Chrome 78-versie

Google gepresenteerd release van de webbrowser Chrome 78. Tegelijkertijd is beschikbaar stabiele release van een gratis project Chromium, dat dient als basis van Chrome. Chrome-browser verschillend het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken RLZ-parameters. De volgende release van Chrome 79 staat gepland voor 10 december.

De belangrijkste veranderingen в Chrome 78:

• Geïmplementeerd experimentele ondersteuning voor “DNS over HTTPS” (DoH, DNS over HTTPS), die selectief zal worden ingeschakeld voor bepaalde categorieën gebruikers wier systeeminstellingen al DNS-providers aangeven die DoH ondersteunen. Als de gebruiker bijvoorbeeld DNS 8.8.8.8 heeft opgegeven in de systeeminstellingen, wordt de DoH-service van Google (“https://dns.google.com/dns-query”) geactiveerd in Chrome; als de DNS 1.1.1.1. XNUMX, vervolgens de DoH Cloudflare-service (“https://cloudflare-dns.com/dns-query”), enz.

  Om te bepalen of DoH is ingeschakeld, is de instelling “chrome://flags/#dns-over-https” beschikbaar. Er worden drie bedrijfsmodi ondersteund: veilig, automatisch en uit. In de “beveiligde” modus worden hosts alleen bepaald op basis van eerder in de cache opgeslagen veilige waarden (ontvangen via een beveiligde verbinding) en verzoeken via DoH; er wordt niet teruggevallen op reguliere DNS. In de “automatische” modus, als DoH en de beveiligde cache niet beschikbaar zijn, kunnen gegevens uit de onveilige cache worden opgehaald en toegankelijk worden gemaakt via traditionele DNS. In de “uit”-modus wordt eerst de gedeelde cache gecontroleerd en als er geen gegevens zijn, wordt het verzoek via de systeem-DNS verzonden.

• Synchronisatietools bieden nu voorlopige ondersteuning voor gedeelde klemborden, maar zijn nog niet voor alle gebruikers ingeschakeld. In gevallen waarin Chrome aan één account is gekoppeld, heeft u nu toegang tot de inhoud van het klembord van een ander apparaat, inclusief het delen van het klembord tussen mobiele en desktopsystemen. De inhoud van het klembord wordt gecodeerd met behulp van end-to-end-codering, waardoor geen toegang tot de tekst op de servers van Google mogelijk is;
• Voor bepaalde categorieën gebruikers is een experimentele optie ingeschakeld om het thema te wijzigen en het scherm dat wordt weergegeven bij het openen van een nieuw tabblad aan te passen. Naast het selecteren van een achtergrondafbeelding ondersteunt het menu "Aanpassen", weergegeven in de rechter benedenhoek van het nieuwe tabblad, nu het wijzigen van de indeling van de snelkoppelingen en de mogelijkheid om het thema te wijzigen. Snelkoppelingen kunnen automatisch worden voorgesteld op basis van de meest bezochte sites, aangepast door de gebruiker of helemaal uitgeschakeld. U kunt een ontwerpthema selecteren uit een reeks vooraf gedefinieerde thema's of uw eigen thema maken op basis van de selectie van de gewenste kleuren in het palet. Om nieuwe functies in te schakelen, kunt u de vlaggen “chrome://flags/#ntp-customization-menu-v2” en
  "chrome://flags/#chrome-colors";

• Voor bedrijven is de standaardadresbalk ingeschakeld om naar bestanden in Google Drive-opslag te zoeken. Er wordt niet alleen gezocht op titels, maar ook op de inhoud van documenten, rekening houdend met de geschiedenis van hun ontdekking in het verleden;
  

• De component Wachtwoordcontrole is inbegrepen, die geleidelijk wordt geactiveerd voor bepaalde categorieën gebruikers (voor geforceerde activering is de vlag “chrome://flags/#password-leak-detection” beschikbaar). Wachtwoordcontrole eerder geleverd als externe toevoeging, ontworpen om de sterkte van de door de gebruiker gebruikte wachtwoorden te analyseren. Wanneer u probeert in te loggen op een website, controleert Wachtwoordcontrole uw gebruikersnaam en wachtwoord aan de hand van een database met gecompromitteerde accounts, waarbij een waarschuwing wordt weergegeven als er problemen worden gedetecteerd (controleer voerde uit gebaseerd op het hash-voorvoegsel aan de gebruikerszijde). De controle wordt uitgevoerd op een database die meer dan 4 miljard gecompromitteerde accounts omvat die in gelekte gebruikersdatabases voorkomen. Er wordt ook een waarschuwing weergegeven wanneer u probeert triviale wachtwoorden te gebruiken, zoals "abc123";
• De mogelijkheid toegevoegd om een ​​oproep te plaatsen vanaf een Android-apparaat dat aan hetzelfde Google-account is gekoppeld. In een desktopbrowser kan de gebruiker een telefoonnummer in de tekst markeren, met de rechtermuisknop klikken en de oproepbewerking doorsturen naar het Android-apparaat, waarna er een melding op de telefoon verschijnt waarmee hij een oproep kan starten;
• Het formaat van de tooltip die wordt weergegeven wanneer u met de muis over de tabbladtitel beweegt, is gewijzigd. De tooltip verschijnt nu als een pop-upblok met de volledige titeltekst en pagina-URL. Het blok is handig in gebruik om bij het openen van een zeer groot aantal tabbladen snel de gewenste pagina te vinden (in plaats van door de tabbladen te bladeren, kunt u met de muis over het paneel met tabbladen bewegen en zo de pagina vinden die u zoekt). In de toekomst is het de bedoeling om in dit blok een paginaminiatuur weer te geven;
• Er is een experimentele functie toegevoegd (chrome://flags/#enable-force-dark) om het gebruik van een donker thema te forceren bij het bekijken van websites. Om een ​​donkere presentatie van de site te garanderen, zijn de kleuren omgekeerd;
• Toegevoegd specificatie ondersteuning CSS-eigenschappen en waarden API-niveau 1, waarmee u uw eigen CSS-eigenschappen kunt registreren die altijd van een specifiek type zijn, waarmee u een standaardwaarde kunt instellen en animatie-effecten kunt binden. Om een ​​eigenschap te registreren, kunt u de methode registerProperty() of de CSS-regel “@property” gebruiken, bijvoorbeeld:

  CSS.registerProperty({
  naam: "--mijn-lettergrootte",
  syntaxis: "‹lengte›",
  beginwaarde: "0px",
  erft: vals
  });

• In de Origin Trials-modus (experimentele functies waarvoor aparte activering) zijn er verschillende nieuwe API's voorgesteld. Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat een beperkte tijd geldig is voor een specifieke site.
  • API Native bestandssysteem, waarmee u webtoepassingen kunt maken die communiceren met bestanden in het lokale bestandssysteem. Er kan bijvoorbeeld veel vraag zijn naar de nieuwe API in browsergebaseerde geïntegreerde ontwikkelomgevingen, tekst-, beeld- en video-editors. Om direct bestanden te kunnen schrijven en lezen, dialoogvensters te gebruiken om bestanden te openen en op te slaan, en door de inhoud van mappen te navigeren, vraagt ​​de applicatie de gebruiker om speciale bevestiging;
    

  • mechanisme Ondertekende HTTP-uitwisselingen (SXG), waarmee u geverifieerde kopieën van webpagina's op andere sites kunt plaatsen die voor de gebruiker op de originele pagina's lijken (zonder de URL te wijzigen), verlengd de mogelijkheid om subbronnen (CSS, JS, afbeeldingen, enz.) van de originele site te downloaden. De oorspronkelijke bron van de bron wordt gespecificeerd via de Link HTTP-header, die ook een verificatie-hash specificeert om elke bron te verifiëren. Met deze nieuwe functie kunnen contentproviders één enkel ondertekend HTML-bestand maken dat alle bijbehorende subbronnen bevat;
  • API SMS-ontvanger, waardoor een webapplicatie toegang kan krijgen tot sms-berichten, om bijvoorbeeld de verificatie van een transactie te automatiseren met behulp van een eenmalige code die via sms wordt verzonden. Er wordt uitsluitend toegang verleend tot sms-berichten die een speciale tag bevatten die de binding van het bericht aan een specifieke webapplicatie bepaalt;
• De prestaties bij het laden van ArrayBuffer-objecten via Web Socket zijn aanzienlijk verbeterd. Op het Linux-platform is er een toename van de downloadsnelheid met 7.5 keer, op Windows - met 4.1 keer, op macOS - met 7.8 keer;
• De mogelijkheid toegevoegd om de transparantiewaarde als een percentage te definiëren in de CSS-eigenschappen opacity, stop-opacity, fill-opacity, stroke-opacity en shape-image-threshold. In plaats van “dekking: 0.5” kunt u nu bijvoorbeeld “dekking: 50%” opgeven;
• In API Gebruikerstiming Maakt het mogelijk om willekeurige tijdstempels door te geven aan performance.measure() en performance.mark() aanroepen om metingen daartussen uit te voeren, en om willekeurige metagegevens op te geven;
• In API-mediasessie toegevoegd ondersteuning voor het definiëren van handlers voor het veranderen van positie in een stream (seekto), naast de eerder beschikbare handlers voor pauzeren en starten van afspelen;
• In JavaScript-engine V8 inbegrepen achtergrondmodus voor het direct parseren van scripts terwijl ze via het netwerk worden gedownload. Dankzij de geïmplementeerde optimalisatie konden we de compilatietijd van scripts met 5-20% verkorten. De nieuwe release verbetert ook de prestaties van het destructureren van objecten (het converteren van "const {x, y} = object;" naar "const x = object.x; const y = object.y;"). Verbeterde verwerkingssnelheid voor RegExp-expressies met niet-overeenkomende toewijzingen.
  De snelheid van het aanroepen van JavaScript-functies vanuit WebAssembly en vice versa is aanzienlijk verhoogd (met 9-20%). Bij het compileren van bytecode is de efficiëntie van het construeren van bindingstabellen aan initiële posities verhoogd, waardoor het geheugengebruik is verminderd
  1-2.5%.
  

• Uitgebreid hulpmiddelen voor webontwikkelaars. Het Audit Dashboard kan nu worden gebruikt in combinatie met andere functies, zoals het blokkeren van verzoeken en het overschrijven van downloads. Ondersteuning toegevoegd voor het debuggen van betalingsverwerkers via de Payment API. LCP-labels (Largest Contentful Paint) zijn toegevoegd aan het prestatieanalysepaneel, die de weergavetijd van de grootste elementen weerspiegelen;
  

• VERWIJDERD XSS Auditor cross-site scripting-blokkeermechanisme, dat als ineffectief wordt beschouwd (aanvallers gebruiken al lang methoden om de XSS Auditor-bescherming te omzeilen) en voegt nieuwe vectoren toe voor het lekken van informatie;
• De Android-versie biedt de mogelijkheid om een ​​donker thema te gebruiken voor menu's, instellingen en navigatiemodus voor open sites.

Naast innovaties en bugfixes elimineert de nieuwe versie 37 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met tools AdresSanitizer, Geheugenontsmettingsmiddel, Integriteit van controlestroom, LibFuzzer и AFL. Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen uit te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, betaalde Google 21 beloningen ter waarde van $ 59500 (een beloning van $ 20000, een beloning van $ 15000, een beloning van $ 5000, twee beloningen van $ 3000, drie beloningen van $ 2000, vijf beloningen van $ 1000 en vijf beloningen van $ 500). ). De omvang van de 4 beloningen is nog niet vastgesteld.

Bron: opennet.ru