Izdaja Chrome 79

Google predstavljeno izdaja spletnega brskalnika Chrome 79... Hkrati na voljo stabilna izdaja brezplačnega projekta krom, ki je osnova Chroma. Brskalnik Chrome drugačna uporaba Googlovih logotipov, prisotnost sistema za pošiljanje obvestil v primeru zrušitve, možnost nalaganja modula Flash na zahtevo, moduli za predvajanje zaščitenih video vsebin (DRM), sistem za samodejno posodabljanje in prenos pri iskanju parametri RLZ. Naslednja izdaja Chroma 80 je predvidena za 4. februar.

Glavni Spremembe в Krom 79:

• aktiviran Komponenta Password Checkup, zasnovana za analizo moči gesel, ki jih uporablja uporabnik. Ko se poskušate prijaviti na katero koli spletno mesto Password Checkup izpolnjuje preverjanje prijave in gesla glede na bazo ogroženih računov z opozorilom, če so odkrite težave (preverjanje se izvede na podlagi predpone hash na strani uporabnika). Preverjanje se izvaja v bazi podatkov, ki zajema več kot 4 milijarde ogroženih računov, ki so se pojavili v razkritih uporabniških zbirkah podatkov. Opozorilo se prikaže tudi pri poskusu uporabe trivialnih gesel, kot je "abc123". Za nadzor vključitve Password Checkup je bila v razdelku »Sinhronizacija in Googlove storitve« implementirana posebna nastavitev.
• Predstavljena je nova tehnologija za odkrivanje lažnega predstavljanja v realnem času. Prej se je preverjanje izvajalo z dostopom do lokalno prenesenih črnih seznamov varnega brskanja, ki so bili posodobljeni približno enkrat na 30 minut, kar se je izkazalo za nezadostno, na primer v pogojih pogostega preklapljanja domen s strani napadalcev. Nova metoda vam omogoča sprotno preverjanje URL-jev s predhodnim preverjanjem na belih seznamih, ki vključujejo zgoščene vrednosti na tisoče priljubljenih spletnih mest, ki so vredna zaupanja. Če stran, ki se odpira, ni na belem seznamu, brskalnik preveri URL na Googlovem strežniku in posreduje prvih 32 bitov zgoščene vrednosti SHA-256 povezave, iz katere so izrezani morebitni osebni podatki. Po mnenju Googla lahko novi pristop izboljša učinkovitost opozoril za nova spletna mesta z lažnim predstavljanjem za 30 %.
• Dodana proaktivna zaščita pred prenosom Googlovih poverilnic in kakršnih koli gesel, shranjenih v upravitelju gesel, prek lažnih strani. Če poskušate vnesti shranjeno geslo na mestu, kjer se to geslo običajno ne uporablja, bo uporabnik opozorjen na morebitno nevarno dejanje.
• Povezave, ki uporabljajo TLS 1.0 in 1.1, zdaj prikazujejo indikator nevarne povezave. Popolnoma podpira TLS 1.0 in 1.1 bo onemogočen v Chromu 81, predviden za 17. marec 2020.
• Dodana je možnost zamrznitve neaktivnih zavihkov, kar vam omogoča samodejno odstranjevanje zavihkov iz pomnilnika, ki so bili v ozadju več kot 5 minut in ne izvajajo pomembnih dejanj. Odločitev o primernosti posameznega zavihka za zamrznitev se sprejme na podlagi hevristike. Omogočanje funkcije je nadzorovano prek zastavice »chrome://flags/#proactive-tab-freeze«.
• Zavarovano Blokiranje mešane vsebine na straneh, odprtih prek HTTPS, da se zagotovi, da strani, odprte prek https://, vsebujejo samo vire, naložene prek varnega komunikacijskega kanala. Čeprav so najnevarnejše vrste mešane vsebine, kot so skripti in iframe, že privzeto blokirane, je slike, zvočne datoteke in videe še vedno mogoče prenesti prek http://. Prej uporabljen indikator mešane vsebine za tovrstne vložke se je izkazal za neučinkovitega in zavajajočega za uporabnika, saj ne daje nedvoumne ocene varnosti strani. Na primer, s ponarejanjem slike lahko napadalec zamenja piškotke za sledenje uporabnikom, poskusi izkoristiti ranljivosti v slikovnih procesorjih ali izvede ponarejanje tako, da zamenja informacije, navedene na sliki. Za onemogočanje zaklepanja mešanih komponent je dodana posebna nastavitev, do katere lahko dostopate preko menija, ki se prikaže ob kliku na simbol ključavnice.
• Dodana poskusna možnost deljenja vsebine odložišča med namizno in mobilno različico Chroma. V primerih Chroma, povezanih z enim računom, lahko zdaj dostopate do vsebine odložišča druge naprave, vključno s skupno rabo odložišča med mobilnimi in namiznimi sistemi. Vsebina odložišča je šifrirana s šifriranjem od konca do konca, ki preprečuje dostop do besedila na Googlovih strežnikih. Funkcija je omogočena prek možnosti chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui in chrome://flags#sync-clipboard-service.
• V naslovni vrstici se v določenih trenutkih (na primer pri shranjevanju gesla), ko je sinhronizacija profila izklopljena, poleg avatarja prikaže tudi ime trenutnega Google računa, tako da lahko uporabnik natančno identificira trenutno aktivni račun.
• Aktivirano za 1% uporabnikov podporo »DNS prek HTTPS« (DoH, DNS prek HTTPS). Poskus vključuje samo uporabnike, katerih sistemske nastavitve so že določile ponudnike DNS, ki podpirajo DoH. Na primer, če ima uporabnik v sistemskih nastavitvah naveden DNS 8.8.8.8, bo Googlova storitev DoH (»https://dns.google.com/dns-query«) aktivirana v Chromu; če je DNS 1.1.1.1. XNUMX, nato storitev DoH Cloudflare (»https://cloudflare-dns.com/dns-query«) itd. Za nadzor, ali je DoH omogočen, je na voljo nastavitev »chrome://flags/#dns-over-https«. Podprti so trije načini delovanja: varen, samodejni in izklopljen. V »varnem« načinu so gostitelji določeni samo na podlagi predhodno predpomnjenih varnih vrednosti (prejetih prek varne povezave) in zahtev prek DoH; nadomestni način na običajni DNS se ne uporablja. V »samodejnem« načinu, če DoH in varni predpomnilnik nista na voljo, je mogoče podatke pridobiti iz nevarnega predpomnilnika in do njih dostopati prek tradicionalnega DNS-ja. V načinu “off” se najprej preveri skupni predpomnilnik in če ni podatkov, se zahteva pošlje prek sistemskega DNS-ja.
• Dodano eksperimentalno podporo predpomnjenje upodobljene vsebine pri menjavi strani z uporabo gumbov naprej in nazaj, kar lahko bistveno zmanjša zamude med tovrstno navigacijo zaradi popolnega predpomnjenja celotne strani, ki ne zahteva ponovnega upodabljanja in nalaganja virov. Optimizacija je še posebej opazna v različici za mobilne naprave, kjer povečanje zmogljivosti med navigacijo doseže 19 %. Način je omogočen z možnostjo »chrome://flags#back-forward-cache«.
• Izbrisano nastavitev »chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains«, ki je omogočila vrnitev prikaza protokola v naslovni vrstici (zdaj so vse povezave vedno prikazane brez https :// in http:/ / ter tudi brez »www.«).
• Zgradbe za Windows vključujejo peskovnik storitve predvajanja zvoka. Za nadzor, ali je izolacija omogočena, je predlagana lastnost AudioSandboxEnabled.
• Centralizirana skrbniška orodja za podjetja vključujejo možnost definiranja pravil, ki nadzorujejo, koliko pomnilnika lahko porabi primerek brskalnika, preden se zavihki v ozadju razložijo. Pomnilnik, ki se sprosti po odstranitvi zavihka, postane na voljo za uporabo, vsebina zavihka pa se znova naloži ob preklopu nanj.
• Linux uporablja vgrajen procesor za preverjanje potrdil, ki nadomešča prej uporabljen sistem NSS. V tem primeru vgrajeni procesor med preverjanjem še naprej uporablja shrambo NSS, vendar postavlja strožje zahteve pri obdelavi nepravilno kodiranih in ločeno certificiranih potrdil (vsa potrdila mora potrditi overitelj).
• V različici za platformo Android dodano možnost dodeljevanja prilagodljivih ikon za nameščene spletne aplikacije, ki se izvajajo v načinu Progressive Web Apps (PWA). Prilagodljive ikone se lahko prilagodijo vmesniku, ki ga uporablja proizvajalec naprave, na primer, da so okrogle, kvadratne ali z gladkimi vogali.
• Dodano API Naprava WebXR, ki omogoča dostop do komponent za ustvarjanje navidezne in obogatene resničnosti. API omogoča poenotenje dela z različnimi razredi naprav, od stacionarnih slušalk za navidezno resničnost, kot so Oculus Rift, HTC Vive in Windows Mixed Reality, do rešitev, ki temeljijo na mobilnih napravah, kot sta Google Daydream View in Samsung Gear VR. Aplikacije, v katerih je lahko uporaben novi API, vključujejo programe za ogled videa v načinu 360°, sisteme za vizualizacijo tridimenzionalnega prostora, ustvarjanje virtualnih kinematografov za video predstavitve, izvajanje eksperimentov pri ustvarjanju 3D vmesnikov za trgovine in galerije;
  

• V načinu Origin Trials (eksperimentalne funkcije, ki zahtevajo ločeno aktiviranje) predlaganih je bilo več novih API-jev. Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
  • Za vse elemente HTML je predlagan atribut “rendersubtree”, ki zagotavlja, da je prikaz elementa DOM fiksen. Če atribut nastavite na "invisible", boste preprečili upodobitev ali pregled vsebine elementa, kar bo omogočilo optimizirano upodabljanje. Ko je nastavljen na "activable", bo brskalnik odstranil nevidni atribut, upodobil vsebino in jo naredil vidno.
  • Dodana možnost API Zaklepanje bujenja temelji na mehanizmu Promise, ki zagotavlja varnejši način za nadzor onemogočanja samodejnega zaklepanja zaslonov in preklopa naprav v načine varčevanja z energijo.
• Implementirana možnost uporabe atributa samodejno ostrenje za vse elemente HTML in SVG, ki imajo lahko fokus vnosa.
• Za slike in videe zavarovano Izračunajte razmerje stranic na podlagi atributov Width ali Height, ki se lahko uporabita za določitev velikosti slike s pomočjo CSS v fazi, ko slika še ni naložena (rešuje težavo z vnovično izdelavo strani po nalaganju slik).
• Dodana lastnost CSS velikost pisave, ki samodejno nastavi spremenljivo velikost pisave v optičnih koordinatah "opsz«, če jih pisava podpira. Način vam omogoča, da izberete optimalno obliko glifa za določeno velikost, na primer uporabite bolj kontrastne glife za naslove.
• Dodana lastnost CSS list-style-type, ki omogoča uporabo poljubnih simbolov namesto pik na seznamih, na primer »-«, »+«, »★« in »▸«.
• Če ni mogoče izvesti Worklet.addModule(), se vrne objekt s podrobnimi informacijami o naravi napake, kar vam omogoča natančnejšo oceno vzroka napake (težave z omrežno povezavo, napačna sintaksa itd.). .).
• Ustavljena obdelava predmetov при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• V motorju JavaScript V8 izvede Optimizacija ravnanja s spremembami predstavitve polj v objektih, kar ima za posledico 4 % hitrejše izvajanje kode AngularJS v testnem paketu Speedometer.
  

• V8 tudi optimizira obdelavo pridobivalnikov, definiranih v vgrajenih API-jih, kot sta Node.nodeType in Node.nodeName, v odsotnosti upravljalnika IC (vgrajeno predpomnjenje). Sprememba je zmanjšala čas, porabljen za čas izvajanja IC, za približno 12 % pri izvajanju testov Backbone in jQuery iz zbirke Speedometer.
  

• Rezultati mehanizma OSR (imenovanega zamenjava na skladu) so shranjeni v predpomnilniku, ki zamenja optimizirano kodo med izvajanjem funkcije (omogoča vam, da začnete uporabljati optimizirano kodo za dolgo delujoče funkcije, ne da bi čakali, da se znova zaženejo). Predpomnjenje OSR omogoča uporabo rezultatov optimizacije pri ponovnem zagonu funkcije, ne da bi bilo treba opraviti ponovno optimizacijo.
  V nekaterih testih je sprememba povečala največjo zmogljivost za 5–18 %.
  

• Spremembe orodij za spletne razvijalce:
  Se je pojavilo način odpravljanja napak, da ugotovite razloge za blokiranje zahteve ali pošiljanje piškotka.
  
  • V bloku s seznamom piškotkov je dodana možnost hitrega vpogleda v vrednost izbranega piškotka s klikom na določeno vrstico.
    

  • Dodana možnost simulacije različnih nastavitev za medijske poizvedbe prefers-color-scheme in prefers-reduced-motion (na primer za preizkušanje vedenja strani s temno sistemsko temo ali z onemogočenimi animiranimi učinki).
    

  • Zasnova zavihka Pokritost je bila posodobljena, tako da lahko ocenite uporabljeno in neuporabljeno kodo. Dodana možnost filtriranja informacij po vrsti (JavaScript, CSS). Informacije o uporabi kode so dodane tudi ob prikazu izvornega besedila.
    

  • Dodana možnost odpravljanja napak zaradi razlogov za zahtevo določenega omrežnega vira po snemanju omrežne dejavnosti (lahko si ogledate sled klica kode JavaScript, ki je vodila do nalaganja vira).
    

  • Dodana nastavitev »Nastavitve > Nastavitve > Viri > Privzeti zamik« za določitev vrste zamika (2/4/8 presledkov ali zavihkov) v kodi, prikazani na ploščah Konzola in Viri.

Poleg novosti in popravkov napak nova različica odpravlja 51 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Dve težavi (CVE-2019-13725, dostop do že sproščenega pomnilnika v kodi za podporo Bluetooth in CVE-2019-13726, prelivanje kopice v upravitelju gesel) sta označeni kot kritični, tj. vam omogočajo, da obidete vse ravni zaščite brskalnika in izvajate kodo v sistemu zunaj okolja peskovnika. To je prvič, da sta bili v Chromu znotraj istega razvojnega cikla odkriti dve kritični težavi. Prvo ranljivost so odkrili raziskovalci iz Tencent Keen Security Lab in dokazano na tekmovanju Tianfu Cup, drugega pa je našel Sergej Glazunov iz Google Project Zero.

V okviru programa denarnih nagrad za odkrivanje ranljivosti za trenutno izdajo je Google izplačal 37 nagrad v vrednosti 80000 $ (eno nagrado 20000 $, eno nagrado 10000 $, dve nagradi 7500 $, štiri nagrade 5000 $, eno nagrado 3000 $, dve nagradi 2000 $, dve nagradi 1000 $ in osem 500 $ nagrade). Velikost 15 nagrad še ni določena.

Vir: opennet.ru