Chrome 79 хувилбар

Google танилцуулсан вэб хөтчийн хувилбар Chrome 79... Үүний зэрэгцээ боломжтой үнэгүй төслийн тогтвортой хувилбар Chromium, энэ нь Chrome-ийн үндэс суурь болдог. Chrome хөтөч ялгаатай байна Google лого ашиглах, осол гарсан тохиолдолд мэдэгдэл илгээх систем байгаа эсэх, хүсэлтээр Flash модулийг татаж авах чадвар, хамгаалагдсан видео контентыг тоглуулах модулиуд (DRM), хайлтын явцад шинэчлэлтүүдийг автоматаар суулгах, дамжуулах систем. RLZ параметрүүд. Chrome 80-ийн дараагийн хувилбарыг хоёрдугаар сарын 4-нд гаргахаар төлөвлөж байна.

Үндсэн өөрчлөлт в Chrome 79:

• идэвхжүүлсэн Хэрэглэгчийн ашигладаг нууц үгийн бат бөх байдлыг шинжлэхэд зориулагдсан Нууц үг шалгах бүрэлдэхүүн хэсэг. Ямар ч сайт руу нэвтрэхийг оролдох үед Нууц үг шалгах биелүүлдэг асуудал илэрсэн тохиолдолд анхааруулга бүхий нэвтрэлт, нууц үгийг эвдлэгдсэн дансны мэдээллийн сантай шалгах (хэрэглэгчийн талын хэш угтвар дээр үндэслэн шалгалтыг хийдэг). Шалгалт нь задруулсан хэрэглэгчийн мэдээллийн санд илэрсэн 4 тэрбум гаруй нууц дансыг хамарсан мэдээллийн баазтай холбоотой юм. Мөн "abc123" гэх мэт энгийн нууц үг ашиглахыг оролдох үед анхааруулга гарч ирнэ. Нууц үгийн шалгалтыг оруулахыг хянахын тулд "Sync and Google Services" хэсэгт тусгай тохиргоог хийсэн.
• Фишинг бодит цаг хугацаанд илрүүлэх шинэ технологийг танилцуулж байна. Өмнө нь орон нутгийн татаж авсан Safe Browsing хар жагсаалтад хандах замаар баталгаажуулалтыг хийдэг байсан бөгөөд ойролцоогоор 30 минут тутамд нэг удаа шинэчлэгддэг байсан бөгөөд энэ нь жишээлбэл халдагчид домэйныг байнга сольж байдаг нөхцөлд хангалтгүй байсан. Шинэ арга нь найдвартай олон мянган алдартай сайтуудын хэшийг багтаасан цагаан жагсаалтын эсрэг урьдчилсан шалгалтын тусламжтайгаар URL хаягуудыг шууд шалгах боломжийг олгоно. Хэрэв нээгдэж буй сайт цагаан жагсаалтад ороогүй бол хөтөч нь Google сервер дээрх URL-г шалгаж, холбоосын SHA-32 хэшийн эхний 256 битийг дамжуулж, үүнээс хувийн мэдээллийг хасдаг. Google-ийн үзэж байгаагаар шинэ арга барил нь шинэ фишинг сайтуудын сэрэмжлүүлгийн үр нөлөөг 30% сайжруулж чадна.
• Фишинг хуудсуудаар дамжуулан нууц үгийн менежерт хадгалагдсан Google-ийн итгэмжлэлүүд болон нууц үгүүдийг шилжүүлэхээс урьдчилан сэргийлэх хамгаалалтыг нэмсэн. Хэрэв та нууц үгээ ихэвчлэн ашигладаггүй сайтад хадгалсан нууц үгээ оруулахыг оролдвол хэрэглэгч аюултай үйлдлийн талаар анхааруулах болно.
• TLS 1.0 болон 1.1-ийг ашигласан холболтууд одоо аюулгүй холболтын үзүүлэлтийг харуулж байна. TLS 1.0 болон 1.1-ийг бүрэн дэмждэг идэвхгүй болно Chrome 81-д 17 оны 2020-р сарын XNUMX-нд товлогдсон.
• Идэвхгүй табуудыг царцаах боломжийг нэмсэн бөгөөд энэ нь 5 минутаас илүү хугацаанд ард байсан бөгөөд чухал үйлдэл хийдэггүй санах ойн табуудаас автоматаар буулгах боломжийг танд олгоно. Тодорхой табыг хөлдөөхөд тохиромжтой эсэх шийдвэрийг эвристик дээр үндэслэн гаргадаг. Функцийг идэвхжүүлэх нь "chrome://flags/#proactive-tab-freeze" гэсэн тугаар удирдагдана.
• Хамгаалагдсан HTTPS-ээр нээгдсэн хуудсууд дээрх холимог контентыг блоклосноор https:// дээр нээгдсэн хуудсууд нь зөвхөн аюулгүй харилцааны сувгаар ачаалагдсан эх сурвалжуудыг агуулна. Хэдийгээр скрипт, iframes зэрэг хамгийн аюултай төрлийн холимог контентууд нь анхдагчаар хаагдсан ч зураг, аудио файл, видеог http:// хаягаар татаж авах боломжтой хэвээр байна. Ийм оруулгад өмнө нь ашиглагдаж байсан холимог агуулгын үзүүлэлт нь хуудасны аюулгүй байдлын хоёрдмол утгагүй үнэлгээ өгөхгүй тул үр ашиггүй бөгөөд хэрэглэгчийг төөрөгдүүлсэн байна. Жишээ нь, дүрсийг хууран мэхлэх замаар халдагчид хэрэглэгчийн мөрдөх күүкиг орлуулж, зураг боловсруулагчийн сул талыг ашиглахыг оролдох эсвэл зурагт өгсөн мэдээллийг солих замаар хуурамчаар үйлдэх боломжтой. Холимог бүрэлдэхүүн хэсгүүдийн түгжээг идэвхгүй болгохын тулд түгжээний тэмдэг дээр дарахад гарч ирэх цэсээр дамжуулан дуудаж болох тусгай тохиргоог нэмсэн.
• Chrome-ын ширээний болон гар утасны хувилбаруудын хооронд санах ойн агуулгыг хуваалцах туршилтын чадварыг нэмсэн. Chrome-ыг нэг бүртгэлтэй холбосон тохиолдолд та өөр төхөөрөмжийн санах ойн агуулгыг үзэх боломжтой, тэр дундаа зөөврийн болон суурин компьютерийн системүүдийн хооронд санах ойг хуваалцах боломжтой. Түр санах ойн агуулгыг төгсгөл хоорондын шифрлэлт ашиглан шифрлэсэн бөгөөд энэ нь Google сервер дээрх текст рүү нэвтрэхээс сэргийлдэг. Энэ функцийг chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui болон chrome://flags#sync-clipboard-service гэсэн сонголтуудаар идэвхжүүлдэг.
• Профайл синхрончлолыг унтраасан үед (жишээлбэл, нууц үг хадгалах үед) хаягийн мөрөнд аватараас гадна одоогийн Google акаунтын нэрийг харуулах бөгөөд ингэснээр хэрэглэгч одоогийн идэвхтэй дансаа үнэн зөв тодорхойлох боломжтой болно.
• Хэрэглэгчдийн 1%-д нь идэвхжүүлсэн дэмжлэг "HTTPS дээр DNS" (DoH, HTTPS дээр DNS). Туршилтанд зөвхөн системийн тохиргоо нь DoH-г дэмждэг DNS үйлчилгээ үзүүлэгчийг зааж өгсөн хэрэглэгчид хамрагдана. Жишээлбэл, хэрэв хэрэглэгч системийн тохиргоонд заасан DNS 8.8.8.8-тэй бол Google-ийн DoH үйлчилгээг (“https://dns.google.com/dns-query”) Chrome дээр идэвхжүүлнэ, хэрэв DNS 1.1.1.1. XNUMX, дараа нь DoH Cloudflare үйлчилгээ (“https://cloudflare-dns.com/dns-query”) гэх мэт. DoH идэвхжсэн эсэхийг хянахын тулд "chrome://flags/#dns-over-https" тохиргоог өгсөн болно. Аюулгүй, автомат, унтраах гэсэн гурван үйлдлийн горимыг дэмждэг. "Аюулгүй" горимд хостуудыг зөвхөн өмнө нь хадгалсан аюулгүй утгууд (аюулгүй холболтоор хүлээн авсан) болон DoH-ээр дамжуулан хүсэлтүүд дээр үндэслэн тодорхойлно; ердийн DNS руу буцаах боломжгүй. "Автомат" горимд, хэрэв DoH болон аюулгүй кэш боломжгүй бол найдвартай кэшээс өгөгдлийг сэргээж, уламжлалт DNS-ээр дамжуулан хандах боломжтой. "Унтраах" горимд эхлээд хуваалцсан кэшийг шалгаж, өгөгдөл байхгүй бол хүсэлтийг системийн DNS-ээр илгээдэг.
• Туршилтыг нэмсэн дэмжлэг Урагшаа болон буцах товчлууруудыг ашиглан хуудсыг өөрчлөх үед үзүүлсэн контентыг кэш хийх бөгөөд энэ нь бүх хуудсыг бүрэн кэш хийснээр энэ төрлийн навигацийн явцад гарах саатлыг мэдэгдэхүйц бууруулж, нөөцийг дахин дүрслэх, ачаалах шаардлагагүй болно. Оновчлол нь ялангуяа хөдөлгөөнт төхөөрөмжийн хувилбарт мэдэгдэхүйц бөгөөд навигацийн явцад гүйцэтгэл 19% -д хүрдэг. Уг горимыг "chrome://flags#back-forward-cache" сонголтыг ашиглан идэвхжүүлсэн.
• Устгасан "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains" гэсэн тохиргоог хийснээр хаягийн мөрөнд протоколын дэлгэцийг буцаах боломжтой болсон (одоо бүх холбоосууд үргэлж харагдах болно. https:// болон http:/ / байхгүй, мөн "www." байхгүй).
• Windows-д зориулсан бүтээцүүд нь аудио тоглуулах үйлчилгээг хамгаалдаг. Тусгаарлагчийг идэвхжүүлсэн эсэхийг хянахын тулд AudioSandboxEnabled шинж чанарыг санал болгож байна.
• Аж ахуйн нэгжүүдэд зориулсан удирдлагын төвлөрсөн хэрэглүүрүүд нь арын табуудыг буулгахаас өмнө хөтчийн инстанц хэр хэмжээний санах ой зарцуулж болохыг хянах дүрмийг тодорхойлох чадварыг агуулдаг. Табыг буулгасны дараа гарсан санах ойг ашиглах боломжтой болж, таб руу шилжих үед контент дахин ачаалагдана.
• Линукс нь өмнө нь ашиглагдаж байсан NSS системийг орлуулсан гэрчилгээний баталгаажуулалтын процессорыг ашигладаг. Энэ тохиолдолд суурилуулсан процессор нь баталгаажуулалтын явцад NSS дэлгүүрийг үргэлжлүүлэн ашигладаг боловч буруу кодлогдсон, тусад нь баталгаажуулсан гэрчилгээг боловсруулахад илүү хатуу шаардлага тавьдаг (бүх гэрчилгээг баталгаажуулалтын байгууллагаас баталгаажуулсан байх ёстой).
• Android платформд зориулсан хувилбарт нэмсэн Прогрессив Вэб Апп (PWA) горимд ажиллаж байгаа суулгасан вэб програмуудад дасан зохицох дүрсийг оноох чадвар. Дасан зохицох дүрс нь дугуй, дөрвөлжин эсвэл гөлгөр булантай байх жишээлбэл, төхөөрөмжийн үйлдвэрлэгчийн ашигладаг интерфейстэй тохирч болно.
• Нэмсэн API WebXR төхөөрөмж, энэ нь виртуал болон нэмэгдсэн бодит байдлыг бий болгох бүрэлдэхүүн хэсгүүдэд хандах боломжийг олгодог. API нь Oculus Rift, HTC Vive, Windows Mixed Reality зэрэг суурин виртуал бодит байдлын чихэвчээс эхлээд Google Daydream View, Samsung Gear VR зэрэг гар утасны төхөөрөмжид суурилсан шийдлүүд хүртэл янз бүрийн ангиллын төхөөрөмжүүдтэй ажиллах боломжийг танд олгоно. Шинэ API ашиглах боломжтой програмууд нь 360 ° горимд видео үзэх програмууд, гурван хэмжээст орон зайг дүрслэх системүүд, видео танилцуулгад зориулсан виртуал кино театруудыг бий болгох, дэлгүүр, галерейд 3D интерфейс үүсгэх туршилт хийх;
  

• Гарал үүслийн туршилтын горимд (тусдаа шаарддаг туршилтын онцлогууд идэвхжүүлэх) хэд хэдэн шинэ API санал болгосон. Origin Trial гэдэг нь localhost эсвэл 127.0.0.1-ээс татаж авсан програмуудаас заасан API-тай ажиллах, эсвэл тодорхой сайтад хязгаарлагдмал хугацаанд хүчинтэй тусгай токеныг бүртгүүлж, хүлээн авсны дараа ажиллах чадварыг хэлнэ.
  • Бүх HTML элементүүдийн хувьд "rendersubtree" шинж чанарыг санал болгож байгаа бөгөөд энэ нь DOM элементийн дэлгэцийг тогтмол байлгах боломжийг олгодог. Атрибутыг "үл үзэгдэх" болгож тохируулснаар элементийн агуулгыг дүрслэх, шалгахаас сэргийлж, оновчтой дүрслэх боломжийг олгоно. "Идэвхжүүлэх боломжтой" гэж тохируулсан үед хөтөч нь үл үзэгдэх шинж чанарыг устгаж, агуулгыг үзүүлж, харагдах болно.
  • API сонголтыг нэмсэн Сэрээх түгжээ Автомат түгжих дэлгэцийг идэвхгүй болгох, төхөөрөмжүүдийг эрчим хүч хэмнэх горимд шилжүүлэхийг хянах илүү найдвартай арга болох Амлалт механизм дээр суурилсан.
• Шинж чанарыг ашиглах чадварыг хэрэгжүүлсэн автофокус оролтын фокустай байж болох бүх HTML болон SVG элементүүдийн хувьд.
• Зураг, видео бичлэгийн хувьд хамгаалагдсан Зургийг ачаалж амжаагүй үе шатанд CSS ашиглан зургийн хэмжээг тодорхойлоход ашиглаж болох Өргөн эсвэл Өндөр шинж чанарууд дээр үндэслэн харьцааг тооцоолох (зураг ачаалагдсаны дараа хуудсыг дахин бүтээх асуудлыг шийддэг).
• CSS шинж чанарыг нэмсэн фонт-оптик хэмжээ, энэ нь оптик координат дахь хувьсах үсгийн хэмжээг автоматаар тохируулдаг "opsz", хэрэв фонт нь тэдгээрийг дэмждэг бол. Энэ горим нь танд заасан хэмжээгээр оновчтой глифийн хэлбэрийг сонгох боломжийг олгодог, жишээлбэл гарчгийн гарчигт илүү ялгаатай глиф ашиглах боломжтой.
• CSS шинж чанарыг нэмсэн жагсаалтын хэв маягийн төрөл, энэ нь жагсаалт дахь цэгийн оронд дурын тэмдэг ашиглах боломжийг олгодог, жишээ нь “-“, “+”, “★” болон “▸”.
• Хэрэв Worklet.addModule()-г ажиллуулах боломжгүй бол алдааны мөн чанарын талаарх нарийвчилсан мэдээлэл бүхий объектыг буцааж өгөх бөгөөд энэ нь алдааны шалтгааныг (сүлжээний холболттой холбоотой асуудал, буруу синтакс гэх мэт) илүү нарийвчлалтай үнэлэх боломжийг олгоно. .).
• элементүүдийг баримт хооронд шилжүүлэх үед тэдгээрийг боловсруулахаа зогсоосон. Баримт бичгүүдийн хооронд шилжих үед скрипттэй холбоотой "алдаа" болон "ачаалах" үйл явдлуудын гүйцэтгэлийг мөн идэвхгүй болгодог.
• JavaScript хөдөлгүүр V8 дээр явуулсан Объектууд дахь талбаруудын дүрслэлд өөрчлөлт оруулснаар хурд хэмжигч тестийн багц дахь AngularJS кодын гүйцэтгэл 4%-иар хурдан ажиллана.
  

• V8 нь мөн Node.nodeType болон Node.nodeName гэх мэт API-д тодорхойлсон хүлээн авагчдын боловсруулалтыг IC зохицуулагч (inline кэш) байхгүй үед оновчтой болгодог. Энэхүү өөрчлөлт нь Speedometer багцаас Backbone болон jQuery тестийг ажиллуулахад IC ажиллах цагийг ойролцоогоор 12%-иар бууруулсан.
  

• OSR (стек дээр солих гэж нэрлэдэг) механизмын үр дүнг кэшээр хадгалдаг бөгөөд энэ нь функцийг гүйцэтгэх явцад оновчтой кодыг орлуулдаг (удаан ажиллаж байгаа функцүүдийн дахин ажиллахыг хүлээхгүйгээр оновчтой кодыг ашиглаж эхлэх боломжийг танд олгоно). OSR кэш нь функцийг дахин ажиллуулах үед дахин оновчлол хийх шаардлагагүйгээр оновчлолын үр дүнг ашиглах боломжтой болгодог.
  Зарим туршилтанд өөрчлөлт нь оргил гүйцэтгэлийг 5-18% -иар нэмэгдүүлсэн.
  

• Вэб хөгжүүлэгчдэд зориулсан хэрэгслүүдийн өөрчлөлт:
  Гарч ирсэн байна хүсэлтийг хаах эсвэл күүки илгээх шалтгааныг тодорхойлох дибаг хийх горим.
  
  • Күүки жагсаалттай блок дээр сонгосон күүкиний утгыг тодорхой нэг мөрөнд дарж хурдан харах боломжийг нэмсэн.
    

  • Сонгосон өнгөний схем болон илүүд үздэг-багасгасан хөдөлгөөнт асуулгын өөр өөр тохиргоог дуурайх чадварыг нэмсэн (жишээлбэл, харанхуй системийн сэдэвтэй эсвэл хөдөлгөөнт эффектийг идэвхгүй болгосон хуудасны үйл ажиллагааг шалгах).
    

  • Хамрах хүрээний табын дизайн шинэчлэгдсэн тул ашигласан болон ашиглаагүй кодыг үнэлэх боломжийг танд олгоно. Мэдээллийг төрлөөр нь шүүх чадварыг нэмсэн (JavaScript, CSS). Мөн эх бичвэрийг харуулах үед кодын хэрэглээний мэдээллийг нэмдэг.
    

  • Сүлжээний үйл ажиллагааг бүртгэсний дараа сүлжээний тодорхой нөөцийг хүсэх болсон шалтгааныг дибаг хийх боломжийг нэмсэн (та эх сурвалжийг ачаалахад хүргэсэн JavaScript кодын дуудлагын ул мөрийг харах боломжтой).
    

  • Консол болон Эх сурвалжийн самбарт харагдах кодын доголын төрлийг (2/4/8 зай эсвэл таб) тодорхойлохын тулд "Тохиргоо > Сонголт > Эх сурвалж > Өгөгдмөл догол" тохиргоог нэмсэн.

Инноваци, алдаа засахаас гадна шинэ хувилбар нь 51 сул талыг арилгасан. Ихэнх эмзэг байдлыг AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer болон AFL хэрэгслийг ашиглан автоматжуулсан туршилтын үр дүнд тодорхойлсон. Хоёр асуудал (CVE-2019-13725, Bluetooth-н дэмжлэгийн кодонд аль хэдийн суллагдсан санах ойд хандах, CVE-2019-13726, нууц үгийн менежер дэх бөөгнөрөл) нь чухал гэж тэмдэглэгдсэн, жишээлбэл. бүх түвшний хөтчийн хамгаалалтыг алгасаж, хамгаалагдсан хязгаарлагдмал орчиноос гадуур систем дээр код ажиллуулах боломжийг танд олгоно. Энэ нь Chrome-д нэг хөгжүүлэлтийн мөчлөгийн хүрээнд хоёр чухал асуудлыг анх удаа илрүүлж байна. Эхний эмзэг байдлыг Tencent Keen Security Lab-ийн судлаачид олсон үзүүлсэн Тианфу цомын тэмцээнд, хоёр дахь нь Google Project Zero-ийн Сергей Глазунов олсон.

Одоогийн хувилбарын сул талыг илрүүлсний төлөө мөнгөн урамшуулал олгох хөтөлбөрийн хүрээнд Google 37 долларын үнэ бүхий 80000 шагнал (нэг 20000 долларын шагнал, нэг нь 10000 долларын шагнал, хоёр 7500 долларын шагнал, дөрвөн 5000 долларын шагнал, нэг 3000 долларын шагнал хоёр, 2000 ам. 1000 долларын найман шагнал). 500 шагналын хэмжээг хараахан тогтоогоогүй байна.

Эх сурвалж: opennet.ru