、次に DoH Cloudflare サービス (「https://cloudflare-dns.com/dns-query」) など。 DoH を有効にするかどうかを制御するために、「chrome://flags/#dns-over-https」設定が提供されます。 セキュア、自動、オフの XNUMX つの動作モードがサポートされています。 「セキュア」モードでは、ホストは以前にキャッシュされたセキュアな値 (セキュアな接続を介して受信した) と DoH を介したリクエストにのみ基づいて決定され、通常の DNS へのフォールバックは適用されません。 「自動」モードでは、DoH と安全なキャッシュが利用できない場合、安全でないキャッシュからデータを取得し、従来の DNS 経由でアクセスできます。 「オフ」モードでは、最初に共有キャッシュがチェックされ、データがない場合、リクエストはシステム DNS 経由で送信されます。
• 試験的に追加されました サポート 「進む」ボタンと「戻る」ボタンを使用してページを変更するときに、レンダリングされたコンテンツをキャッシュします。これにより、ページ全体が完全にキャッシュされ、リソースの再レンダリングや読み込みが不要になるため、この種のナビゲーション中の遅延が大幅に軽減されます。 最適化はモバイル デバイス用バージョンで特に顕著で、ナビゲーション中のパフォーマンスの向上は 19% に達します。 このモードは、「chrome://flags#back-forward-cache」オプションを使用して有効にします。
• 削除されました 「chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains」を設定すると、アドレスバーにプロトコルの表示を戻すことができます（現在、すべてのリンクが常に https なしで表示されます） :// と http://、および「www.」なし）。
• Windows 用のビルドには、オーディオ再生サービスのサンドボックス化が含まれています。 分離を有効にするかどうかを制御するために、AudioSandboxEnabled プロパティが提案されています。
• 企業向けの一元管理ツールには、バックグラウンド タブがアンロードされる前にブラウザ インスタンスが消費できるメモリ量を制御するルールを定義する機能が含まれています。 タブをアンロードした後に解放されたメモリは使用できるようになり、タブに切り替えるとその内容が再度ロードされます。
• Linux は、以前に使用されていた NSS システムを置き換える組み込みの証明書検証プロセッサを使用します。 この場合、内蔵プロセッサは検証中に引き続き NSS ストアを使用しますが、正しくエンコードされて個別に認証された証明書を処理する場合には、より厳しい要件が課されます (すべての証明書は認証局によって認証される必要があります)。
• Androidプラットフォーム版では 追加した プログレッシブ Web アプリ (PWA) モードで実行されているインストール済み Web アプリケーションにアダプティブ アイコンを割り当てる機能。 アダプティブ アイコンは、円形、四角形、滑らかな角など、デバイス メーカーが使用するインターフェイスに適応できます。
• 追加した API WebXR デバイス、仮想現実と拡張現実を作成するためのコンポーネントへのアクセスを提供します。 この API を使用すると、Oculus Rift、HTC Vive、Windows Mixed Reality などの据え置き型仮想現実ヘッドセットから、Google Daydream View や Samsung Gear VR などのモバイル デバイスに基づくソリューションまで、さまざまなクラスのデバイスでの作業を統合できます。 新しい API が適用できるアプリケーションには、360 度モードでビデオを表示するプログラム、3 次元空間を視覚化するシステム、ビデオ プレゼンテーション用の仮想シネマの作成、店舗やギャラリー向けの XNUMXD インターフェイス作成の実験の実施などが含まれます。
  

• Origin Trials モード (別途必要な実験的機能) アクティベーション) いくつかの新しい API が提案されています。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • すべての HTML 要素に対して、DOM 要素の表示が固定されるようにする「rendersubtree」属性が提案されます。 属性を「invisible」に設定すると、要素のコンテンツがレンダリングまたは検査されなくなり、最適化されたレンダリングが可能になります。 「アクティブ化可能」に設定すると、ブラウザーは非表示属性を削除し、コンテンツをレンダリングして表示できるようにします。
  • APIオプションを追加しました ウェイクロック Promise メカニズムに基づいており、自動ロック画面の無効化とデバイスの省電力モードへの切り替えを制御するためのより安全な方法を提供します。
• 属性を使用する機能を実装しました オートフォーカスの 入力フォーカスを持つことができるすべての HTML および SVG 要素に対して。
• 画像や動画については 安全な width または height 属性に基づいてアスペクト比を計算します。これは、画像がまだ読み込まれていない段階で CSS を使用して画像のサイズを決定するために使用できます (画像の読み込み後にページを再構築する問題を解決します)。
• CSSプロパティを追加しました フォント-オプティカルサイジング可変フォント サイズを光学座標で自動的に設定します。オプス"、フォントがそれらをサポートしている場合。 このモードを使用すると、指定したサイズに最適なグリフの形状を選択できます。たとえば、見出しにはより対照的なグリフを使用します。
• CSSプロパティを追加しました リストスタイルタイプこれにより、リスト内でピリオドの代わりに、「-」、「+」、「★」、「▸」などの任意の記号を使用できるようになります。
• Worklet.addModule() を実行できない場合、エラーの性質に関する詳細情報を含むオブジェクトが返されるようになりました。これにより、エラーの原因 (ネットワーク接続の問題、構文の誤りなど) をより正確に評価できるようになります。 。）。
• 処理を停止したアイテム при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScriptエンジンV8で 実施した オブジェクト内のフィールドの表現に対する変更処理の最適化により、Speedometer テスト スイートでの AngularJS コードの実行が 4% 高速化されました。
  

• V8 では、IC ハンドラー (インライン キャッシュ) がない場合、Node.nodeType や Node.nodeName などの組み込み API で定義されたゲッターの処理も最適化されます。 この変更により、Speedometer スイートから Backbone テストと jQuery テストを実行する際に、IC ランタイムにかかる時間が約 12% 削減されました。
  

• OSR (オンスタック置換と呼ばれる) メカニズムの結果はキャッシュされ、関数の実行中に最適化されたコードを置き換えます (長時間実行される関数の再実行を待たずに、最適化されたコードの使用を開始できるようになります)。 OSR キャッシュを使用すると、関数を再実行するときに、再最適化を行わずに最適化結果を使用できるようになります。
  一部のテストでは、この変更によりピーク パフォーマンスが 5 ～ 18% 向上しました。
  

• Web 開発者向けツールの変更点:
  登場しました デバッグ モードを使用して、リクエストをブロックしたり Cookie を送信したりする理由を特定します。
  
  • Cookie リストを含むブロックでは、特定の行をクリックすることで、選択した Cookie の値をすばやく表示する機能が追加されました。
    

  • ifres-color-scheme メディア クエリとprefers-reduced-motion メディア クエリのさまざまな設定をシミュレートする機能が追加されました (たとえば、ダーク システム テーマまたはアニメーション効果が無効になっているページの動作をテストするため)。
    

  • 「カバレッジ」タブのデザインが最新化され、使用されたコードと使用されなかったコードを評価できるようになりました。 情報をタイプ (JavaScript、CSS) でフィルタリングする機能が追加されました。 ソーステキストを表示するときに、コードの使用情報も追加されます。
    

  • ネットワーク アクティビティを記録した後に、特定のネットワーク リソースを要求した理由をデバッグする機能が追加されました (リソースの読み込みにつながった JavaScript コード呼び出しのトレースを表示できます)。
    

  • コンソールパネルとソースパネルに表示されるコードのインデントのタイプ (2/4/8 スペースまたはタブ) を決定するための「設定 > 環境設定 > ソース > デフォルトのインデント」設定を追加しました。

技術革新とバグ修正に加えて、新しいバージョンでは 51 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 2019 つの問題 (CVE-13725-2019、Bluetooth サポートのコード内で既に解放されたメモリへのアクセス、および CVE-13726-XNUMX、パスワード マネージャーのヒープ オーバーフロー) が重大としてマークされています。 あらゆるレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステムでコードを実行できます。 Chrome の同じ開発サイクル内で XNUMX つの重大な問題が特定されたのはこれが初めてです。 最初の脆弱性は、Tencent Keen Security Lab の研究者によって発見されました。 実証済み XNUMX 番目は Google Project Zero の Sergei Glazunov によって発見されました。

現在のリリースの脆弱性発見に対する賞金プログラムの一環として、Google は 37 ドル相当の 80000 件の賞を支払った (20000 ドルの賞が 10000 件、7500 ドルの賞が 5000 件、3000 ドルの賞が 2000 件、1000 ドルの賞が 500 件、15 ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、および XNUMX 件) XNUMXドルの賞金）。 XNUMX 件の報酬の規模はまだ決まっていません。

出所： オープンネット.ru