79 Chrome leidimas

Google pateiktas interneto naršyklės leidimas "Chrome 79... Tuo pačiu metu prieinama stabilus nemokamo projekto išleidimas chromas, kuris yra „Chrome“ pagrindas. Chrome naršyklė kitoks „Google“ logotipų naudojimas, pranešimų siuntimo sistemos buvimas avarijos atveju, galimybė paprašius atsisiųsti „Flash“ modulį, moduliai, skirti paleisti apsaugotą vaizdo turinį (DRM), automatinio atnaujinimų diegimo ir perdavimo paieškos metu sistema. RLZ parametrai. Kitas „Chrome 80“ leidimas planuojamas vasario 4 d.

pagrindinis pokyčiai в chromas 79:

• Aktyvuota Slaptažodžio tikrinimo komponentas, skirtas analizuoti vartotojo naudojamų slaptažodžių stiprumą. Bandant prisijungti prie bet kurios svetainės Slaptažodžio patikra įvykdo prisijungimo ir slaptažodžio tikrinimas pagal pažeistų paskyrų duomenų bazę su įspėjimu, jei aptinkamos problemos (patikrinimas atliekamas pagal maišos priešdėlį vartotojo pusėje). Patikrinama pagal duomenų bazę, apimančią daugiau nei 4 milijardus pažeistų paskyrų, kurios atsirado nutekintose vartotojų duomenų bazėse. Taip pat rodomas įspėjimas, kai bandoma naudoti nereikšmingus slaptažodžius, tokius kaip „abc123“. Norint valdyti slaptažodžio patikros įtraukimą, skiltyje „Sinchronizavimas ir „Google“ paslaugos“ įdiegtas specialus nustatymas.
• Pristatoma nauja technologija, skirta aptikti sukčiavimą realiuoju laiku. Anksčiau tikrinimas buvo atliktas pasiekiant vietoje atsisiųstus Saugaus naršymo juoduosius sąrašus, kurie buvo atnaujinami maždaug kartą per 30 minučių, o tai buvo nepakankama, pavyzdžiui, užpuolikams dažnai keičiant domeną. Naujasis metodas leidžia patikrinti URL adresus iš karto, iš anksto patikrinus, ar nėra baltųjų sąrašų, kuriuose yra tūkstančių populiarių patikimų svetainių maišos. Jei atidaromos svetainės nėra baltajame sąraše, naršyklė patikrina URL Google serveryje, perduodama pirmuosius 32 nuorodos maišos SHA-256 bitus, iš kurių iškerpami galimi asmens duomenys. „Google“ teigimu, naujas požiūris gali 30 % pagerinti įspėjimų apie naujas sukčiavimo svetaines efektyvumą.
• Pridėta aktyvi apsauga nuo „Google“ kredencialų ir bet kokių slaptažodžių tvarkyklėje saugomų slaptažodžių perdavimo per sukčiavimo puslapius. Jei bandysite įvesti išsaugotą slaptažodį svetainėje, kurioje tas slaptažodis paprastai nenaudojamas, vartotojas bus įspėtas apie galimai pavojingą veiksmą.
• Ryšiai naudojant TLS 1.0 ir 1.1 dabar rodo nesaugaus ryšio indikatorių. Visiškai palaiko TLS 1.0 ir 1.1 bus išjungtas 81 versijos „Chrome“, numatyta 17 m. kovo 2020 d.
• Pridėta galimybė užšaldyti neaktyvius skirtukus, leidžiančius automatiškai iškrauti iš atminties skirtukų, kurie buvo fone ilgiau nei 5 minutes ir neatlieka reikšmingų veiksmų. Sprendimas dėl konkretaus skirtuko tinkamumo užšaldyti priimamas remiantis euristika. Funkcija įgalinama naudojant vėliavėlę „chrome://flags/#proactive-tab-freeze“.
• Apsaugota Mišraus turinio blokavimas puslapiuose, atidarytuose naudojant HTTPS, siekiant užtikrinti, kad puslapiuose, atidarytuose per https://, būtų tik ištekliai, įkelti saugiu ryšio kanalu. Nors pagal numatytuosius nustatymus pavojingiausi mišraus turinio tipai, pvz., scenarijai ir „iframe“, jau yra užblokuoti, vaizdus, ​​garso failus ir vaizdo įrašus vis tiek galima atsisiųsti naudojant http://. Nustatyta, kad anksčiau tokiems intarpams naudojamas mišraus turinio indikatorius yra neveiksmingas ir klaidinantis vartotoją, nes nepateikia vienareikšmiško puslapio saugumo įvertinimo. Pavyzdžiui, klastodamas vaizdą, užpuolikas gali pakeisti naudotojo sekimo slapukus, bandyti išnaudoti vaizdo procesorių pažeidžiamumą arba atlikti klastojimą, pakeisdamas vaizde pateiktą informaciją. Norint išjungti mišrių komponentų užrakinimą, buvo pridėtas specialus nustatymas, kurį galima pasiekti per meniu, kuris atsiranda paspaudus spynos simbolį.
• Pridėta eksperimentinė galimybė bendrinti iškarpinės turinį staliniams kompiuteriams ir mobiliesiems skirtoms „Chrome“ versijoms. Kai „Chrome“ susieta su viena paskyra, dabar galite pasiekti kito įrenginio iškarpinės turinį, įskaitant iškarpinės bendrinimą tarp mobiliųjų ir stalinių kompiuterių sistemų. Iškarpinės turinys šifruojamas naudojant tiesioginį šifravimą, kuris neleidžia pasiekti teksto „Google“ serveriuose. Funkcija įgalinama naudojant parinktis chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui ir chrome://flags#sync-clipboard-service.
• Adreso juostoje tam tikrais momentais (pavyzdžiui, išsaugant slaptažodį), kai profilio sinchronizavimas išjungtas, be avataro, rodomas ir esamos Google paskyros pavadinimas, kad vartotojas galėtų tiksliai identifikuoti esamą aktyvią paskyrą.
• Suaktyvinta 1% vartotojų parama „DNS per HTTPS“ (DoH, DNS per HTTPS). Eksperimente dalyvauja tik vartotojai, kurių sistemos nustatymuose jau yra nurodyti DNS teikėjai, palaikantys DoH. Pavyzdžiui, jei vartotojas turi sistemos nustatymuose nurodytą DNS 8.8.8.8, tada „Google“ DoH paslauga („https://dns.google.com/dns-query“) bus suaktyvinta „Chrome“; jei DNS yra 1.1.1.1. XNUMX, tada „DoH Cloudflare“ paslauga („https://cloudflare-dns.com/dns-query“) ir kt. Norint valdyti, ar įgalintas DoH, pateikiamas nustatymas „chrome://flags/#dns-over-https“. Palaikomi trys veikimo režimai: saugus, automatinis ir išjungtas. „Saugiame“ režime pagrindiniai kompiuteriai nustatomi tik pagal anksčiau talpykloje saugomas saugias reikšmes (gautas per saugų ryšį) ir užklausas per DoH; atsarginis įprasto DNS netaikomas. „Automatiniu“ režimu, jei DoH ir saugi talpykla nepasiekiami, duomenis galima nuskaityti iš nesaugios talpyklos ir pasiekti per tradicinį DNS. „Išjungus“ režimu pirmiausia patikrinama bendrinama talpykla ir, jei nėra duomenų, užklausa siunčiama per sistemos DNS.
• Pridėta eksperimentinė parama pateikto turinio kaupimas talpykloje keičiant puslapius naudojant pirmyn ir atgal mygtukus, o tai gali žymiai sumažinti delsą tokio tipo naršymo metu dėl visiško viso puslapio kaupimo talpykloje, dėl kurios nereikia iš naujo pateikti ir įkelti išteklių. Optimizavimas ypač pastebimas mobiliesiems įrenginiams skirtoje versijoje, kur našumo padidėjimas navigacijos metu siekia 19%. Režimas įgalinamas naudojant parinktį „chrome://flags#back-forward-cache“.
• Ištrinta nustatymas „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains“, kuris leido grąžinti protokolo rodymą adreso juostoje (dabar visos nuorodos visada rodomos be https :// ir http:/ /, taip pat be „www.“).
• „Windows“ versijos apima garso atkūrimo paslaugos smėlio dėžę. Norint valdyti, ar įgalintas izoliavimas, siūloma nuosavybė AudioSandboxEnabled.
• Įmonėms skirtus centralizuotus administravimo įrankius sudaro galimybė apibrėžti taisykles, kurios kontroliuoja, kiek atminties naršyklės egzempliorius gali sunaudoti prieš iškraunant foninius skirtukus. Atmintis, atlaisvinta iškėlus skirtuką, tampa prieinama naudojimui, o perjungiant skirtuko turinys vėl įkeliamas.
• Linux naudoja įmontuotą sertifikatų tikrinimo procesorių, kuris pakeičia anksčiau naudotą NSS sistemą. Tokiu atveju įtaisytasis procesorius tikrinimo metu ir toliau naudoja NSS saugyklą, tačiau apdorojant neteisingai užkoduotus ir atskirai sertifikuotus sertifikatus kelia griežtesnius reikalavimus (visi sertifikatai turi būti sertifikuoti sertifikavimo institucijos).
• „Android“ platformai skirtoje versijoje pridėta galimybė priskirti prisitaikančias piktogramas įdiegtoms žiniatinklio programoms, veikiančioms progresyvių žiniatinklio programų (PWA) režimu. Prisitaikančios piktogramos gali prisitaikyti prie įrenginio gamintojo naudojamos sąsajos, pavyzdžiui, apvalios, kvadratinės arba lygiais kampais.
• Pridėta API WebXR įrenginys, kuri suteikia prieigą prie komponentų kuriant virtualią ir papildytą realybę. API leidžia suvienodinti darbą su įvairių klasių įrenginiais – nuo ​​stacionarių virtualios realybės ausinių, tokių kaip Oculus Rift, HTC Vive ir Windows Mixed Reality, iki sprendimų, pagrįstų mobiliaisiais įrenginiais, tokiais kaip Google Daydream View ir Samsung Gear VR. Programos, kuriose gali būti pritaikyta nauja API, apima vaizdo įrašų peržiūros 360° režimu programas, trimatės erdvės vizualizavimo sistemas, virtualių kino teatrų kūrimą vaizdo pristatymui, eksperimentus kuriant 3D sąsajas parduotuvėms ir galerijoms;
  

• „Origin Trials“ režimu (eksperimentinės funkcijos, kurioms reikia atskirų aktyvinimas) buvo pasiūlyta keletas naujų API. „Origin Trial“ reiškia galimybę dirbti su nurodyta API iš programų, atsisiųstų iš „localhost“ arba 127.0.0.1, arba užsiregistravus ir gavus specialų prieigos raktą, kuris galioja ribotą laiką konkrečioje svetainėje.
  • Visiems HTML elementams siūlomas atributas „rendersubtree“, kuris užtikrina, kad DOM elemento rodymas būtų fiksuotas. Nustačius atributą į „nematomas“, elemento turinys nebus pateiktas arba tikrinamas, todėl bus galima optimizuoti atvaizdavimą. Nustačius „aktyvinamas“, naršyklė pašalins nematomą atributą, pateiks turinį ir padarys jį matomą.
  • Pridėta API parinktis Pažadinimo užraktas paremtas Promise mechanizmu, kuris suteikia saugesnį būdą valdyti automatinio užrakinimo ekranų išjungimą ir įrenginių perjungimą į energijos taupymo režimus.
• Įdiegta galimybė naudoti atributą Televizoriaus visiems HTML ir SVG elementams, kurie gali turėti įvesties fokusą.
• Vaizdams ir vaizdo įrašams apsaugotas Apskaičiuokite formato santykį pagal atributus Plotis arba Aukštis, kuriuos galima naudoti norint nustatyti vaizdo dydį naudojant CSS, kai vaizdas dar neįkeltas (išsprendžia puslapio atkūrimo problemą įkėlus vaizdus).
• Pridėta CSS nuosavybė šrifto optinis dydis, kuris automatiškai nustato kintamą šrifto dydį optinėmis koordinatėmis "opsz“, jei šriftas juos palaiko. Režimas leidžia pasirinkti optimalią nurodyto dydžio glifo formą, pavyzdžiui, antraštėms naudoti kontrastingesnius glifus.
• Pridėta CSS nuosavybė sąrašo stiliaus, kuri leidžia sąrašuose vietoj taškų naudoti bet kokius simbolius, pvz., „-“, „+“, „★“ ir „▸“.
• Jei neįmanoma vykdyti Worklet.addModule(), dabar grąžinamas objektas su išsamia informacija apie klaidos pobūdį, kuri leidžia tiksliau įvertinti klaidos priežastį (tinklo ryšio problemos, neteisinga sintaksė ir kt. .).
• Sustabdė elementų apdorojimą при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• „JavaScript“ variklyje V8 atliko Objektų laukų vaizdavimo pakeitimų tvarkymo optimizavimas, todėl spidometro bandymo komplekte AngularJS kodas vykdomas 4 % greičiau.
  

• V8 taip pat optimizuoja gauterių, apibrėžtų integruotose API, pvz., Node.nodeType ir Node.nodeName, apdorojimą, jei nėra IC tvarkyklės (inline caching). Šis pakeitimas sumažino IC vykdymo laiką maždaug 12 %, kai vykdomi Backbone ir jQuery testai iš Speedometer rinkinio.
  

• OSR (vadinamo on-stack pakeitimo) mechanizmo rezultatai yra talpykloje, kuris pakeičia optimizuotą kodą funkcijos vykdymo metu (leidžia pradėti naudoti optimizuotą kodą ilgai veikiančioms funkcijoms, nelaukiant, kol jos vėl pradės veikti). OSR talpyklos kaupimas leidžia naudoti optimizavimo rezultatus iš naujo paleidžiant funkciją, nereikia pakartotinai optimizuoti.
  Kai kuriuose bandymuose pokytis padidino didžiausią našumą 5–18%.
  

• Pakeitimai žiniatinklio kūrėjams skirtuose įrankiuose:
  Atsirado derinimo režimą, kad nustatytų užklausos blokavimo arba slapuko siuntimo priežastis.
  
  • Bloke su slapukų sąrašu buvo pridėta galimybė greitai peržiūrėti pasirinkto slapuko vertę paspaudus konkrečią eilutę.
    

  • Pridėta galimybė imituoti skirtingus spalvų schemos ir pageidaujamo sumažinto judesio medijos užklausų nustatymus (pavyzdžiui, norint patikrinti puslapio elgseną su tamsia sistemos tema arba išjungus animacinius efektus).
    

  • Modernizuotas skirtuko Aprėptis dizainas, leidžiantis įvertinti naudojamą ir nenaudotą kodą. Pridėta galimybė filtruoti informaciją pagal jos tipą (JavaScript, CSS). Rodant šaltinio tekstą taip pat pridedama kodo naudojimo informacija.
    

  • Pridėta galimybė derinti priežastis, dėl kurių buvo prašoma konkretaus tinklo resurso, įrašius tinklo veiklą (galite peržiūrėti „JavaScript“ kodo iškvietimo, dėl kurio buvo įkeltas šaltinis, pėdsaką).
    

  • Pridėtas parametras „Nustatymai > Parinktys > Šaltiniai > Numatytoji įtrauka“, kad būtų galima nustatyti įtraukos tipą (2/4/8 tarpai arba tabuliatoriai) kode, rodomame pulto ir šaltinių skyduose.

Be naujovių ir klaidų pataisymų, naujoji versija pašalina 51 pažeidžiamumą. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Dvi problemos (CVE-2019-13725, prieiga prie jau atlaisvintos atminties kode, skirta Bluetooth palaikymui, ir CVE-2019-13726, krūvos perpildymas slaptažodžių tvarkyklėje) pažymėtos kaip kritinės, t.y. leidžia apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje ne smėlio dėžės aplinkoje. Tai pirmas kartas, kai per tą patį „Chrome“ kūrimo ciklą buvo nustatytos dvi svarbios problemos. Pirmąjį pažeidžiamumą aptiko tyrėjai iš Tencent Keen Security Lab ir pademonstravo Tianfu taurės varžybose, o antrąją surado Sergejus Glazunovas iš Google Project Zero.

„Google“ išmokėjo 37 apdovanojimus, kurių vertė yra 80000 20000 USD (vieną 10000 7500 USD apdovanojimą, vieną 5000 3000 USD apdovanojimą, du 2000 1000 USD apdovanojimus, keturis 500 15 USD apdovanojimus, vieną XNUMX XNUMX USD, XNUMX, XNUMX du XNUMX XNUMX USD apdovanojimą). ir aštuoni XNUMX USD apdovanojimai). XNUMX apdovanojimų dydis dar nenustatytas.

Šaltinis: opennet.ru