Vydanie Chrome 79

Google представила vydanie webového prehliadača Chrome 79... Súčasne k dispozícii stabilné vydanie bezplatného projektu Chróm, ktorý slúži ako základ prehliadača Chrome. Prehliadač Chrome odlišný používanie log Google, prítomnosť systému na odosielanie upozornení v prípade havárie, možnosť stiahnuť si Flash modul na požiadanie, moduly na prehrávanie chráneného video obsahu (DRM), systém na automatickú inštaláciu aktualizácií a prenos počas vyhľadávania parametre RLZ. Ďalšie vydanie prehliadača Chrome 80 je naplánované na 4. februára.

Hlavné zmeny в chróm 79:

• aktivovaný Komponent Password Checkup určený na analýzu sily hesiel používaných používateľom. Pri pokuse o prihlásenie na akúkoľvek stránku Kontrola hesla plní kontrola prihlasovacieho mena a hesla oproti databáze napadnutých účtov s upozornením v prípade zistenia problémov (kontrola sa vykonáva na základe hash prefixu na strane používateľa). Kontrola sa vykonáva s databázou, ktorá zahŕňa viac ako 4 miliardy napadnutých účtov, ktoré sa objavili v uniknutých databázach používateľov. Varovanie sa zobrazí aj pri pokuse o použitie triviálnych hesiel, ako napríklad „abc123“. Na kontrolu zahrnutia kontroly hesiel bolo v časti „Synchronizácia a služby Google“ implementované špeciálne nastavenie.
• Predstavená je nová technológia na detekciu phishingu v reálnom čase. Predtým sa overovanie vykonávalo prístupom k lokálne stiahnutým blacklistom Bezpečného prehliadania, ktoré sa aktualizovali približne raz za 30 minút, čo sa ukázalo ako nedostatočné napríklad v podmienkach častého prepínania domén útočníkmi. Nová metóda vám umožňuje priebežne kontrolovať adresy URL pomocou predbežnej kontroly s bielymi zoznamami, ktoré obsahujú hodnoty hash tisícok populárnych stránok, ktoré sú dôveryhodné. Ak sa otváraná stránka nenachádza na bielom zozname, prehliadač skontroluje adresu URL na serveri Google a odošle prvých 32 bitov hash SHA-256 odkazu, z ktorých sa odstránia možné osobné údaje. Podľa spoločnosti Google môže nový prístup zlepšiť účinnosť upozornení na nové phishingové stránky o 30 %.
• Pridaná proaktívna ochrana proti prenosu poverení Google a akýchkoľvek hesiel uložených v správcovi hesiel prostredníctvom phishingových stránok. Ak sa pokúsite zadať uložené heslo na stránke, kde sa toto heslo bežne nepoužíva, používateľ bude upozornený na potenciálne nebezpečnú akciu.
• Pripojenia pomocou TLS 1.0 a 1.1 teraz zobrazujú indikátor nezabezpečeného pripojenia. Plná podpora TLS 1.0 a 1.1 bude zakázaný v Chrome 81, naplánované na 17. marca 2020.
• Pridaná možnosť zmraziť neaktívne karty, čo vám umožní automaticky uvoľniť z pamäte karty, ktoré sú na pozadí dlhšie ako 5 minút a nevykonávajú významné akcie. Rozhodnutie o vhodnosti konkrétnej karty na zmrazenie sa robí na základe heuristiky. Povolenie funkcie sa ovláda pomocou príznaku „chrome://flags/#proactive-tab-freeze“.
• Zabezpečené Blokovanie zmiešaného obsahu na stránkach otvorených cez HTTPS, aby sa zabezpečilo, že stránky otvorené cez https:// obsahujú iba zdroje načítané cez zabezpečený komunikačný kanál. Aj keď najnebezpečnejšie typy zmiešaného obsahu, ako sú skripty a prvky iframe, sú už predvolene blokované, obrázky, zvukové súbory a videá je stále možné sťahovať cez http://. Predtým používaný indikátor zmiešaného obsahu pre takéto vložky sa ukázal ako neúčinný a pre používateľa zavádzajúci, pretože neposkytuje jednoznačné hodnotenie bezpečnosti stránky. Napríklad prostredníctvom falšovania obrázkov môže útočník nahradiť súbory cookie na sledovanie používateľov, pokúsiť sa zneužiť zraniteľné miesta v procesoroch obrázkov alebo sa dopustiť falšovania nahradením informácií poskytnutých v obrázku. Na vypnutie uzamykania zmiešaných komponentov bolo pridané špeciálne nastavenie, ku ktorému sa dostanete cez menu, ktoré sa zobrazí po kliknutí na symbol zámku.
• Pridaná experimentálna možnosť zdieľať obsah schránky medzi počítačovými a mobilnými verziami prehliadača Chrome. V inštanciách prehliadača Chrome prepojeného s jedným účtom máte teraz prístup k obsahu schránky iného zariadenia vrátane zdieľania schránky medzi mobilnými a stolnými systémami. Obsah schránky je šifrovaný pomocou end-to-end šifrovania, ktoré zabraňuje prístupu k textu na serveroch Google. Funkcia je povolená prostredníctvom možností chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui a chrome://flags#sync-clipboard-service.
• V paneli s adresou sa v určitých momentoch (napríklad pri ukladaní hesla) pri vypnutej synchronizácii profilu okrem avatara zobrazuje aj názov aktuálneho účtu Google, aby používateľ mohol presne identifikovať aktuálne aktívny účet.
• Aktivované pre 1 % používateľov podpora „DNS cez HTTPS“ (DoH, DNS cez HTTPS). Experiment zahŕňa iba používateľov, ktorých systémové nastavenia už špecifikovali poskytovateľov DNS, ktorí podporujú DoH. Napríklad, ak má používateľ v systémových nastaveniach zadaný DNS 8.8.8.8, potom sa v prehliadači Chrome aktivuje služba DoH spoločnosti Google (“https://dns.google.com/dns-query”); ak je DNS 1.1.1.1. XNUMX, potom službu DoH Cloudflare („https://cloudflare-dns.com/dns-query“) atď. Ak chcete ovládať, či je DoH povolené, je k dispozícii nastavenie „chrome://flags/#dns-over-https“. Podporované sú tri prevádzkové režimy: bezpečný, automatický a vypnutý. V „zabezpečenom“ režime sú hostitelia určovaní iba na základe predtým uložených zabezpečených hodnôt (prijatých prostredníctvom zabezpečeného pripojenia) a žiadostí prostredníctvom DoH; neuplatňuje sa záložný prístup k bežnému DNS. V „automatickom“ režime, ak DoH a zabezpečená vyrovnávacia pamäť nie sú k dispozícii, údaje možno získať z nezabezpečenej vyrovnávacej pamäte a pristupovať k nim prostredníctvom tradičného DNS. Vo vypnutom režime sa najprv skontroluje zdieľaná vyrovnávacia pamäť a ak neexistujú žiadne údaje, požiadavka sa odošle cez systémový DNS.
• Pridané experimentálne podpora ukladanie vyrenderovaného obsahu do vyrovnávacej pamäte pri zmene stránok pomocou tlačidiel dopredu a dozadu, čo môže výrazne znížiť oneskorenia pri tomto type navigácie v dôsledku úplného ukladania celej stránky do vyrovnávacej pamäte, čo si nevyžaduje opätovné vykresľovanie a načítanie zdrojov. Optimalizácia je citeľná najmä vo verzii pre mobilné zariadenia, kde nárast výkonu pri navigácii dosahuje 19 %. Režim sa aktivuje pomocou možnosti „chrome://flags#back-forward-cache“.
• Odstránené nastavenie „chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains“, ktoré umožnilo vrátiť zobrazenie protokolu do panela s adresou (teraz sa všetky odkazy zobrazujú vždy bez https :// a http:// / a tiež bez „www.“).
• Zostavy pre Windows zahŕňajú sandboxing služby prehrávania zvuku. Ak chcete ovládať, či je povolená izolácia, navrhuje sa vlastnosť AudioSandboxEnabled.
• Nástroje centralizovanej správy pre podniky zahŕňajú schopnosť definovať pravidlá, ktoré riadia, koľko pamäte môže inštancia prehliadača spotrebovať pred uvoľnením kariet na pozadí. Pamäť uvoľnená po uvoľnení karty sa sprístupní na použitie a pri prepnutí na kartu sa obsah karty znova načíta.
• Linux používa vstavaný procesor overovania certifikátov, ktorý nahrádza doteraz používaný systém NSS. V tomto prípade vstavaný procesor počas overovania naďalej používa úložisko NSS, ale kladie prísnejšie požiadavky pri spracovaní nesprávne zakódovaných a samostatne certifikovaných certifikátov (všetky certifikáty musia byť certifikované certifikačnou autoritou).
• Vo verzii pre platformu Android pridané možnosť priradiť adaptívne ikony pre nainštalované webové aplikácie spustené v režime progresívnych webových aplikácií (PWA). Adaptívne ikony sa môžu prispôsobiť rozhraniu používanému výrobcom zariadenia, napríklad sú okrúhle, štvorcové alebo s hladkými rohmi.
• Pridané API Zariadenie WebXR, ktorý poskytuje prístup ku komponentom na vytváranie virtuálnej a rozšírenej reality. Rozhranie API vám umožňuje zjednotiť prácu s rôznymi triedami zariadení, od stacionárnych slúchadiel pre virtuálnu realitu, ako sú Oculus Rift, HTC Vive a Windows Mixed Reality, až po riešenia založené na mobilných zariadeniach, ako sú Google Daydream View a Samsung Gear VR. Aplikácie, v ktorých môže byť nové API použiteľné, zahŕňajú programy na prezeranie videa v 360° režime, systémy na vizualizáciu trojrozmerného priestoru, vytváranie virtuálnych kín na videoprezentáciu, vykonávanie experimentov s vytváraním 3D rozhraní pre obchody a galérie;
  

• V režime Origin Trials (experimentálne funkcie, ktoré vyžadujú samostatné aktivácia) bolo navrhnutých niekoľko nových API. Origin Trial znamená schopnosť pracovať so špecifikovaným API z aplikácií stiahnutých z localhost alebo 127.0.0.1, alebo po registrácii a prijatí špeciálneho tokenu, ktorý je platný na obmedzený čas pre konkrétnu stránku.
  • Pre všetky HTML elementy je navrhnutý atribút „rendersubtree“, ktorý zaisťuje pevné zobrazenie elementu DOM. Nastavenie atribútu na „neviditeľný“ zabráni vykresleniu alebo kontrole obsahu prvku, čo umožní optimalizované vykresľovanie. Keď je nastavený na "aktivovateľný", prehliadač odstráni atribút neviditeľný, vykreslí obsah a zviditeľní ho.
  • Pridaná možnosť API Zámok prebudenia založený na mechanizme Promise, ktorý poskytuje bezpečnejší spôsob ovládania deaktivácie automatického uzamknutia obrazoviek a prepínania zariadení do režimov úspory energie.
• Implementovaná schopnosť používať atribút autofokus pre všetky prvky HTML a SVG, ktoré môžu mať zameranie vstupu.
• Pre obrázky a videá zabezpečené Vypočítajte pomer strán na základe atribútov Width alebo Height, pomocou ktorých je možné určiť veľkosť obrázka pomocou CSS vo fáze, keď sa obrázok ešte nenačítal (rieši problém s prestavbou stránky po načítaní obrázkov).
• Pridaná vlastnosť CSS veľkosť písma-optická, ktorý automaticky nastaví variabilnú veľkosť písma v optických súradniciach "opsz“, ak ich písmo podporuje. Režim umožňuje vybrať optimálny tvar glyfu pre zadanú veľkosť, napríklad použiť kontrastnejšie glyfy pre nadpisy.
• Pridaná vlastnosť CSS list-style-type, ktorá vám umožňuje v zoznamoch používať namiesto bodiek ľubovoľné symboly, napríklad „-“, „+“, „★“ a „▸“.
• Ak nie je možné spustiť Worklet.addModule(), vráti sa objekt s podrobnými informáciami o povahe chyby, čo vám umožní presnejšie posúdiť príčinu chyby (problémy so sieťovým pripojením, nesprávna syntax atď. .).
• Zastavilo sa spracovanie prvkov pri ich presúvaní medzi dokumentmi. Pri prenose medzi dokumentmi je tiež zakázané vykonávanie udalostí „chyba“ a „načítanie“ súvisiacich so skriptom.
• V JavaScript engine V8 uskutočnené Optimalizácia spracovania zmien v reprezentácii polí v objektoch, výsledkom čoho je spustenie kódu AngularJS v testovacej sade Speedometer o 4 % rýchlejšie.
  

• V8 tiež optimalizuje spracovanie getterov definovaných vo vstavaných rozhraniach API, ako sú Node.nodeType a Node.nodeName, pri absencii obsluhy IC (inline cachovanie). Táto zmena znížila čas strávený na IC runtime približne o 12 % pri spustení testov Backbone a jQuery zo sady Speedometer.
  

• Výsledky mechanizmu OSR (nazývaného on-stack replacement) sa ukladajú do vyrovnávacej pamäte, ktorá nahrádza optimalizovaný kód počas vykonávania funkcie (umožňuje vám začať používať optimalizovaný kód pre dlhotrvajúce funkcie bez čakania na ich opätovné spustenie). Ukladanie do vyrovnávacej pamäte OSR umožňuje využiť výsledky optimalizácie pri opätovnom spustení funkcie bez toho, aby bolo potrebné prejsť opätovnou optimalizáciou.
  V niektorých testoch táto zmena zvýšila špičkový výkon o 5–18 %.
  

• Zmeny v nástrojoch pre vývojárov webu:
  Objavil sa režim ladenia na určenie dôvodov zablokovania požiadavky alebo odoslania súboru cookie.
  
  • V bloku so zoznamom súborov cookie pribudla možnosť rýchleho zobrazenia hodnoty vybraného súboru cookie kliknutím na konkrétny riadok.
    

  • Pridaná možnosť simulovať rôzne nastavenia pre mediálne dopyty s preferovanou farebnou schémou a preferenciou so zníženým pohybom (napríklad na testovanie správania stránky s tmavou systémovou témou alebo so zakázanými animovanými efektmi).
    

  • Dizajn záložky Coverage bol zmodernizovaný a umožňuje vám vyhodnotiť použitý a nepoužitý kód. Pridaná možnosť filtrovania informácií podľa ich typu (JavaScript, CSS). Informácie o použití kódu sa pridávajú aj pri zobrazení zdrojového textu.
    

  • Pridaná možnosť ladiť dôvody vyžiadania konkrétneho sieťového zdroja po zaznamenaní sieťovej aktivity (môžete zobraziť stopu volania kódu JavaScript, ktoré viedlo k načítaniu zdroja).
    

  • Pridané nastavenie „Nastavenia > Predvoľby > Zdroje > Predvolené odsadenie“ na určenie typu odsadenia (2/4/8 medzier alebo tabulátorov) v kóde zobrazenom na paneloch Konzola a Zdroje.

Okrem inovácií a opráv chýb nová verzia odstraňuje 51 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Dva problémy (CVE-2019-13725, prístup k už uvoľnenej pamäti v kóde pre podporu Bluetooth a CVE-2019-13726, pretečenie haldy v správcovi hesiel) sú označené ako kritické, t.j. umožňujú obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. Toto je prvýkrát, čo boli v rámci rovnakého vývojového cyklu v prehliadači Chrome identifikované dva kritické problémy. Prvú zraniteľnosť našli výskumníci z Tencent Keen Security Lab a preukázané na súťaži Tianfu Cup a druhú našiel Sergej Glazunov z Google Project Zero.

V rámci programu peňažných odmien za objavenie slabín pre aktuálnu verziu vyplatila spoločnosť Google 37 ocenení v hodnote 80000 20000 USD (jedno ocenenie 10000 7500 USD, jedno ocenenie 5000 3000 USD, dve ocenenia 2000 1000 USD, štyri ocenenia 500 15 USD, jedno ocenenie XNUMX XNUMX USD, dve ocenenia XNUMX XNUMX USD a dve ocenenia XNUMX XNUMX USD, odmeny XNUMX dolárov). Veľkosť XNUMX odmien ešte nebola stanovená.

Zdroj: opennet.ru