Chrome 79-versie

Google gepresenteerd release van de webbrowser Chrome 79. Tegelijkertijd is beschikbaar stabiele release van een gratis project Chromium, dat dient als basis van Chrome. Chrome-browser verschillend het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken RLZ-parameters. De volgende release van Chrome 80 staat gepland voor 4 februari.

De belangrijkste veranderingen в Chrome 79:

• geactiveerd Wachtwoordcontrolecomponent, ontworpen om de sterkte van de door de gebruiker gebruikte wachtwoorden te analyseren. Wanneer u probeert in te loggen op een site Wachtwoordcontrole presteert het controleren van de gebruikersnaam en het wachtwoord in een database met gecompromitteerde accounts, met een waarschuwing als er problemen worden gedetecteerd (de controle wordt uitgevoerd op basis van een hash-voorvoegsel aan de kant van de gebruiker). De controle wordt uitgevoerd op een database die meer dan 4 miljard gecompromitteerde accounts omvat die in gelekte gebruikersdatabases voorkomen. Er wordt ook een waarschuwing weergegeven wanneer u probeert triviale wachtwoorden zoals "abc123" te gebruiken. Om de opname van Wachtwoordcontrole te controleren, is een speciale instelling geïmplementeerd in het gedeelte 'Synchronisatie en Google-services'.
• Er wordt een nieuwe technologie gepresenteerd voor het in realtime detecteren van phishing. Voorheen werd de verificatie uitgevoerd door toegang te krijgen tot lokaal gedownloade Safe Browsing-zwarte lijsten, die ongeveer elke 30 minuten werden bijgewerkt, wat bijvoorbeeld onvoldoende bleek te zijn als aanvallers regelmatig van domein wisselden. Met de nieuwe methode kunt u URL's direct controleren met een voorafgaande controle aan de hand van witte lijsten die hashes bevatten van duizenden populaire sites die betrouwbaar zijn. Als de geopende site niet op de witte lijst staat, controleert de browser de URL op de server van Google en verzendt de eerste 32 bits van de SHA-256-hash van de link, waaruit eventuele persoonlijke gegevens worden verwijderd. Volgens Google kan de nieuwe aanpak de effectiviteit van waarschuwingen voor nieuwe phishing-sites met 30% verbeteren.
• Proactieve bescherming toegevoegd tegen de overdracht van Google-inloggegevens en eventuele wachtwoorden die zijn opgeslagen in de wachtwoordbeheerder via phishing-pagina's. Als u probeert een opgeslagen wachtwoord in te voeren op een site waar dat wachtwoord normaal niet wordt gebruikt, wordt de gebruiker gewaarschuwd voor een mogelijk gevaarlijke actie.
• Verbindingen die TLS 1.0 en 1.1 gebruiken, tonen nu een onveilige verbindingsindicator. Volledige ondersteuning voor TLS 1.0 en 1.1 zal worden uitgeschakeld in Chrome 81, gepland voor 17 maart 2020.
• De mogelijkheid toegevoegd om inactieve tabbladen te bevriezen, zodat u automatisch kunt verwijderen uit geheugentabbladen die langer dan 5 minuten op de achtergrond staan ​​en geen significante acties uitvoeren. De beslissing over de geschiktheid van een bepaald tabblad voor bevriezing wordt genomen op basis van heuristieken. Het inschakelen van de functie wordt geregeld via de vlag “chrome://flags/#proactive-tab-freeze”.
• beveiligd Het blokkeren van gemengde inhoud op pagina's die via HTTPS zijn geopend om ervoor te zorgen dat pagina's die via https:// zijn geopend, alleen bronnen bevatten die via een beveiligd communicatiekanaal zijn geladen. Ook al zijn de gevaarlijkste soorten gemengde inhoud, zoals scripts en iframes, standaard al geblokkeerd, toch konden afbeeldingen, audiobestanden en video's worden gedownload via http://. De eerder gebruikte indicator voor gemengde inhoud voor dergelijke invoegingen bleek ineffectief en misleidend voor de gebruiker, omdat deze geen ondubbelzinnige beoordeling geeft van de veiligheid van de pagina. Door middel van beeldspoofing kan een aanvaller bijvoorbeeld gebruikerstrackingcookies vervangen, proberen kwetsbaarheden in beeldprocessors te misbruiken of vervalsing plegen door de informatie in de afbeelding te vervangen. Om de vergrendeling van gemengde componenten uit te schakelen is een speciale instelling toegevoegd, die op te roepen is via het menu dat verschijnt als je op het slotje klikt.
• Experimentele mogelijkheid toegevoegd om klembordinhoud te delen tussen desktop- en mobiele versies van Chrome. In gevallen waarin Chrome aan één account is gekoppeld, heeft u nu toegang tot de inhoud van het klembord van een ander apparaat, inclusief het delen van het klembord tussen mobiele en desktopsystemen. De inhoud van het klembord wordt gecodeerd met end-to-end-codering, waardoor toegang tot de tekst op de servers van Google wordt voorkomen. De functie wordt ingeschakeld via de opties chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui en chrome://flags#sync-clipboard-service.
• In de adresbalk wordt op bepaalde momenten (bijvoorbeeld bij het opslaan van een wachtwoord) wanneer profielsynchronisatie is uitgeschakeld, naast de avatar de naam van het huidige Google-account weergegeven, zodat de gebruiker het huidige actieve account nauwkeurig kan identificeren.
• Geactiveerd voor 1% van de gebruikers ondersteunen “DNS over HTTPS” (DoH, DNS over HTTPS). Bij het experiment zijn alleen gebruikers betrokken wiens systeeminstellingen al DNS-providers hebben gespecificeerd die DoH ondersteunen. Als de gebruiker bijvoorbeeld DNS 8.8.8.8 heeft opgegeven in de systeeminstellingen, wordt de DoH-service van Google (“https://dns.google.com/dns-query”) geactiveerd in Chrome; als de DNS 1.1.1.1. XNUMX, vervolgens de DoH Cloudflare-service (“https://cloudflare-dns.com/dns-query”), enz. Om te bepalen of DoH is ingeschakeld, is de instelling “chrome://flags/#dns-over-https” beschikbaar. Er worden drie bedrijfsmodi ondersteund: veilig, automatisch en uit. In de “beveiligde” modus worden hosts alleen bepaald op basis van eerder in de cache opgeslagen veilige waarden (ontvangen via een beveiligde verbinding) en verzoeken via DoH; er wordt niet teruggevallen op reguliere DNS. In de “automatische” modus, als DoH en de beveiligde cache niet beschikbaar zijn, kunnen gegevens uit de onveilige cache worden opgehaald en toegankelijk worden gemaakt via traditionele DNS. In de “uit”-modus wordt eerst de gedeelde cache gecontroleerd en als er geen gegevens zijn, wordt het verzoek via de systeem-DNS verzonden.
• Experimenteel toegevoegd ondersteunen Caching van weergegeven inhoud bij het wisselen van pagina's met behulp van de knoppen Vooruit en Terug, wat vertragingen tijdens dit soort navigatie aanzienlijk kan verminderen vanwege het volledig in cache plaatsen van de hele pagina, waardoor het opnieuw weergeven en laden van bronnen niet nodig is. De optimalisatie is vooral merkbaar in de versie voor mobiele apparaten, waar de prestatieverbetering tijdens navigatie 19% bereikt. De modus wordt ingeschakeld met de optie “chrome://flags#back-forward-cache”.
• Verwijderd instelling “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, waardoor het mogelijk werd om de weergave van het protocol in de adresbalk terug te geven (nu worden alle links altijd getoond zonder https:// en http://, en ook zonder “www.”).
• Builds voor Windows omvatten sandboxing van de audioafspeelservice. Om te bepalen of isolatie is ingeschakeld, wordt de eigenschap AudioSandboxEnabled voorgesteld.
• Gecentraliseerde beheertools voor bedrijven omvatten de mogelijkheid om regels te definiëren die bepalen hoeveel geheugen een browserinstantie kan verbruiken voordat achtergrondtabbladen worden verwijderd. Het geheugen dat vrijkomt na het verwijderen van een tabblad komt beschikbaar voor gebruik en de inhoud van het tabblad wordt opnieuw geladen wanneer er naar wordt overgeschakeld.
• Linux gebruikt een ingebouwde certificaatverificatieprocessor, die het eerder gebruikte NSS-systeem vervangt. In dit geval blijft de ingebouwde processor het NSS-archief gebruiken tijdens de verificatie, maar stelt strengere eisen aan de verwerking van onjuist gecodeerde en afzonderlijk gecertificeerde certificaten (alle certificaten moeten worden gecertificeerd door een certificeringsinstantie).
• In de versie voor het Android-platform toegevoegd de mogelijkheid om adaptieve pictogrammen toe te wijzen voor geïnstalleerde webapplicaties die in Progressive Web Apps (PWA)-modus draaien. Adaptieve pictogrammen kunnen zich aanpassen aan de interface die door de apparaatfabrikant wordt gebruikt, bijvoorbeeld rond, vierkant of met vloeiende hoeken.
• toegevoegd API WebXR-apparaat, dat toegang biedt tot componenten voor het creëren van virtuele en augmented reality. Met de API kunt u het werk met verschillende soorten apparaten verenigen, van stationaire virtual reality-headsets zoals Oculus Rift, HTC Vive en Windows Mixed Reality, tot oplossingen op basis van mobiele apparaten zoals Google Daydream View en Samsung Gear VR. Toepassingen waarin de nieuwe API toepasbaar kan zijn, zijn onder meer programma's voor het bekijken van video in 360°-modus, systemen voor het visualiseren van de driedimensionale ruimte, het creëren van virtuele bioscopen voor videopresentaties, het uitvoeren van experimenten met het creëren van 3D-interfaces voor winkels en galerijen;
  

• In de Origin Trials-modus (experimentele functies waarvoor aparte activering) zijn er verschillende nieuwe API's voorgesteld. Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat een beperkte tijd geldig is voor een specifieke site.
  • Voor alle HTML-elementen wordt het attribuut “rendersubtree” voorgesteld, dat ervoor zorgt dat de weergave van het DOM-element vaststaat. Als u het attribuut op 'onzichtbaar' instelt, wordt voorkomen dat de inhoud van het element wordt weergegeven of geïnspecteerd, waardoor een geoptimaliseerde weergave mogelijk is. Indien ingesteld op "activeerbaar", zal de browser het onzichtbare attribuut verwijderen, de inhoud weergeven en zichtbaar maken.
  • API-optie toegevoegd Wake lock gebaseerd op het Promise-mechanisme, dat een veiligere manier biedt om het uitschakelen van automatische vergrendelingsschermen te regelen en apparaten naar energiebesparende modi te schakelen.
• De mogelijkheid geïmplementeerd om het attribuut te gebruiken autofocus voor alle HTML- en SVG-elementen die invoerfocus kunnen hebben.
• Voor afbeeldingen en video's beveiligd Bereken de beeldverhouding op basis van de kenmerken Breedte of Hoogte, die kunnen worden gebruikt om de grootte van de afbeelding te bepalen met behulp van CSS in het stadium waarin de afbeelding nog niet is geladen (lost het probleem op met het opnieuw opbouwen van de pagina nadat afbeeldingen zijn geladen).
• CSS-eigenschap toegevoegd lettertype-optische-grootte, waarmee de variabele lettergrootte automatisch in optische coördinaten wordt ingesteld "opsz", als het lettertype dit ondersteunt. In deze modus kunt u de optimale glyph-vorm voor een opgegeven grootte selecteren, bijvoorbeeld door meer contrasterende glyphs voor koppen te gebruiken.
• CSS-eigenschap toegevoegd list-style-type, waarmee u alle symbolen in plaats van punten in lijsten kunt gebruiken, bijvoorbeeld “-“, “+”, “★” en “▸”.
• Als het onmogelijk is om Worklet.addModule() uit te voeren, wordt er nu een object geretourneerd met gedetailleerde informatie over de aard van de fout, waardoor u de oorzaak van de fout nauwkeuriger kunt beoordelen (problemen met de netwerkverbinding, onjuiste syntaxis, enz. .).
• Het verwerken van artikelen is gestopt при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• In JavaScript-engine V8 voerde uit Optimalisatie van de afhandeling van wijzigingen in de weergave van velden in objecten, waardoor de uitvoering van AngularJS-code in de Speedometer-testsuite 4% sneller draait.
  

• V8 optimaliseert ook de verwerking van getters die zijn gedefinieerd in ingebouwde API's, zoals Node.nodeType en Node.nodeName, bij afwezigheid van een IC-handler (inline caching). De wijziging verminderde de tijd die aan IC-runtime werd besteed met ongeveer 12% bij het uitvoeren van de Backbone- en jQuery-tests vanuit de Speedometer-suite.
  

• De resultaten van het OSR-mechanisme (on-stack replacement genoemd) worden in de cache opgeslagen, waardoor geoptimaliseerde code wordt vervangen tijdens het uitvoeren van functies (waardoor u geoptimaliseerde code kunt gaan gebruiken voor langlopende functies zonder te wachten tot deze opnieuw worden uitgevoerd). OSR-caching maakt het mogelijk om de optimalisatieresultaten te gebruiken bij het opnieuw uitvoeren van de functie, zonder dat u opnieuw hoeft te optimaliseren.
  In sommige tests verhoogde de verandering de topprestaties met 5–18%.
  

• Wijzigingen in tools voor webontwikkelaars:
  Is verschenen foutopsporingsmodus om de redenen te bepalen voor het blokkeren van een verzoek of het verzenden van een cookie.
  
  • In het blok met de Cookielijst is de mogelijkheid toegevoegd om snel de waarde van de geselecteerde Cookie te bekijken door op een specifieke regel te klikken.
    

  • De mogelijkheid toegevoegd om verschillende instellingen te simuleren voor het voorkeurskleurenschema en voorkeurs-verminderde beweging mediaquery's (bijvoorbeeld om het gedrag van de pagina te testen met een donker systeemthema of met geanimeerde effecten uitgeschakeld).
    

  • Het ontwerp van het tabblad Dekking is gemoderniseerd, zodat u de gebruikte en niet-gebruikte code kunt evalueren. De mogelijkheid toegevoegd om informatie te filteren op type (JavaScript, CSS). Informatie over codegebruik wordt ook toegevoegd bij het weergeven van de brontekst.
    

  • De mogelijkheid toegevoegd om de redenen op te sporen voor het aanvragen van een bepaalde netwerkbron na het registreren van netwerkactiviteit (u kunt een spoor bekijken van de JavaScript-codeaanroep die tot het laden van de bron heeft geleid).
    

  • De instelling “Instellingen > Voorkeuren > Bronnen > Standaardinspringing” toegevoegd om het type inspringing (2/4/8 spaties of tabs) te bepalen in de code die wordt weergegeven in de panelen Console en Bronnen.

Naast innovaties en bugfixes elimineert de nieuwe versie 51 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met behulp van de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Twee problemen (CVE-2019-13725, toegang krijgen tot reeds vrijgemaakt geheugen in de code voor Bluetooth-ondersteuning, en CVE-2019-13726, heap overflow in de wachtwoordbeheerder) zijn gemarkeerd als kritiek, d.w.z. kunt u alle niveaus van browserbeveiliging omzeilen en code uitvoeren op het systeem buiten de sandbox-omgeving. Dit is de eerste keer dat er twee kritieke problemen zijn geïdentificeerd binnen dezelfde ontwikkelingscyclus in Chrome. De eerste kwetsbaarheid werd gevonden door onderzoekers van Tencent Keen Security Lab en gedemonstreerd bij de Tianfu Cup-competitie, en de tweede werd gevonden door Sergei Glazunov van Google Project Zero.

Als onderdeel van het programma om contante beloningen uit te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, heeft Google 37 beloningen uitbetaald ter waarde van $80000 (een beloning van $20000, een beloning van $10000, twee beloningen van $7500, vier beloningen van $5000, een beloning van $3000, twee beloningen van $2000, twee beloningen van $1000). en acht prijzen van $ 500). De omvang van de 15 beloningen is nog niet vastgesteld.

Bron: opennet.ru