Publikimi 79 i Chrome

Google prezantuar lëshimi i shfletuesit të internetit Chrome 79... Njëkohësisht në dispozicion lëshim i qëndrueshëm i një projekti falas Kromi, e cila shërben si bazë e Chrome. Shfletuesi Chrome tjetër përdorimi i logove të Google, prania e një sistemi për dërgimin e njoftimeve në rast përplasjeje, aftësia për të shkarkuar një modul Flash sipas kërkesës, module për luajtjen e përmbajtjes së mbrojtur video (DRM), një sistem për instalimin automatik të përditësimeve dhe transmetimit gjatë kërkimit Parametrat RLZ. Lëshimi tjetër i Chrome 80 është planifikuar për 4 shkurt.

Kryesore Ndryshimet в krom 79:

• aktivizuar Komponenti i Kontrollit të Fjalëkalimit, i krijuar për të analizuar fuqinë e fjalëkalimeve të përdorura nga përdoruesi. Kur përpiqeni të identifikoheni në ndonjë sajt Kontrollimi i fjalëkalimit përmbush kontrollimi i hyrjes dhe fjalëkalimit ndaj një baze të dhënash të llogarive të komprometuara me një paralajmërim nëse zbulohen probleme (kontrolli kryhet bazuar në një prefiks hash në anën e përdoruesit). Kontrolli kryhet kundër një baze të dhënash që mbulon më shumë se 4 miliardë llogari të komprometuara që u shfaqën në bazat e të dhënave të përdoruesve të zbuluar. Një paralajmërim shfaqet gjithashtu kur përpiqeni të përdorni fjalëkalime të parëndësishme si "abc123". Për të kontrolluar përfshirjen e "Kontrollit të fjalëkalimit", një cilësim i veçantë është zbatuar në seksionin "Sinkronizimi dhe Shërbimet e Google".
• Prezantohet një teknologji e re për zbulimin e phishing në kohë reale. Më parë, verifikimi kryhej duke hyrë në listat e zeza të Shfletimit të Sigurt të shkarkuar në nivel lokal, të cilat përditësoheshin afërsisht një herë në 30 minuta, gjë që rezultonte e pamjaftueshme, për shembull, në kushtet e ndërrimit të shpeshtë të domenit nga sulmuesit. Metoda e re ju lejon të kontrolloni URL-të menjëherë me një kontroll paraprak kundrejt listave të bardha që përfshijnë hash të mijëra sajteve të njohura që janë të besueshme. Nëse faqja që hapet nuk është në listën e bardhë, shfletuesi kontrollon URL-në në serverin e Google, duke transmetuar 32 bitet e para të hash-it SHA-256 të lidhjes, nga e cila shkëputen të dhënat e mundshme personale. Sipas Google, qasja e re mund të përmirësojë efektivitetin e paralajmërimeve për faqet e reja të phishing me 30%.
• U shtua mbrojtje proaktive kundër transferimit të kredencialeve të Google dhe çdo fjalëkalimi të ruajtur në menaxherin e fjalëkalimeve përmes faqeve të phishing. Nëse përpiqeni të futni një fjalëkalim të ruajtur në një sajt ku ai fjalëkalim nuk përdoret normalisht, përdoruesi do të paralajmërohet për një veprim potencialisht të rrezikshëm.
• Lidhjet që përdorin TLS 1.0 dhe 1.1 tani tregojnë një tregues lidhjeje të pasigurt. Mbështetni plotësisht TLS 1.0 dhe 1.1 do të jetë i paaftë në Chrome 81, planifikuar për 17 mars 2020.
• U shtua aftësia për të ngrirë skedat joaktive, duke ju lejuar të shkarkoni automatikisht nga skedat e kujtesës që kanë qenë në sfond për më shumë se 5 minuta dhe nuk kryejnë veprime të rëndësishme. Vendimi për përshtatshmërinë e një skede të veçantë për ngrirje merret në bazë të heuristikës. Aktivizimi i funksionit kontrollohet nëpërmjet flamurit "chrome://flags/#proactive-tab-freeze".
• I siguruar Bllokimi i përmbajtjes së përzier në faqet e hapura përmes HTTPS për të siguruar që faqet e hapura në https:// përmbajnë vetëm burime të ngarkuara në një kanal të sigurt komunikimi. Edhe pse llojet më të rrezikshme të përmbajtjeve të përziera, të tilla si skriptet dhe iframe, janë tashmë të bllokuara si parazgjedhje, imazhet, skedarët audio dhe videot mund të shkarkohen përsëri përmes http://. Treguesi i përmbajtjes së përzier i përdorur më parë për futje të tilla u zbulua se ishte joefektiv dhe mashtrues për përdoruesit, pasi nuk ofron një vlerësim të qartë të sigurisë së faqes. Për shembull, nëpërmjet mashtrimit të imazheve, një sulmues mund të zëvendësojë skedarët e gjurmimit të përdoruesve, të përpiqet të shfrytëzojë dobësitë në përpunuesit e imazhit ose të kryejë falsifikim duke zëvendësuar informacionin e dhënë në imazh. Për të çaktivizuar kyçjen e komponentëve të përzier, është shtuar një cilësim i veçantë, i cili mund të aksesohet përmes menysë që shfaqet kur klikoni në simbolin e bllokimit.
• U shtua aftësia eksperimentale për të ndarë përmbajtjen e kujtesës së fragmenteve midis versioneve desktop dhe celular të Chrome. Në rastet e Chrome të lidhur me një llogari, tani mund të qaseni në përmbajtjen e kujtesës së fragmenteve të një pajisjeje tjetër, duke përfshirë ndarjen e kujtesës midis sistemeve celulare dhe desktopit. Përmbajtja e kujtesës së fragmenteve është e koduar duke përdorur kriptim nga skaji në fund, i cili parandalon aksesin në tekst në serverët e Google. Funksioni aktivizohet përmes opsioneve chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui dhe chrome://flags#sync-clipboard-service.
• Në shiritin e adresave në momente të caktuara (për shembull, kur ruani një fjalëkalim) kur sinkronizimi i profilit është i fikur, përveç avatarit, shfaqet emri i llogarisë aktuale të Google në mënyrë që përdoruesi të mund të identifikojë me saktësi llogarinë aktuale aktive.
• Aktivizuar për 1% të përdoruesve mbështetje “DNS mbi HTTPS” (DoH, DNS mbi HTTPS). Eksperimenti përfshin vetëm përdoruesit, cilësimet e sistemit të të cilëve kanë specifikuar tashmë ofruesit DNS që mbështesin DoH. Për shembull, nëse përdoruesi ka DNS 8.8.8.8 të specifikuar në cilësimet e sistemit, atëherë shërbimi DoH i Google (“https://dns.google.com/dns-query”) do të aktivizohet në Chrome; nëse DNS është 1.1.1.1. XNUMX, pastaj shërbimi DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), etj. Për të kontrolluar nëse DoH është i aktivizuar, ofrohet cilësimi "chrome://flags/#dns-over-https". Mbështeten tre mënyra funksionimi: i sigurt, automatik dhe i fikur. Në modalitetin "të sigurt", hostet përcaktohen vetëm në bazë të vlerave të sigurta të ruajtura më parë (të marra përmes një lidhjeje të sigurt) dhe kërkesave përmes DoH; kthimi në DNS të rregullt nuk zbatohet. Në modalitetin "automatik", nëse DoH dhe cache e sigurt nuk janë të disponueshme, të dhënat mund të merren nga cache e pasigurt dhe të aksesohen përmes DNS tradicionale. Në modalitetin "off", fillimisht kontrollohet cache e përbashkët dhe nëse nuk ka të dhëna, kërkesa dërgohet përmes sistemit DNS.
• U shtua eksperimentale mbështetje ruajtja në memorie e përmbajtjes së renderuar kur ndryshoni faqet duke përdorur butonat përpara dhe mbrapa, gjë që mund të zvogëlojë ndjeshëm vonesat gjatë këtij lloji të lundrimit për shkak të ruajtjes së plotë të të gjithë faqes në memorie, e cila nuk kërkon rikthim dhe ngarkim të burimeve. Optimizimi është veçanërisht i dukshëm në versionin për pajisjet mobile, ku rritja e performancës gjatë navigimit arrin në 19%. Modaliteti aktivizohet duke përdorur opsionin "chrome://flags#back-forward-cache".
• Fshirë vendosja e "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", e cila lejoi kthimin e shfaqjes së protokollit në shiritin e adresave (tani të gjitha lidhjet shfaqen gjithmonë pa https :// dhe http:/ /, dhe gjithashtu pa "www.").
• Ndërtimet për Windows përfshijnë sandboxing të shërbimit të riprodhimit audio. Për të kontrolluar nëse izolimi është i aktivizuar, propozohet vetia AudioSandboxEnabled.
• Mjetet e centralizuara të administrimit për ndërmarrjet përfshijnë aftësinë për të përcaktuar rregullat që kontrollojnë se sa memorie mund të konsumojë një shembull i shfletuesit përpara se të shkarkohen skedat e sfondit. Kujtesa e lëshuar pas shkarkimit të një skede bëhet e disponueshme për përdorim dhe përmbajtja e skedës ngarkohet përsëri kur kaloni në të.
• Linux përdor një procesor të integruar të verifikimit të certifikatës, i cili zëvendëson sistemin NSS të përdorur më parë. Në këtë rast, procesori i integruar vazhdon të përdorë dyqanin NSS gjatë verifikimit, por imponon kërkesa më të rrepta kur përpunon certifikatat e koduara gabimisht dhe të certifikuara veçmas (të gjitha certifikatat duhet të certifikohen nga një autoritet certifikues).
• Në versionin për platformën Android shtuar aftësia për të caktuar ikona përshtatëse për aplikacionet e instaluara të ueb-it që funksionojnë në modalitetin Progressive Web Apps (PWA). Ikonat përshtatëse mund të përshtaten me ndërfaqen e përdorur nga prodhuesi i pajisjes, për shembull, të jenë të rrumbullakëta, katrore ose me qoshe të lëmuara.
• Shtuar API Pajisja WebXR, i cili siguron akses në komponentët për krijimin e realitetit virtual dhe të shtuar. API ju lejon të unifikoni punën me klasa të ndryshme pajisjesh, nga kufjet e palëvizshme të realitetit virtual si Oculus Rift, HTC Vive dhe Windows Mixed Reality, deri te zgjidhjet e bazuara në pajisje celulare si Google Daydream View dhe Samsung Gear VR. Aplikimet në të cilat API-ja e re mund të zbatohet përfshijnë programe për shikimin e videos në modalitetin 360°, sisteme për vizualizimin e hapësirës tre-dimensionale, krijimin e kinemave virtuale për prezantimin e videove, kryerjen e eksperimenteve në krijimin e ndërfaqeve 3D për dyqane dhe galeri;
  

• Në modalitetin e provave të origjinës (veçoritë eksperimentale që kërkojnë të ndara aktivizimi) janë propozuar disa API të reja. Prova e origjinës nënkupton aftësinë për të punuar me API-në e specifikuar nga aplikacionet e shkarkuara nga localhost ose 127.0.0.1, ose pas regjistrimit dhe marrjes së një token të veçantë që është i vlefshëm për një kohë të kufizuar për një sajt specifik.
  • Për të gjithë elementët HTML, propozohet atributi "rendersubtree", i cili siguron që shfaqja e elementit DOM të jetë fikse. Vendosja e atributit në "të padukshme" do të parandalojë paraqitjen ose inspektimin e përmbajtjes së elementit, duke lejuar paraqitjen e optimizuar. Kur vendoset në "i aktivizueshëm", shfletuesi do të heqë atributin e padukshëm, do ta bëjë përmbajtjen dhe do ta bëjë atë të dukshme.
  • Opsioni i shtuar API Wake lock bazuar në mekanizmin Promise, i cili ofron një mënyrë më të sigurt për të kontrolluar çaktivizimin e ekraneve të kyçjes automatike dhe kalimin e pajisjeve në modalitetet e kursimit të energjisë.
• Zbatoi aftësinë për të përdorur atributin automatik për të gjithë elementët HTML dhe SVG që mund të kenë fokus hyrës.
• Për imazhe dhe video siguruar Llogaritni raportin e pamjes bazuar në atributet Width ose Height, të cilat mund të përdoren për të përcaktuar madhësinë e imazhit duke përdorur CSS në fazën kur imazhi nuk është ngarkuar ende (zgjidh problemin me rindërtimin e faqes pas ngarkimit të imazheve).
• Është shtuar vetia CSS madhësia e shkronjave optike, e cila vendos automatikisht madhësinë e ndryshueshme të shkronjave në koordinatat optike "opsz", nëse fonti i mbështet ato. Modaliteti ju lejon të zgjidhni formën optimale të glyph-it për një madhësi të caktuar, për shembull, përdorni më shumë glyphe të kundërta për titujt.
• Është shtuar vetia CSS list-style-lloj, i cili ju lejon të përdorni çdo simbol në vend të pikave në lista, për shembull, "-", "+", "★" dhe "▸".
• Nëse është e pamundur të ekzekutohet Worklet.addModule(), tani kthehet një objekt me informacion të detajuar rreth natyrës së gabimit, i cili ju lejon të vlerësoni më saktë shkakun e gabimit (probleme me lidhjen e rrjetit, sintaksë e gabuar, etj. .).
• Ndaloi përpunimin e artikujve при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• Në motorin JavaScript V8 kryera Optimizimi i trajtimit të ndryshimeve në paraqitjen e fushave në objekte, duke rezultuar në ekzekutimin e kodit AngularJS në grupin e testimit të Speedometer që funksionon 4% më shpejt.
  

• V8 gjithashtu optimizon përpunimin e marrësve të përcaktuar në API-të e integruara, të tilla si Node.nodeType dhe Node.nodeName, në mungesë të një mbajtësi IC (memorie inline). Ndryshimi zvogëloi kohën e shpenzuar në kohën e ekzekutimit të IC me afërsisht 12% kur ekzekutoni testet e Backbone dhe jQuery nga grupi i Speedometer.
  

• Rezultatet e mekanizmit OSR (i quajtur zëvendësim në stek) ruhen në memorie, i cili zëvendëson kodin e optimizuar gjatë ekzekutimit të funksionit (ju lejon të filloni të përdorni kodin e optimizuar për funksionet që funksionojnë gjatë pa pritur që ato të ekzekutohen përsëri). Memoria e OSR-së bën të mundur përdorimin e rezultateve të optimizimit gjatë ri-ekzekutimit të funksionit, pa pasur nevojë të kalohet në rioptimizimin.
  Në disa teste, ndryshimi rriti performancën maksimale me 5-18%.
  

• Ndryshimet në mjetet për zhvilluesit e uebit:
  Appearedshtë shfaqur modaliteti i korrigjimit për të përcaktuar arsyet për bllokimin e një kërkese ose dërgimin e një Cookie.
  
  • Në bllokun me listën e Cookie-ve, është shtuar aftësia për të parë shpejt vlerën e Cookie-t të zgjedhur duke klikuar në një rresht të caktuar.
    

  • U shtua aftësia për të simuluar cilësime të ndryshme për skemën e preferencave të ngjyrave dhe pyetjeve të mediave të preferencave me lëvizje të reduktuar (për shembull, për të testuar sjelljen e faqes me një temë të errët të sistemit ose me efekte të animuara të çaktivizuara).
    

  • Dizajni i skedës "Mbulimi" është modernizuar, duke ju lejuar të vlerësoni kodin e përdorur dhe të papërdorur. U shtua aftësia për të filtruar informacionin sipas llojit të tij (JavaScript, CSS). Informacioni i përdorimit të kodit shtohet gjithashtu kur shfaqet teksti burimor.
    

  • U shtua aftësia për të korrigjuar arsyet për të kërkuar një burim të caktuar rrjeti pas regjistrimit të aktivitetit të rrjetit (mund të shikoni një gjurmë të thirrjes së kodit JavaScript që çoi në ngarkimin e burimit).
    

  • U shtua cilësimi "Cilësimet > Preferencat > Burimet > Indentacioni i parazgjedhur" për të përcaktuar llojin e dhëmbëzimit (hapësirat 2/4/8 ose skedat) në kodin e shfaqur në panelet e panelit të panelit dhe burimeve.

Përveç risive dhe rregullimeve të gabimeve, versioni i ri eliminon 51 dobësi. Shumë nga dobësitë u identifikuan si rezultat i testimit të automatizuar duke përdorur mjetet AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dhe AFL. Dy çështje (CVE-2019-13725, qasja në kujtesën e çliruar tashmë në kodin për mbështetje Bluetooth dhe CVE-2019-13726, tejmbushja e grumbullit në menaxherin e fjalëkalimeve) janë shënuar si kritike, d.m.th. ju lejon të anashkaloni të gjitha nivelet e mbrojtjes së shfletuesit dhe të ekzekutoni kodin në sistem jashtë mjedisit të sandbox. Kjo është hera e parë që dy probleme kritike janë identifikuar brenda të njëjtit cikël zhvillimi në Chrome. Dobësia e parë u gjet nga studiuesit nga Tencent Keen Security Lab dhe demonstruar në konkursin Tianfu Cup, dhe i dyti u gjet nga Sergei Glazunov nga Google Project Zero.

Si pjesë e programit të shpërblimit në para për zbulimin e dobësive për versionin aktual, Google pagoi 37 çmime me vlerë 80000 dollarë (një çmim 20000 dollarë, një çmim 10000 dollarë, dy çmime 7500 dollarë, katër çmime 5000 dollarë, një çmim 3000 dollarë, dy çmime 2000 dollarë e dy. 1000 dollarë çmime). Madhësia e 500 shpërblimeve nuk është përcaktuar ende.

Burimi: opennet.ru