Chrome wersja 79

Google представила wydanie przeglądarki internetowej Chrome 79... Jednocześnie dostępny stabilne wydanie darmowego projektu chrom, który jest podstawą Chrome. Przeglądarka Chrome inny korzystanie z logo Google, obecność systemu wysyłania powiadomień w przypadku awarii, możliwość pobrania modułu Flash na żądanie, modułów do odtwarzania chronionych treści wideo (DRM), systemu automatycznej aktualizacji i transmisji w wyszukiwarce Parametry RLZ. Następna wersja Chrome 80 zaplanowana jest na 4 lutego.

Głównym zmiany в Chrom 79:

• Aktywowany Komponent Password Checkup, przeznaczony do analizy siły haseł używanych przez użytkownika. Podczas próby zalogowania się do dowolnej witryny Sprawdzanie hasła spełnia sprawdzanie loginu i hasła w bazie danych zainfekowanych kont z ostrzeżeniem w przypadku wykrycia problemów (sprawdzanie odbywa się na podstawie przedrostka hash po stronie użytkownika). Kontrola przeprowadzana jest w oparciu o bazę danych obejmującą ponad 4 miliardy zainfekowanych kont, które pojawiły się w bazach danych użytkowników, które wyciekły. Podczas próby użycia trywialnego hasła, takiego jak „abc123”, wyświetlane jest również ostrzeżenie. Aby kontrolować włączenie Sprawdzania hasła, w sekcji „Synchronizacja i usługi Google” zaimplementowano specjalne ustawienie.
• Zaprezentowano nową technologię wykrywania phishingu w czasie rzeczywistym. Wcześniej weryfikacja odbywała się poprzez dostęp do pobieranych lokalnie czarnych list Bezpiecznego przeglądania, które aktualizowane były mniej więcej co 30 minut, co okazało się niewystarczające np. w warunkach częstego przełączania domen przez atakujących. Nowa metoda umożliwia sprawdzanie adresów URL na bieżąco poprzez wstępne sprawdzanie białych list zawierających skróty tysięcy popularnych, godnych zaufania witryn. Jeżeli otwierana witryna nie znajduje się na białej liście, przeglądarka sprawdza adres URL na serwerze Google, przesyłając pierwsze 32 bity skrótu SHA-256 linku, z którego wycinane są ewentualne dane osobowe. Według Google nowe podejście może poprawić skuteczność ostrzeżeń o nowych witrynach phishingowych o 30%.
• Dodano proaktywną ochronę przed przesyłaniem danych uwierzytelniających Google i haseł przechowywanych w menedżerze haseł za pośrednictwem stron phishingowych. Jeśli spróbujesz wprowadzić zapisane hasło w witrynie, w której zwykle nie jest ono używane, użytkownik zostanie ostrzeżony o potencjalnie niebezpiecznym działaniu.
• Połączenia korzystające z protokołu TLS 1.0 i 1.1 wyświetlają teraz wskaźnik niepewnego połączenia. W pełni obsługuje TLS 1.0 i 1.1 będzie wyłączone w Chrome 81, zaplanowane na 17 marca 2020 r.
• Dodano możliwość zamrażania nieaktywnych kart, umożliwiając automatyczne rozładowanie z pamięci kart, które znajdowały się w tle przez ponad 5 minut i nie wykonywały znaczących działań. Decyzja o przydatności danej zakładki do zamrożenia podejmowana jest na podstawie heurystyki. Włączeniem funkcji steruje się flagą „chrome://flags/#proactive-tab-freeze”.
• zabezpieczone Blokowanie mieszanej zawartości na stronach otwieranych przez HTTPS, aby mieć pewność, że strony otwierane przez https:// zawierają wyłącznie zasoby ładowane przez bezpieczny kanał komunikacji. Mimo że najniebezpieczniejsze typy treści mieszanych, takie jak skrypty i ramki iframe, są już domyślnie blokowane, obrazy, pliki audio i filmy nadal można pobierać za pośrednictwem witryny http://. Stosowany dotychczas wskaźnik zawartości mieszanej dla takich wkładek okazał się nieskuteczny i wprowadzający w błąd użytkownika, gdyż nie pozwala na jednoznaczną ocenę bezpieczeństwa strony. Na przykład poprzez fałszowanie obrazu osoba atakująca może zastąpić pliki cookie śledzące użytkownika, spróbować wykorzystać luki w procesorach obrazu lub popełnić fałszerstwo, zastępując informacje zawarte w obrazie. Aby wyłączyć blokowanie mieszanych komponentów, dodano specjalne ustawienie, do którego można uzyskać dostęp poprzez menu pojawiające się po kliknięciu symbolu kłódki.
• Dodano eksperymentalną możliwość udostępniania zawartości schowka pomiędzy komputerową i mobilną wersją przeglądarki Chrome. W przypadku Chrome połączonego z jednym kontem możesz teraz uzyskać dostęp do zawartości schowka innego urządzenia, w tym udostępniać schowek pomiędzy systemami mobilnymi i stacjonarnymi. Zawartość schowka jest szyfrowana przy użyciu szyfrowania typu end-to-end, co uniemożliwia dostęp do tekstu na serwerach Google. Funkcję włącza się za pomocą opcji chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui i chrome://flags#sync-clipboard-service.
• W pasku adresu w określonych momentach (na przykład podczas zapisywania hasła), gdy synchronizacja profilu jest wyłączona, oprócz awatara wyświetlana jest nazwa bieżącego konta Google, dzięki czemu użytkownik może dokładnie zidentyfikować aktualnie aktywne konto.
• Aktywowano dla 1% użytkowników wsparcie „DNS przez HTTPS” (DoH, DNS przez HTTPS). W eksperymencie biorą udział tylko użytkownicy, których ustawienia systemowe mają już określonych dostawców DNS obsługujących DoH. Przykładowo, jeśli użytkownik ma w ustawieniach systemu ustawiony DNS 8.8.8.8, to w przeglądarce Chrome zostanie aktywowana usługa DoH firmy Google („https://dns.google.com/dns-query”), jeżeli DNS to 1.1.1.1. XNUMX, następnie usługa DoH Cloudflare („https://cloudflare-dns.com/dns-query”) itp. Aby kontrolować, czy DoH jest włączone, dostępne jest ustawienie „chrome://flags/#dns-over-https”. Obsługiwane są trzy tryby pracy: bezpieczny, automatyczny i wyłączony. W trybie „bezpiecznym” hosty są określane wyłącznie na podstawie wcześniej zapisanych w pamięci podręcznej bezpiecznych wartości (otrzymanych przez bezpieczne połączenie) i żądań za pośrednictwem DoH; powrót do zwykłego DNS nie jest stosowany. W trybie „automatycznym”, jeśli DoH i bezpieczna pamięć podręczna są niedostępne, dane można pobrać z niezabezpieczonej pamięci podręcznej i uzyskać do nich dostęp za pośrednictwem tradycyjnego DNS. W trybie „wyłączonym” najpierw sprawdzana jest współdzielona pamięć podręczna i w przypadku braku danych żądanie jest wysyłane przez systemowy DNS.
• Dodano eksperymentalne wsparcie buforowanie renderowanej treści podczas zmiany stron za pomocą przycisków Dalej i Wstecz, co może znacznie zmniejszyć opóźnienia podczas tego typu nawigacji dzięki całkowitemu buforowaniu całej strony, która nie wymaga ponownego renderowania i ładowania zasobów. Optymalizacja jest szczególnie widoczna w wersji na urządzenia mobilne, gdzie wzrost wydajności podczas nawigacji sięga 19%. Tryb włącza się za pomocą opcji „chrome://flags#back-forward-cache”.
• Usunięto ustawienie „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, co pozwoliło zwrócić wyświetlanie protokołu w pasku adresu (teraz wszystkie linki są zawsze wyświetlane bez https :// i http:// /, a także bez „www.”).
• Kompilacje dla systemu Windows obejmują piaskownicę usługi odtwarzania dźwięku. Aby kontrolować, czy izolacja jest włączona, zaproponowano właściwość AudioSandboxEnabled.
• Scentralizowane narzędzia administracyjne dla przedsiębiorstw obejmują możliwość definiowania reguł kontrolujących ilość pamięci, jaką może zużyć instancja przeglądarki, zanim karty działające w tle zostaną zwolnione. Pamięć zwolniona po wyładowaniu zakładki staje się dostępna do wykorzystania, a zawartość zakładki ładuje się ponownie po przełączeniu na nią.
• Linux korzysta z wbudowanego procesora weryfikacji certyfikatów, który zastępuje dotychczas używany system NSS. W tym przypadku wbudowany procesor w dalszym ciągu podczas weryfikacji korzysta z magazynu NSS, jednak nakłada bardziej rygorystyczne wymagania przy przetwarzaniu nieprawidłowo zakodowanych i oddzielnie certyfikowanych certyfikatów (wszystkie certyfikaty muszą być certyfikowane przez urząd certyfikacji).
• W wersji na platformę Android dodany możliwość przypisania ikon adaptacyjnych do zainstalowanych aplikacji internetowych działających w trybie Progressive Web Apps (PWA). Ikony adaptacyjne mogą dostosować się do interfejsu stosowanego przez producenta urządzenia, np. być okrągłe, kwadratowe lub mieć gładkie rogi.
• обавлен API Urządzenie WebXR, która zapewnia dostęp do komponentów do tworzenia rzeczywistości wirtualnej i rozszerzonej. API umożliwia ujednolicenie pracy z różnymi klasami urządzeń, począwszy od stacjonarnych gogli wirtualnej rzeczywistości typu Oculus Rift, HTC Vive i Windows Mixed Reality, aż po rozwiązania bazujące na urządzeniach mobilnych typu Google Daydream View i Samsung Gear VR. Aplikacje, w których nowe API może mieć zastosowanie to m.in. programy do oglądania wideo w trybie 360°, systemy do wizualizacji przestrzeni trójwymiarowej, tworzenie wirtualnych kin do prezentacji wideo, prowadzenie eksperymentów nad tworzeniem interfejsów 3D dla sklepów i galerii;
  

• W trybie próbnym Origin (funkcje eksperymentalne wymagające osobnego aktywacja) zaproponowano kilka nowych interfejsów API. Wersja próbna Origin oznacza możliwość pracy z określonym API z aplikacji pobranych z localhost lub 127.0.0.1 lub po zarejestrowaniu się i otrzymaniu specjalnego tokena, który jest ważny przez ograniczony czas dla konkretnej witryny.
  • Dla wszystkich elementów HTML zaproponowano atrybut „rendersubtree”, który zapewnia stałe wyświetlanie elementu DOM. Ustawienie atrybutu na „niewidoczny” zapobiegnie renderowaniu lub sprawdzaniu zawartości elementu, umożliwiając zoptymalizowane renderowanie. Po ustawieniu opcji „aktywowalny” przeglądarka usunie niewidoczny atrybut, wyrenderuje treść i sprawi, że będzie ona widoczna.
  • Dodano opcję API Blokada budzenia oparty na mechanizmie Promise, który zapewnia bezpieczniejszy sposób kontrolowania wyłączania automatycznej blokady ekranów i przełączania urządzeń w tryby oszczędzania energii.
• Zaimplementowano możliwość korzystania z atrybutu autofocus dla wszystkich elementów HTML i SVG, które mogą mieć fokus wejściowy.
• Do zdjęć i filmów zabezpieczone Oblicz współczynnik proporcji na podstawie atrybutów Szerokość lub Wysokość, które można wykorzystać do określenia rozmiaru obrazu za pomocą CSS na etapie, gdy obraz nie jest jeszcze załadowany (rozwiązuje problem z przebudową strony po wczytaniu obrazów).
• Dodano właściwość CSS rozmiar czcionki optycznej, który automatycznie ustawia zmienny rozmiar czcionki we współrzędnych optycznych "opsz", jeśli czcionka je obsługuje. Tryb umożliwia wybranie optymalnego kształtu glifów dla określonego rozmiaru, np. użycie bardziej kontrastowych glifów dla nagłówków.
• Dodano właściwość CSS typ listy, co pozwala na użycie dowolnych symboli zamiast kropek na listach, na przykład „-”, „+”, „★” i „▸”.
• Jeżeli wykonanie Worklet.addModule() nie jest możliwe, zwracany jest teraz obiekt ze szczegółową informacją o naturze błędu, co pozwala dokładniej ocenić przyczynę błędu (problemy z połączeniem sieciowym, nieprawidłowa składnia itp.) .).
• Zatrzymano przetwarzanie elementów при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• W silniku JavaScript V8 przeprowadzone Optymalizacja obsługi zmian w reprezentacji pól w obiektach, w wyniku czego wykonanie kodu AngularJS w zestawie testów Speedometer działa o 4% szybciej.
  

• Wersja 8 optymalizuje także przetwarzanie modułów pobierających zdefiniowanych we wbudowanych interfejsach API, takich jak Node.nodeType i Node.nodeName, w przypadku braku modułu obsługi układu scalonego (buforowanie wbudowane). Zmiana skróciła czas wykonywania testów IC o około 12% podczas uruchamiania testów Backbone i jQuery z pakietu Speedometer.
  

• Wyniki mechanizmu OSR (tzw. on-stack swap) są buforowane, co zastępuje zoptymalizowany kod podczas wykonywania funkcji (pozwala rozpocząć korzystanie ze zoptymalizowanego kodu dla długotrwałych funkcji bez czekania na ich ponowne uruchomienie). Buforowanie OSR umożliwia wykorzystanie wyników optymalizacji przy ponownym uruchomieniu funkcji, bez konieczności ponownej optymalizacji.
  W niektórych testach zmiana zwiększyła wydajność szczytową o 5–18%.
  

• Zmiany w narzędziach dla twórców stron internetowych:
  Pojawił się tryb debugowania w celu ustalenia powodów zablokowania żądania lub wysłania pliku cookie.
  
  • W bloku z listą Cookie dodana została możliwość szybkiego podglądu wartości wybranego Cookie poprzez kliknięcie w konkretną linijkę.
    

  • Dodano możliwość symulowania różnych ustawień zapytań o preferowany schemat kolorów i preferencje o zmniejszonym ruchu (na przykład w celu przetestowania zachowania strony z ciemnym motywem systemu lub z wyłączonymi efektami animowanymi).
    

  • Zmodernizowano wygląd zakładki Zasięg, umożliwiając ocenę wykorzystanego i niewykorzystanego kodu. Dodano możliwość filtrowania informacji po ich typie (JavaScript, CSS). Informacje o użyciu kodu są również dodawane podczas wyświetlania tekstu źródłowego.
    

  • Dodano możliwość debugowania powodów żądania określonego zasobu sieciowego po zarejestrowaniu aktywności sieciowej (można wyświetlić ślad wywołania kodu JavaScript, które doprowadziło do załadowania zasobu).
    

  • Dodano ustawienie „Ustawienia > Preferencje > Źródła > Domyślne wcięcie”, aby określić typ wcięcia (2/4/8 spacji lub tabulatorów) w kodzie wyświetlanym w panelach Konsola i Źródła.

Oprócz innowacji i poprawek błędów, nowa wersja eliminuje 51 luk. Wiele luk zostało zidentyfikowanych w wyniku automatycznych testów przy użyciu narzędzi AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Dwa problemy (CVE-2019-13725, dostęp do już zwolnionej pamięci w kodzie do obsługi Bluetooth oraz CVE-2019-13726, przepełnienie sterty w menedżerze haseł) są oznaczone jako krytyczne, tj. pozwalają ominąć wszystkie poziomy ochrony przeglądarki i wykonać kod w systemie poza środowiskiem sandbox. Po raz pierwszy w tym samym cyklu rozwoju przeglądarki Chrome zidentyfikowano dwa krytyczne problemy. Pierwszą lukę odkryli badacze z Tencent Keen Security Lab i zademonstrowano na zawodach Tianfu Cup, a drugi odnalazł Siergiej Głazunow z Google Project Zero.

W ramach programu nagród pieniężnych za wykrywanie luk w bieżącej wersji firma Google wypłaciła 37 nagród o wartości 80000 20000 USD (jedna nagroda 10000 7500 USD, jedna nagroda 5000 3000 USD, dwie nagrody 2000 USD, cztery nagrody 1000 USD, jedna nagroda 500 USD, dwie nagrody 15 USD, dwie nagrody XNUMX USD i osiem nagród nagrody w wysokości XNUMX dolarów). Wielkość XNUMX nagród nie została jeszcze ustalona.

Źródło: opennet.ru