Chrome-versjon 79

Google presentert nettleserutgivelse Chrome 79... Samtidig tilgjengelig stabil utgivelse av et gratis prosjekt Chromium, som fungerer som grunnlaget for Chrome. Chrome-nettleser annerledes bruken av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, muligheten til å laste ned en Flash-modul på forespørsel, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring under søk RLZ-parametere. Den neste utgivelsen av Chrome 80 er planlagt til 4. februar.

Den viktigste endringer в Chrome 79:

• aktivert Passordsjekk-komponent, designet for å analysere styrken til passord som brukes av brukeren. Når du prøver å logge på en hvilken som helst side Passordsjekk oppfyller sjekke innlogging og passord mot en database med kompromitterte kontoer med en advarsel hvis problemer oppdages (sjekking utføres basert på et hash-prefiks på brukerens side). Kontrollen utføres mot en database som dekker mer enn 4 milliarder kompromitterte kontoer som dukket opp i lekkede brukerdatabaser. En advarsel vises også når du forsøker å bruke trivielle passord som "abc123". For å kontrollere inkluderingen av Passordsjekk er det implementert en spesiell innstilling i delen "Synkronisering og Google-tjenester".
• En ny teknologi for å oppdage phishing i sanntid presenteres. Tidligere ble verifisering utført ved å få tilgang til lokalt nedlastede Safe Browsing-svartelister, som ble oppdatert omtrent en gang hvert 30. minutt, noe som viste seg å være utilstrekkelig, for eksempel under forhold med hyppige domenebytte av angripere. Den nye metoden lar deg sjekke nettadresser i farten med en foreløpig sjekk mot hvitelister som inkluderer hashes av tusenvis av populære nettsteder som er pålitelige. Hvis nettstedet som åpnes ikke er på hvitlisten, sjekker nettleseren URL-en på Google-serveren, og overfører de første 32 bitene av SHA-256-hashen til lenken, som mulige personlige data er kuttet ut fra. Ifølge Google kan den nye tilnærmingen forbedre effektiviteten til advarsler for nye phishing-nettsteder med 30 %.
• Lagt til proaktiv beskyttelse mot overføring av Google-legitimasjon og eventuelle passord som er lagret i passordbehandleren gjennom phishing-sider. Hvis du prøver å skrive inn et lagret passord på et nettsted der passordet vanligvis ikke brukes, vil brukeren bli advart om en potensielt farlig handling.
• Tilkoblinger som bruker TLS 1.0 og 1.1 viser nå en usikker tilkoblingsindikator. Støtter TLS 1.0 og 1.1 fullt ut vil bli deaktivert i Chrome 81, planlagt til 17. mars 2020.
• Lagt til muligheten til å fryse inaktive faner, slik at du automatisk kan laste ut fra minnefaner som har vært i bakgrunnen i mer enn 5 minutter og ikke utfører vesentlige handlinger. Beslutningen om egnetheten til en bestemt kategori for frysing tas basert på heuristikk. Aktivering av funksjonen styres via "chrome://flags/#proactive-tab-freeze"-flagget.
• Sikret Blokkering av blandet innhold på sider åpnet over HTTPS for å sikre at sider som åpnes over https:// kun inneholder ressurser lastet over en sikker kommunikasjonskanal. Selv om de farligste typene blandet innhold, som skript og iframes, allerede er blokkert som standard, kan bilder, lydfiler og videoer fortsatt lastes ned via http://. Den tidligere brukte blandede innholdsindikatoren for slike innlegg ble funnet å være ineffektiv og villedende for brukeren, siden den ikke gir en entydig vurdering av sikkerheten til siden. For eksempel, gjennom bildeforfalskning, kan en angriper erstatte informasjonskapselsporing med brukerhandlinger, prøve å utnytte sårbarheter i bildebehandlere, eller begå forfalskning ved å erstatte informasjonen i bildet. For å deaktivere låsing av blandede komponenter er det lagt til en spesiell innstilling som kan nås gjennom menyen som vises når du klikker på låsesymbolet.
• Lagt til eksperimentell mulighet for å dele utklippstavleinnhold mellom desktop- og mobilversjoner av Chrome. I tilfeller av Chrome koblet til én konto, kan du nå få tilgang til innholdet på utklippstavlen på en annen enhet, inkludert deling av utklippstavlen mellom mobile og stasjonære systemer. Innholdet på utklippstavlen er kryptert ved hjelp av ende-til-ende-kryptering, som hindrer tilgang til teksten på Googles servere. Funksjonen er aktivert gjennom alternativene chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui og chrome://flags#sync-clipboard-service.
• I adressefeltet på bestemte tidspunkter (for eksempel når du lagrer et passord) når profilsynkronisering er slått av, i tillegg til avataren, vises navnet på gjeldende Google-konto slik at brukeren nøyaktig kan identifisere gjeldende aktive konto.
• Aktivert for 1 % av brukerne støtte "DNS over HTTPS" (DoH, DNS over HTTPS). Eksperimentet involverer bare brukere hvis systeminnstillinger allerede har spesifisert DNS-leverandører som støtter DoH. For eksempel, hvis brukeren har DNS 8.8.8.8 spesifisert i systeminnstillingene, vil Googles DoH-tjeneste (“https://dns.google.com/dns-query”) aktiveres i Chrome; hvis DNS er 1.1.1.1. XNUMX, deretter DoH Cloudflare-tjenesten ("https://cloudflare-dns.com/dns-query"), etc. For å kontrollere om DoH er aktivert, er "chrome://flags/#dns-over-https"-innstillingen gitt. Tre driftsmoduser støttes: sikker, automatisk og av. I "sikker" modus bestemmes verter kun basert på tidligere hurtigbufrede sikre verdier (mottatt via en sikker tilkobling) og forespørsler via DoH; fallback til vanlig DNS brukes ikke. I "automatisk" modus, hvis DoH og den sikre cachen ikke er tilgjengelig, kan data hentes fra den usikre cachen og få tilgang til gjennom tradisjonell DNS. I "av"-modus blir den delte hurtigbufferen først sjekket, og hvis det ikke er data, sendes forespørselen gjennom systemets DNS.
• Lagt til eksperimentell støtte bufring av gjengitt innhold når du bytter side ved hjelp av frem- og tilbake-knappene, noe som kan redusere forsinkelser betraktelig under denne typen navigering på grunn av fullstendig hurtigbufring av hele siden, som ikke krever gjengivelse og lasting av ressurser. Optimaliseringen er spesielt merkbar i versjonen for mobile enheter, hvor ytelsesøkningen under navigering når 19 %. Modusen er aktivert ved å bruke alternativet "chrome://flags#back-forward-cache".
• Slettet innstilling "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", som tillot å returnere visningen av protokollen i adressefeltet (nå vises alle lenker alltid uten https :// og http:// /, og også uten “www.”).
• Bygger for Windows inkluderer sandboxing av lydavspillingstjenesten. For å kontrollere om isolering er aktivert, foreslås AudioSandboxEnabled-egenskapen.
• Sentraliserte administrasjonsverktøy for bedrifter inkluderer muligheten til å definere regler som kontrollerer hvor mye minne en nettleserforekomst kan bruke før bakgrunnsfaner lastes ut. Minnet som frigjøres etter utlasting av en fane blir tilgjengelig for bruk, og innholdet i fanen lastes inn igjen når du bytter til den.
• Linux bruker en innebygd sertifikatverifiseringsprosessor, som erstatter det tidligere brukte NSS-systemet. I dette tilfellet fortsetter den innebygde prosessoren å bruke NSS-lageret under verifisering, men stiller strengere krav ved behandling av feilkodede og separat sertifiserte sertifikater (alle sertifikater må sertifiseres av en sertifiseringsinstans).
• I versjonen for Android-plattformen la til muligheten til å tilordne adaptive ikoner for installerte webapplikasjoner som kjører i Progressive Web Apps (PWA)-modus. Adaptive ikoner kan tilpasse seg grensesnittet som brukes av enhetsprodusenten, for eksempel å være runde, firkantede eller med glatte hjørner.
• La til API WebXR-enhet, som gir tilgang til komponenter for å lage virtuell og utvidet virkelighet. API-en lar deg forene arbeid med ulike klasser av enheter, fra stasjonære virtual reality-headset som Oculus Rift, HTC Vive og Windows Mixed Reality, til løsninger basert på mobile enheter som Google Daydream View og Samsung Gear VR. Applikasjoner der den nye API-en kan være anvendelig inkluderer programmer for visning av video i 360°-modus, systemer for å visualisere tredimensjonalt rom, lage virtuelle kinoer for videopresentasjon, utføre eksperimenter med å lage 3D-grensesnitt for butikker og gallerier;
  

• I Origin Trials-modus (eksperimentelle funksjoner som krever separate aktivering) flere nye APIer har blitt foreslått. Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
  • For alle HTML-elementer foreslås «rendersubtree»-attributtet, som sikrer at visningen av DOM-elementet er fikset. Å sette attributtet til "usynlig" vil forhindre at elementets innhold blir gjengitt eller inspisert, noe som muliggjør optimalisert gjengivelse. Når den er satt til "aktiverbar", vil nettleseren fjerne det usynlige attributtet, gjengi innholdet og gjøre det synlig.
  • Lagt til API-alternativ Vekkelås basert på Promise-mekanismen, som gir en sikrere måte å kontrollere deaktivering av autolåseskjermer og bytte enheter til strømsparende moduser.
• Implementerte muligheten til å bruke attributtet autofokus for alle HTML- og SVG-elementer som kan ha inputfokus.
• For bilder og videoer sikret Beregn sideforholdet basert på attributtene Bredde eller Høyde, som kan brukes til å bestemme størrelsen på bildet ved hjelp av CSS på det stadiet da bildet ennå ikke er lastet inn (løser problemet med å gjenoppbygge siden etter at bildene er lastet inn).
• Lagt til CSS-egenskap font-optisk størrelse, som automatisk setter den variable skriftstørrelsen i optiske koordinater "opsz", hvis skriften støtter dem. Modusen lar deg velge den optimale glyferformen for en spesifisert størrelse, for eksempel bruke mer kontrasterende glyffer for overskrifter.
• Lagt til CSS-egenskap liste-stil-type, som lar deg bruke alle symboler i stedet for punktum i lister, for eksempel "-", "+", "★" og "▸".
• Hvis det er umulig å utføre Worklet.addModule(), returneres nå et objekt med detaljert informasjon om arten av feilen, som lar deg mer nøyaktig vurdere årsaken til feilen (problemer med nettverkstilkoblingen, feil syntaks osv.) .).
• Sluttet å behandle varer при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• I JavaScript-motor V8 utført Optimalisering av håndteringsendringer i representasjonen av felt i objekter, noe som resulterer i at AngularJS-kodekjøring i Speedometer-testpakken kjører 4 % raskere.
  

• V8 optimerer også behandlingen av gettere definert i innebygde APIer, som Node.nodeType og Node.nodeName, i fravær av en IC-behandler (inline caching). Endringen reduserte tiden brukt på IC-kjøring med omtrent 12 % når du kjørte Backbone- og jQuery-testene fra Speedometer-pakken.
  

• Resultatene av OSR (kalt on-stack replacement)-mekanismen bufres, som erstatter optimalisert kode under funksjonsutførelse (lar deg begynne å bruke optimalisert kode for langvarige funksjoner uten å vente på at de skal kjøre igjen). OSR-caching gjør det mulig å bruke optimaliseringsresultatene når du kjører funksjonen på nytt, uten at du trenger å gå gjennom re-optimalisering.
  I noen tester økte endringen toppytelsen med 5–18 %.
  

• Endringer i verktøy for nettutviklere:
  Dukket opp feilsøkingsmodus for å finne årsakene til å blokkere en forespørsel eller sende en informasjonskapsel.
  
  • I blokken med informasjonskapsellisten er muligheten til raskt å se verdien av den valgte informasjonskapselen lagt til ved å klikke på en bestemt linje.
    

  • Lagt til muligheten til å simulere forskjellige innstillinger for foretrekker-fargeskjemaet og foretrekker-redusert-bevegelse mediespørringer (for eksempel for å teste oppførselen til siden med et mørkt systemtema eller med animerte effekter deaktivert).
    

  • Utformingen av Dekning-fanen har blitt modernisert, slik at du kan evaluere koden som brukes og ikke brukes. Lagt til muligheten til å filtrere informasjon etter type (JavaScript, CSS). Kodebruksinformasjon legges også til når kildeteksten vises.
    

  • Lagt til muligheten til å feilsøke årsakene til å be om en bestemt nettverksressurs etter å ha registrert nettverksaktivitet (du kan se et spor av JavaScript-kodekallet som førte til lasting av ressursen).
    

  • Lagt til "Innstillinger > Innstillinger > Kilder > Standardinnrykk"-innstilling for å bestemme typen innrykk (2/4/8 mellomrom eller tabulatorer) i koden som vises i panelene Konsoll og Kilder.

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 51 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. To problemer (CVE-2019-13725, tilgang til allerede frigjort minne i koden for Bluetooth-støtte, og CVE-2019-13726, heap overflow i passordbehandlingen) er merket som kritiske, dvs. lar deg omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Dette er første gang to kritiske problemer har blitt identifisert innenfor samme utviklingssyklus i Chrome. Den første sårbarheten ble funnet av forskere fra Tencent Keen Security Lab og demonstrert på Tianfu Cup-konkurransen, og den andre ble funnet av Sergei Glazunov fra Google Project Zero.

Som en del av kontantbelønningsprogrammet for å oppdage sårbarheter for den nåværende utgivelsen, betalte Google 37 priser verdt $80000 20000 (en pris på $10000 7500, en pris på $5000 3000, to priser på $2000 1000, fire priser på $500 15, en pris på $XNUMX XNUMX, to priser på $XNUMX XNUMX og to $XNUMX, priser på XNUMX dollar). Størrelsen på de XNUMX belønningene er ennå ikke bestemt.

Kilde: opennet.ru