Chrome ngaleupaskeun 79

Google ditepikeun release web browser Chrome 79... sakaligus aya sékrési stabil tina proyék gratis kromium, anu janten dasar Chrome. browser Chrome béda pamakéan logos Google, ayana sistem pikeun ngirim bewara bisi aya kacilakaan, kamampuhan pikeun ngundeur modul Flash on pamundut, modul pikeun muterkeun eusi video ditangtayungan (DRM), sistem pikeun otomatis masang apdet sarta pangiriman salila pilarian. Parameter RLZ. Pelepasan salajengna tina Chrome 80 dijadwalkeun pikeun 4 Pébruari.

utama parobahan в Chrome 79:

• diaktipkeun Komponén Sandi Checkup, dirancang pikeun nganalisis kakuatan kecap akses anu dianggo ku pangguna. Nalika nyobian asup ka situs mana waé Pamariksaan Sandi minuhan mariksa login sareng kecap akses kana database akun anu dikompromi kalayan peringatan upami aya masalah (pariksaan dilaksanakeun dumasar kana awalan hash di sisi pangguna). Pamariksaan dilaksanakeun ngalawan pangkalan data anu nyertakeun langkung ti 4 milyar akun anu dikompromi anu muncul dina pangkalan data pangguna anu bocor. Peringatan ogé ditampilkeun nalika nyobian nganggo kecap konci anu teu penting sapertos "abc123". Pikeun ngadalikeun inklusi Sandi Checkup, setélan khusus parantos dilaksanakeun dina bagian "Singkronisasi sareng Google Services".
• Téknologi anyar pikeun ngadeteksi phishing sacara real waktos dibere. Saméméhna, verifikasi dilakukeun ku cara ngaksés daptar hideung Safe Browsing anu diunduh sacara lokal, anu diropéa kira-kira sakali unggal 30 menit, anu tétéla henteu cekap, contona, dina kaayaan anu sering gentos domain ku panyerang. Metoda anyar ngidinan Anjeun pikeun pariksa URL on laleur ku dipariksa awal ngalawan whitelists nu ngawengku hashes rébuan situs populér nu bisa dipercaya. Upami situs anu dibuka henteu aya dina daptar bodas, browser mariksa URL dina server Google, ngirimkeun 32 bit munggaran tina tautan SHA-256 tina tautan, dimana kamungkinan data pribadi dipotong. Numutkeun Google, pendekatan anyar bisa ningkatkeun efektivitas warnings pikeun situs phishing anyar ku 30%.
• Ditambahkeun panyalindungan proaktif ngalawan transfer kredensial Google sareng kecap akses anu disimpen dina manajer sandi ngalangkungan halaman phishing. Upami anjeun nyobian ngalebetkeun kecap konci anu disimpen dina situs dimana kecap konci éta henteu biasa dianggo, pangguna bakal diingetkeun ngeunaan tindakan anu berpotensi bahaya.
• Sambungan nganggo TLS 1.0 sareng 1.1 ayeuna nunjukkeun indikator sambungan anu teu aman. Sapinuhna ngadukung TLS 1.0 sareng 1.1 bakal ditumpurkeun dina Chrome 81, dijadwalkeun pikeun 17 Maret 2020.
• Ditambahkeun kamampuan pikeun ngabekukeun tab anu teu aktip, ngamungkinkeun anjeun sacara otomatis ngabongkar tina tab mémori anu parantos aya di latar tukang langkung ti 5 menit sareng henteu ngalakukeun tindakan anu penting. Kaputusan ngeunaan kasaluyuan tab khusus pikeun katirisan dilakukeun dumasar kana heuristik. Aktipkeun pungsi ieu dikawasa ku "chrome: // flags / # proactive-tab-freeze" bandéra.
• Dijamin Blocking eusi campuran dina kaca dibuka ngaliwatan HTTPS pikeun mastikeun yén kaca dibuka ngaliwatan https: // ngan ngandung sumberdaya dimuat ngaliwatan saluran komunikasi aman. Sanaos jinis eusi campuran anu paling bahaya, sapertos skrip sareng iframes, parantos diblokir sacara standar, gambar, file audio sareng pidéo masih tiasa diunduh tina http: //. Indikator eusi campuran anu saacanna dianggo pikeun sisipan sapertos kitu kapanggih henteu efektif sareng nyasabkeun ka pangguna, sabab éta henteu masihan penilaian anu teu jelas ngeunaan kaamanan halaman. Contona, ngaliwatan spoofing gambar, panyerang bisa ngagantikeun pamaké nyukcruk Cookies, coba mangpaatkeun kerentanan dina prosesor gambar, atawa ngalakukeun pemalsuan ku ngaganti informasi disadiakeun dina gambar. Pikeun nganonaktipkeun konci komponén campuran, setelan husus geus ditambahkeun, nu bisa diasupan ngaliwatan menu nu mucunghul mun anjeun klik dina simbol konci.
• Katambah kamampuan ékspérimén pikeun ngabagi eusi clipboard antara desktop sareng versi mobile Chrome. Dina conto Chrome numbu ka hiji akun, anjeun ayeuna bisa ngakses eusi clipboard alat sejen, kaasup babagi clipboard antara sistem mobile jeung desktop. Eusi clipboard énkripsi nganggo énkripsi tungtung-ka-tungtung, anu nyegah aksés kana téks dina server Google. Pungsi diaktipkeun ngaliwatan pilihan Chrome: // bandéra # dibagikeun-clipboard-panarima, Chrome: // bandéra # dibagikeun-clipboard-ui na Chrome: // bandéra # sync-clipboard-jasa.
• Dina bar alamat dina momen-momen anu tangtu (contona, nalika nyimpen kecap akses) nalika sinkronisasi profil dipareuman, salian ti avatar, nami akun Google ayeuna dipintonkeun supados pangguna tiasa ngaidentipikasi akun anu aktip ayeuna.
• Diaktipkeun pikeun 1% pangguna sokongan "DNS leuwih HTTPS" (DoH, DNS leuwih HTTPS). Percobaan ngalibatkeun ngan pamaké nu setelan sistem geus ditangtukeun panyadia DNS nu ngarojong DoH. Salaku conto, upami pangguna ngagaduhan DNS 8.8.8.8 anu ditetepkeun dina setélan sistem, maka layanan DoH Google ("https://dns.google.com/dns-query") bakal diaktipkeun dina Chrome; upami DNSna 1.1.1.1. XNUMX, teras jasa DoH Cloudflare ("https://cloudflare-dns.com/dns-query"), jsb. Pikeun ngadalikeun naha DoH diaktipkeun, setelan "chrome://flags/#dns-over-https" disadiakeun. Tilu modeu operasi dirojong: aman, otomatis sareng pareum. Dina modeu "aman", host ditangtukeun ngan dumasar kana nilai-nilai aman anu di-cache sateuacana (ditampi ku sambungan anu aman) sareng pamundut via DoH; fallback kana DNS biasa henteu dilarapkeun. Dina mode "otomatis", upami DoH sareng cache aman henteu sayogi, data tiasa dicandak tina cache anu teu aman sareng diaksés ngalangkungan DNS tradisional. Dina modeu "pareum", cache dibagikeun munggaran dipariksa sarta lamun euweuh data, pamundut teh dikirim ngaliwatan sistem DNS.
• Ditambahkeun ékspérimén sokongan cache eusi rendered nalika ngarobah kaca ngagunakeun tombol maju jeung deui, nu nyata bisa ngurangan reureuh salila jenis ieu navigasi alatan cache lengkep sakabéh kaca, nu teu merlukeun ulang rendering na loading sumberdaya. Optimasi khususna katingali dina versi pikeun alat sélulér, dimana paningkatan kinerja nalika navigasi ngahontal 19%. Modeu diaktipkeun nganggo pilihan "chrome: // flags # back-forward-cache".
• Dipupus netepkeun "chrome: // flags / # omnibox-ui-hide-steady-state-url-scheme-and-subdomains", anu ngamungkinkeun pikeun ngabalikeun tampilan protokol dina palang alamat (ayeuna sadaya tautan salawasna ditampilkeun tanpa HTTPS. : // jeung http: / /, sarta ogé tanpa "www.").
• Ngawangun pikeun Windows kalebet sandboxing tina jasa playback audio. Pikeun ngadalikeun naha isolasi diaktipkeun, sipat AudioSandboxEnabled diusulkeun.
• Alat administrasi terpusat pikeun perusahaan kalebet kamampuan pikeun nangtukeun aturan anu ngatur sabaraha mémori anu tiasa dikonsumsi ku conto browser sateuacan tab latar dibongkar. Mémori anu dileupaskeun saatos ngabongkar tab janten sayogi dianggo, sareng eusi tabna dimuat deui nalika ngalih ka dinya.
• Linux Ubuntu ngagunakeun prosésor verifikasi sertipikat diwangun-di, nu ngagantikeun sistem NSS saméméhna dipaké. Dina hal ieu, prosésor diwangun-di terus ngagunakeun toko NSS salila verifikasi, tapi imposes sarat leuwih stringent nalika ngolah sertipikat salah disandikeun jeung misah Certified (sadayana sertipikat kudu Certified ku otoritas sertifikasi).
• Dina versi pikeun platform Android ditambahkeun kamampuan pikeun napelkeun ikon adaptif pikeun aplikasi wéb anu dipasang dina modeu Progressive Web Apps (PWA). Ikon adaptif tiasa adaptasi sareng antarmuka anu dianggo ku produsén alat, contona, buleud, pasagi, atanapi sudut anu mulus.
• Ditambahkeun API Alat WebXR, nu nyadiakeun aksés ka komponén pikeun nyieun virtual na augmented kanyataanana. API ngamungkinkeun anjeun pikeun ngahijikeun karya sareng sababaraha kelas alat, ti headset kanyataanana virtual stasioner sapertos Oculus Rift, HTC Vive sareng Windows Mixed Reality, dugi ka solusi dumasar kana alat sélulér sapertos Google Daydream View sareng Samsung Gear VR. Aplikasi nu API anyar bisa jadi lumaku ngawengku program pikeun nempo video dina modeu 360 °, sistem visualizing spasi tilu diménsi, nyieun bioskop maya pikeun presentasi video, ngalakonan percobaan dina nyieun interfaces 3D pikeun toko jeung galeri;
  

• Dina modeu Uji Coba Asal (fitur ékspérimén anu peryogi misah aktivasina) sababaraha API anyar geus diajukeun. Origin Trial nunjukkeun kamampuan pikeun damel sareng API anu ditangtukeun tina aplikasi anu diunduh tina localhost atanapi 127.0.0.1, atanapi saatos ngadaptar sareng nampi token khusus anu valid pikeun waktos kawates pikeun situs khusus.
  • Pikeun sakabéh elemen HTML, atribut "rendersubtree" diusulkeun, nu ensures yén tampilan unsur DOM dibereskeun. Nyetél atribut kana "kahuripan" bakal nyegah eusi unsur ti keur rendered atawa inspected, sahingga pikeun rendering dioptimalkeun. Nalika disetel ka "diaktipkeun", browser bakal nyabut atribut halimunan, ngajadikeun eusi na sangkan eta katempo.
  • Ditambahkeun pilihan API Konci hudang dumasar kana mékanisme Jangji, anu nyayogikeun cara anu langkung aman pikeun ngontrol nganonaktipkeun layar konci otomatis sareng ngagentos alat ka modeu hemat daya.
• Dilaksanakeun kamampuan ngagunakeun atribut pokus otomatis pikeun sakabéh elemen HTML jeung SVG nu bisa boga fokus input.
• Pikeun gambar sareng video diamankeun Ngitung rasio aspék dumasar kana atribut Width atanapi Jangkungna, anu tiasa dianggo pikeun nangtukeun ukuran gambar nganggo CSS dina tahap nalika gambar henteu acan dimuat (ngarengsekeun masalah sareng ngawangun deui halaman saatos gambar dimuat).
• Katambah sipat CSS font-optik-ukuran, anu otomatis nyetél ukuran font variabel dina koordinat optik "opsz", upami font ngadukung aranjeunna. Modeu ngamungkinkeun anjeun milih bentuk glyph anu optimal pikeun ukuran anu ditangtukeun, contona, nganggo glyph anu langkung kontras pikeun judul.
• Katambah sipat CSS daptar-gaya-tipe, anu ngamungkinkeun anjeun ngagunakeun simbol naon waé tibatan période dina daptar, contona, "-", "+", "★" sareng "▸".
• Lamun teu mungkin pikeun ngaéksekusi Worklet.addModule (), hiji obyék ayeuna balik kalawan inpo wincik tentang sifat kasalahan, nu ngidinan Anjeun pikeun leuwih akurat assess cukang lantaranana kasalahan (masalah sambungan jaringan, sintaksis lepat, jsb). .).
• Ngeureunkeun ngolah elemen nalika mindahkeun éta antara dokumén. Nalika mindahkeun antara dokumén, palaksanaan acara "kasalahan" sareng "beban" anu aya hubunganana sareng naskah ogé ditumpurkeun.
• Dina mesin JavaScript V8 dilaksanakan Optimasi pikeun nanganan parobahan dina ngagambarkeun widang dina objék, hasilna AngularJS kode palaksanaan dina spedometer test suite ngajalankeun 4% leuwih gancang.
  

• V8 ogé ngaoptimalkeun ngolah getter anu didefinisikeun dina API anu diwangun, sapertos Node.nodeType sareng Node.nodeName, dina henteuna panangan IC (caching inline). Parobahan ngurangan waktu spent dina IC runtime ku kurang leuwih 12% nalika ngajalankeun tés tulang tonggong jeung jQuery ti spedometer suite.
  

• Hasil tina mékanisme OSR (disebut ngagantian on-tumpukan) sindangan, nu ngagantikeun kode dioptimalkeun salila palaksanaan fungsi (ngamungkinkeun Anjeun pikeun mimitian nganggo kode dioptimalkeun pikeun fungsi lila-ngajalankeun tanpa ngantosan aranjeunna ngajalankeun deui). OSR cache ngamungkinkeun ngagunakeun hasil optimasi nalika ngajalankeun deui fungsi, tanpa kudu ngaliwatan ulang optimasi.
  Dina sababaraha tés, parobihan ningkat prestasi puncak ku 5-18%.
  

• Parobihan alat pikeun pamekar wéb:
  Némbongan mode debugging pikeun nangtukeun alesan pikeun blocking pamundut atawa ngirim cookie a.
  
  • Dina blok kalawan daptar Cookie, kamampuhan pikeun gancang nempo nilai Cookie dipilih geus ditambahkeun ku ngaklik dina garis husus.
    

  • Ditambahkeun kamampuhan pikeun simulate setélan béda pikeun prefers-warna-skéma jeung prefers-ngurangan-gerakan queries média (contona, pikeun nguji paripolah kaca sareng tema sistem poék atawa kalawan épék animasi ditumpurkeun).
    

  • Desain tab Coverage parantos dimodernisasi, ngamungkinkeun anjeun pikeun meunteun kode anu dianggo sareng henteu dianggo. Ditambahkeun kamampuan pikeun nyaring inpormasi dumasar kana jinisna (JavaScript, CSS). Inpormasi pamakean kode ogé ditambahkeun nalika mintonkeun téks sumber.
    

  • Ditambahkeun kamampuhan pikeun debug alesan pikeun requesting sumberdaya jaringan tinangtu sanggeus ngarekam aktivitas jaringan (anjeun bisa nempo renik tina panggero kode JavaScript nu ngarah ka loading sumberdaya).
    

  • Ditambahkeun "Setélan> Preferensi> Sumber> Default Indentation" kanggo nangtukeun jinis indentation (2/4/8 spasi atanapi tab) dina kode anu dipidangkeun dina panel Konsol sareng Sumber.

Salian inovasi sareng perbaikan bug, versi énggal ngaleungitkeun 51 kerentanan. Seueur kerentanan anu diidentifikasi salaku hasil tina uji otomatis nganggo AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer sareng alat AFL. Dua masalah (CVE-2019-13725, ngaksés mémori anu parantos dibébaskeun dina kode pikeun dukungan Bluetooth, sareng CVE-2019-13726, tumpukan mumbul dina manajer sandi) ditandaan salaku kritis, nyaéta. ngidinan Anjeun pikeun bypass sagala tingkatan panyalindungan browser tur ngajalankeun kode dina sistem luar lingkungan sandbox. Ieu pertama kalina dua masalah kritis parantos dikenalkeun dina siklus pangwangunan anu sami dina Chrome. The kerentanan munggaran kapanggih ku peneliti ti Tencent getol Kaamanan Lab na nunjukkeun dina kompetisi Piala Tianfu, sarta kadua kapanggih ku Sergei Glazunov ti Google Project Zero.

Salaku bagian tina program ganjaran tunai pikeun manggihan kerentanan keur release ayeuna, Google mayar 37 panghargaan bernilai $80000 (hiji $20000 pangajén, hiji $10000 pangajén, dua $7500 panghargaan, opat $5000 panghargaan, hiji $3000 pangajén, dua $2000 pangajén, jeung dua $1000 pangajén panghargaan $ 500). Ukuran tina 15 ganjaran teu acan ditangtukeun.

sumber: opennet.ru