Chrome รุ่น 79

Google นำเสนอ การเปิดตัวเว็บเบราว์เซอร์ 79 Chrome... พร้อมกัน ใช้ได้ การเปิดตัวโครงการฟรีที่เสถียร โครเมียมซึ่งเป็นพื้นฐานของ Chrome เบราว์เซอร์ Chrome ต่าง การใช้โลโก้ Google, การมีระบบสำหรับส่งการแจ้งเตือนในกรณีที่เกิดการขัดข้อง, ความสามารถในการโหลดโมดูล Flash ตามความต้องการ, โมดูลสำหรับเล่นเนื้อหาวิดีโอที่มีการป้องกัน (DRM), ระบบอัปเดตอัตโนมัติ และการส่งในการค้นหา พารามิเตอร์ RLZ. Chrome 80 รุ่นถัดไปมีกำหนดการในวันที่ 4 กุมภาพันธ์

หลัก การเปลี่ยนแปลง в Chrome 79:

• เปิดใช้งาน องค์ประกอบการตรวจสอบรหัสผ่าน ออกแบบมาเพื่อวิเคราะห์ความรัดกุมของรหัสผ่านที่ผู้ใช้ใช้ เมื่อพยายามเข้าสู่ระบบการตรวจสอบรหัสผ่านของเว็บไซต์ใดๆ เติมเต็ม ตรวจสอบการเข้าสู่ระบบและรหัสผ่านกับฐานข้อมูลของบัญชีที่ถูกบุกรุกพร้อมคำเตือนหากตรวจพบปัญหา (การตรวจสอบจะดำเนินการตามคำนำหน้าแฮชที่ฝั่งผู้ใช้) การตรวจสอบจะดำเนินการกับฐานข้อมูลที่ครอบคลุมบัญชีที่ถูกบุกรุกมากกว่า 4 พันล้านบัญชีที่ปรากฏในฐานข้อมูลผู้ใช้ที่รั่วไหล คำเตือนจะแสดงขึ้นเมื่อพยายามใช้รหัสผ่านเล็กๆ น้อยๆ เช่น "abc123" เพื่อควบคุมการรวมการตรวจสอบรหัสผ่าน จึงมีการตั้งค่าพิเศษในส่วน "การซิงค์และบริการของ Google"
• มีการนำเสนอเทคโนโลยีใหม่สำหรับการตรวจจับฟิชชิ่งแบบเรียลไทม์ ก่อนหน้านี้ การยืนยันทำได้โดยการเข้าถึงบัญชีดำ Safe Browsing ที่ดาวน์โหลดในเครื่อง ซึ่งได้รับการอัปเดตประมาณทุกๆ 30 นาที ซึ่งปรากฏว่าไม่เพียงพอ เช่น ในสภาวะที่มีการสลับโดเมนบ่อยครั้งโดยผู้โจมตี วิธีการใหม่นี้ช่วยให้คุณตรวจสอบ URL ได้ทันทีด้วยการตรวจสอบเบื้องต้นกับรายการที่อนุญาตพิเศษซึ่งมีแฮชของเว็บไซต์ยอดนิยมหลายพันแห่งที่น่าเชื่อถือ หากไซต์ที่เปิดไม่อยู่ในไวท์ลิสต์ เบราว์เซอร์จะตรวจสอบ URL บนเซิร์ฟเวอร์ของ Google โดยส่งแฮช SHA-32 256 บิตแรกของลิงก์ ซึ่งข้อมูลส่วนบุคคลที่เป็นไปได้จะถูกตัดออกไป จากข้อมูลของ Google แนวทางใหม่สามารถปรับปรุงประสิทธิภาพของคำเตือนสำหรับไซต์ฟิชชิ่งใหม่ได้ 30%
• เพิ่มการป้องกันเชิงรุกต่อการถ่ายโอนข้อมูลรับรอง Google และรหัสผ่านใด ๆ ที่จัดเก็บไว้ในเครื่องมือจัดการรหัสผ่านผ่านหน้าฟิชชิ่ง หากคุณพยายามป้อนรหัสผ่านที่บันทึกไว้บนไซต์ที่ปกติไม่ได้ใช้รหัสผ่านนั้น ผู้ใช้จะได้รับคำเตือนเกี่ยวกับการกระทำที่อาจเป็นอันตราย
• การเชื่อมต่อที่ใช้ TLS 1.0 และ 1.1 ตอนนี้แสดงตัวบ่งชี้การเชื่อมต่อที่ไม่ปลอดภัย รองรับ TLS 1.0 และ 1.1 อย่างสมบูรณ์ จะถูกปิดการใช้งาน ใน Chrome 81 กำหนดไว้ในวันที่ 17 มีนาคม 2020
• เพิ่มความสามารถในการหยุดแท็บที่ไม่ได้ใช้งาน ทำให้คุณสามารถยกเลิกการโหลดจากแท็บหน่วยความจำที่อยู่ในพื้นหลังนานกว่า 5 นาทีได้โดยอัตโนมัติ และไม่ดำเนินการใดๆ ที่สำคัญ การตัดสินใจเกี่ยวกับความเหมาะสมของแท็บเฉพาะสำหรับการแช่แข็งนั้นขึ้นอยู่กับการวิเคราะห์พฤติกรรม การเปิดใช้งานฟังก์ชันนี้ควบคุมผ่านแฟล็ก “chrome://flags/#proactive-tab-freeze”
• ปลอดภัย การบล็อกเนื้อหาแบบผสมบนเพจที่เปิดผ่าน HTTPS เพื่อให้แน่ใจว่าเพจที่เปิดผ่าน https:// มีเฉพาะทรัพยากรที่โหลดผ่านช่องทางการสื่อสารที่ปลอดภัย แม้ว่าเนื้อหาผสมประเภทที่อันตรายที่สุด เช่น สคริปต์และ iframe จะถูกบล็อกโดยค่าเริ่มต้นแล้ว แต่รูปภาพ ไฟล์เสียง และวิดีโอยังคงสามารถดาวน์โหลดได้ผ่าน http:// ตัวบ่งชี้เนื้อหาแบบผสมที่ใช้ก่อนหน้านี้สำหรับการแทรกดังกล่าวพบว่าไม่ได้ผลและทำให้ผู้ใช้เข้าใจผิด เนื่องจากไม่ได้ให้การประเมินความปลอดภัยของเพจที่ชัดเจน ตัวอย่างเช่น ด้วยการปลอมแปลงรูปภาพ ผู้โจมตีสามารถใช้แทนคุกกี้ติดตามผู้ใช้ พยายามหาประโยชน์จากช่องโหว่ในโปรเซสเซอร์รูปภาพ หรือกระทำการปลอมแปลงโดยแทนที่ข้อมูลที่ให้ไว้ในรูปภาพ หากต้องการปิดใช้งานการล็อคส่วนประกอบแบบผสม เราได้เพิ่มการตั้งค่าพิเศษซึ่งสามารถเข้าถึงได้ผ่านเมนูที่ปรากฏขึ้นเมื่อคุณคลิกที่สัญลักษณ์ล็อค
• เพิ่มความสามารถในการทดลองเพื่อแชร์เนื้อหาคลิปบอร์ดระหว่าง Chrome เวอร์ชันเดสก์ท็อปและมือถือ ในกรณีของ Chrome ที่เชื่อมโยงกับบัญชีหนึ่ง ตอนนี้คุณสามารถเข้าถึงเนื้อหาของคลิปบอร์ดของอุปกรณ์อื่นได้ รวมถึงการแชร์คลิปบอร์ดระหว่างระบบมือถือและเดสก์ท็อป เนื้อหาของคลิปบอร์ดได้รับการเข้ารหัสโดยใช้การเข้ารหัสจากต้นทางถึงปลายทาง ซึ่งจะป้องกันการเข้าถึงข้อความบนเซิร์ฟเวอร์ของ Google ฟังก์ชั่นนี้เปิดใช้งานผ่านตัวเลือก chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui และ chrome://flags#sync-clipboard-service
• ในแถบที่อยู่ในช่วงเวลาหนึ่ง (เช่น เมื่อบันทึกรหัสผ่าน) เมื่อปิดการซิงโครไนซ์โปรไฟล์ นอกเหนือจากอวตารแล้ว ชื่อของบัญชี Google ปัจจุบันจะปรากฏขึ้นเพื่อให้ผู้ใช้สามารถระบุบัญชีที่ใช้งานอยู่ในปัจจุบันได้อย่างถูกต้อง
• เปิดใช้งานสำหรับผู้ใช้ 1% สนับสนุน “DNS ผ่าน HTTPS” (DoH, DNS ผ่าน HTTPS) การทดลองเกี่ยวข้องกับเฉพาะผู้ใช้ที่การตั้งค่าระบบได้ระบุผู้ให้บริการ DNS ที่รองรับ DoH แล้ว ตัวอย่างเช่น หากผู้ใช้ระบุ DNS 8.8.8.8 ในการตั้งค่าระบบ บริการ DoH ของ Google (“https://dns.google.com/dns-query”) จะถูกเปิดใช้งานใน Chrome หาก DNS เป็น 1.1.1.1 XNUMX จากนั้นบริการ DoH Cloudflare (“https://cloudflare-dns.com/dns-query”) เป็นต้น หากต้องการควบคุมว่าจะเปิดใช้งาน DoH หรือไม่ จะมีการตั้งค่า "chrome://flags/#dns-over-https" รองรับโหมดการทำงานสามโหมด: ปลอดภัย อัตโนมัติ และปิด ในโหมด "ปลอดภัย" โฮสต์จะถูกกำหนดตามค่าความปลอดภัยที่แคชไว้ก่อนหน้านี้เท่านั้น (ได้รับผ่านการเชื่อมต่อที่ปลอดภัย) และคำขอผ่าน DoH จะไม่มีการใช้ทางเลือกสำรองเป็น DNS ปกติ ในโหมด “อัตโนมัติ” หาก DoH และแคชที่ปลอดภัยไม่พร้อมใช้งาน จะสามารถดึงข้อมูลจากแคชที่ไม่ปลอดภัยและเข้าถึงได้ผ่าน DNS แบบเดิม ในโหมด "ปิด" แคชที่ใช้ร่วมกันจะถูกตรวจสอบก่อน และหากไม่มีข้อมูล คำขอจะถูกส่งผ่าน DNS ของระบบ
• เพิ่มการทดลอง สนับสนุน การแคชเนื้อหาที่แสดงผลเมื่อเปลี่ยนหน้าโดยใช้ปุ่มไปข้างหน้าและย้อนกลับ ซึ่งสามารถลดความล่าช้าได้อย่างมากในระหว่างการนำทางประเภทนี้ เนื่องจากการแคชทั้งหน้าโดยสมบูรณ์ ซึ่งไม่จำเป็นต้องแสดงผลซ้ำและโหลดทรัพยากร การเพิ่มประสิทธิภาพจะเห็นได้ชัดเจนเป็นพิเศษในเวอร์ชันสำหรับอุปกรณ์มือถือซึ่งประสิทธิภาพเพิ่มขึ้นระหว่างการนำทางถึง 19% โหมดนี้เปิดใช้งานโดยใช้ตัวเลือก “chrome://flags#back-forward-cache”
• ลบออก การตั้งค่า “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains” ซึ่งอนุญาตให้ส่งคืนการแสดงโปรโตคอลในแถบที่อยู่ (ตอนนี้ลิงก์ทั้งหมดจะแสดงโดยไม่มี https เสมอ :// และ http:/ / และไม่มี “www”)
• รุ่นสำหรับ Windows รวมถึงแซนด์บ็อกซ์ของบริการเล่นเสียง หากต้องการควบคุมว่าจะเปิดใช้งานการแยกหรือไม่ ให้เสนอคุณสมบัติ AudioSandboxEnabled
• เครื่องมือการดูแลระบบแบบรวมศูนย์สำหรับองค์กรประกอบด้วยความสามารถในการกำหนดกฎที่ควบคุมจำนวนหน่วยความจำที่อินสแตนซ์ของเบราว์เซอร์สามารถใช้ได้ก่อนที่จะยกเลิกการโหลดแท็บพื้นหลัง หน่วยความจำที่ปล่อยออกมาหลังจากยกเลิกการโหลดแท็บจะพร้อมใช้งาน และเนื้อหาของแท็บจะถูกโหลดอีกครั้งเมื่อเปลี่ยนไปใช้
• Linux ใช้โปรเซสเซอร์ตรวจสอบใบรับรองในตัว ซึ่งมาแทนที่ระบบ NSS ที่ใช้ก่อนหน้านี้ ในกรณีนี้ โปรเซสเซอร์ในตัวยังคงใช้ที่เก็บ NSS ในระหว่างการตรวจสอบ แต่กำหนดข้อกำหนดที่เข้มงวดมากขึ้นเมื่อประมวลผลใบรับรองที่เข้ารหัสไม่ถูกต้องและใบรับรองที่ได้รับการรับรองแยกต่างหาก (ใบรับรองทั้งหมดจะต้องได้รับการรับรองโดยผู้ออกใบรับรอง)
• ในเวอร์ชันสำหรับแพลตฟอร์ม Android เพิ่ม ความสามารถในการกำหนดไอคอนแบบปรับได้สำหรับแอปพลิเคชันเว็บที่ติดตั้งซึ่งทำงานในโหมด Progressive Web Apps (PWA) ไอคอนแบบปรับเปลี่ยนได้สามารถปรับให้เข้ากับอินเทอร์เฟซที่ผู้ผลิตอุปกรณ์ใช้ เช่น ทรงกลม สี่เหลี่ยม หรือมุมเรียบ
• เพิ่ม API อุปกรณ์ WebXRซึ่งให้การเข้าถึงส่วนประกอบสำหรับการสร้างความเป็นจริงเสมือนและความเป็นจริงเสริม API ช่วยให้คุณสามารถรวมการทำงานเข้ากับอุปกรณ์ประเภทต่างๆ ตั้งแต่ชุดหูฟังความเป็นจริงเสมือนแบบอยู่กับที่ เช่น Oculus Rift, HTC Vive และ Windows Mixed Reality ไปจนถึงโซลูชันที่ใช้อุปกรณ์เคลื่อนที่ เช่น Google Daydream View และ Samsung Gear VR แอปพลิเคชันที่อาจใช้ API ใหม่ ได้แก่ โปรแกรมสำหรับการดูวิดีโอในโหมด 360° ระบบสำหรับการแสดงภาพพื้นที่สามมิติ การสร้างโรงภาพยนตร์เสมือนจริงสำหรับการนำเสนอวิดีโอ การทำการทดลองเกี่ยวกับการสร้างอินเทอร์เฟซ 3 มิติสำหรับร้านค้าและแกลเลอรี
  

• ในโหมด Origin Trials (ฟีเจอร์ทดลองที่ต้องแยกกัน การเปิดใช้งาน) มีการเสนอ API ใหม่หลายรายการ Origin Trial หมายถึงความสามารถในการทำงานกับ API ที่ระบุจากแอปพลิเคชันที่ดาวน์โหลดจาก localhost หรือ 127.0.0.1 หรือหลังจากการลงทะเบียนและรับโทเค็นพิเศษซึ่งใช้ได้ในระยะเวลาจำกัดสำหรับไซต์เฉพาะ
  • สำหรับองค์ประกอบ HTML ทั้งหมด มีการเสนอแอตทริบิวต์ "rendersubtree" ซึ่งช่วยให้มั่นใจได้ว่าการแสดงองค์ประกอบ DOM ได้รับการแก้ไขแล้ว การตั้งค่าแอตทริบิวต์เป็น "มองไม่เห็น" จะป้องกันไม่ให้เนื้อหาขององค์ประกอบแสดงผลหรือตรวจสอบ ซึ่งช่วยให้สามารถเพิ่มประสิทธิภาพการแสดงผลได้ เมื่อตั้งค่าเป็น "เปิดใช้งานได้" เบราว์เซอร์จะลบแอตทริบิวต์ที่มองไม่เห็น แสดงผลเนื้อหา และทำให้มองเห็นได้
  • เพิ่มตัวเลือก API ล็อกปลุก ขึ้นอยู่กับกลไก Promise ซึ่งให้วิธีที่ปลอดภัยยิ่งขึ้นในการควบคุมการปิดใช้งานหน้าจอล็อคอัตโนมัติและการสลับอุปกรณ์เป็นโหมดประหยัดพลังงาน
• ปรับใช้ความสามารถในการใช้แอตทริบิวต์ ออโต้โฟกัส สำหรับองค์ประกอบ HTML และ SVG ทั้งหมดที่สามารถมีโฟกัสอินพุตได้
• สำหรับภาพและวิดีโอ ปลอดภัย คำนวณอัตราส่วนภาพตามแอตทริบิวต์ความกว้างหรือความสูง ซึ่งสามารถใช้เพื่อกำหนดขนาดของรูปภาพโดยใช้ CSS ในขั้นตอนที่ยังไม่ได้โหลดรูปภาพ (แก้ปัญหาด้วยการสร้างหน้าใหม่หลังจากโหลดรูปภาพแล้ว)
• เพิ่มคุณสมบัติ CSS ขนาดตัวอักษรออปติคอลซึ่งจะกำหนดขนาดตัวอักษรตัวแปรในพิกัดแสงโดยอัตโนมัติ "opsz" หากแบบอักษรรองรับ โหมดนี้ให้คุณเลือกรูปร่างสัญลักษณ์ที่เหมาะสมที่สุดสำหรับขนาดที่ระบุ เช่น ใช้สัญลักษณ์ที่ตัดกันมากขึ้นสำหรับส่วนหัว
• เพิ่มคุณสมบัติ CSS รายการสไตล์ประเภทซึ่งช่วยให้คุณสามารถใช้สัญลักษณ์ใดๆ แทนจุดในรายการได้ เช่น "-", "+", "★" และ "▸"
• หากเป็นไปไม่ได้ที่จะดำเนินการ Worklet.addModule() ขณะนี้ออบเจ็กต์จะถูกส่งกลับพร้อมข้อมูลโดยละเอียดเกี่ยวกับลักษณะของข้อผิดพลาด ซึ่งช่วยให้คุณประเมินสาเหตุของข้อผิดพลาดได้แม่นยำยิ่งขึ้น (ปัญหาเกี่ยวกับการเชื่อมต่อเครือข่าย ไวยากรณ์ที่ไม่ถูกต้อง ฯลฯ .)
• หยุดการประมวลผลรายการ при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• ในเอ็นจิ้น JavaScript V8 ดำเนินการ การเพิ่มประสิทธิภาพการจัดการการเปลี่ยนแปลงการแสดงฟิลด์ในออบเจ็กต์ ส่งผลให้การเรียกใช้โค้ด AngularJS ในชุดทดสอบ Speedometer ทำงานเร็วขึ้น 4%
  

• V8 ยังปรับการประมวลผล getters ที่กำหนดไว้ใน API ในตัว เช่น Node.nodeType และ Node.nodeName ในกรณีที่ไม่มีตัวจัดการ IC (การแคชแบบอินไลน์) การเปลี่ยนแปลงนี้ช่วยลดเวลาที่ใช้ในรันไทม์ของ IC ลงประมาณ 12% เมื่อรันการทดสอบ Backbone และ jQuery จากชุด Speedometer
  

• ผลลัพธ์ของกลไก OSR (เรียกว่าการแทนที่ on-stack) จะถูกแคชไว้ ซึ่งจะแทนที่โค้ดที่ได้รับการปรับปรุงในระหว่างการเรียกใช้ฟังก์ชัน (ช่วยให้คุณเริ่มใช้โค้ดที่ปรับให้เหมาะสมสำหรับฟังก์ชันที่รันระยะยาวโดยไม่ต้องรอให้เรียกใช้อีกครั้ง) การแคช OSR ช่วยให้สามารถใช้ผลลัพธ์การปรับให้เหมาะสมเมื่อเรียกใช้ฟังก์ชันอีกครั้ง โดยไม่จำเป็นต้องผ่านการเพิ่มประสิทธิภาพอีกครั้ง
  ในการทดสอบบางอย่าง การเปลี่ยนแปลงเพิ่มประสิทธิภาพสูงสุดได้ 5–18%
  

• การเปลี่ยนแปลงเครื่องมือสำหรับนักพัฒนาเว็บ:
  ปรากฏตัว โหมดแก้ไขข้อบกพร่องเพื่อระบุเหตุผลในการบล็อกคำขอหรือส่งคุกกี้
  
  • ในบล็อกที่มีรายการคุกกี้ ความสามารถในการดูค่าของคุกกี้ที่เลือกได้อย่างรวดเร็วได้ถูกเพิ่มโดยการคลิกที่บรรทัดที่ต้องการ
    

  • เพิ่มความสามารถในการจำลองการตั้งค่าที่แตกต่างกันสำหรับคิวรีสื่อที่ชอบแบบสีและแบบลดการเคลื่อนไหว (เช่น เพื่อทดสอบพฤติกรรมของเพจด้วยธีมระบบมืดหรือปิดใช้งานเอฟเฟกต์ภาพเคลื่อนไหว)
    

  • การออกแบบแท็บความครอบคลุมได้รับการปรับปรุงให้ทันสมัย ​​ช่วยให้คุณสามารถประเมินโค้ดที่ใช้และไม่ได้ใช้ เพิ่มความสามารถในการกรองข้อมูลตามประเภท (JavaScript, CSS) ข้อมูลการใช้รหัสยังถูกเพิ่มเมื่อแสดงข้อความต้นฉบับ
    

  • เพิ่มความสามารถในการแก้ไขเหตุผลในการร้องขอทรัพยากรเครือข่ายเฉพาะหลังจากบันทึกกิจกรรมเครือข่าย (คุณสามารถดูการติดตามการเรียกโค้ด JavaScript ที่นำไปสู่การโหลดทรัพยากร)
    

  • เพิ่มการตั้งค่า “การตั้งค่า > การตั้งค่า > แหล่งที่มา > การเยื้องเริ่มต้น” เพื่อกำหนดประเภทของการเยื้อง (ช่องว่าง 2/4/8 หรือแท็บ) ในโค้ดที่แสดงในแผงคอนโซลและแหล่งที่มา

นอกเหนือจากนวัตกรรมและการแก้ไขข้อบกพร่องแล้ว เวอร์ชันใหม่ยังกำจัดช่องโหว่ 51 รายการ ช่องโหว่จำนวนมากถูกระบุอันเป็นผลมาจากการทดสอบอัตโนมัติโดยใช้เครื่องมือ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer และ AFL ปัญหาสองประการ (CVE-2019-13725 การเข้าถึงหน่วยความจำที่ว่างแล้วในโค้ดสำหรับการรองรับ Bluetooth และ CVE-2019-13726 ฮีปโอเวอร์โฟลว์ในตัวจัดการรหัสผ่าน) ถูกทำเครื่องหมายว่าสำคัญ เช่น ช่วยให้คุณสามารถข้ามการป้องกันเบราว์เซอร์ทุกระดับและรันโค้ดบนระบบภายนอกสภาพแวดล้อมแซนด์บ็อกซ์ นี่เป็นครั้งแรกที่มีการระบุปัญหาร้ายแรง XNUMX ปัญหาภายในวงจรการพัฒนาเดียวกันใน Chrome ช่องโหว่แรกถูกค้นพบโดยนักวิจัยจาก Tencent Keen Security Lab และ แสดงให้เห็น ในการแข่งขัน Tianfu Cup และรายการที่สองพบโดย Sergei Glazunov จาก Google Project Zero

Google จ่ายเงินรางวัล 37 รางวัลมูลค่า 80000 ดอลลาร์สหรัฐฯ (20000 รางวัล 10000 ดอลลาร์สหรัฐฯ 7500 รางวัล 5000 ดอลลาร์สหรัฐฯ 3000 รางวัล 2000 ดอลลาร์ 1000 รางวัล 500 ดอลลาร์ 15 รางวัล XNUMX รางวัล XNUMX ดอลลาร์ XNUMX รางวัล XNUMX ดอลลาร์ XNUMX รางวัล และ XNUMX ดอลลาร์ XNUMX รางวัล) และแปดรางวัล $XNUMX) ขนาดของรางวัลทั้ง XNUMX ชิ้นยังไม่ได้กำหนด

ที่มา: opennet.ru