Versão 79 do Chrome

Google apresentado versão do navegador da web Chrome 79... Simultaneamente está disponível lançamento estável de um projeto gratuito crômio, que é a base do Chrome. navegador Chrome diferente utilização de logotipos do Google, presença de sistema de envio de notificações em caso de travamento, possibilidade de download de módulo Flash mediante solicitação, módulos para reprodução de conteúdo de vídeo protegido (DRM), sistema de instalação automática de atualizações e transmissão durante a pesquisa Parâmetros RLZ. O próximo lançamento do Chrome 80 está agendado para 4 de fevereiro.

O principal mudanças в Chrome 79:

• ativado Componente Password Checkup, projetado para analisar a força das senhas utilizadas pelo usuário. Ao tentar fazer login em qualquer site de verificação de senha realiza verificar o login e a senha em um banco de dados de contas comprometidas com um aviso se forem detectados problemas (a verificação é realizada com base em um prefixo hash do lado do usuário). A verificação é realizada em um banco de dados que cobre mais de 4 bilhões de contas comprometidas que apareceram em bancos de dados de usuários vazados. Um aviso também é exibido ao tentar usar senhas triviais como "abc123". Para controlar a inclusão do Password Checkup, uma configuração especial foi implementada na seção “Sync and Google Services”.
• É apresentada uma nova tecnologia para detecção de phishing em tempo real. Anteriormente, a verificação era realizada acessando listas negras de Navegação segura baixadas localmente, que eram atualizadas aproximadamente uma vez a cada 30 minutos, o que se revelou insuficiente, por exemplo, em condições de troca frequente de domínio por invasores. O novo método permite que você verifique URLs rapidamente com uma verificação preliminar em listas de permissões que incluem hashes de milhares de sites populares que são confiáveis. Caso o site que está sendo aberto não esteja na lista branca, o navegador verifica a URL no servidor do Google, transmitindo os primeiros 32 bits do hash SHA-256 do link, dos quais são cortados possíveis dados pessoais. Segundo o Google, a nova abordagem pode melhorar em 30% a eficácia dos avisos para novos sites de phishing.
• Adicionada proteção proativa contra a transferência de credenciais do Google e quaisquer senhas armazenadas no gerenciador de senhas por meio de páginas de phishing. Se você tentar inserir uma senha salva em um site onde essa senha normalmente não é usada, o usuário será avisado sobre uma ação potencialmente perigosa.
• As conexões que usam TLS 1.0 e 1.1 agora mostram um indicador de conexão insegura. Suporte total a TLS 1.0 e 1.1 será desativado no Chrome 81, agendado para 17 de março de 2020.
• Adicionada a capacidade de congelar guias inativas, permitindo descarregar automaticamente da memória guias que estão em segundo plano há mais de 5 minutos e não executam ações significativas. A decisão sobre a adequação de uma determinada aba para congelamento é feita com base em heurísticas. A ativação da função é controlada por meio do sinalizador “chrome://flags/#proactive-tab-freeze”.
• Fornecido por Bloqueio de conteúdo misto em páginas abertas por HTTPS para garantir que as páginas abertas por https:// contenham apenas recursos carregados por meio de um canal de comunicação seguro. Embora os tipos mais perigosos de conteúdo misto, como scripts e iframes, já estejam bloqueados por padrão, imagens, arquivos de áudio e vídeos ainda podem ser baixados via http://. O indicador de conteúdo misto utilizado anteriormente para tais inserções foi considerado ineficaz e enganoso para o usuário, uma vez que não fornece uma avaliação inequívoca da segurança da página. Por exemplo, através da falsificação de imagens, um invasor pode substituir cookies de rastreamento do usuário, tentar explorar vulnerabilidades em processadores de imagens ou cometer falsificações substituindo as informações fornecidas na imagem. Para desabilitar o bloqueio de componentes mistos, foi adicionada uma configuração especial, que pode ser acessada através do menu que aparece ao clicar no símbolo do cadeado.
• Adicionada capacidade experimental de compartilhar conteúdo da área de transferência entre versões desktop e móveis do Chrome. Nas instâncias do Chrome vinculadas a uma conta, agora você pode acessar o conteúdo da área de transferência de outro dispositivo, incluindo o compartilhamento da área de transferência entre sistemas móveis e desktop. O conteúdo da área de transferência é criptografado com criptografia ponta a ponta, o que impede o acesso ao texto nos servidores do Google. A função é habilitada através das opções chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui e chrome://flags#sync-clipboard-service.
• Na barra de endereço em determinados momentos (por exemplo, ao salvar uma senha) quando a sincronização do perfil está desativada, além do avatar, é exibido o nome da conta atual do Google para que o usuário possa identificar com precisão a conta ativa no momento.
• Ativado para 1% dos usuários apoiar “DNS sobre HTTPS” (DoH, DNS sobre HTTPS). O experimento envolve apenas usuários cujas configurações de sistema já especificaram provedores de DNS que suportam DoH. Por exemplo, se o usuário tiver DNS 8.8.8.8 especificado nas configurações do sistema, então o serviço DoH do Google (“https://dns.google.com/dns-query”) será ativado no Chrome; se o DNS for 1.1.1.1. XNUMX, depois serviço DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), etc. Para controlar se o DoH está habilitado, a configuração “chrome://flags/#dns-over-https” é fornecida. São suportados três modos de operação: seguro, automático e desligado. No modo “seguro”, os hosts são determinados apenas com base em valores seguros previamente armazenados em cache (recebidos por meio de uma conexão segura) e solicitações via DoH; o fallback para DNS normal não é aplicado. No modo “automático”, se o DoH e o cache seguro não estiverem disponíveis, os dados podem ser recuperados do cache inseguro e acessados ​​através do DNS tradicional. No modo “off”, o cache compartilhado é verificado primeiro e caso não haja dados a solicitação é enviada através do DNS do sistema.
• Adicionado experimental apoiar cache do conteúdo renderizado ao mudar de página através dos botões avançar e voltar, o que pode reduzir significativamente os atrasos neste tipo de navegação devido ao cache completo de toda a página, que não requer nova renderização e carregamento de recursos. A otimização é especialmente perceptível na versão para dispositivos móveis, onde o aumento de desempenho durante a navegação chega a 19%. O modo é habilitado usando a opção “chrome://flags#back-forward-cache”.
• Excluído configuração “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, que permitiu retornar a exibição do protocolo na barra de endereço (agora todos os links são sempre mostrados sem https :// e http://, e também sem “www.”).
• As compilações para Windows incluem sandbox do serviço de reprodução de áudio. Para controlar se o isolamento está habilitado, a propriedade AudioSandboxEnabled é proposta.
• As ferramentas de administração centralizadas para empresas incluem a capacidade de definir regras que controlam quanta memória uma instância do navegador pode consumir antes que as guias em segundo plano sejam descarregadas. A memória liberada após o descarregamento de uma guia fica disponível para uso e o conteúdo da guia é carregado novamente ao alternar para ela.
• O Linux usa um processador integrado de verificação de certificado, que substitui o sistema NSS usado anteriormente. Nesse caso, o processador integrado continua a usar o armazenamento NSS durante a verificação, mas impõe requisitos mais rigorosos ao processar certificados codificados incorretamente e certificados separadamente (todos os certificados devem ser certificados por uma autoridade de certificação).
• Na versão para a plataforma Android adicionado a capacidade de atribuir ícones adaptáveis ​​para aplicativos da web instalados em execução no modo Progressive Web Apps (PWA). Os ícones adaptativos podem se adaptar à interface utilizada pelo fabricante do dispositivo, por exemplo, sendo redondos, quadrados ou com cantos suaves.
• Adicionado API Dispositivo WebXR, que fornece acesso a componentes para criação de realidade virtual e aumentada. A API permite unificar o trabalho com várias classes de dispositivos, desde headsets estacionários de realidade virtual como Oculus Rift, HTC Vive e Windows Mixed Reality, até soluções baseadas em dispositivos móveis como Google Daydream View e Samsung Gear VR. As aplicações nas quais a nova API pode ser aplicável incluem programas para visualização de vídeos no modo 360°, sistemas para visualização de espaços tridimensionais, criação de cinemas virtuais para apresentação de vídeos, realização de experimentos de criação de interfaces 3D para lojas e galerias;
  

• No modo Origin Trials (recursos experimentais que exigem ativação) várias novas APIs foram propostas. Origin Trial implica a capacidade de trabalhar com a API especificada a partir de aplicativos baixados de localhost ou 127.0.0.1, ou após registrar e receber um token especial válido por tempo limitado para um site específico.
  • Para todos os elementos HTML, é proposto o atributo “rendersubtree”, que garante que a exibição do elemento DOM seja fixa. Definir o atributo como "invisível" impedirá que o conteúdo do elemento seja renderizado ou inspecionado, permitindo uma renderização otimizada. Quando definido como “ativável”, o navegador removerá o atributo invisível, renderizará o conteúdo e o tornará visível.
  • Opção de API adicionada Wake lock baseado no mecanismo Promise, que fornece uma maneira mais segura de controlar a desativação do bloqueio automático de tela e a mudança de dispositivos para modos de economia de energia.
• Implementada a capacidade de usar o atributo autofocus para todos os elementos HTML e SVG que podem ter foco de entrada.
• Para imagens e vídeos seguro Calcule a proporção com base nos atributos Width ou Height, que podem ser usados ​​​​para determinar o tamanho da imagem usando CSS no estágio em que a imagem ainda não foi carregada (resolve o problema de reconstruir a página após o carregamento das imagens).
• Adicionada propriedade CSS tamanho óptico da fonte, que define automaticamente o tamanho variável da fonte em coordenadas ópticas "operações", se a fonte os suportar. O modo permite selecionar a forma de glifo ideal para um tamanho especificado, por exemplo, usar glifos mais contrastantes para títulos.
• Adicionada propriedade CSS lista de estilo de tipo, que permite usar quaisquer símbolos em vez de pontos finais nas listas, por exemplo, “-“, “+”, “★” e “▸”.
• Caso seja impossível executar Worklet.addModule(), agora é retornado um objeto com informações detalhadas sobre a natureza do erro, o que permite avaliar com mais precisão a causa do erro (problemas de conexão de rede, sintaxe incorreta, etc. .).
• Parou de processar itens при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• No mecanismo JavaScript V8 realizada Otimização do tratamento de alterações na representação de campos em objetos, resultando na execução do código AngularJS no conjunto de testes Speedometer rodando 4% mais rápido.
  

• A V8 também otimiza o processamento de getters definidos em APIs integradas, como Node.nodeType e Node.nodeName, na ausência de um manipulador de IC (cache embutido). A mudança reduziu o tempo gasto no tempo de execução do IC em aproximadamente 12% ao executar os testes Backbone e jQuery do conjunto Speedometer.
  

• Os resultados do mecanismo OSR (chamado de substituição na pilha) são armazenados em cache, o que substitui o código otimizado durante a execução da função (permite começar a usar o código otimizado para funções de longa execução sem esperar que elas sejam executadas novamente). O cache OSR possibilita usar os resultados da otimização ao executar novamente a função, sem a necessidade de passar pela reotimização.
  Em alguns testes, a mudança aumentou o desempenho máximo em 5–18%.
  

• Mudanças nas ferramentas para desenvolvedores web:
  Apareceu modo de depuração para determinar os motivos do bloqueio de uma solicitação ou do envio de um cookie.
  
  • No bloco com a lista de Cookies, foi adicionada a possibilidade de visualizar rapidamente o valor do Cookie selecionado clicando em uma linha específica.
    

  • Adicionada a capacidade de simular configurações diferentes para as consultas de mídia de preferência de esquema de cores e preferência de movimento reduzido (por exemplo, para testar o comportamento da página com um tema de sistema escuro ou com efeitos animados desativados).
    

  • O design da aba Cobertura foi modernizado, permitindo avaliar o código utilizado e o não utilizado. Adicionada a capacidade de filtrar informações por tipo (JavaScript, CSS). As informações de uso do código também são adicionadas ao exibir o texto fonte.
    

  • Adicionada a capacidade de depurar os motivos da solicitação de um recurso de rede específico após registrar a atividade da rede (você pode visualizar um rastreamento da chamada do código JavaScript que levou ao carregamento do recurso).
    

  • Adicionada a configuração “Configurações > Preferências > Fontes > Recuo padrão” para determinar o tipo de recuo (2/4/8 espaços ou tabulações) no código exibido nos painéis Console e Fontes.

Além de inovações e correções de bugs, a nova versão elimina 51 vulnerabilidades. Muitas das vulnerabilidades foram identificadas como resultado de testes automatizados usando as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Dois problemas (CVE-2019-13725, acesso à memória já liberada no código para suporte Bluetooth, e CVE-2019-13726, heap overflow no gerenciador de senhas) são marcados como críticos, ou seja, permitem que você ignore todos os níveis de proteção do navegador e execute código no sistema fora do ambiente sandbox. Esta é a primeira vez que dois problemas críticos são identificados no mesmo ciclo de desenvolvimento no Chrome. A primeira vulnerabilidade foi encontrada por pesquisadores do Tencent Keen Security Lab e demonstrado na competição da Copa Tianfu, e o segundo foi encontrado por Sergei Glazunov do Google Project Zero.

Como parte do programa de recompensa em dinheiro pela descoberta de vulnerabilidades na versão atual, o Google pagou 37 prêmios no valor de US$ 80000 (um prêmio de US$ 20000, um prêmio de US$ 10000, dois prêmios de US$ 7500, quatro prêmios de US$ 5000, um prêmio de US$ 3000, dois prêmios de US$ 2000, dois prêmios de US$ 1000 e oito prêmios de US$ 500). O tamanho das 15 recompensas ainda não foi determinado.

Fonte: opennet.ru