Chrome Release 79

Google бар берилген веб браузер чыгаруу Chrome 79... Ошол эле учурда жеткиликтүү бекер долбоорду туруктуу чыгаруу ChromiumChrome'дун негизи болуп саналат. Chrome браузери башка Google логотиптерин колдонуу, авария болгон учурда эскертмелерди жөнөтүү тутумунун болушу, Flash модулун суроо-талап боюнча жүктөө мүмкүнчүлүгү, корголгон видео контентти ойнотуу үчүн модулдар (DRM), автоматтык жаңыртуу системасы жана издөөдө берүү RLZ параметрлери. Кийинки Chrome 80 релизинин чыгышы 4-февралга пландаштырылган.

негизги өзгөрүүлөр в Chrome 79:

• жандырылды Сырсөздү текшерүү компоненти, колдонуучу колдонгон сырсөздөрдүн күчүн талдоо үчүн иштелип чыккан. Кандайдыр бир сайтка кирүүгө аракет кылып жатканда Сырсөздү текшерүү аткарат логинди жана сырсөздү бузулган эсептердин маалымат базасына каршы текшерүү, эгерде көйгөйлөр аныкталса, эскертүү менен (текшерүү колдонуучу тараптагы хэш префикстин негизинде жүргүзүлөт). Текшерүү колдонуучулардын маалымат базаларында пайда болгон 4 миллиарддан ашык бузулган аккаунттарды камтыган маалымат базасына каршы жүргүзүлөт. Эскертүү "abc123" сыяктуу маанисиз сырсөздөрдү колдонууга аракет кылганда да көрсөтүлөт. Сырсөздү текшерүүнү киргизүүнү көзөмөлдөө үчүн "Шайкештирүү жана Google кызматтары" бөлүмүндө атайын жөндөө ишке ашырылган.
• Фишингди реалдуу убакытта аныктоонун жаңы технологиясы сунушталды. Мурда текшерүү жергиликтүү жүктөлүп алынган Коопсуз Серептөөнүн кара тизмелерине кирүү аркылуу аткарылчу, алар болжол менен 30 мүнөт сайын бир жолу жаңыланып турчу, бул жетишсиз болуп чыкты, мисалы, чабуулчулар доменди тез-тез алмаштырып турган шарттарда. Жаңы ыкма сизге ишенимдүү болгон миңдеген популярдуу сайттардын хэштерин камтыган ак тизмелерге каршы алдын ала текшерүү менен URL'дерди дароо текшерүүгө мүмкүндүк берет. Эгерде ачылып жаткан сайт ак тизмеде жок болсо, браузер Google серверинде URL дарегин текшерип, шилтеменин SHA-32 хэшинин алгачкы 256 биттерин өткөрүп берет, андан мүмкүн болгон жеке маалыматтар алынып салынат. Google'дун айтымында, жаңы ыкма жаңы фишинг сайттары үчүн эскертүүлөрдүн натыйжалуулугун 30% га жогорулата алат.
• Фишинг баракчалары аркылуу сырсөз башкаргычында сакталган Google эсептик дайындарын жана ар кандай сырсөздөрдү өткөрүп берүүдөн проактивдүү коргоо кошулду. Эгер сиз сакталган сырсөздү ал сырсөз демейде колдонулбаган сайтка киргизүүгө аракет кылсаңыз, колдонуучуга потенциалдуу кооптуу аракет тууралуу эскертүү берилет.
• TLS 1.0 жана 1.1 колдонгон туташуулар эми кооптуу туташуу көрсөткүчүн көрсөтүп турат. TLS 1.0 жана 1.1ди толугу менен колдойт өчүрүлөт Chrome 81де, 17-жылдын 2020-мартына пландаштырылган.
• 5 мүнөттөн ашык фондо турган жана олуттуу аракеттерди жасабаган эстутум өтмөктөрүнөн автоматтык түрдө түшүрүүгө мүмкүндүк берүүчү жигердүү эмес өтмөктөрдү тоңдуруу мүмкүнчүлүгү кошулду. Белгилүү бир өтмөктүн тоңдурууга ылайыктуулугу жөнүндө чечим эвристиканын негизинде кабыл алынат. Функцияны иштетүү "chrome://flags/#proactive-tab-freeze" желекчеси аркылуу башкарылат.
• Кооптуу HTTPS аркылуу ачылган беттердеги аралаш мазмунду бөгөттөө, https:// аркылуу ачылган барактар ​​коопсуз байланыш каналы аркылуу жүктөлгөн ресурстарды гана камтышы үчүн. Скрипттер жана iframes сыяктуу аралаш мазмундун эң коркунучтуу түрлөрү демейки боюнча бөгөттөлсө дагы, сүрөттөрдү, аудио файлдарды жана видеолорду http:// аркылуу жүктөп алууга болот. Мындай кошумчалар үчүн мурда колдонулган аралаш мазмун индикатору натыйжасыз жана колдонуучуну адаштыруучу деп табылган, анткени ал барактын коопсуздугуна бир тараптуу баа бербейт. Мисалы, сүрөттү бурмалоо аркылуу чабуулчу колдонуучуга көз салуучу кукилерди алмаштыра алат, сүрөт процессорлорунун кемчиликтерин пайдаланууга аракет кылат же сүрөттө берилген маалыматты алмаштыруу менен жасалмачылык жасай алат. Аралаш компоненттердин кулпусун өчүрүү үчүн атайын орнотуу кошулду, аны кулпу белгисин басканда пайда болгон меню аркылуу чакырса болот.
• Chrome'дун иш тактасы менен мобилдик версияларынын ортосунда алмашуу буфериндеги мазмунду бөлүшүү үчүн эксперименталдык мүмкүнчүлүк кошулду. Бир каттоо эсебине байланышкан Chrome учурларында, сиз эми башка түзмөктүн алмашуу буферинин мазмунуна кире аласыз, анын ичинде алмашуу буферин мобилдик жана рабочий тутумдардын ортосунда бөлүшө аласыз. Алмашуу буферинин мазмуну аягына чейин шифрлөө аркылуу шифрленген, бул Google серверлериндеги текстке кирүүгө жол бербейт. Функция chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui жана chrome://flags#sync-clipboard-service параметрлери аркылуу иштетилген.
• Дарек тилкесинде белгилүү бир көз ирмемдерде (мисалы, сырсөздү сактоодо) профиль синхрондоштуруу өчүрүлгөндө, колдонуучу учурдагы активдүү каттоо эсебин так аныктоо үчүн аватардан тышкары учурдагы Google аккаунтунун аталышы көрсөтүлөт.
• Колдонуучулардын 1% үчүн жандырылды колдоо "HTTPS үстүнөн DNS" (DoH, HTTPS аркылуу DNS). Экспериментке система жөндөөлөрү DoH колдогон DNS провайдерлерин көрсөткөн колдонуучулар гана катышат. Мисалы, колдонуучуда системанын жөндөөлөрүндө көрсөтүлгөн DNS 8.8.8.8 болсо, анда Google'дун DoH кызматы ("https://dns.google.com/dns-query") Chrome'до жандырылат; DNS 1.1.1.1. XNUMX, андан кийин DoH Cloudflare кызматы ("https://cloudflare-dns.com/dns-query") ж.б. DoH иштетилгенин көзөмөлдөө үчүн "chrome://flags/#dns-over-https" жөндөөсү берилген. Үч иштөө режими колдоого алынат: коопсуз, автоматтык жана өчүрүү. "Коопсуз" режимде хосттор мурда кэштелген коопсуз маанилердин (коопсуз туташуу аркылуу алынган) жана DoH аркылуу сурамдардын негизинде гана аныкталат; кадимки DNSге кайтуу колдонулбайт. "Автоматтык" режимде, эгерде DoH жана коопсуз кэш жеткиликсиз болсо, маалыматтарды кооптуу кэштен чыгарып, салттуу DNS аркылуу кирүүгө болот. "Өчүрүү" режиминде, адегенде жалпы кэш текшерилет жана маалымат жок болсо, суроо-талап системанын DNS аркылуу жөнөтүлөт.
• Эксперименттик колдоо алдыга жана артка баскычтарын колдонуу менен беттерди алмаштырууда көрсөтүлгөн мазмунду кэштөө, бул бардык баракты толук кэштөөнүн эсебинен навигациянын бул түрүндөгү кечигүүлөрдү олуттуу кыскарта алат, бул ресурстарды кайра көрсөтүүнү жана жүктөөнү талап кылбайт. Оптималдаштыруу өзгөчө мобилдик түзүлүштөр үчүн версияда байкалат, мында навигация учурунда өндүрүмдүүлүк 19%га жетет. Режим "chrome://flags#back-forward-cache" опциясы аркылуу иштетилген.
• Жок кылынды "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains" орнотуу, бул протоколдун дисплейин дарек тилкесинде кайтарууга мүмкүндүк берди (азыр бардык шилтемелер ар дайым көрсөтүлөт. https:// жана http:/ / жок, ошондой эле “www.” жок).
• Windows үчүн курулмалар аудио ойнотуу кызматынын кумбоксингди камтыйт. Изоляциянын иштетилгенин көзөмөлдөө үчүн AudioSandboxEnabled касиети сунушталат.
• Ишканалар үчүн борборлоштурулган башкаруу куралдары фон өтмөктөрү түшүрүлгөнгө чейин браузердин инстанциясы канча эстутум керектешин көзөмөлдөгөн эрежелерди аныктоо мүмкүнчүлүгүн камтыйт. Өтмөктү түшүргөндөн кийин бошотулган эстутум колдонуу үчүн жеткиликтүү болуп калат жана өтмөктүн мазмуну ага өткөндө кайра жүктөлөт.
• Linux мурда колдонулган NSS тутумун алмаштырган орнотулган тастыктама текшерүү процессорун колдонот. Бул учурда, орнотулган процессор текшерүү учурунда NSS дүкөнүн колдонууну улантат, бирок туура эмес коддолгон жана өзүнчө тастыкталган сертификаттарды иштетүүдө катуураак талаптарды коёт (бардык сертификаттар сертификаттоо боюнча орган тарабынан тастыкталууга тийиш).
• Android платформасы үчүн версияда кошулду Прогрессивдүү Web Apps (PWA) режиминде иштеген орнотулган веб тиркемелери үчүн адаптациялоочу сөлөкөттөрдү дайындоо мүмкүнчүлүгү. Адаптивдүү сүрөтчөлөр аппараттын өндүрүүчүсү колдонгон интерфейске ылайыкташа алат, мисалы, тегерек, төрт бурчтуу же жылмакай бурчтуу.
• Кошулган API WebXR түзмөк, бул виртуалдык жана кеңейтилген чындыкты түзүү үчүн компоненттерге мүмкүнчүлүк берет. API сизге Oculus Rift, HTC Vive жана Windows Mixed Reality сыяктуу стационардык виртуалдык реалдуулук гарнитураларынан баштап Google Daydream View жана Samsung Gear VR сыяктуу мобилдик түзүлүштөрдүн негизиндеги чечимдерге чейин түзмөктөрдүн ар кандай класстары менен иштөөнү бириктирүүгө мүмкүндүк берет. Жаңы API колдонулушу мүмкүн болгон тиркемелерге 360° режиминде видеону көрүү программалары, үч өлчөмдүү мейкиндикти визуалдаштыруу системалары, видеону көрсөтүү үчүн виртуалдык кинотеатрларды түзүү, дүкөндөр жана галереялар үчүн 3D интерфейстерин түзүү боюнча эксперименттерди өткөрүү кирет;
  

• Origin Trials режиминде (өзүнчө талап кылынган эксперименталдык функциялар жандандыруу) бир нече жаңы API сунушталды. Origin Trial, localhost же 127.0.0.1ден жүктөлүп алынган тиркемелерден же белгилүү бир сайт үчүн чектелген убакытка жарактуу атайын белгини каттагандан жана алгандан кийин көрсөтүлгөн API менен иштөө мүмкүнчүлүгүн билдирет.
  • Бардык HTML элементтери үчүн "rendersubtree" атрибуту сунушталат, ал DOM элементинин дисплейин бекитет. Атрибутун "көрүнбөс" кылып коюу элементтин мазмунун көрсөтүүгө же текшерүүгө жол бербей, оптималдаштырылган көрсөтүүгө мүмкүндүк берет. "Активдештирилүүчү" деп коюлганда, браузер көрүнбөгөн атрибутту алып салып, мазмунду көрсөтөт жана аны көрүнүктүү кылат.
  • API опциясы кошулду Ойгонуу кулпу Убада механизминин негизинде автоматтык кулпуланган экрандарды өчүрүүнү жана түзмөктөрдү энергияны үнөмдөө режимдерине которууну башкаруунун коопсуз жолун камсыз кылуу.
• атрибутту колдонуу мүмкүнчүлүгүн ишке ашырды autofocus киргизүү фокусу болушу мүмкүн болгон бардык HTML жана SVG элементтери үчүн.
• Сүрөттөр жана видеолор үчүн камсыздалган Сүрөт жүктөлө элек этапта CSS аркылуу сүрөттүн өлчөмүн аныктоо үчүн колдонулушу мүмкүн болгон Width же Height атрибуттарынын негизинде тараптардын катышын эсептеңиз (сүрөттөр жүктөлгөндөн кийин баракты кайра куруу маселесин чечет).
• CSS касиети кошулду шрифт-оптикалык өлчөм, бул автоматтык түрдө оптикалык координаттардагы өзгөрмөлүү шрифтин өлчөмүн орнотот "opsz", эгерде шрифт аларды колдосо. Режим сизге көрсөтүлгөн өлчөм үчүн оптималдуу глифтин формасын тандоого мүмкүндүк берет, мисалы, рубрикалар үчүн контрасттуу глифтерди колдонуңуз.
• CSS касиети кошулду тизме стили түрү, бул тизмелердеги чекиттердин ордуна каалаган символдорду колдонууга мүмкүндүк берет, мисалы, “-“, “+”, “★” жана “▸”.
• Эгерде Worklet.addModule() ишке ашыруу мүмкүн болбосо, объект азыр катанын мүнөзү жөнүндө толук маалымат менен кайтарылып берилет, бул катанын себебин такыраак баалоого мүмкүндүк берет (тармакка туташуудагы көйгөйлөр, туура эмес синтаксис ж. .).
• элементтерин документтердин ортосунда жылдырып жатканда иштетүү токтотулду. Документтердин ортосунда өткөрүп жатканда, сценарийге байланыштуу "ката" жана "жүктөө" окуяларынын аткарылышы да өчүрүлөт.
• JavaScript кыймылдаткычында V8 жүргүзүлгөн Объекттердеги талааларды көрсөтүүгө өзгөртүүлөр менен иштөөнү оптималдаштыруу, натыйжада Speedometer сыноо топтомунда AngularJS кодун аткаруу 4% тезирээк иштейт.
  

• V8 ошондой эле Node.nodeType жана Node.nodeName сыяктуу орнотулган API'лерде аныкталган алуучулардын иштетилишин оптималдаштырат, IC иштеткич жок болгон учурда (inline кэштөө). Өзгөртүү Speedometer топтомунан Backbone жана jQuery тесттерин иштеткенде IC иштөө убактысына сарпталган убакытты болжол менен 12% кыскартты.
  

• OSR (стек боюнча алмаштыруу деп аталат) механизминин натыйжалары кэштелет, ал функцияны аткаруу учурунда оптималдаштырылган кодду алмаштырат (узак иштеген функциялар үчүн алардын кайра иштешин күтпөстөн оптималдаштырылган кодду колдонууну баштоого мүмкүндүк берет). OSR кэштөө функцияны кайра иштетүүдө оптималдаштыруу натыйжаларын кайра оптималдаштыруудан өтүүнүн кереги жок колдонууга мүмкүндүк берет.
  Кээ бир сыноолордо өзгөрүү эң жогорку көрсөткүчтү 5–18% га жогорулатты.
  

• Веб-иштеп чыгуучулар үчүн куралдардагы өзгөртүүлөр:
  пайда мүчүлүштүктөрдү оңдоо режими өтүнүчтү бөгөттөө же Cookie жөнөтүү себептерин аныктоо.
  
  • Cookie тизмеси бар блокто белгилүү бир сызыкты басуу аркылуу тандалган Cookie файлынын маанисин тез көрүү мүмкүнчүлүгү кошулган.
    

  • Тандоо-түс схемасы жана артыкчылыктуу-кичирейтүү-кыймылдуу медиа сурамдары үчүн ар кандай жөндөөлөрдү имитациялоо мүмкүнчүлүгү кошулду (мисалы, караңгы система темасы бар же анимацияланган эффекттер өчүрүлгөн барактын жүрүм-турумун текшерүү үчүн).
    

  • Камтуу кошумча барагынын дизайны модернизацияланган, бул колдонулган жана колдонулбаган кодду баалоого мүмкүндүк берет. Маалыматты түрү боюнча чыпкалоо мүмкүнчүлүгү кошулду (JavaScript, CSS). Кодду колдонуу маалыматы баштапкы текстти көрсөтүүдө да кошулат.
    

  • Тармактын активдүүлүгүн жаздыргандан кийин белгилүү бир тармак ресурсуна суроо-талаптын себептерин оңдоо мүмкүнчүлүгү кошулду (ресурстун жүктөлүшүнө алып келген JavaScript кодун чакыруунун изин көрө аласыз).
    

  • Console жана Sources панелдеринде көрсөтүлгөн коддогу чегинүүнүн түрүн (2/4/8 боштуктар же өтмөктөр) аныктоо үчүн "Орнотуулар > Артыкчылыктар > Булактар ​​> Демейки чегинүү" жөндөөлөрү кошулду.

Жаңылыктардан жана мүчүлүштүктөрдү оңдоодон тышкары, жаңы версия 51 кемчиликти жок кылат. Көптөгөн алсыздыктар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer жана AFL куралдарын колдонуу менен автоматташтырылган тестирлөөнүн натыйжасында аныкталган. Эки маселе (CVE-2019-13725, Bluetooth колдоосу үчүн коддо мурунтан бошогон эстутумга жетүү жана CVE-2019-13726, сырсөз башкаргычында үймөктүн ашыкча толуп кетиши) маанилүү деп белгиленген, б.а. браузерден коргоонун бардык деңгээлин айланып өтүүгө жана кумкоргон чөйрөсүнөн тышкары системадагы кодду аткарууга мүмкүндүк берет. Бул биринчи жолу Chrome'до бир иштеп чыгуу циклинин ичинде эки орчундуу көйгөй аныкталган. Биринчи алсыздыкты Tencent Keen Security Lab изилдөөчүлөрү жана көрсөттү Tianfu Cup мелдешинде, ал эми экинчисин Google Project Zero компаниясынан Сергей Глазунов тапкан.

Учурдагы релиздин кемчиликтерин тапкандыгы үчүн акчалай сыйлык программасынын бир бөлүгү катары Google 37 80000 долларлык 20000 сыйлыкты (бир $ 10000 7500 сыйлык, бир $ 5000 3000 сыйлык, эки $ 2000 1000 сыйлык, төрт $ 500 15 сыйлык, бир $ XNUMX XNUMX сыйлык, бир $ XNUMX XNUMX сыйлык, $ XNUMX, $ XNUMX, $ XNUMX, $ XNUMX, $ XNUMX, $ XNUMX, $XNUMX, $XNUMX, $XNUMX) төлөгөн $XNUMX сыйлыктары). XNUMX сыйлыктын өлчөмү азырынча аныктала элек.

Source: opennet.ru