Toleo la Chrome 79

Google imewasilishwa kutolewa kwa kivinjari Chrome 79... Wakati huo huo inapatikana kutolewa thabiti kwa mradi wa bure Chromium, ambayo ni msingi wa Chrome. Kivinjari cha Chrome mbalimbali matumizi ya nembo za Google, uwepo wa mfumo wa kutuma arifa katika tukio la ajali, uwezo wa kupakia moduli ya Flash inapohitajika, moduli za kucheza maudhui ya video yaliyolindwa (DRM), mfumo wa kusasisha kiotomatiki, na uwasilishaji unapotafuta. Vigezo vya RLZ. Toleo linalofuata la Chrome 80 limepangwa Februari 4.

kuu mabadiliko в Chrome 79:

• imeamilishwa Kipengele cha Kukagua Nenosiri, kilichoundwa ili kuchanganua nguvu ya manenosiri yanayotumiwa na mtumiaji. Unapojaribu kuingia kwenye Ukaguzi wa Nenosiri wa tovuti yoyote inatimiza kuangalia kuingia na nenosiri dhidi ya hifadhidata ya akaunti zilizoathiriwa na onyo ikiwa matatizo yamegunduliwa (kuangalia unafanywa kulingana na kiambishi awali cha hashi upande wa mtumiaji). Ukaguzi unafanywa dhidi ya hifadhidata inayofunika zaidi ya akaunti bilioni 4 zilizoathiriwa ambazo zilionekana kwenye hifadhidata za watumiaji zilizovuja. Onyo pia huonyeshwa wakati wa kujaribu kutumia manenosiri madogo kama vile "abc123". Ili kudhibiti ujumuishaji wa Kikagua Nenosiri, mpangilio maalum umetekelezwa katika sehemu ya "Sawazisha na Huduma za Google".
• Teknolojia mpya ya kugundua hadaa kwa wakati halisi imewasilishwa. Hapo awali, uthibitishaji ulifanywa kwa kufikia orodha zisizoruhusiwa za Kuvinjari kwa Usalama zilizopakuliwa ndani, ambazo zilisasishwa takriban mara moja kila baada ya dakika 30, ambazo hazikutosha, kwa mfano, katika hali ya kubadilisha kikoa mara kwa mara na washambuliaji. Mbinu mpya hukuruhusu kuangalia URL popote pale kwa ukaguzi wa awali dhidi ya walioidhinishwa ambao ni pamoja na heshi za maelfu ya tovuti maarufu ambazo zinaaminika. Ikiwa tovuti inayofunguliwa haiko kwenye orodha nyeupe, kivinjari hukagua URL kwenye seva ya Google, ikisambaza bits 32 za kwanza za SHA-256 hash ya kiungo, ambayo data ya kibinafsi inayowezekana hukatwa. Kulingana na Google, mbinu mpya inaweza kuboresha ufanisi wa maonyo kwa tovuti mpya za ulaghai kwa 30%.
• Umeongeza ulinzi thabiti dhidi ya uhamishaji wa kitambulisho cha Google na manenosiri yoyote yaliyohifadhiwa kwenye kidhibiti cha nenosiri kupitia kurasa za kuhadaa ili kupata maelezo ya kibinafsi. Ukijaribu kuingiza nenosiri lililohifadhiwa kwenye tovuti ambapo nenosiri hilo halitumiwi kwa kawaida, mtumiaji ataonywa kuhusu kitendo kinachoweza kuwa hatari.
• Viunganisho vinavyotumia TLS 1.0 na 1.1 sasa vinaonyesha kiashirio kisicho salama cha muunganisho. Inatumia kikamilifu TLS 1.0 na 1.1 itazimwa katika Chrome 81, iliyoratibiwa Machi 17, 2020.
• Imeongeza uwezo wa kufungia vichupo visivyotumika, huku kuruhusu kupakua kiotomatiki kutoka kwa vichupo vya kumbukumbu ambavyo vimekuwa chinichini kwa zaidi ya dakika 5 na havifanyi vitendo muhimu. Uamuzi kuhusu kufaa kwa tabo fulani kwa kufungia hufanywa kwa kuzingatia heuristics. Kuwasha kipengele cha kukokotoa kunadhibitiwa kupitia alama ya "chrome://flags/#proactive-tab-freeze".
• Imelindwa Kuzuia maudhui mseto kwenye kurasa kufunguliwa kupitia HTTPS ili kuhakikisha kuwa kurasa zinazofunguliwa kupitia https:// zina rasilimali tu zilizopakiwa kwenye njia salama ya mawasiliano. Ingawa aina hatari zaidi za maudhui mchanganyiko, kama vile hati na iframe, tayari zimezuiwa kwa chaguomsingi, picha, faili za sauti na video bado zinaweza kupakuliwa kupitia http://. Kiashiria cha maudhui mchanganyiko kilichotumika hapo awali cha viingilio hivyo kilipatikana kuwa hakifai na kinapotosha mtumiaji, kwa kuwa hakitoi tathmini isiyo na utata ya usalama wa ukurasa. Kwa mfano, kupitia upotoshaji wa picha, mshambulizi anaweza kubadilisha Vidakuzi vya ufuatiliaji wa mtumiaji, kujaribu kutumia udhaifu katika vichakataji picha, au kughushi kwa kubadilisha maelezo yaliyotolewa kwenye picha. Ili kuzima kufungwa kwa vipengele vilivyochanganywa, mpangilio maalum umeongezwa, ambao unaweza kupatikana kupitia orodha inayoonekana unapobofya alama ya kufuli.
• Umeongeza uwezo wa majaribio wa kushiriki maudhui ya ubao wa kunakili kati ya matoleo ya Chrome ya eneo-kazi na simu ya mkononi. Katika matukio ya Chrome iliyounganishwa na akaunti moja, sasa unaweza kufikia maudhui ya ubao wa kunakili ya kifaa kingine, ikiwa ni pamoja na kushiriki ubao wa kunakili kati ya mifumo ya simu na kompyuta ya mezani. Yaliyomo kwenye ubao wa kunakili yamesimbwa kwa njia fiche kwa usimbaji fiche kutoka mwanzo hadi mwisho, ambao huzuia ufikiaji wa maandishi kwenye seva za Google. Chaguo hili la kukokotoa limewezeshwa kupitia chaguo chrome://flags#mpokeaji-ubao-kunakili ulioshirikiwa, chrome://flags#shared-clipboard-ui na chrome://flags#sync-clipboard-service.
• Katika bar ya anwani kwa wakati fulani (kwa mfano, wakati wa kuhifadhi nenosiri) wakati maingiliano ya wasifu yamezimwa, pamoja na avatar, jina la akaunti ya sasa ya Google linaonyeshwa ili mtumiaji atambue kwa usahihi akaunti ya sasa inayotumika.
• Imewashwa kwa 1% ya watumiaji kusaidia "DNS juu ya HTTPS" (DoH, DNS juu ya HTTPS). Jaribio linahusisha watumiaji ambao mipangilio ya mfumo tayari imebainisha watoa huduma wa DNS wanaotumia DoH. Kwa mfano, ikiwa mtumiaji ana DNS 8.8.8.8 iliyobainishwa katika mipangilio ya mfumo, basi huduma ya Google ya DoH (“https://dns.google.com/dns-query”) itawashwa kwenye Chrome; ikiwa DNS ni 1.1.1.1. XNUMX, kisha huduma ya DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), n.k. Ili kudhibiti ikiwa DoH imewashwa, mipangilio ya "chrome://flags/#dns-over-https" imetolewa. Njia tatu za uendeshaji zinaungwa mkono: salama, otomatiki na kuzima. Katika hali ya "salama", seva pangishi hubainishwa tu kulingana na thamani salama zilizohifadhiwa hapo awali (zilizopokewa kupitia muunganisho salama) na maombi kupitia DoH; kurudi kwa DNS ya kawaida haitumiki. Katika hali ya "otomatiki", ikiwa DoH na akiba salama hazipatikani, data inaweza kurejeshwa kutoka kwa akiba isiyo salama na kufikiwa kupitia DNS ya kawaida. Katika hali ya "kuzima", cache iliyoshirikiwa inaangaliwa kwanza na ikiwa hakuna data, ombi linatumwa kupitia mfumo wa DNS.
• Imeongeza majaribio kusaidia kuakibishwa kwa maudhui yaliyotolewa wakati wa kubadilisha kurasa kwa kutumia vitufe vya mbele na nyuma, ambavyo vinaweza kupunguza kwa kiasi kikubwa ucheleweshaji wakati wa aina hii ya urambazaji kutokana na uhifadhi kamili wa ukurasa mzima, ambao hauhitaji kutoa tena na upakiaji wa rasilimali. Uboreshaji unaonekana hasa katika toleo la vifaa vya mkononi, ambapo ongezeko la utendaji wakati wa urambazaji hufikia 19%. Hali imewashwa kwa kutumia chaguo la "chrome://flags#back-forward-cache".
• Imefutwa kuweka "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", ambayo iliruhusu kurudisha onyesho la itifaki kwenye upau wa anwani (sasa viungo vyote huonyeshwa kila wakati bila https :// na http:/ /, na pia bila "www.").
• Miundo ya Windows inajumuisha sandboxing ya huduma ya kucheza sauti. Ili kudhibiti ikiwa utengaji umewezeshwa, kipengele cha AudioSandboxEnabled kinapendekezwa.
• Zana za usimamizi wa biashara kati ni pamoja na uwezo wa kufafanua sheria zinazodhibiti ni kumbukumbu ngapi ambayo mfano wa kivinjari unaweza kutumia kabla ya vichupo vya usuli kupakuliwa. Kumbukumbu iliyotolewa baada ya kupakua kichupo inapatikana kwa matumizi, na yaliyomo kwenye kichupo hupakiwa tena wakati wa kuibadilisha.
• Linux hutumia kichakataji cha uthibitishaji cheti kilichojengewa ndani, ambacho huchukua nafasi ya mfumo wa NSS uliotumika hapo awali. Katika kesi hii, processor iliyojengwa inaendelea kutumia duka la NSS wakati wa uthibitishaji, lakini inaweka mahitaji magumu zaidi wakati wa kusindika vyeti vilivyosimbwa vibaya na vilivyoidhinishwa tofauti (vyeti vyote lazima vidhibitishwe na mamlaka ya uthibitisho).
• Katika toleo la jukwaa la Android aliongeza uwezo wa kugawa aikoni zinazobadilika kwa programu za wavuti zilizosakinishwa zinazoendeshwa katika hali ya Progressive Web Apps (PWA). Aikoni zinazobadilika zinaweza kuendana na kiolesura kinachotumiwa na mtengenezaji wa kifaa, kwa mfano, kuwa pande zote, mraba, au kwa pembe laini.
• Imeongezwa API Kifaa cha WebXR, ambayo hutoa ufikiaji wa vipengee vya kuunda ukweli halisi na uliodhabitiwa. API hukuruhusu kuunganisha kazi na aina mbalimbali za vifaa, kuanzia vichwa vya sauti vya uhalisia pepe visivyosimama kama vile Oculus Rift, HTC Vive na Windows Mixed Reality, hadi suluhu kulingana na vifaa vya mkononi kama vile Google Daydream View na Samsung Gear VR. Programu ambazo API mpya inaweza kutumika ni pamoja na programu za kutazama video katika hali ya 360°, mifumo ya kuibua nafasi ya pande tatu, kuunda sinema pepe za uwasilishaji wa video, kufanya majaribio ya kuunda miingiliano ya 3D ya maduka na matunzio;
  

• Katika hali ya Majaribio ya Asili (vipengele vya majaribio vinavyohitaji tofauti uanzishaji) API kadhaa mpya zimependekezwa. Jaribio la Asili linamaanisha uwezo wa kufanya kazi na API maalum kutoka kwa programu zilizopakuliwa kutoka kwa mwenyeji au 127.0.0.1, au baada ya kusajili na kupokea tokeni maalum ambayo ni halali kwa muda mfupi kwa tovuti maalum.
  • Kwa vipengele vyote vya HTML, sifa ya "rendersubtree" inapendekezwa, ambayo inahakikisha kwamba maonyesho ya kipengele cha DOM yamewekwa. Kuweka sifa kuwa "isiyoonekana" kutazuia maudhui ya kipengele hicho kutotolewa au kukaguliwa, na hivyo kuruhusu uwasilishaji ulioboreshwa. Inapowekwa "inayoweza kuamishwa", kivinjari kitaondoa sifa isiyoonekana, itatoa yaliyomo na kuifanya ionekane.
  • Chaguo la API iliyoongezwa Wake lock kulingana na utaratibu wa Ahadi, ambao hutoa njia salama zaidi ya kudhibiti kuzimwa kwa skrini za kujifunga kiotomatiki na kubadili vifaa hadi hali za kuokoa nishati.
• Imetekelezwa uwezo wa kutumia sifa autofocus kwa vipengele vyote vya HTML na SVG ambavyo vinaweza kuwa na mwelekeo wa ingizo.
• Kwa picha na video salama Kokotoa uwiano wa kipengele kulingana na sifa za Upana au Urefu, ambazo zinaweza kutumika kubainisha ukubwa wa picha kwa kutumia CSS katika hatua wakati picha bado haijapakiwa (hutatua tatizo la kuunda upya ukurasa baada ya picha kupakiwa).
• Imeongeza mali ya CSS font-macho-ukubwa, ambayo huweka kiotomati ukubwa wa fonti tofauti katika kuratibu za macho "vizuri", ikiwa fonti inawaunga mkono. Hali hukuruhusu kuchagua umbo la glyph bora kwa saizi maalum, kwa mfano, tumia glyphs tofauti zaidi kwa vichwa.
• Imeongeza mali ya CSS orodha-mtindo-aina, ambayo hukuruhusu kutumia alama zozote badala ya viashiria katika orodha, kwa mfano, “-“, “+”, “★” na “▸”.
• Ikiwa haiwezekani kutekeleza Worklet.addModule(), kitu sasa kinarejeshwa na maelezo ya kina kuhusu asili ya kosa, ambayo inakuwezesha kutathmini kwa usahihi sababu ya kosa (matatizo na uunganisho wa mtandao, syntax isiyo sahihi, nk. .).
• Ilisimamisha usindikaji wa vipengele vya wakati wa kuvihamisha kati ya hati. Wakati wa kuhamisha kati ya hati, utekelezaji wa matukio ya "kosa" na "mzigo" unaohusiana na hati pia umezimwa.
• Katika injini ya JavaScript V8 kutekelezwa Uboreshaji wa kushughulikia mabadiliko kwa uwakilishi wa sehemu katika vitu, na kusababisha utekelezaji wa msimbo wa AngularJS katika kitengo cha majaribio cha Speedometer kinachoendesha kasi ya 4%.
  

• V8 pia huboresha uchakataji wa vidhibiti vilivyofafanuliwa katika API zilizojengewa ndani, kama vile Node.nodeType na Node.nodeName, kwa kukosekana kwa kidhibiti cha IC (uakibishaji wa ndani). Mabadiliko hayo yalipunguza muda uliotumika kwenye muda wa IC kwa takriban 12% wakati wa kufanya majaribio ya Backbone na jQuery kutoka kwa Suite ya Speedometer.
  

• Matokeo ya utaratibu wa OSR (unaoitwa uingizwaji wa mrundikano) huwekwa kwenye akiba, ambayo huchukua nafasi ya msimbo ulioboreshwa wakati wa utendakazi (hukuruhusu kuanza kutumia msimbo ulioboreshwa kwa vitendakazi vya muda mrefu bila kungoja zifanye kazi tena). Uakibishaji wa OSR hufanya iwezekane kutumia matokeo ya uboreshaji wakati wa kutekeleza tena chaguo la kukokotoa, bila hitaji la kupitia uboreshaji upya.
  Katika baadhi ya majaribio, mabadiliko yaliongeza utendaji wa kilele kwa 5-18%.
  

• Mabadiliko katika zana za wasanidi wavuti:
  Imeonekana hali ya kurekebisha ili kuamua sababu za kuzuia ombi au kutuma Kidakuzi.
  
  • Katika kizuizi kilicho na orodha ya Vidakuzi, uwezo wa kuona haraka thamani ya Kidakuzi kilichochaguliwa umeongezwa kwa kubofya kwenye mstari maalum.
    

  • Imeongeza uwezo wa kuiga mipangilio tofauti ya programu-rangi-rangi na hoja za maudhui zinazopendelea-kupunguzwa-kupunguzwa (kwa mfano, kujaribu tabia ya ukurasa na mandhari ya mfumo wa giza au athari zilizohuishwa zimezimwa).
    

  • Muundo wa kichupo cha Coverage umesasishwa, hivyo kukuwezesha kutathmini msimbo uliotumika na haujatumika. Imeongeza uwezo wa kuchuja maelezo kwa aina yake (JavaScript, CSS). Taarifa ya matumizi ya msimbo pia huongezwa wakati wa kuonyesha maandishi chanzo.
    

  • Imeongeza uwezo wa kutatua sababu za kuomba rasilimali fulani ya mtandao baada ya kurekodi shughuli za mtandao (unaweza kuona ufuatiliaji wa simu ya msimbo wa JavaScript ambayo ilisababisha upakiaji wa rasilimali).
    

  • Mipangilio ya "Mipangilio > Mapendeleo > Vyanzo > Ujongezaji Chaguomsingi" ili kubaini aina ya ujongezaji (nafasi 2/4/8 au vichupo) katika msimbo unaoonyeshwa kwenye Paneli za Dashibodi na Vyanzo.

Kando na ubunifu na marekebisho ya hitilafu, toleo jipya huondoa udhaifu 51. Athari nyingi za kiusalama zilitambuliwa kutokana na majaribio ya kiotomatiki kwa kutumia AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer na zana za AFL. Masuala mawili (CVE-2019-13725, kupata kumbukumbu iliyoachiliwa tayari katika msimbo wa usaidizi wa Bluetooth, na CVE-2019-13726, kufurika kwa lundo katika kidhibiti cha nenosiri) yametiwa alama kuwa muhimu, i.e. hukuruhusu kupita viwango vyote vya ulinzi wa kivinjari na utekeleze msimbo kwenye mfumo nje ya mazingira ya kisanduku cha mchanga. Hii ni mara ya kwanza kwa matatizo mawili muhimu kutambuliwa ndani ya mzunguko sawa wa maendeleo katika Chrome. Athari ya kwanza ilipatikana na watafiti kutoka Tencent Keen Security Lab na imeonyeshwa kwenye mashindano ya Kombe la Tianfu, na ya pili ilipatikana na Sergei Glazunov kutoka Google Project Zero.

Kama sehemu ya mpango wa zawadi ya pesa taslimu kwa kugundua udhaifu wa toleo la sasa, Google ililipa tuzo 37 zenye thamani ya $80000 (tuzo moja ya $20000, tuzo moja ya $10000, tuzo mbili za $7500, tuzo nne za $5000, tuzo moja ya $3000, $2000 mbili na $1000 $ 500 tuzo). Ukubwa wa zawadi 15 bado haujabainishwa.

Chanzo: opennet.ru