Chrome 79 version

Google представила webbläsarversion Chrome 79... Samtidigt tillgängliga stabil utgåva av ett gratis projekt krom, som är grunden för Chrome. Chrome webbläsare annorlunda användningen av Googles logotyper, närvaron av ett system för att skicka aviseringar i händelse av en krasch, möjligheten att ladda ner en Flash-modul på begäran, moduler för att spela skyddat videoinnehåll (DRM), ett automatiskt uppdateringssystem och överföring vid sökning RLZ-parametrar. Nästa version av Chrome 80 är planerad till den 4 februari.

Den huvudsakliga förändringar в krom 79:

• Aktiverad Lösenordskontrollkomponent, designad för att analysera styrkan hos lösenord som används av användaren. När du försöker logga in på någon webbplats lösenordskontroll uppfyller kontrollera inloggning och lösenord mot en databas med inträngda konton med en varning om problem upptäcks (kontroll utförs baserat på ett hashprefix på användarens sida). Kontrollen utförs mot en databas som omfattar mer än 4 miljarder inträngda konton som dök upp i läckta användardatabaser. En varning visas också när du försöker använda triviala lösenord som "abc123". För att kontrollera inkluderingen av lösenordskontroll har en speciell inställning implementerats i avsnittet "Synkronisering och Google-tjänster".
• En ny teknik för att upptäcka nätfiske i realtid presenteras. Tidigare utfördes verifieringen genom att komma åt lokalt nedladdade Safe Browsing-svartlistor, som uppdaterades ungefär en gång var 30:e minut, vilket visade sig vara otillräckligt, till exempel under förhållanden med frekvent domänbyte av angripare. Den nya metoden låter dig kontrollera webbadresser i farten med en preliminär kontroll mot vitlistor som innehåller hash från tusentals populära webbplatser som är pålitliga. Om webbplatsen som öppnas inte finns med i den vita listan, kontrollerar webbläsaren URL:en på Googles server och sänder de första 32 bitarna av SHA-256-hash av länken, från vilken eventuell personlig information klipps bort. Enligt Google kan det nya tillvägagångssättet förbättra effektiviteten av varningar för nya nätfiskewebbplatser med 30 %.
• Lade till proaktivt skydd mot överföring av Google-uppgifter och eventuella lösenord som lagras i lösenordshanteraren via nätfiskesidor. Om du försöker ange ett sparat lösenord på en webbplats där det lösenordet normalt inte används, kommer användaren att varnas om en potentiellt farlig åtgärd.
• Anslutningar som använder TLS 1.0 och 1.1 visar nu en osäker anslutningsindikator. Fullt stöd för TLS 1.0 och 1.1 kommer att inaktiveras i Chrome 81, planerad till 17 mars 2020.
• Lade till möjligheten att frysa inaktiva flikar, så att du automatiskt kan ladda ner flikar från minnet som har legat i bakgrunden i mer än 5 minuter och inte utför betydande åtgärder. Beslutet om lämpligheten av en viss flik för frysning fattas baserat på heuristik. Aktivering av funktionen styrs via flaggan "chrome://flags/#proactive-tab-freeze".
• säkrad Blockering av blandat innehåll på sidor som öppnas över HTTPS för att säkerställa att sidor som öppnas över https:// endast innehåller resurser som laddas över en säker kommunikationskanal. Även om de farligaste typerna av blandat innehåll, som skript och iframes, redan är blockerade som standard, kan bilder, ljudfiler och videor fortfarande laddas ner via http://. Den tidigare använda indikatorn för blandat innehåll för sådana inlägg visade sig vara ineffektiv och vilseledande för användaren, eftersom den inte ger en entydig bedömning av sidans säkerhet. Till exempel, genom bildförfalskning, kan en angripare ersätta användarspårningscookies, försöka utnyttja sårbarheter i bildbehandlare eller begå förfalskning genom att ersätta informationen i bilden. För att avaktivera låsningen av blandade komponenter har en speciell inställning lagts till som kan tas fram via menyn som kommer upp när man klickar på låssymbolen.
• Lade till experimentell möjlighet att dela innehåll från urklipp mellan stationära och mobila versioner av Chrome. I fall av Chrome länkad till ett konto kan du nu komma åt innehållet i urklipp på en annan enhet, inklusive att dela urklipp mellan mobila och stationära system. Innehållet i klippbordet krypteras med end-to-end-kryptering, vilket förhindrar åtkomst till texten på Googles servrar. Funktionen aktiveras genom alternativen chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui och chrome://flags#sync-clipboard-service.
• I adressfältet vid vissa tillfällen (till exempel när du sparar ett lösenord) när profilsynkronisering är avstängd, förutom avataren, visas namnet på det aktuella Google-kontot så att användaren exakt kan identifiera det aktuella aktiva kontot.
• Aktiverad för 1 % av användarna stöd "DNS över HTTPS" (DoH, DNS över HTTPS). Experimentet involverar endast användare vars systeminställningar redan har angett DNS-leverantörer som stöder DoH. Till exempel, om användaren har DNS 8.8.8.8 specificerat i systeminställningarna, kommer Googles DoH-tjänst (“https://dns.google.com/dns-query”) att aktiveras i Chrome; om DNS är 1.1.1.1. XNUMX, sedan DoH Cloudflare-tjänst (“https://cloudflare-dns.com/dns-query”), etc. För att kontrollera om DoH är aktiverat, tillhandahålls inställningen "chrome://flags/#dns-over-https". Tre driftslägen stöds: säker, automatisk och avstängd. I "säkert" läge bestäms värdar endast baserat på tidigare cachade säkra värden (mottagna via en säker anslutning) och förfrågningar via DoH; reserv till vanlig DNS tillämpas inte. I det "automatiska" läget, om DoH och den säkra cachen inte är tillgängliga, kan data hämtas från den osäkra cachen och nås via traditionell DNS. I "av"-läge kontrolleras först den delade cachen och om det inte finns några data skickas begäran via systemets DNS.
• Lade till experimentell stöd cachning av renderat innehåll vid byte av sida med hjälp av framåt- och bakåtknapparna, vilket avsevärt kan minska förseningar under denna typ av navigering på grund av fullständig cachning av hela sidan, vilket inte kräver omrendering och laddning av resurser. Optimeringen märks särskilt i versionen för mobila enheter, där prestandaökningen under navigering når 19%. Läget är aktiverat med alternativet "chrome://flags#back-forward-cache".
• raderade inställning av "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", vilket gjorde det möjligt att returnera visningen av protokollet i adressfältet (nu visas alltid alla länkar utan https:// och http:// /, och även utan “www.”).
• Bygger för Windows inkluderar sandboxning av ljuduppspelningstjänsten. För att kontrollera om isolering är aktiverad, föreslås egenskapen AudioSandboxEnabled.
• Centraliserade administrationsverktyg för företag inkluderar möjligheten att definiera regler som styr hur mycket minne en webbläsarinstans kan förbruka innan bakgrundsflikar laddas ur. Minnet som frigörs efter avlastning av en flik blir tillgängligt för användning, och innehållet på fliken laddas igen när du byter till den.
• Linux använder en inbyggd certifikatverifieringsprocessor, som ersätter det tidigare använda NSS-systemet. I det här fallet fortsätter den inbyggda processorn att använda NSS-arkivet under verifiering, men ställer strängare krav vid behandling av felaktigt kodade och separat certifierade certifikat (alla certifikat måste certifieras av en certifieringsmyndighet).
• I versionen för Android-plattformen Lagt till möjligheten att tilldela adaptiva ikoner för installerade webbapplikationer som körs i PWA-läge (Progressive Web Apps). Adaptiva ikoner kan anpassas till gränssnittet som används av enhetstillverkaren, till exempel vara runda, fyrkantiga eller med släta hörn.
• tillsatt API WebXR-enhet, som ger tillgång till komponenter för att skapa virtuell och förstärkt verklighet. API:et låter dig förena arbetet med olika klasser av enheter, från stationära virtual reality-headset som Oculus Rift, HTC Vive och Windows Mixed Reality, till lösningar baserade på mobila enheter som Google Daydream View och Samsung Gear VR. Tillämpningar där det nya API:et kan vara tillämpligt inkluderar program för att titta på video i 360°-läge, system för att visualisera tredimensionellt utrymme, skapa virtuella biografer för videopresentation, genomföra experiment för att skapa 3D-gränssnitt för butiker och gallerier;
  

• I Origin Trials-läge (experimentella funktioner som kräver separata aktivering) flera nya API:er har föreslagits. Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
  • För alla HTML-element föreslås attributet "rendersubtree", vilket säkerställer att visningen av DOM-elementet är fixerad. Om du ställer in attributet till "osynlig" förhindrar du att elementets innehåll renderas eller inspekteras, vilket möjliggör optimerad rendering. När den är inställd på "aktiverbar" tar webbläsaren bort det osynliga attributet, renderar innehållet och gör det synligt.
  • Lade till API-alternativ Wake lock baserad på Promise-mekanismen, vilket ger ett säkrare sätt att kontrollera inaktiveringen av autolåsningsskärmar och växla enheter till energisparlägen.
• Implementerat möjligheten att använda attributet autofokus för alla HTML- och SVG-element som kan ha ingångsfokus.
• För bilder och videor säkrad Beräkna bildförhållandet baserat på attributen Width eller Height, som kan användas för att bestämma storleken på bilden med CSS i det skede då bilden ännu inte har laddats (löser problemet med att bygga om sidan efter att bilder har laddats).
• Lade till CSS-egenskap font-optisk storlek, som automatiskt ställer in den variabla teckenstorleken i optiska koordinater "opsz", om teckensnittet stöder dem. Läget låter dig välja den optimala glyfformen för en angiven storlek, till exempel använda mer kontrasterande glyf för rubriker.
• Lade till CSS-egenskap list-stil-typ, som låter dig använda alla symboler istället för punkter i listor, till exempel "-", "+", "★" och "▸".
• Om det är omöjligt att köra Worklet.addModule() returneras nu ett objekt med detaljerad information om felets karaktär, vilket gör att du mer exakt kan bedöma orsaken till felet (problem med nätverksanslutningen, felaktig syntax etc.) .).
• Slutade bearbeta objekt при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• I JavaScript-motor V8 utförd Optimering av hanteringsändringar av representationen av fält i objekt, vilket resulterar i att AngularJS-kodexekvering i Speedometer-testsviten går 4% snabbare.
  

• V8 optimerar också bearbetningen av getters definierade i inbyggda API:er, såsom Node.nodeType och Node.nodeName, i avsaknad av en IC-hanterare (inline caching). Ändringen minskade tiden som spenderades på IC-körtid med cirka 12 % när du körde Backbone- och jQuery-testerna från Speedometer-sviten.
  

• Resultaten av OSR-mekanismen (kallad on-stack-ersättning) cachelagras, som ersätter optimerad kod under funktionsexekvering (låter dig börja använda optimerad kod för långvariga funktioner utan att vänta på att de ska köras igen). OSR-caching gör det möjligt att använda optimeringsresultaten vid omkörning av funktionen, utan att behöva gå igenom omoptimering.
  I vissa test ökade förändringen toppprestanda med 5–18 %.
  

• Ändringar i verktyg för webbutvecklare:
  Dök upp felsökningsläge för att fastställa orsakerna till att blockera en begäran eller skicka en cookie.
  
  • I blocket med Cookie-listan har möjligheten att snabbt se värdet av den valda Cookien lagts till genom att klicka på en specifik rad.
    

  • Lade till möjligheten att simulera olika inställningar för mediefrågorna prefers-color-scheme och prefers-reduced-motion (till exempel för att testa sidans beteende med ett mörkt systemtema eller med animerade effekter inaktiverade).
    

  • Designen på fliken Täckning har moderniserats, så att du kan utvärdera koden som används och inte används. Lade till möjligheten att filtrera information efter dess typ (JavaScript, CSS). Kodanvändningsinformation läggs också till när källtexten visas.
    

  • Lade till möjligheten att felsöka orsakerna till att begära en viss nätverksresurs efter att ha registrerat nätverksaktivitet (du kan se ett spår av JavaScript-kodanropet som ledde till att resursen laddades).
    

  • Lade till inställningen "Inställningar > Inställningar > Källor > Standardindrag" för att bestämma typen av indrag (2/4/8 mellanslag eller tabbar) i koden som visas i panelerna Konsol och Källor.

Förutom innovationer och buggfixar eliminerar den nya versionen 51 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Två problem (CVE-2019-13725, tillgång till redan frigjort minne i koden för Bluetooth-stöd, och CVE-2019-13726, heap overflow i lösenordshanteraren) markeras som kritiska, d.v.s. låter dig kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Detta är första gången som två kritiska problem har identifierats inom samma utvecklingscykel i Chrome. Den första sårbarheten hittades av forskare från Tencent Keen Security Lab och demonstrerade på Tianfu Cup-tävlingen, och den andra hittades av Sergei Glazunov från Google Project Zero.

Som en del av programmet för att betala kontantbelöningar för att upptäcka sårbarheter för den aktuella versionen, betalade Google ut 37 utmärkelser värda $80000 20000 (en utmärkelse på $10000 7500, en utmärkelse på $5000 3000, två utmärkelser på $2000 1000, fyra utmärkelser på $500 15, en utmärkelse på $XNUMX XNUMX, två utmärkelser på $XNUMX, två $XNUMX och åtta utmärkelser på $XNUMX). Storleken på de XNUMX belöningarna har ännu inte fastställts.

Källa: opennet.ru