Rilaxx ta' Chrome 79

Google ippreżentata rilaxx tal-web browser Chrome 79... Fl-istess ħin disponibbli rilaxx stabbli ta 'proġett b'xejn Kromju, li hija l-bażi ta' Chrome. Chrome browser differenti l-użu ta' logos ta' Google, il-preżenza ta' sistema biex jintbagħtu notifiki f'każ ta' ħabta, il-kapaċità li tniżżel modulu Flash fuq talba, moduli għad-daqq ta' kontenut tal-vidjo protett (DRM), sistema għall-installazzjoni awtomatika ta' aġġornamenti u trażmissjoni waqt it-tfittxija Parametri RLZ. Ir-rilaxx li jmiss ta 'Chrome 80 huwa skedat għall-4 ta' Frar.

Il-prinċipali bidliet в chrome 79:

• attivat Komponent Password Checkup, iddisinjat biex janalizza s-saħħa tal-passwords użati mill-utent. Meta tipprova tidħol fi kwalunkwe sit Password Checkup jissodisfa verifika tal-login u l-password ma’ database ta’ kontijiet kompromessi bi twissija jekk jinstabu problemi (il-kontroll isir ibbażat fuq prefiss hash min-naħa tal-utent). Il-verifika titwettaq fuq database li tkopri aktar minn 4 biljun kontijiet kompromessi li dehru f'databases tal-utenti li ħarġu. Tintwera wkoll twissija meta tipprova tuża passwords trivjali bħal "abc123". Biex tikkontrolla l-inklużjoni ta' Password Checkup, ġie implimentat setting speċjali fit-taqsima "Sync and Google Services".
• Hija ppreżentata teknoloġija ġdida għall-iskoperta tal-phishing f'ħin reali. Preċedentement, il-verifika kienet titwettaq billi taċċessa listi suwed ta’ Safe Browsing imniżżla lokalment, li kienu aġġornati bejn wieħed u ieħor darba kull 30 minuta, li rriżultaw li ma kinux biżżejjed, pereżempju, f’kundizzjonijiet ta’ bidla frekwenti tad-dominju minn attakkanti. Il-metodu l-ġdid jippermettilek li tiċċekkja URLs fuq il-fly b'verifika preliminari kontra whitelists li jinkludu hashes ta 'eluf ta' siti popolari li huma affidabbli. Jekk is-sit li qed jinfetaħ ma jkunx fil-lista l-bajda, il-browser jiċċekkja l-URL fuq is-server tal-Google, u jittrasmetti l-ewwel 32 bit tal-hash SHA-256 tal-link, li minnu tinqata’ data personali possibbli. Skont Google, l-approċċ il-ġdid jista 'jtejjeb l-effettività tat-twissijiet għal siti ġodda ta' phishing bi 30%.
• Protezzjoni proattiva miżjuda kontra t-trasferiment tal-kredenzjali ta' Google u kwalunkwe password maħżuna fil-maniġer tal-password permezz ta' paġni ta' phishing. Jekk tipprova ddaħħal password salvata f'sit fejn dik il-password normalment ma tintużax, l-utent jiġi mwissi dwar azzjoni potenzjalment perikoluża.
• Konnessjonijiet li jużaw TLS 1.0 u 1.1 issa juru indikatur ta 'konnessjoni mhux sigura. Jappoġġja bis-sħiħ TLS 1.0 u 1.1 se jkun diżattivat fi Chrome 81, skedat għas-17 ta’ Marzu, 2020.
• Żid il-ħila li tiffriża tabs inattivi, li tippermettilek li awtomatikament iħottu minn tabs tal-memorja li ilhom fl-isfond għal aktar minn 5 minuti u ma jwettqux azzjonijiet sinifikanti. Id-deċiżjoni dwar l-adegwatezza ta 'tab partikolari għall-iffriżar hija bbażata fuq euristiċi. L-attivazzjoni tal-funzjoni hija kkontrollata permezz tal-bandiera "chrome://flags/#proactive-tab-freeze".
• Sikura Imblukkar ta' kontenut imħallat fuq paġni miftuħa fuq HTTPS biex jiġi żgurat li l-paġni miftuħa fuq https:// ikun fihom biss riżorsi mgħobbija fuq kanal ta' komunikazzjoni sigur. Għalkemm l-aktar tipi perikolużi ta' kontenut imħallat, bħal skripts u iframes, diġà huma mblukkati b'mod awtomatiku, immaġini, fajls awdjo u vidjows xorta jistgħu jitniżżlu permezz ta' http://. L-indikatur tal-kontenut imħallat użat qabel għal inserzjonijiet bħal dawn instab li kien ineffettiv u qarrieqi għall-utent, peress li ma jipprovdix valutazzjoni mhux ambigwa tas-sigurtà tal-paġna. Pereżempju, permezz ta' spoofing tal-immaġini, attakkant jista' jissostitwixxi Cookies ta' traċċar tal-utent, jipprova jisfrutta l-vulnerabbiltajiet fil-proċessuri tal-immaġni, jew jikkommetti falsifikazzjoni billi jissostitwixxi l-informazzjoni pprovduta fl-immaġni. Biex tiddiżattiva l-illokkjar ta 'komponenti mħallta, ġie miżjud setting speċjali, li jista' jiġi aċċessat permezz tal-menu li jidher meta tikklikkja fuq is-simbolu tal-lock.
• Miżjud kapaċità sperimentali biex jaqsam il-kontenut tal-clipboard bejn il-verżjonijiet tad-desktop u tal-mowbajl tal-Chrome. F'każijiet ta' Chrome konness ma' kont wieħed, issa tista' taċċessa l-kontenut tal-clipboard ta' apparat ieħor, inkluż il-qsim tal-clipboard bejn sistemi mobbli u desktop. Il-kontenut tal-clipboard huwa encrypted bl-użu ta 'encryption end-to-end, li jipprevjeni l-aċċess għat-test fuq is-servers ta' Google. Il-funzjoni hija attivata permezz tal-għażliet chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui u chrome://flags#sync-clipboard-service.
• Fil-bar tal-indirizz f'ċerti mumenti (per eżempju, meta tissejvja password) meta s-sinkronizzazzjoni tal-profil tkun mitfija, minbarra l-avatar, jintwera l-isem tal-kont kurrenti ta 'Google sabiex l-utent ikun jista' jidentifika b'mod preċiż il-kont attiv attwali.
• Attivat għal 1% tal-utenti appoġġ "DNS fuq HTTPS" (DoH, DNS fuq HTTPS). L-esperiment jinvolvi biss utenti li s-settings tas-sistema tagħhom diġà speċifikaw il-fornituri tad-DNS li jappoġġjaw id-DoH. Pereżempju, jekk l-utent għandu DNS 8.8.8.8 speċifikat fis-settings tas-sistema, allura s-servizz DoH ta 'Google ("https://dns.google.com/dns-query") se jiġi attivat fil-Chrome; jekk id-DNS huwa 1.1.1.1. XNUMX, imbagħad servizz DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), eċċ. Biex tikkontrolla jekk DoH huwiex attivat, huwa pprovdut is-setting "chrome://flags/#dns-over-https". Tliet modi operattivi huma appoġġjati: sigur, awtomatiku u mitfi. Fil-modalità "sikura", l-ospiti huma determinati biss fuq il-bażi ta' valuri siguri preċedentement miżmuma fil-cache (riċevuti permezz ta' konnessjoni sigura) u talbiet permezz ta' DoH; riżerva għal DNS regolari mhix applikata. Fil-modalità "awtomatika", jekk id-DoH u l-cache sigur ma jkunux disponibbli, id-dejta tista 'tiġi rkuprata mill-cache mhux sigura u tiġi aċċessata permezz tad-DNS tradizzjonali. Fil-modalità "mitfija", il-cache kondiviża tiġi l-ewwel iċċekkjata u jekk ma jkunx hemm dejta, it-talba tintbagħat permezz tas-DNS tas-sistema.
• Miżjud sperimentali appoġġ caching tal-kontenut ipprovdut meta tbiddel il-paġni bl-użu tal-buttuni 'l quddiem u lura, li jista' jnaqqas b'mod sinifikanti d-dewmien matul dan it-tip ta 'navigazzjoni minħabba l-caching komplet tal-paġna kollha, li ma jeħtieġx għoti mill-ġdid u tagħbija tar-riżorsi. L-ottimizzazzjoni hija speċjalment notevoli fil-verżjoni għal apparat mobbli, fejn iż-żieda fil-prestazzjoni waqt in-navigazzjoni tilħaq 19%. Il-modalità hija attivata billi tuża l-għażla "chrome://flags#back-forward-cache".
• Imħassar l-issettjar "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", li ppermetta li jirritorna l-wiri tal-protokoll fil-bar tal-indirizz (issa l-links kollha huma dejjem murija mingħajr https :// u http:/ /, u wkoll mingħajr “www.”).
• Il-bini għall-Windows jinkludu sandboxing tas-servizz tal-plejbek tal-awdjo. Biex tikkontrolla jekk l-iżolament huwiex attivat, hija proposta l-proprjetà AudioSandboxEnabled.
• Għodod ta' amministrazzjoni ċentralizzata għall-intrapriżi jinkludu l-abbiltà li tiddefinixxi regoli li jikkontrollaw kemm jista' jikkonsma memorja istanza tal-browser qabel ma jinħattu t-tabs tal-isfond. Il-memorja rilaxxata wara l-ħatt ta 'tab issir disponibbli għall-użu, u l-kontenut tat-tab jerġa' jitgħabba meta taqleb għaliha.
• Linux juża proċessur ta 'verifika taċ-ċertifikat integrat, li jissostitwixxi s-sistema NSS użata qabel. F'dan il-każ, il-proċessur inkorporat ikompli juża l-maħżen NSS waqt il-verifika, iżda jimponi rekwiżiti aktar stretti meta jipproċessa ċertifikati kodifikati b'mod żbaljat u ċċertifikati separatament (iċ-ċertifikati kollha għandhom ikunu ċċertifikati minn awtorità ta 'ċertifikazzjoni).
• Fil-verżjoni għall-pjattaforma Android miżjud l-abbiltà li tassenja ikoni adattivi għal applikazzjonijiet tal-web installati li jaħdmu fil-modalità Progressive Web Apps (PWA). L-ikoni adattivi jistgħu jadattaw għall-interface użata mill-manifattur tal-apparat, pereżempju, ikunu tondi, kwadri, jew b'kantunieri lixxi.
• Miżjud API Apparat WebXR, li jipprovdi aċċess għal komponenti għall-ħolqien ta 'realtà virtwali u miżjuda. L-API jippermettilek li tgħaqqad ix-xogħol ma 'diversi klassijiet ta' apparati, minn headsets ta 'realtà virtwali stazzjonarji bħal Oculus Rift, HTC Vive u Windows Mixed Reality, għal soluzzjonijiet ibbażati fuq apparat mobbli bħal Google Daydream View u Samsung Gear VR. Applikazzjonijiet li fihom l-API l-ġdida tista 'tkun applikabbli jinkludu programmi għall-wiri ta' vidjo f'modalità 360 °, sistemi għall-viżwalizzazzjoni ta 'spazju tridimensjonali, ħolqien ta' ċinema virtwali għall-preżentazzjoni tal-vidjo, twettiq ta 'esperimenti dwar il-ħolqien ta' interfaces 3D għal ħwienet u galleriji;
  

• Fil-modalità Provi Oriġini (karatteristiċi sperimentali li jeħtieġu separati attivazzjoni) ġew proposti diversi APIs ġodda. Origin Trial timplika l-abbiltà li taħdem bl-API speċifikata minn applikazzjonijiet imniżżla minn localhost jew 127.0.0.1, jew wara li tirreġistra u tirċievi token speċjali li huwa validu għal żmien limitat għal sit speċifiku.
  • Għall-elementi HTML kollha, huwa propost l-attribut "rendersubtree", li jiżgura li l-wiri tal-element DOM ikun fiss. L-issettjar tal-attribut għal "inviżibbli" jipprevjeni li l-kontenut tal-element jiġi render jew spezzjonat, li jippermetti rendering ottimizzat. Meta ssettjat għal "attivabbli", il-browser se jneħħi l-attribut inviżibbli, jirrendi l-kontenut u jagħmilha viżibbli.
  • Għażla API miżjuda Wake lock ibbażat fuq il-mekkaniżmu Promise, li jipprovdi mod aktar sikur biex tikkontrolla d-diżattivazzjoni ta 'skrins ta' auto-lock u jaqilbu l-apparati għal modi li jiffrankaw l-enerġija.
• Implimenta l-abbiltà li tuża l-attribut iffokar awtomatiku għall-elementi HTML u SVG kollha li jista' jkollhom fokus ta' input.
• Għal stampi u videos assigurati Ikkalkula l-proporzjon tal-aspett ibbażat fuq l-attributi tal-Wagħa jew tal-Għoli, li jistgħu jintużaw biex jiddeterminaw id-daqs tal-immaġini bl-użu ta 'CSS fl-istadju meta l-immaġni tkun għadha ma tgħabbeb (issolvi l-problema bil-bini mill-ġdid tal-paġna wara li l-immaġini jiġu mgħobbija).
• Miżjud proprjetà CSS font-ottiċi-daqs, li awtomatikament tissettja d-daqs varjabbli tat-tipa f'koordinati ottiċi "opsz", jekk it-tipa tappoġġjahom. Il-modalità tippermettilek tagħżel l-aħjar forma tal-glifi għal daqs speċifikat, pereżempju, tuża glifi aktar kuntrastanti għall-intestaturi.
• Miżjud proprjetà CSS lista-stil-tip, li jippermettilek tuża kwalunkwe simboli minflok perjodi fil-listi, pereżempju, “-“, “+”, “★” u “▸”.
• Jekk ikun impossibbli li tesegwixxi Worklet.addModule(), oġġett issa jiġi rritornat b'informazzjoni dettaljata dwar in-natura tal-iżball, li jippermettilek tivvaluta b'mod aktar preċiż il-kawża tal-iżball (problemi bil-konnessjoni tan-netwerk, sintassi żbaljata, eċċ. .).
• Waqaf jipproċessa elementi meta ċaqlaqhom bejn id-dokumenti. Meta tittrasferixxi bejn dokumenti, l-eżekuzzjoni ta 'avvenimenti ta' "żball" u "tagħbija" relatati mal-iskript hija wkoll diżattivata.
• Fil-magna JavaScript V8 mwettqa Ottimizzazzjoni tal-immaniġġjar tal-bidliet għar-rappreżentazzjoni tal-oqsma f'oġġetti, li tirriżulta fl-eżekuzzjoni tal-kodiċi AngularJS fis-suite tat-test tal-Ispeedometer taħdem 4% aktar malajr.
  

• V8 jottimizza wkoll l-ipproċessar ta 'getters definiti f'APIs integrati, bħal Node.nodeType u Node.nodeName, fin-nuqqas ta' IC handler (inline caching). Il-bidla naqqset il-ħin imqatta 'fuq ir-runtime IC b'madwar 12% meta tmexxi t-testijiet Backbone u jQuery mis-suite tal-Ispeedometer.
  

• Ir-riżultati tal-mekkaniżmu OSR (imsejjaħ on-stack replacement) huma fil-cache, li jissostitwixxi l-kodiċi ottimizzat waqt l-eżekuzzjoni tal-funzjoni (jippermettilek tibda tuża kodiċi ottimizzat għal funzjonijiet fit-tul mingħajr ma tistenna li jerġgħu jaħdmu). Il-caching tal-OSR jagħmilha possibbli li jintużaw ir-riżultati tal-ottimizzazzjoni meta terġa 'tħaddem il-funzjoni, mingħajr il-ħtieġa li tgħaddi minn ottimizzazzjoni mill-ġdid.
  F'xi testijiet, il-bidla żiedet l-ogħla prestazzjoni b'5-18%.
  

• Bidliet fl-għodod għall-iżviluppaturi tal-web:
  Deher mod ta' debugging biex tiddetermina r-raġunijiet għall-imblukkar ta' talba jew biex tintbagħat Cookie.
  
  • Fil-blokk bil-lista tal-Cookies, il-ħila biex tara malajr il-valur tal-Cookie magħżula ġiet miżjuda billi tikklikkja fuq linja speċifika.
    

  • Żid il-ħila li tissimula settings differenti għall-prefers-color-scheme u prefers-reduced-motion media queries (per eżempju, biex tittestja l-imġieba tal-paġna b'tema ta 'sistema skura jew b'effetti animati diżattivati).
    

  • Id-disinn tat-tab Kopertura ġie modernizzat, li jippermettilek tevalwa l-kodiċi użat u mhux użat. Żid il-ħila li tiffiltra l-informazzjoni skont it-tip tagħha (JavaScript, CSS). L-informazzjoni dwar l-użu tal-kodiċi hija miżjuda wkoll meta jintwera t-test tas-sors.
    

  • Żid il-ħila biex tiddibaggja r-raġunijiet għat-talba ta 'riżorsa tan-netwerk partikolari wara li tirreġistra l-attività tan-netwerk (tista' tara traċċa tas-sejħa tal-kodiċi JavaScript li wasslet għat-tagħbija tar-riżorsa).
    

  • Miżjud "Settings > Preferenzi > Sorsi > Indentazzjoni Default" biex jiddetermina t-tip ta 'indentazzjoni (2/4/8 spazji jew tabs) fil-kodiċi murija fil-pannelli tal-Console u Sorsi.

Minbarra innovazzjonijiet u bug fixes, il-verżjoni l-ġdida telimina 51 vulnerabilità. Ħafna mill-vulnerabbiltajiet ġew identifikati bħala riżultat ta 'ttestjar awtomatizzat bl-użu tal-AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer u għodod AFL. Żewġ kwistjonijiet (CVE-2019-13725, aċċess għal memorja diġà meħlusa fil-kodiċi għall-appoġġ Bluetooth, u CVE-2019-13726, heap overflow fil-maniġer tal-password) huma mmarkati bħala kritiċi, i.e. jippermettulek tevita l-livelli kollha ta 'protezzjoni tal-browser u tesegwixxi kodiċi fuq is-sistema barra l-ambjent sandbox. Din hija l-ewwel darba li ġew identifikati żewġ problemi kritiċi fl-istess ċiklu ta 'żvilupp fil-Chrome. L-ewwel vulnerabbiltà nstabet minn riċerkaturi minn Tencent Keen Security Lab u murija fil-kompetizzjoni tat-Tazza Tianfu, u t-tieni nstab minn Sergei Glazunov minn Google Project Zero.

Bħala parti mill-programm ta’ premju fi flus biex jiskopru vulnerabbiltajiet għar-rilaxx attwali, Google ħallset 37 premju li jiswew $80000 (premju wieħed ta’ $20000, premju wieħed ta’ $10000, żewġ premjijiet ta’ $7500, erba’ premjijiet ta’ $5000, premju wieħed ta’ $3000, żewġ premjijiet ta’ $2000 u tnejn u $1000 u tnejn. premjijiet ta’ $500). Id-daqs tal-15-il premju għadu ma ġiex determinat.

Sors: opennet.ru