Chrome 79 шығарылымы

Google ұсынылған веб-шолғыштың шығарылымы Chrome 79... Бір мезгілде қол жетімді тегін жобаның тұрақты шығарылымы хром, ол Chrome негізі ретінде қызмет етеді. Chrome браузері ерекшеленеді Google логотиптерін пайдалану, бұзылған жағдайда хабарландырулар жіберу жүйесінің болуы, сұрау бойынша Flash модулін жүктеп алу мүмкіндігі, қорғалған бейне мазмұнын ойнату модульдері (DRM), жаңартуларды автоматты түрде орнату және іздеу кезінде жіберу жүйесі RLZ параметрлері. Chrome 80 келесі шығарылымы 4 ақпанға жоспарланған.

басты өзгерту в Chrome 79:

• белсендірілген Құпия сөзді тексеру компоненті, пайдаланушы пайдаланатын құпия сөздердің күшін талдауға арналған. Кез келген сайтқа кіруге тырысқанда Password Checkup орындайды логин мен құпия сөзді бұзылған тіркелгілердің дерекқорына қарсы тексеру, егер ақаулық анықталған жағдайда ескерту (тексеру пайдаланушы жағындағы хэш префиксі негізінде жүзеге асырылады). Тексеру ағып кеткен пайдаланушы дерекқорларында пайда болған 4 миллиардтан астам бұзылған тіркелгілерді қамтитын дерекқорға қарсы жүргізіледі. Ескерту "abc123" сияқты тривиальды құпия сөздерді пайдалануға әрекет жасағанда да көрсетіледі. Құпия сөзді тексеруді қосуды бақылау үшін «Синхрондау және Google қызметтері» бөлімінде арнайы параметр енгізілді.
• Фишингті нақты уақыт режимінде анықтаудың жаңа технологиясы ұсынылды. Бұрын тексеру жергілікті жүктеп алынған Safe Browsing қара тізімдеріне қол жеткізу арқылы жүзеге асырылды, олар шамамен 30 минут сайын жаңартылып отырды, бұл жеткіліксіз болып шықты, мысалы, шабуылдаушылар жиі домен ауыстыратын жағдайда. Жаңа әдіс сізге сенімді мыңдаған танымал сайттардың хэштерін қамтитын ақ тізімдерге қарсы алдын ала тексеру арқылы URL мекенжайларын жылдам тексеруге мүмкіндік береді. Егер ашылатын сайт ақ тізімде болмаса, шолғыш сілтеменің SHA-32 хэшінің алғашқы 256 биттерін жібере отырып, Google серверіндегі URL мекенжайын тексереді, одан жеке деректер жойылады. Google-дың айтуынша, жаңа тәсіл жаңа фишингтік сайттар үшін ескертулердің тиімділігін 30%-ға арттыра алады.
• Google тіркелгі деректерін және құпиясөз менеджерінде сақталған құпия сөздерді фишинг беттері арқылы тасымалдаудан алдын ала қорғау қосылды. Сақталған құпия сөзді әдетте пайдаланылмайтын сайтқа енгізуге әрекеттенсеңіз, пайдаланушы ықтимал қауіпті әрекет туралы ескертіледі.
• TLS 1.0 және 1.1 пайдаланатын қосылымдар енді қауіпті қосылым көрсеткішін көрсетеді. TLS 1.0 және 1.1-ді толығымен қолдайды мүгедек болады Chrome 81 нұсқасында, 17 жылдың 2020 наурызына жоспарланған.
• 5 минуттан астам фондық режимде болған және маңызды әрекеттерді орындамайтын жад қойындыларынан автоматты түрде босатуға мүмкіндік беретін белсенді емес қойындыларды мұздату мүмкіндігі қосылды. Белгілі бір қойындының мұздату үшін жарамдылығы туралы шешім эвристика негізінде қабылданады. Функцияны қосу «chrome://flags/#proactive-tab-freeze» жалаушасы арқылы басқарылады.
• Қауіпсіз HTTPS арқылы ашылған беттердегі аралас мазмұнды бұғаттау https:// арқылы ашылған беттерде тек қауіпсіз байланыс арнасы арқылы жүктелген ресурстар болуын қамтамасыз ету. Сценарийлер мен iframes сияқты аралас мазмұнның ең қауіпті түрлері әдепкі бойынша бұғатталған болса да, суреттерді, аудио файлдарды және бейнелерді әлі де http:// арқылы жүктеп алуға болады. Мұндай кірістірулер үшін бұрын қолданылған аралас мазмұн көрсеткіші тиімсіз және пайдаланушыны жаңылыстырушы болып табылды, өйткені ол беттің қауіпсіздігіне біржақты баға бермейді. Мысалы, кескінді бұрмалау арқылы шабуылдаушы пайдаланушының бақылау Cookie файлдарын алмастыра алады, кескін процессорларындағы осалдықтарды пайдалануға тырысады немесе суретте берілген ақпаратты ауыстыру арқылы жалғандық жасай алады. Аралас компоненттерді құлыптауды өшіру үшін құлыптау белгісін басқан кезде пайда болатын мәзір арқылы кіруге болатын арнайы параметр қосылды.
• Chrome браузерінің жұмыс үстелі және мобильді нұсқалары арасында алмасу буферінің мазмұнын бөлісудің эксперименттік мүмкіндігі қосылды. Бір тіркелгіге байланыстырылған Chrome нұсқаларында енді басқа құрылғының алмасу буферінің мазмұнына қол жеткізуге болады, соның ішінде аралық сақтағышты мобильді және жұмыс үстелі жүйелері арасында ортақ пайдалану. Алмасу буферінің мазмұны Google серверлеріндегі мәтінге қол жеткізуді болдырмайтын түпкілікті шифрлау арқылы шифрланады. Функция chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui және chrome://flags#синхрондау алмасу буфері-қызметі опциялары арқылы қосылады.
• Мекенжай жолағында белгілі бір сәттерде (мысалы, құпия сөзді сақтау кезінде) профильді синхрондау өшірілгенде, пайдаланушы ағымдағы белсенді тіркелгіні дәл анықтауы үшін аватардан басқа, ағымдағы Google тіркелгінің атауы көрсетіледі.
• Пайдаланушылардың 1% үшін белсендірілген Қолдау «HTTPS арқылы DNS» (DoH, HTTPS арқылы DNS). Экспериментке жүйе параметрлері DoH қолдайтын DNS провайдерлерін көрсеткен пайдаланушылар ғана қатысады. Мысалы, пайдаланушыда жүйе параметрлерінде көрсетілген DNS 8.8.8.8 болса, Chrome жүйесінде Google DoH қызметі («https://dns.google.com/dns-query») іске қосылады; DNS 1.1.1.1. XNUMX, содан кейін DoH Cloudflare қызметі («https://cloudflare-dns.com/dns-query») және т.б. DoH қосылғанын немесе қосылғанын бақылау үшін "chrome://flags/#dns-over-https" параметрі берілген. Үш жұмыс режиміне қолдау көрсетіледі: қауіпсіз, автоматты және өшірулі. «Қауіпсіз» режимде хосттар тек бұрын кэштелген қауіпсіз мәндер (қауіпсіз қосылым арқылы алынған) және DoH арқылы сұраулар негізінде анықталады; кәдімгі DNS қалпына қайтару қолданылмайды. «Автоматты» режимде DoH және қауіпсіз кэш қол жетімді болмаса, деректерді қауіпті кэштен шығарып алуға және дәстүрлі DNS арқылы қол жеткізуге болады. «Өшірулі» режимде алдымен ортақ кэш тексеріледі және деректер болмаса, сұрау DNS жүйесі арқылы жіберіледі.
• Эксперименттік Қолдау алға және артқа түймелерін пайдаланып беттерді өзгерту кезінде көрсетілетін мазмұнды кэштеу, бұл бүкіл бетті толық кэштеу есебінен шарлаудың осы түрі кезіндегі кідірістерді айтарлықтай азайтуы мүмкін, бұл ресурстарды қайта көрсетуді және жүктеуді қажет етпейді. Оңтайландыру әсіресе мобильді құрылғыларға арналған нұсқада байқалады, мұнда навигация кезінде өнімділік 19% жетеді. Режим «chrome://flags#back-forward-cache» опциясы арқылы қосылады.
• Жойылды мекенжай жолағында хаттаманың дисплейін қайтаруға мүмкіндік беретін “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains” параметрі (қазір барлық сілтемелер әрқашан httpsсыз көрсетіледі. :// және http:/ /, сондай-ақ «www.» жоқ).
• Windows жүйесіне арналған құрастырмалар аудио ойнату қызметінің құмсалғышын қамтиды. Оқшаулаудың қосылғанын бақылау үшін AudioSandboxEnabled сипаты ұсынылады.
• Кәсіпорындарға арналған орталықтандырылған басқару құралдары браузер данасы фондық қойындылар жүктелмес бұрын қанша жадты тұтына алатынын басқаратын ережелерді анықтау мүмкіндігін қамтиды. Қойындыны жүктегеннен кейін босатылған жад пайдалануға қолжетімді болады және оған ауысқан кезде қойындының мазмұны қайтадан жүктеледі.
• Linux бұрын қолданылған NSS жүйесін алмастыратын кірістірілген сертификатты тексеру процессорын пайдаланады. Бұл жағдайда кірістірілген процессор тексеру кезінде NSS қоймасын пайдалануды жалғастырады, бірақ қате кодталған және бөлек сертификатталған сертификаттарды өңдеу кезінде қатаңырақ талаптар қояды (барлық сертификаттарды сертификаттау органы куәландыруы керек).
• Android платформасына арналған нұсқада қосылды Progressive Web Apps (PWA) режимінде жұмыс істейтін орнатылған веб-қосымшалар үшін адаптивті белгішелерді тағайындау мүмкіндігі. Бейімделетін белгішелер құрылғы өндірушісі пайдаланатын интерфейске бейімделуі мүмкін, мысалы, дөңгелек, шаршы немесе тегіс бұрыштары бар.
• Қосылды API WebXR құрылғысы, ол виртуалды және толықтырылған шындықты құруға арналған компоненттерге қол жеткізуді қамтамасыз етеді. API Oculus Rift, HTC Vive және Windows Mixed Reality сияқты стационарлық виртуалды шындық гарнитураларынан Google Daydream View және Samsung Gear VR сияқты мобильді құрылғылар негізіндегі шешімдерге дейін әртүрлі құрылғылар кластарымен жұмысты біріктіруге мүмкіндік береді. Жаңа API қолданылуы мүмкін қолданбаларға 360° режимінде бейнені көруге арналған бағдарламалар, үш өлшемді кеңістікті визуализациялау жүйелері, бейне көрсетіліміне арналған виртуалды кинотеатрлар құру, дүкендер мен галереялар үшін 3D интерфейстерін құру бойынша эксперименттер жүргізу;
  

• Түпнұсқа сынақтар режимінде (бөлек қажет ететін эксперименттік мүмкіндіктер белсендіру) бірнеше жаңа API ұсынылды. Origin Trial жергілікті хосттан немесе 127.0.0.1 жүктеп алынған қолданбалардан немесе белгілі бір сайт үшін шектеулі уақытқа жарамды арнайы таңбалауышты тіркеп, алғаннан кейін көрсетілген API-мен жұмыс істеу мүмкіндігін білдіреді.
  • Барлық HTML элементтері үшін DOM элементінің дисплейінің бекітілгенін қамтамасыз ететін «rendersubtree» төлсипаты ұсынылады. Атрибутты «көрінбейтін» күйіне орнату оңтайландырылған көрсетуге мүмкіндік беретін элемент мазмұнын көрсетуге немесе тексеруге жол бермейді. «Іске қосуға болатын» күйіне орнатылған кезде браузер көрінбейтін атрибутты жояды, мазмұнды көрсетеді және оны көрінетін етеді.
  • API опциясы қосылды Ояну құлпы экрандарды автоматты түрде құлыптауды өшіруді және құрылғыларды қуатты үнемдеу режимдеріне ауыстыруды басқарудың қауіпсіз әдісін қамтамасыз ететін Promise механизміне негізделген.
• Атрибутты пайдалану мүмкіндігін іске асырды автофокус енгізу фокусы болуы мүмкін барлық HTML және SVG элементтері үшін.
• Суреттер мен бейнелер үшін қамтамасыз етілген Кескін әлі жүктелмеген кезеңде CSS көмегімен кескіннің өлшемін анықтау үшін пайдалануға болатын Width немесе Height атрибуттары негізінде кадр арақатынасын есептеңіз (суреттер жүктелгеннен кейін бетті қайта құру мәселесін шешеді).
• CSS қасиеті қосылды қаріп-оптикалық өлшем, ол оптикалық координаттардағы айнымалы қаріп өлшемін автоматты түрде орнатады.opsz", егер қаріп оларды қолдаса. Режим көрсетілген өлшем үшін оңтайлы глиф пішінін таңдауға мүмкіндік береді, мысалы, тақырыптар үшін көбірек контрастты глифтерді пайдаланыңыз.
• CSS қасиеті қосылды тізім стилі түрі, бұл тізімдердегі нүктелердің орнына кез келген таңбаларды пайдалануға мүмкіндік береді, мысалы, “-“, “+”, “★” және “▸”.
• Worklet.addModule() орындау мүмкін болмаса, нысан енді қатенің себебін дәлірек бағалауға мүмкіндік беретін қатенің сипаты туралы егжей-тегжейлі ақпаратпен қайтарылады (желі қосылымындағы ақаулар, дұрыс емес синтаксис және т. .).
• Құжаттар арасында жылжыту кезінде элементтерін өңдеуді тоқтатты. Құжаттар арасында тасымалдау кезінде сценарийге қатысты «қате» және «жүктеу» оқиғаларын орындау да өшіріледі.
• JavaScript қозғалтқышында V8 орындалған Нысандардағы өрістердің көрсетілуіне өзгертулерді өңдеуді оңтайландыру, нәтижесінде Speedometer сынақ жинағында AngularJS кодының орындалуы 4% жылдамырақ жұмыс істейді.
  

• V8 сонымен қатар IC өңдегіші (кіріктірілген кэштеу) болмаған кезде Node.nodeType және Node.nodeName сияқты кірістірілген API интерфейстерінде анықталған алушылардың өңдеуін оңтайландырады. Өзгеріс Speedometer жиынтығынан Backbone және jQuery сынақтарын орындау кезінде IC жұмыс уақытына жұмсалған уақытты шамамен 12%-ға қысқартты.
  

• OSR (стек бойынша ауыстыру деп аталады) механизмінің нәтижелері кэштелген, ол функцияны орындау кезінде оңтайландырылған кодты ауыстырады (ұзақ жұмыс істейтін функциялар үшін олардың қайта іске қосылуын күтпестен оңтайландырылған кодты пайдалануды бастауға мүмкіндік береді). OSR кэштеу функцияны қайта іске қосқан кезде оңтайландыру нәтижелерін қайта оңтайландырудан өтуді қажет етпей пайдалануға мүмкіндік береді.
  Кейбір сынақтарда өзгеріс ең жоғары өнімділікті 5–18%-ға арттырды.
  

• Веб-әзірлеушілерге арналған құралдардағы өзгерістер:
  Пайда болды сұрауды блоктау немесе cookie файлын жіберу себептерін анықтау үшін жөндеу режимі.
  
  • Cookie тізімі бар блокта белгілі бір жолды басу арқылы таңдалған cookie файлының мәнін жылдам көру мүмкіндігі қосылды.
    

  • Таңдалған түс схемасы және қалаулылар-қысқартылған қозғалыс медиа сұраулары үшін әртүрлі параметрлерді имитациялау мүмкіндігі қосылды (мысалы, қараңғы жүйе тақырыбы немесе анимациялық әсерлер өшірілген бет әрекетін тексеру үшін).
    

  • Қолданылған және пайдаланылмаған кодты бағалауға мүмкіндік беретін «Қамту» қойындысының дизайны жаңартылды. Ақпаратты түрі бойынша сүзу мүмкіндігі қосылды (JavaScript, CSS). Бастапқы мәтінді көрсету кезінде кодты пайдалану туралы ақпарат қосылады.
    

  • Желі әрекетін жазғаннан кейін белгілі бір желі ресурсын сұрау себептерін түзету мүмкіндігі қосылды (ресурстың жүктелуіне әкелген JavaScript коды шақыруының ізін көруге болады).
    

  • Консоль және Көздер тақталарында көрсетілген кодтағы шегініс түрін (2/4/8 бос орындар немесе қойындылар) анықтау үшін «Параметрлер > Теңшелімдер > Көздер > Әдепкі шегініс» параметрі қосылды.

Инновациялар мен қателерді түзетуден басқа, жаңа нұсқа 51 осалдықты жояды. Көптеген осалдықтар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer және AFL құралдары арқылы автоматтандырылған тестілеу нәтижесінде анықталды. Екі мәселе (CVE-2019-13725, Bluetooth қолдауына арналған кодта әлдеқашан босаған жадқа қол жеткізу және CVE-2019-13726, құпия сөз реттеушісіндегі үйме толып кету) маңызды деп белгіленді, яғни. браузерді қорғаудың барлық деңгейлерін айналып өтуге және құм жәшігінен тыс жүйеде кодты орындауға мүмкіндік береді. Бұл Chrome жүйесінде бір өңдеу циклінде екі маңызды мәселенің бірінші рет анықталғаны. Бірінші осалдықты Tencent Keen Security Lab зерттеушілері және көрсетті Tianfu Cup жарысында, ал екіншісін Google Project Zero-дан Сергей Глазунов тапты.

Ағымдағы шығарылымның осалдықтарын анықтағаны үшін ақшалай сыйақы бағдарламасының бір бөлігі ретінде Google 37 80000 АҚШ долларын құрайтын 20000 сыйлық (бір $ 10000 7500 марапат, бір $ 5000 3000 марапат, екі $ 2000 1000 марапат, төрт $ 500 15 марапат, бір $ XNUMX XNUMX сыйлық, $ XNUMX, $ XNUMX және $ XNUMX, $ XNUMX, $ XNUMX, $ XNUMX, $ XNUMX және $ XNUMX) төледі. $XNUMX марапаттары). XNUMX сыйлықтың мөлшері әлі анықталған жоқ.

Ақпарат көзі: opennet.ru