Paglabas ng Chrome 79

Google ipinakita paglabas ng web browser Chrome 79... Sabay-sabay magagamit matatag na paglabas ng isang libreng proyekto Kromo, na nagsisilbing batayan ng Chrome. Chrome browser naiiba ang paggamit ng mga logo ng Google, ang pagkakaroon ng isang system para sa pagpapadala ng mga abiso kung sakaling magkaroon ng pag-crash, ang kakayahang mag-download ng isang Flash module kapag hiniling, mga module para sa paglalaro ng protektadong nilalaman ng video (DRM), isang sistema para sa awtomatikong pag-install ng mga update at paghahatid sa panahon ng paghahanap Mga parameter ng RLZ. Ang susunod na release ng Chrome 80 ay naka-iskedyul para sa ika-4 ng Pebrero.

Ang pangunahing pagbabago в kromo 79:

• activated Bahagi ng Password Checkup, na idinisenyo upang suriin ang lakas ng mga password na ginagamit ng user. Kapag sinusubukang mag-log in sa anumang site Password Checkup tumutupad pagsuri sa login at password laban sa database ng mga nakompromisong account na may babala kung may nakitang mga problema (ginagawa ang pagsusuri batay sa isang hash prefix sa panig ng user). Isinasagawa ang pagsusuri laban sa isang database na sumasaklaw sa higit sa 4 bilyong nakompromisong account na lumabas sa mga leaked na database ng user. Ang isang babala ay ipinapakita din kapag sinusubukang gumamit ng mga walang kuwentang password tulad ng "abc123". Upang kontrolin ang pagsasama ng Password Checkup, isang espesyal na setting ang ipinatupad sa seksyong "Sync at Google Services."
• Isang bagong teknolohiya para sa pag-detect ng phishing sa real time ay ipinakita. Dati, ang pag-verify ay isinagawa sa pamamagitan ng pag-access sa lokal na na-download na mga blacklist ng Safe Browsing, na ina-update nang humigit-kumulang isang beses bawat 30 minuto, na naging hindi sapat, halimbawa, sa mga kondisyon ng madalas na paglipat ng domain ng mga umaatake. Binibigyang-daan ka ng bagong paraan na suriin ang mga URL nang mabilisan gamit ang isang paunang pagsusuri laban sa mga whitelist na kinabibilangan ng mga hash ng libu-libong sikat na site na mapagkakatiwalaan. Kung ang site na binubuksan ay wala sa puting listahan, sinusuri ng browser ang URL sa server ng Google, na nagpapadala ng unang 32 bits ng SHA-256 hash ng link, kung saan ang posibleng personal na data ay pinutol. Ayon sa Google, ang bagong diskarte ay maaaring mapabuti ang pagiging epektibo ng mga babala para sa mga bagong phishing site ng 30%.
• Nagdagdag ng proactive na proteksyon laban sa paglilipat ng mga kredensyal ng Google at anumang mga password na nakaimbak sa tagapamahala ng password sa pamamagitan ng mga pahina ng phishing. Kung susubukan mong magpasok ng naka-save na password sa isang site kung saan hindi karaniwang ginagamit ang password na iyon, babalaan ang user tungkol sa isang potensyal na mapanganib na aksyon.
• Ang mga koneksyon gamit ang TLS 1.0 at 1.1 ay nagpapakita na ngayon ng hindi secure na indicator ng koneksyon. Ganap na sumusuporta sa TLS 1.0 at 1.1 ay hindi pinagana sa Chrome 81, na nakaiskedyul para sa Marso 17, 2020.
• Idinagdag ang kakayahang mag-freeze ng mga hindi aktibong tab, na nagbibigay-daan sa iyong awtomatikong mag-unload mula sa mga tab ng memorya na nasa background nang higit sa 5 minuto at hindi nagsasagawa ng mga makabuluhang aksyon. Ang desisyon tungkol sa pagiging angkop ng isang partikular na tab para sa pagyeyelo ay ginawa batay sa heuristics. Ang pagpapagana sa function ay kinokontrol sa pamamagitan ng flag na “chrome://flags/#proactive-tab-freeze”.
• Secured Ang pagharang ng halo-halong nilalaman sa mga pahinang binuksan sa HTTPS upang matiyak na ang mga pahinang binuksan sa https:// ay naglalaman lamang ng mga mapagkukunang na-load sa isang secure na channel ng komunikasyon. Kahit na ang mga pinaka-mapanganib na uri ng halo-halong nilalaman, tulad ng mga script at iframe, ay naka-block na bilang default, ang mga imahe, audio file at video ay maaari pa ring ma-download sa pamamagitan ng http://. Ang dating ginamit na mixed content indicator para sa mga naturang pagsingit ay napag-alamang hindi epektibo at nakakapanlinlang sa user, dahil hindi ito nagbibigay ng hindi malabo na pagtatasa ng seguridad ng page. Halimbawa, sa pamamagitan ng panggagaya ng larawan, maaaring palitan ng isang umaatake ang Cookies sa pagsubaybay ng user, subukang samantalahin ang mga kahinaan sa mga processor ng imahe, o gumawa ng pamemeke sa pamamagitan ng pagpapalit sa impormasyong ibinigay sa larawan. Upang hindi paganahin ang pag-lock ng mga pinaghalong bahagi, isang espesyal na setting ang idinagdag, na maaaring ma-access sa pamamagitan ng menu na lilitaw kapag nag-click ka sa simbolo ng lock.
• Nagdagdag ng kakayahang pang-eksperimentong magbahagi ng nilalaman ng clipboard sa pagitan ng mga desktop at mobile na bersyon ng Chrome. Sa mga pagkakataon ng Chrome na naka-link sa isang account, maaari mo na ngayong i-access ang mga nilalaman ng clipboard ng isa pang device, kabilang ang pagbabahagi ng clipboard sa pagitan ng mga mobile at desktop system. Ang mga nilalaman ng clipboard ay naka-encrypt gamit ang end-to-end na pag-encrypt, na pumipigil sa pag-access sa text sa mga server ng Google. Ang function ay pinagana sa pamamagitan ng mga opsyon chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui at chrome://flags#sync-clipboard-service.
• Sa address bar sa ilang mga sandali (halimbawa, kapag nagse-save ng password) kapag naka-off ang pag-synchronize ng profile, bilang karagdagan sa avatar, ipinapakita ang pangalan ng kasalukuyang Google account upang tumpak na matukoy ng user ang kasalukuyang aktibong account.
• Na-activate para sa 1% ng mga user sinusuportahan “DNS over HTTPS” (DoH, DNS over HTTPS). Ang eksperimento ay nagsasangkot lamang ng mga user na ang mga setting ng system ay nakatukoy na ng mga DNS provider na sumusuporta sa DoH. Halimbawa, kung ang user ay may DNS 8.8.8.8 na tinukoy sa mga setting ng system, ang serbisyo ng DoH ng Google (“https://dns.google.com/dns-query”) ay maa-activate sa Chrome; kung ang DNS ay 1.1.1.1. XNUMX, pagkatapos ay serbisyo ng DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), atbp. Para makontrol kung naka-enable ang DoH, ibinigay ang setting na “chrome://flags/#dns-over-https”. Tatlong operating mode ang sinusuportahan: secure, awtomatiko at naka-off. Sa "secure" mode, ang mga host ay tinutukoy lamang batay sa dati nang naka-cache na secure na mga halaga (natanggap sa pamamagitan ng secure na koneksyon) at mga kahilingan sa pamamagitan ng DoH; hindi inilalapat ang fallback sa regular na DNS. Sa "awtomatikong" mode, kung ang DoH at ang secure na cache ay hindi magagamit, ang data ay maaaring makuha mula sa hindi secure na cache at ma-access sa pamamagitan ng tradisyonal na DNS. Sa mode na "off", ang nakabahaging cache ay unang sinusuri at kung walang data, ang kahilingan ay ipinadala sa pamamagitan ng DNS ng system.
• Idinagdag pang-eksperimento sinusuportahan pag-cache ng nai-render na nilalaman kapag nagpapalit ng mga pahina gamit ang pasulong at pabalik na mga pindutan, na maaaring makabuluhang bawasan ang mga pagkaantala sa ganitong uri ng pag-navigate dahil sa kumpletong pag-cache ng buong pahina, na hindi nangangailangan ng muling pag-render at pag-load ng mga mapagkukunan. Ang pag-optimize ay lalo na kapansin-pansin sa bersyon para sa mga mobile device, kung saan ang pagtaas ng pagganap sa panahon ng nabigasyon ay umabot sa 19%. Ang mode ay pinagana gamit ang "chrome://flags#back-forward-cache" na opsyon.
• Tinanggal pagtatakda ng "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains", na pinapayagang ibalik ang pagpapakita ng protocol sa address bar (ngayon ang lahat ng mga link ay palaging ipinapakita nang walang https :// at http:/ /, at walang “www.”).
• Kasama sa mga Build para sa Windows ang sandboxing ng serbisyo ng audio playback. Upang kontrolin kung ang paghihiwalay ay pinagana, ang AudioSandboxEnabled property ay iminungkahi.
• Kasama sa mga sentralisadong tool sa pangangasiwa para sa mga negosyo ang kakayahang tumukoy ng mga panuntunan na kumokontrol sa kung gaano karaming memory ang maaaring gamitin ng isang instance ng browser bago i-unload ang mga tab sa background. Ang memorya na inilabas pagkatapos i-unload ang isang tab ay magiging available para sa paggamit, at ang mga nilalaman ng tab ay na-load muli kapag lumipat dito.
• Gumagamit ang Linux ng built-in na processor ng pag-verify ng certificate, na pumapalit sa dating ginamit na NSS system. Sa kasong ito, patuloy na ginagamit ng built-in na processor ang tindahan ng NSS sa panahon ng pag-verify, ngunit nagpapataw ng mas mahigpit na mga kinakailangan kapag pinoproseso ang maling pag-encode at hiwalay na sertipikadong mga sertipiko (lahat ng mga sertipiko ay dapat na sertipikado ng isang awtoridad sa sertipikasyon).
• Sa bersyon para sa Android platform idinagdag ang kakayahang magtalaga ng mga adaptive na icon para sa mga naka-install na web application na tumatakbo sa Progressive Web Apps (PWA) mode. Maaaring umangkop ang mga adaptive na icon sa interface na ginagamit ng manufacturer ng device, halimbawa, bilog, parisukat, o may makinis na sulok.
• Idinagdag API WebXR device, na nagbibigay ng access sa mga bahagi para sa paglikha ng virtual at augmented reality. Binibigyang-daan ka ng API na pag-isahin ang trabaho sa iba't ibang klase ng mga device, mula sa mga nakatigil na virtual reality headset tulad ng Oculus Rift, HTC Vive at Windows Mixed Reality, hanggang sa mga solusyong batay sa mga mobile device gaya ng Google Daydream View at Samsung Gear VR. Ang mga application kung saan maaaring naaangkop ang bagong API ay kinabibilangan ng mga programa para sa panonood ng video sa 360° mode, mga system para sa pagpapakita ng three-dimensional na espasyo, paglikha ng mga virtual na sinehan para sa pagtatanghal ng video, pagsasagawa ng mga eksperimento sa paglikha ng mga 3D na interface para sa mga tindahan at gallery;
  

• Sa Origin Trials mode (mga pang-eksperimentong feature na nangangailangan ng hiwalay pagpapagana) ilang bagong API ang iminungkahi. Ipinahihiwatig ng Origin Trial ang kakayahang magtrabaho kasama ang tinukoy na API mula sa mga application na na-download mula sa localhost o 127.0.0.1, o pagkatapos magrehistro at makatanggap ng espesyal na token na may bisa sa limitadong oras para sa isang partikular na site.
  • Para sa lahat ng elemento ng HTML, ang attribute na "rendersubtree" ay iminungkahi, na nagsisiguro na ang pagpapakita ng elemento ng DOM ay naayos. Ang pagtatakda ng attribute sa "invisible" ay pipigilan ang nilalaman ng elemento mula sa pag-render o pagsisiyasat, na nagbibigay-daan para sa na-optimize na pag-render. Kapag nakatakda sa "naa-activate," aalisin ng browser ang hindi nakikitang katangian, ire-render ang nilalaman at gagawin itong nakikita.
  • Nagdagdag ng opsyon sa API Wake lock batay sa mekanismo ng Pangako, na nagbibigay ng mas secure na paraan upang makontrol ang hindi pagpapagana ng mga auto-lock na screen at paglipat ng mga device sa power-saving mode.
• Ipinatupad ang kakayahang gamitin ang katangian auto focus para sa lahat ng HTML at SVG na elemento na maaaring magkaroon ng input focus.
• Para sa mga larawan at video secured Kalkulahin ang aspect ratio batay sa mga attribute ng Width o Height, na maaaring magamit upang matukoy ang laki ng larawan gamit ang CSS sa yugto kung kailan hindi pa naglo-load ang larawan (nalulutas ang problema sa muling pagbuo ng page pagkatapos ma-load ang mga larawan).
• Nagdagdag ng CSS property font-optical-siizing, na awtomatikong nagtatakda ng variable na laki ng font sa optical coordinates "opsz", kung sinusuportahan sila ng font. Binibigyang-daan ka ng mode na piliin ang pinakamainam na hugis ng glyph para sa isang tinukoy na laki, halimbawa, gumamit ng higit pang magkakaibang mga glyph para sa mga heading.
• Nagdagdag ng CSS property list-style-type, na nagbibigay-daan sa iyong gumamit ng anumang mga simbolo sa halip na mga tuldok sa mga listahan, halimbawa, “-“, “+”, “★” at “▸”.
• Kung imposibleng isagawa ang Worklet.addModule(), ibabalik na ngayon ang isang bagay na may kasamang detalyadong impormasyon tungkol sa uri ng error, na nagbibigay-daan sa iyong mas tumpak na masuri ang sanhi ng error (mga problema sa koneksyon sa network, maling syntax, atbp. .).
• Huminto sa pagproseso ng mga elemento ng kapag inilipat ang mga ito sa pagitan ng mga dokumento. Kapag naglilipat sa pagitan ng mga dokumento, hindi pinagana rin ang pagpapatupad ng mga kaganapang "error" at "load" na nauugnay sa script.
• Sa JavaScript engine V8 isinagawa Pag-optimize ng paghawak ng mga pagbabago sa representasyon ng mga field sa mga bagay, na nagreresulta sa AngularJS code execution sa Speedometer test suite na tumatakbo nang 4% na mas mabilis.
  

• Ino-optimize din ng V8 ang pagpoproseso ng mga getter na tinukoy sa mga built-in na API, gaya ng Node.nodeType at Node.nodeName, sa kawalan ng IC handler (inline caching). Binawasan ng pagbabago ang oras na ginugol sa IC runtime ng humigit-kumulang 12% kapag nagpapatakbo ng Backbone at jQuery na mga pagsubok mula sa Speedometer suite.
  

• Ang mga resulta ng mekanismo ng OSR (tinatawag na on-stack replacement) ay naka-cache, na pumapalit sa na-optimize na code sa panahon ng pagpapatupad ng function (nagbibigay-daan sa iyong simulang gumamit ng na-optimize na code para sa mga function na matagal nang tumatakbo nang hindi naghihintay na tumakbo muli ang mga ito). Ginagawang posible ng OSR caching na gamitin ang mga resulta ng pag-optimize kapag muling pinapatakbo ang function, nang hindi na kailangang dumaan sa muling pag-optimize.
  Sa ilang pagsubok, pinataas ng pagbabago ang peak performance ng 5–18%.
  

• Mga pagbabago sa mga tool para sa mga web developer:
  Lumitaw debugging mode upang matukoy ang mga dahilan ng pagharang sa isang kahilingan o pagpapadala ng Cookie.
  
  • Sa block na may listahan ng Cookie, ang kakayahang mabilis na tingnan ang halaga ng napiling Cookie ay naidagdag sa pamamagitan ng pag-click sa isang partikular na linya.
    

  • Nagdagdag ng kakayahang gayahin ang iba't ibang mga setting para sa prefers-color-scheme at prefers-reduced-motion media query (halimbawa, upang subukan ang gawi ng page na may madilim na tema ng system o may mga animated na effect na hindi pinagana).
    

  • Ang disenyo ng tab na Coverage ay na-moderno, na nagbibigay-daan sa iyong suriin ang code na ginamit at hindi ginagamit. Nagdagdag ng kakayahang mag-filter ng impormasyon ayon sa uri nito (JavaScript, CSS). Ang impormasyon sa paggamit ng code ay idinaragdag din kapag ipinapakita ang pinagmulang teksto.
    

  • Idinagdag ang kakayahang i-debug ang mga dahilan para sa paghiling ng isang partikular na mapagkukunan ng network pagkatapos i-record ang aktibidad ng network (maaari mong tingnan ang isang bakas ng tawag sa JavaScript code na humantong sa pag-load ng mapagkukunan).
    

  • Idinagdag ang setting na "Mga Setting > Mga Kagustuhan > Mga Pinagmulan > Default na Indentation" upang matukoy ang uri ng indentation (2/4/8 na mga puwang o tab) sa code na ipinapakita sa mga panel ng Console at Sources.

Bilang karagdagan sa mga inobasyon at pag-aayos ng bug, inaalis ng bagong bersyon ang 51 mga kahinaan. Marami sa mga kahinaan ang natukoy bilang resulta ng awtomatikong pagsubok gamit ang AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer at AFL tool. Dalawang isyu (CVE-2019-13725, pag-access sa nabakanteng memorya sa code para sa suporta sa Bluetooth, at CVE-2019-13726, heap overflow sa tagapamahala ng password) ay minarkahan bilang kritikal, i.e. nagbibigay-daan sa iyong i-bypass ang lahat ng antas ng proteksyon ng browser at isagawa ang code sa system sa labas ng kapaligiran ng sandbox. Ito ang unang pagkakataon na natukoy ang dalawang kritikal na problema sa loob ng parehong yugto ng pag-unlad sa Chrome. Ang unang kahinaan ay natagpuan ng mga mananaliksik mula sa Tencent Keen Security Lab at ipinakita sa kompetisyon ng Tianfu Cup, at ang pangalawa ay natagpuan ni Sergei Glazunov mula sa Google Project Zero.

Bilang bahagi ng cash reward program para sa pagtuklas ng mga kahinaan para sa kasalukuyang release, nagbayad ang Google ng 37 na parangal na nagkakahalaga ng $80000 (isang $20000 award, isang $10000 award, dalawang $7500 na parangal, apat na $5000 na parangal, isang $3000 na parangal, dalawang $2000 na parangal, at dalawang $1000 na parangal, at dalawang $500 na parangal $15 na parangal). Ang laki ng XNUMX reward ay hindi pa natutukoy.

Pinagmulan: opennet.ru