Chrome 79. izlaidums

Google uzrādīts tīmekļa pārlūkprogrammas izlaidums Chrome 79... Vienlaicīgi pieejams bezmaksas projekta stabila izlaišana Hroms, kas ir pārlūka Chrome pamatā. Chrome pārlūks atšķirīgs Google logotipu izmantošana, sistēmas klātbūtne paziņojumu nosūtīšanai avārijas gadījumā, iespēja lejupielādēt Flash moduli pēc pieprasījuma, moduļi aizsargāta video satura atskaņošanai (DRM), sistēma automātiskai atjauninājumu instalēšanai un pārraidei meklēšanas laikā RLZ parametri. Nākamais Chrome 80 laidiens ir paredzēts 4. februārī.

Galvenais izmaiņas в hroms 79:

• aktivizēts Paroles pārbaudes komponents, kas paredzēts, lai analizētu lietotāja izmantoto paroļu stiprumu. Mēģinot pieteikties jebkurā vietnē Paroles pārbaude izpilda pārbaudīt pieteikumvārdu un paroli, salīdzinot ar uzlauztu kontu datu bāzi, ar brīdinājumu, ja tiek atklātas problēmas (pārbaude tiek veikta, pamatojoties uz jaucējvārdu lietotāja pusē). Pārbaude tiek veikta, izmantojot datubāzi, kas aptver vairāk nekā 4 miljardus apdraudētu kontu, kas parādījās lietotāju datubāzēs, kurās ir noplūde. Brīdinājums tiek parādīts arī, mēģinot izmantot nenozīmīgas paroles, piemēram, "abc123". Lai kontrolētu paroles pārbaudes iekļaušanu, sadaļā “Sinhronizācija un Google pakalpojumi” ir ieviests īpašs iestatījums.
• Tiek prezentēta jauna tehnoloģija pikšķerēšanas noteikšanai reāllaikā. Iepriekš verifikācija tika veikta, piekļūstot lokāli lejupielādētajiem Drošas pārlūkošanas melnajiem sarakstiem, kas tika atjaunināti aptuveni reizi 30 minūtēs, kas izrādījās nepietiekami, piemēram, uzbrucēju biežas domēna maiņas apstākļos. Jaunā metode ļauj pārbaudīt vietrāžus URL lidojuma laikā, veicot iepriekšēju pārbaudi, salīdzinot tos ar baltajiem sarakstiem, kas ietver tūkstošiem uzticamu populāru vietņu jaucējkodas. Ja atveramā vietne nav baltajā sarakstā, pārlūkprogramma pārbauda URL Google serverī, pārsūtot pirmos 32 saites SHA-256 jaucējkoda bitus, no kuriem tiek izgriezti iespējamie personas dati. Saskaņā ar Google datiem, jaunā pieeja var uzlabot brīdinājumu efektivitāti jaunām pikšķerēšanas vietnēm par 30%.
• Pievienota proaktīva aizsardzība pret Google akreditācijas datu un visu paroļu pārvaldniekā saglabāto paroļu pārsūtīšanu, izmantojot pikšķerēšanas lapas. Ja mēģināt ievadīt saglabātu paroli vietnē, kur šī parole parasti netiek izmantota, lietotājs tiks brīdināts par potenciāli bīstamu darbību.
• Savienojumi, kas izmanto TLS 1.0 un 1.1, tagad parāda nedroša savienojuma indikatoru. Pilnībā atbalsta TLS 1.0 un 1.1 tiks atspējots pārlūkprogrammā Chrome 81, kas paredzēts 17. gada 2020. martā.
• Pievienota iespēja iesaldēt neaktīvās cilnes, ļaujot automātiski izlādēt no atmiņas cilnēm, kas ir fonā vairāk nekā 5 minūtes un neveic nozīmīgas darbības. Lēmums par konkrētas cilnes piemērotību iesaldēšanai tiek pieņemts, pamatojoties uz heiristiku. Funkcijas iespējošana tiek kontrolēta, izmantojot karogu “chrome://flags/#proactive-tab-freeze”.
• Nodrošināts Jaukta satura bloķēšana lapās, kas atvērtas, izmantojot HTTPS, lai nodrošinātu, ka lapās, kas atvērtas, izmantojot https://, ir tikai resursi, kas ielādēti, izmantojot drošu sakaru kanālu. Lai gan visbīstamākie jauktā satura veidi, piemēram, skripti un iframe, jau ir bloķēti pēc noklusējuma, attēlus, audio failus un videoklipus joprojām var lejupielādēt, izmantojot vietni http://. Iepriekš izmantotais jauktā satura rādītājs šādiem ieliktņiem tika atzīts par neefektīvu un lietotāju maldinošu, jo tas nesniedz viennozīmīgu lapas drošības novērtējumu. Piemēram, izmantojot attēlu viltošanu, uzbrucējs var aizstāt lietotāju izsekošanas sīkfailus, mēģināt izmantot attēlu procesoru ievainojamības vai veikt viltojumus, aizstājot attēlā sniegto informāciju. Lai atspējotu jaukto komponentu bloķēšanu, ir pievienots īpašs iestatījums, kuram var piekļūt, izmantojot izvēlni, kas parādās, noklikšķinot uz bloķēšanas simbola.
• Pievienota eksperimentāla iespēja koplietot starpliktuves saturu starp Chrome darbvirsmas un mobilajām versijām. Gadījumos, kad pārlūks Chrome ir saistīts ar vienu kontu, tagad varat piekļūt citas ierīces starpliktuves saturam, tostarp koplietot starpliktuvi starp mobilajām un galddatoru sistēmām. Starpliktuves saturs tiek šifrēts, izmantojot pilnīgu šifrēšanu, kas neļauj piekļūt tekstam Google serveros. Funkcija ir iespējota, izmantojot opcijas chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui un chrome://flags#sync-clipboard-service.
• Adreses joslā noteiktos brīžos (piemēram, saglabājot paroli), kad profila sinhronizācija ir izslēgta, papildus iemiesojumam tiek parādīts pašreizējā Google konta nosaukums, lai lietotājs varētu precīzi identificēt pašreizējo aktīvo kontu.
• Aktivizēts 1% lietotāju atbalstīt “DNS, izmantojot HTTPS” (DoH, DNS, izmantojot HTTPS). Eksperimentā ir iesaistīti tikai tie lietotāji, kuru sistēmas iestatījumos jau ir norādīti DNS nodrošinātāji, kas atbalsta DoH. Piemēram, ja lietotājam sistēmas iestatījumos ir norādīts DNS 8.8.8.8, pārlūkā Chrome tiks aktivizēts Google DoH pakalpojums (“https://dns.google.com/dns-query”); ja DNS ir 1.1.1.1. XNUMX, pēc tam pakalpojumu DoH Cloudflare (“https://cloudflare-dns.com/dns-query”) utt. Lai kontrolētu, vai DoH ir iespējots, tiek nodrošināts iestatījums “chrome://flags/#dns-over-https”. Tiek atbalstīti trīs darbības režīmi: drošs, automātisks un izslēgts. “Drošajā” režīmā saimniekdatori tiek noteikti, tikai pamatojoties uz iepriekš kešatmiņā saglabātajām drošajām vērtībām (saņemtas, izmantojot drošu savienojumu) un pieprasījumiem, izmantojot DoH; atkāpšanās uz parasto DNS netiek piemērota. “Automātiskajā” režīmā, ja DoH un drošā kešatmiņa nav pieejami, datus var izgūt no nedrošās kešatmiņas un tiem piekļūt, izmantojot tradicionālo DNS. “Izslēgtā” režīmā vispirms tiek pārbaudīta koplietotā kešatmiņa un, ja datu nav, pieprasījums tiek nosūtīts caur sistēmas DNS.
• Pievienots eksperimentāls atbalstīt renderētā satura saglabāšana kešatmiņā, mainot lapas, izmantojot pogas uz priekšu un atpakaļ, kas var ievērojami samazināt aizkavi šāda veida navigācijas laikā, jo tiek saglabāta visa lapa kešatmiņā, kas neprasa atkārtotu renderēšanu un resursu ielādi. Optimizācija īpaši jūtama mobilajām ierīcēm paredzētajā versijā, kur veiktspējas pieaugums navigācijas laikā sasniedz 19%. Režīms ir iespējots, izmantojot opciju “chrome://flags#back-forward-cache”.
• Izdzēsts iestatījums “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, kas ļāva adreses joslā atgriezt protokola rādīšanu (tagad visas saites vienmēr tiek rādītas bez https :// un http:/ /, kā arī bez “www.”).
• Windows versijas ietver audio atskaņošanas pakalpojuma smilškastes izmantošanu. Lai kontrolētu, vai izolācija ir iespējota, tiek piedāvāts rekvizīts AudioSandboxEnabled.
• Centralizētie administrēšanas rīki uzņēmumiem ietver iespēju definēt noteikumus, kas nosaka, cik daudz atmiņas pārlūkprogrammas gadījums var patērēt pirms fona cilņu izlādēšanas. Atmiņa, kas atbrīvota pēc cilnes izkraušanas, kļūst pieejama lietošanai, un, pārslēdzoties uz cilni, cilnes saturs tiek ielādēts vēlreiz.
• Linux izmanto iebūvētu sertifikātu pārbaudes procesoru, kas aizstāj iepriekš izmantoto NSS sistēmu. Šajā gadījumā iebūvētais procesors verifikācijas laikā turpina izmantot NSS krātuvi, bet izvirza stingrākas prasības, apstrādājot nepareizi kodētus un atsevišķi sertificētus sertifikātus (visiem sertifikātiem jābūt sertificētiem sertifikācijas iestādei).
• Android platformas versijā pievienots iespēja piešķirt adaptīvas ikonas instalētajām tīmekļa lietojumprogrammām, kas darbojas progresīvās tīmekļa lietotņu (PWA) režīmā. Adaptīvās ikonas var pielāgoties ierīces ražotāja izmantotajam interfeisam, piemēram, apaļas, kvadrātveida vai ar gludiem stūriem.
• Pievienots API WebXR ierīce, kas nodrošina piekļuvi komponentiem virtuālās un paplašinātās realitātes izveidei. API ļauj apvienot darbu ar dažādām ierīču klasēm, sākot no stacionārām virtuālās realitātes austiņām, piemēram, Oculus Rift, HTC Vive un Windows Mixed Reality, līdz risinājumiem, kuru pamatā ir mobilās ierīces, piemēram, Google Daydream View un Samsung Gear VR. Lietojumprogrammas, kurās var izmantot jauno API, ir programmas video skatīšanai 360° režīmā, sistēmas trīsdimensiju telpas vizualizēšanai, virtuālo kinoteātru izveide video prezentācijai, eksperimentu veikšana 3D saskarņu izveidei veikaliem un galerijām;
  

• Origin Trials režīmā (eksperimentālas funkcijas, kurām nepieciešamas atsevišķas aktivizēšana) ir ierosinātas vairākas jaunas API. Sākotnējā izmēģinājuma versija nozīmē iespēju strādāt ar norādīto API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reģistrēšanās un īpaša marķiera saņemšanas, kas ir derīgs noteiktai vietnei ierobežotu laiku.
  • Visiem HTML elementiem tiek piedāvāts atribūts “rendersubtree”, kas nodrošina, ka DOM elementa attēlojums ir fiksēts. Iestatot atribūtu uz "neredzams", elementa saturs netiks renderēts vai pārbaudīts, tādējādi nodrošinot optimizētu renderēšanu. Ja iestatīts uz "aktivizējams", pārlūkprogramma noņems neredzamo atribūtu, atveidos saturu un padarīs to redzamu.
  • Pievienota API opcija Modinātājs pamatojoties uz Promise mehānismu, kas nodrošina drošāku veidu, kā kontrolēt automātiskās bloķēšanas ekrānu atspējošanu un ierīču pārslēgšanu uz enerģijas taupīšanas režīmiem.
• Ieviesta iespēja izmantot atribūtu autofokuss visiem HTML un SVG elementiem, kuriem var būt ievades fokuss.
• Attēliem un video nodrošināta Aprēķiniet malu attiecību, pamatojoties uz atribūtiem Width vai Height, ko var izmantot, lai noteiktu attēla izmēru, izmantojot CSS, posmā, kad attēls vēl nav ielādēts (atrisina problēmu ar lapas atjaunošanu pēc attēlu ielādes).
• Pievienots CSS rekvizīts fontu optiskā izmēra noteikšana, kas automātiski iestata mainīgo fonta lielumu optiskajās koordinātēs "opsz", ja fonts tos atbalsta. Režīms ļauj atlasīt optimālo glifu formu noteiktam izmēram, piemēram, virsrakstiem izmantot kontrastējošākus glifus.
• Pievienots CSS rekvizīts saraksta stila veids, kas ļauj sarakstos punktu vietā izmantot jebkurus simbolus, piemēram, “-”, “+”, “★” un “▸”.
• Ja nav iespējams izpildīt Worklet.addModule(), tagad tiek atgriezts objekts ar detalizētu informāciju par kļūdas būtību, kas ļauj precīzāk novērtēt kļūdas cēloni (tīkla savienojuma problēmas, nepareiza sintakse utt. .).
• Pārtraukta vienumu apstrāde при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScript dzinējā V8 Izpildīts Objektu lauku attēlojuma izmaiņu apstrādes optimizācija, kā rezultātā AngularJS koda izpilde Speedometer testa komplektā darbojas par 4% ātrāk.
  

• V8 arī optimizē iebūvētajās API, piemēram, Node.nodeType un Node.nodeName, definēto geteru apstrādi, ja nav IC apdarinātāja (inline caching). Izmaiņas samazināja IC izpildlaikā pavadīto laiku par aptuveni 12%, palaižot mugurkaula un jQuery testus no komplekta Speedometer.
  

• OSR (saukta par on-stack aizstāšanu) mehānisma rezultāti tiek saglabāti kešatmiņā, kas funkcijas izpildes laikā aizvieto optimizēto kodu (ļauj sākt izmantot optimizētu kodu ilgstoši darbojošām funkcijām, negaidot, kad tās atkal darbosies). OSR kešatmiņa ļauj izmantot optimizācijas rezultātus, atkārtoti palaižot funkciju, bez nepieciešamības veikt atkārtotu optimizāciju.
  Dažos testos izmaiņas palielināja maksimālo veiktspēju par 5–18%.
  

• Izmaiņas tīmekļa izstrādātāju rīkos:
  Ir parādījies atkļūdošanas režīms, lai noteiktu pieprasījuma bloķēšanas vai sīkfaila nosūtīšanas iemeslus.
  
  • Blokā ar sīkfailu sarakstu ir pievienota iespēja ātri apskatīt izvēlētā sīkfaila vērtību, noklikšķinot uz konkrētas rindiņas.
    

  • Pievienota iespēja simulēt dažādus iestatījumus preferenču krāsu shēmai un preferens-reduced-motion multivides vaicājumiem (piemēram, lai pārbaudītu lapas darbību ar tumšu sistēmas motīvu vai ar atspējotiem animācijas efektiem).
    

  • Cilnes Coverage dizains ir modernizēts, ļaujot novērtēt izmantoto un neizmantoto kodu. Pievienota iespēja filtrēt informāciju pēc tās veida (JavaScript, CSS). Koda lietošanas informācija tiek pievienota arī, parādot avota tekstu.
    

  • Pievienota iespēja pēc tīkla darbības ierakstīšanas atkļūdot konkrēta tīkla resursa pieprasīšanas iemeslus (varat apskatīt JavaScript koda izsaukuma pēdas, kas noveda pie resursa ielādes).
    

  • Pievienots iestatījums “Iestatījumi > Preferences > Avoti > Noklusējuma atkāpe”, lai noteiktu atkāpes veidu (2/4/8 atstarpes vai tabulēšanas zīmes) kodā, kas tiek parādīts paneļos konsole un avoti.

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērš 51 ievainojamību. Daudzas ievainojamības tika identificētas automatizētas testēšanas rezultātā, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rīkus. Divas problēmas (CVE-2019-13725, piekļuve jau atbrīvotajai atmiņai Bluetooth atbalsta kodā un CVE-2019-13726, kaudzes pārpilde paroļu pārvaldniekā) ir atzīmētas kā kritiskas, t.i. ļauj apiet visus pārlūkprogrammas aizsardzības līmeņus un izpildīt kodu sistēmā ārpus smilškastes vides. Šī ir pirmā reize, kad pārlūkā Chrome vienā izstrādes ciklā ir konstatētas divas kritiskas problēmas. Pirmo ievainojamību atklāja pētnieki no Tencent Keen Security Lab un demonstrēts Tianfu kausa izcīņā, bet otro atrada Sergejs Glazunovs no Google Project Zero.

Kā daļu no naudas atlīdzības programmas par pašreizējā laidiena ievainojamību atklāšanu Google izmaksāja 37 balvas 80000 20000 USD vērtībā (viena 10000 7500 USD balva, viena 5000 3000 USD balva, divas 2000 USD balvas, četras 1000 USD balvas, viena 500 USD balva, 15 astoņi, XNUMX USD XNUMX XNUMX $ balvas). XNUMX balvu lielums vēl nav noteikts.

Avots: opennet.ru