Versiunea Chrome 79

Google prezentat lansarea browserului web Chrome 79... Simultan disponibil lansarea stabilă a unui proiect gratuit Crom, care este baza Chrome. browser Chrome diferit utilizarea siglelor Google, prezența unui sistem de trimitere a notificărilor în caz de blocare, posibilitatea de a descărca un modul Flash la cerere, module pentru redarea conținutului video protejat (DRM), un sistem de actualizare automată și transmisie la căutare Parametrii RLZ. Următoarea versiune a Chrome 80 este programată pentru 4 februarie.

Principalul modificări в Chrome 79:

• activat Componenta Password Checkup, concepută pentru a analiza puterea parolelor utilizate de utilizator. Când încercați să vă conectați la orice site Verificare parole îndeplinește verificarea login-ului și a parolei cu o bază de date de conturi compromise cu un avertisment dacă sunt detectate probleme (verificarea se efectuează pe baza unui prefix hash din partea utilizatorului). Verificarea este efectuată pe baza unei baze de date care acoperă peste 4 miliarde de conturi compromise care au apărut în bazele de date de utilizatori scurse. De asemenea, este afișat un avertisment atunci când încercați să utilizați parole banale, cum ar fi „abc123”. Pentru a controla includerea Verificării parolei, a fost implementată o setare specială în secțiunea „Sincronizare și servicii Google”.
• Este prezentată o nouă tehnologie pentru detectarea phishing-ului în timp real. Anterior, verificarea se făcea prin accesarea listelor negre de Navigare sigură descărcate local, care erau actualizate aproximativ o dată la 30 de minute, care s-au dovedit a fi insuficiente, de exemplu, în condițiile schimbării frecvente de domeniu de către atacatori. Noua metodă vă permite să verificați URL-urile din mers cu o verificare preliminară împotriva listelor albe care includ hash-uri de mii de site-uri populare care sunt de încredere. Dacă site-ul care se deschide nu se află în lista albă, browserul verifică URL-ul de pe serverul Google, transmițând primii 32 de biți ai hash-ului SHA-256 ai link-ului, din care sunt tăiate posibilele date personale. Potrivit Google, noua abordare poate îmbunătăți cu 30% eficacitatea avertismentelor pentru noile site-uri de phishing.
• S-a adăugat protecție proactivă împotriva transferului acreditărilor Google și a oricăror parole stocate în managerul de parole prin intermediul paginilor de phishing. Dacă încercați să introduceți o parolă salvată pe un site unde acea parolă nu este utilizată în mod normal, utilizatorul va fi avertizat despre o acțiune potențial periculoasă.
• Conexiunile care utilizează TLS 1.0 și 1.1 arată acum un indicator de conexiune nesigură. Suport pe deplin TLS 1.0 și 1.1 va fi dezactivat în Chrome 81, programat pentru 17 martie 2020.
• S-a adăugat posibilitatea de a îngheța file inactive, permițându-vă să descărcați automat din memorie file care au stat în fundal mai mult de 5 minute și nu efectuează acțiuni semnificative. Decizia privind adecvarea unei anumite file pentru înghețare se ia pe baza euristicii. Activarea funcției este controlată prin indicatorul „chrome://flags/#proactive-tab-freeze”.
• asigurat Blocarea conținutului mixt pe paginile deschise prin HTTPS pentru a vă asigura că paginile deschise prin https:// conțin doar resurse încărcate printr-un canal de comunicare securizat. Chiar dacă cele mai periculoase tipuri de conținut mixt, cum ar fi scripturile și cadrele iframe, sunt deja blocate în mod implicit, imaginile, fișierele audio și videoclipurile pot fi încă descărcate prin http://. Indicatorul de conținut mixt utilizat anterior pentru astfel de inserții s-a dovedit a fi ineficient și înșelător pentru utilizator, deoarece nu oferă o evaluare clară a securității paginii. De exemplu, prin falsificarea imaginii, un atacator poate înlocui cookie-urile de urmărire a utilizatorului, poate încerca să exploateze vulnerabilitățile procesoarelor de imagine sau să comită falsuri prin înlocuirea informațiilor furnizate în imagine. Pentru a dezactiva blocarea componentelor mixte, a fost adăugată o setare specială, care poate fi accesată prin meniul care apare când dați clic pe simbolul de blocare.
• S-a adăugat capacitatea experimentală de a partaja conținut din clipboard între versiunile Chrome pentru desktop și mobile. În cazurile în care Chrome este conectat la un cont, acum puteți accesa conținutul clipboard-ului altui dispozitiv, inclusiv partajarea clipboard-ului între sistemele mobile și desktop. Conținutul clipboard-ului este criptat folosind criptare end-to-end, care împiedică accesul la text de pe serverele Google. Funcția este activată prin opțiunile chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui și chrome://flags#sync-clipboard-service.
• În bara de adrese în anumite momente (de exemplu, la salvarea unei parole) când sincronizarea profilului este dezactivată, pe lângă avatar, este afișat și numele contului Google curent, astfel încât utilizatorul să poată identifica cu exactitate contul activ curent.
• Activat pentru 1% dintre utilizatori sprijini „DNS peste HTTPS” (DoH, DNS peste HTTPS). Experimentul implică numai utilizatori ale căror setări de sistem au specificat deja furnizori DNS care acceptă DoH. De exemplu, dacă utilizatorul are DNS 8.8.8.8 specificat în setările sistemului, atunci serviciul DoH al Google („https://dns.google.com/dns-query”) va fi activat în Chrome dacă DNS este 1.1.1.1. XNUMX, apoi serviciul DoH Cloudflare („https://cloudflare-dns.com/dns-query”) etc. Pentru a controla dacă DoH este activat, este furnizată setarea „chrome://flags/#dns-over-https”. Sunt acceptate trei moduri de operare: securizat, automat și oprit. În modul „securizat”, gazdele sunt determinate numai pe baza valorilor securizate stocate anterior în cache (primite printr-o conexiune securizată), iar cererile prin DoH nu se aplică la DNS obișnuit. În modul „automat”, dacă DoH și memoria cache securizată nu sunt disponibile, datele pot fi preluate din memoria cache nesigură și accesate prin DNS tradițional. În modul „off”, cache-ul partajat este mai întâi verificat, iar dacă nu există date, cererea este trimisă prin DNS-ul sistemului.
• S-a adăugat experimental sprijini memorarea în cache a conținutului randat la schimbarea paginilor folosind butoanele înainte și înapoi, ceea ce poate reduce semnificativ întârzierile în timpul acestui tip de navigare datorită stocării în cache complete a întregii pagini, care nu necesită re-rendarea și încărcarea resurselor. Optimizarea se remarcă mai ales în versiunea pentru dispozitive mobile, unde creșterea performanței în timpul navigării ajunge la 19%. Modul este activat folosind opțiunea „chrome://flags#back-forward-cache”.
• Șters setarea „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, care a făcut posibilă returnarea afișajului protocolului în bara de adrese (acum toate linkurile sunt afișate întotdeauna fără https:// și http:/ / și, de asemenea, fără „www.”).
• Versiunile pentru Windows includ sandboxing al serviciului de redare audio. Pentru a controla dacă izolarea este activată, este propusă proprietatea AudioSandboxEnabled.
• Instrumentele de administrare centralizată pentru întreprinderi includ capacitatea de a defini reguli care controlează cât de multă memorie poate consuma o instanță de browser înainte de descărcarea filelor de fundal. Memoria eliberată după descărcarea unei file devine disponibilă pentru utilizare, iar conținutul filei este încărcat din nou la trecerea la aceasta.
• Linux folosește un procesor de verificare a certificatelor încorporat, care înlocuiește sistemul NSS utilizat anterior. În acest caz, procesorul încorporat continuă să utilizeze magazinul NSS în timpul verificării, dar impune cerințe mai stricte atunci când procesează certificate codificate incorect și certificate separat (toate certificatele trebuie să fie certificate de o autoritate de certificare).
• În versiunea pentru platforma Android adăugat capacitatea de a atribui pictograme adaptive pentru aplicațiile web instalate care rulează în modul Progressive Web Apps (PWA). Pictogramele adaptive se pot adapta la interfața utilizată de producătorul dispozitivului, de exemplu, fiind rotunde, pătrate sau cu colțuri netede.
• Adăugat API Dispozitiv WebXR, care oferă acces la componente pentru crearea realității virtuale și augmentate. API-ul vă permite să unificați lucrul cu diferite clase de dispozitive, de la căști staționare de realitate virtuală precum Oculus Rift, HTC Vive și Windows Mixed Reality, până la soluții bazate pe dispozitive mobile precum Google Daydream View și Samsung Gear VR. Aplicațiile în care noul API poate fi aplicabil includ programe pentru vizionarea video în modul 360°, sisteme de vizualizare a spațiului tridimensional, crearea de cinematografe virtuale pentru prezentarea video, efectuarea de experimente de creare a interfețelor 3D pentru magazine și galerii;
  

• În modul Origin Trials (funcții experimentale care necesită separat activare) au fost propuse câteva noi API-uri. Origin Trial implică capacitatea de a lucra cu API-ul specificat din aplicații descărcate de pe localhost sau 127.0.0.1 sau după înregistrarea și primirea unui token special care este valabil pentru o perioadă limitată de timp pentru un anumit site.
  • Pentru toate elementele HTML, este propus atributul „rendersubtree”, care asigură că afișarea elementului DOM este fixă. Setarea atributului la „invizibil” va împiedica redarea sau inspectarea conținutului elementului, permițând randarea optimizată. Când este setat la „activabil”, browserul va elimina atributul invizibil, va reda conținutul și îl va face vizibil.
  • Opțiune API adăugată Wake Lock bazat pe mecanismul Promise, care oferă o modalitate mai sigură de a controla dezactivarea ecranelor de blocare automată și comutarea dispozitivelor în moduri de economisire a energiei.
• S-a implementat capacitatea de a utiliza atributul autofocus pentru toate elementele HTML și SVG care pot avea focus de intrare.
• Pentru imagini și videoclipuri asigurat Calculați raportul de aspect pe baza atributelor Lățime sau Înălțime, care pot fi folosite pentru a determina dimensiunea imaginii folosind CSS în stadiul în care imaginea nu s-a încărcat încă (rezolvă problema cu reconstruirea paginii după ce imaginile sunt încărcate).
• S-a adăugat proprietatea CSS font-optic-dimensionare, care setează automat dimensiunea variabilă a fontului în coordonate optice "opsz", dacă fontul le acceptă. Modul vă permite să selectați forma optimă de glif pentru o dimensiune specificată, de exemplu, utilizați glife mai contrastante pentru titluri.
• S-a adăugat proprietatea CSS tip-list-stil, care vă permite să utilizați orice simbol în loc de puncte în liste, de exemplu, „-“, „+”, „★” și „▸”.
• Dacă este imposibil să executați Worklet.addModule(), acum este returnat un obiect cu informații detaliate despre natura erorii, ceea ce vă permite să evaluați mai precis cauza erorii (probleme cu conexiunea la rețea, sintaxă incorectă etc. .).
• S-a oprit procesarea articolelor при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• În motorul JavaScript V8 efectuate Optimizarea gestionării modificărilor reprezentării câmpurilor în obiecte, rezultând în executarea codului AngularJS în suita de teste Speedometer rulând cu 4% mai rapid.
  

• V8 optimizează, de asemenea, procesarea getter-urilor definite în API-urile încorporate, cum ar fi Node.nodeType și Node.nodeName, în absența unui handler IC (caching inline). Modificarea a redus timpul petrecut pe durata de rulare a IC cu aproximativ 12% atunci când rulează testele Backbone și jQuery din suita Speedometer.
  

• Rezultatele mecanismului OSR (numit înlocuire pe stivă) sunt stocate în cache, care înlocuiește codul optimizat în timpul execuției funcției (vă permite să începeți să utilizați cod optimizat pentru funcții cu funcționare lungă, fără a aștepta ca acestea să ruleze din nou). Memorarea în cache OSR face posibilă utilizarea rezultatelor optimizării atunci când rulați din nou funcția, fără a fi nevoie să treceți prin reoptimizare.
  În unele teste, modificarea a crescut performanța de vârf cu 5-18%.
  

• Modificări ale instrumentelor pentru dezvoltatorii web:
  A apărut modul de depanare pentru a determina motivele blocării unei cereri sau trimiterii unui cookie.
  
  • În blocul cu lista de cookie-uri, a fost adăugată posibilitatea de a vizualiza rapid valoarea cookie-ului selectat făcând clic pe o anumită linie.
    

  • S-a adăugat posibilitatea de a simula diferite setări pentru interogările media prefers-color-scheme și prefers-reduced-motion (de exemplu, pentru a testa comportamentul paginii cu o temă de sistem întunecată sau cu efecte animate dezactivate).
    

  • Designul filei Acoperire a fost modernizat, permițându-vă să evaluați codul folosit și cel neutilizat. S-a adăugat posibilitatea de a filtra informațiile după tipul lor (JavaScript, CSS). Informațiile despre utilizarea codului sunt adăugate și la afișarea textului sursă.
    

  • S-a adăugat capacitatea de a depana motivele solicitării unei anumite resurse de rețea după înregistrarea activității în rețea (puteți vedea o urmă a apelului de cod JavaScript care a dus la încărcarea resursei).
    

  • S-a adăugat setarea „Setări > Preferințe > Surse > Indentare implicită” pentru a determina tipul de indentare (2/4/8 spații sau file) în codul afișat în panourile Consolă și Surse.

Pe lângă inovații și remedieri de erori, noua versiune elimină 51 de vulnerabilități. Multe dintre vulnerabilități au fost identificate ca urmare a testării automate folosind instrumentele AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer și AFL. Două probleme (CVE-2019-13725, accesarea memoriei deja eliberate în codul pentru suport Bluetooth și CVE-2019-13726, depășirea heap-ului în managerul de parole) sunt marcate ca critice, de exemplu. vă permit să ocoliți toate nivelurile de protecție a browserului și să executați cod pe sistem în afara mediului sandbox. Este pentru prima dată când au fost identificate două probleme critice în cadrul aceluiași ciclu de dezvoltare în Chrome. Prima vulnerabilitate a fost găsită de cercetătorii de la Tencent Keen Security Lab și demonstrat la competiția Tianfu Cup, iar al doilea a fost găsit de Serghei Glazunov de la Google Project Zero.

Ca parte a programului de recompensă în numerar pentru descoperirea vulnerabilităților pentru versiunea actuală, Google a plătit 37 de premii în valoare de 80000 USD (un premiu de 20000 USD, un premiu de 10000 USD, două premii de 7500 USD, patru premii de 5000 USD, un premiu de 3000 USD, două premii de 2000 USD și 1000 USD. premii de 500 USD). Mărimea celor 15 recompense nu a fost încă determinată.

Sursa: opennet.ru