компанія Google реліз web-браузера . Одночасно стабільний випуск вільного проекту , що є основою Chrome. Браузер Chrome використанням логотипів Google, наявністю системи надсилання повідомлень у разі краху, можливістю завантаження модуля Flash на запит, модулями для відтворення захищеного відеоконтенту (DRM), системою автоматичної установки оновлень та передачею при пошуку . Наступний випуск Chrome 79 заплановано на 10 грудня.
:
- експериментальна підтримка DNS поверх HTTPS (DoH, DNS over HTTPS), яка буде вибірково включена для окремих категорій користувачів, в системних настойках яких вже вказані DNS-провайдери, що підтримують DoH. Наприклад, якщо у користувача в системних налаштуваннях вказано DNS 8.8.8.8, то в Chrome буде активовано DoH-сервіс Google ("https://dns.google.com/dns-query"), якщо DNS - 1.1.1.1, то DoH сервіс Cloudflare ("https://cloudflare-dns.com/dns-query") і т.п.
Для керування включенням DoH передбачено налаштування "chrome://flags/#dns-over-https". Підтримується три режими роботи "secure", "automatic" та "off". У режимі "secure" хости визначаються тільки на основі раніше прокешованих безпечних значень (отриманих через захищене з'єднання) та запитів через DoH, відкат на звичайний DNS не застосовується. У режимі «automatic» якщо DoH та захищений кеш недоступні, допускається отримання даних з небезпечного кешу та звернення через традиційний DNS. У режимі off спочатку перевіряється загальний кеш і якщо даних немає, запит надсилається через системний DNS.
- У засобах синхронізації з'явилася попередня підтримка спільного буфера обміну, яка поки не активована всім користувачам. У зв'язаних одним обліковим записом екземплярах Chrome тепер можна отримати доступ до вмісту буфера обміну іншого пристрою, у тому числі можливий спільний доступ до буфера обміну між мобільною та настільною системою. Вміст буфера обміну шифрується із застосуванням наскрізного (end-to-end) шифрування, що не дозволяє отримати доступ до тексту на серверах Google;
- Для окремих категорій користувачів включено експериментальну можливість зміни теми оформлення та кастомізації екрана, що показується під час відкриття нової вкладки. У меню «Налаштувати», яке відображається в нижньому правому кутку екрана нової вкладки, крім вибору фонового зображення, з'явилася підтримка зміни методу компонування ярликів та можливість зміни теми оформлення. Ярлики можуть бути автоматично запропоновані на основі сайтів, що найчастіше відкриваються, підібрані користувачем або взагалі відключені. Тему оформлення можна вибрати з набору певних тем або створивши власну на основі вибору бажаних кольорів на панелі. Для включення нових можливостей можна використовувати прапори «chrome://flags/#ntp-customization-menu-v2» та
"chrome://flags/#chrome-colors"; - Для підприємств в адресному рядку за замовчуванням увімкнено можливість пошуку файлів у сховищі Google Drive. Пошук здійснюється не лише за заголовками, а й за вмістом документів з урахуванням історії їх відкриття у минулому;
- До складу включено компонент Password Checkup, який поступово активуватиметься для окремих категорій користувачів (для примусового включення передбачено прапор "chrome://flags/#password-leak-detection"). Password Checkup раніше у вигляді , призначеного для аналізу надійності паролів, що використовуються користувачем. При спробі входу на будь-який сайт Password Checkup виконує перевірку логіну та пароля за базою скомпрометованих облікових записів з виведенням попередження у разі виявлення проблем (перевірка на основі хеш-префіксу на стороні користувача). Перевірка здійснюється за базою, що охоплює понад 4 мільярди скомпрометованих акаунтів, що фігурували в витоках баз користувача. Попередження також виводиться при спробі використання тривіальних паролів, таких як abc123;
- Додано можливість ініціювання дзвінка з Android-пристрою, прив'язаного до того ж облікового запису Google. У настільному браузері користувач може виділити номер телефону в тексті, клацнути правою кнопкою миші і перенаправити операцію здійснення дзвінка на Android-пристрій, після чого на телефоні спливе повідомлення, що дозволяє ініціювати дзвінок;
- Змінено формат підказки, що відображається під час наведення миші на заголовок вкладки. Підказка тепер відображається у вигляді спливаючого блоку, на якому показано повний текст заголовка та URL-адреси сторінки. Блок зручно використовувати для швидкого пошуку потрібної сторінки при відкритті дуже великої кількості вкладок (замість перебору вкладок можна провести мишею поверх панелі із вкладками та знайти потрібну сторінку). У майбутньому у цьому блоці планується забезпечити відображення ескізу сторінки;
- Додано експериментальну можливість (chrome://flags/#enable-force-dark) примусового використання темної теми оформлення під час перегляду сайтів. Для забезпечення темного представлення сайту використовують інвертування кольорів;
- підтримка специфікації , що дозволяє реєструвати власні CSS-властивості, що завжди мають певний тип, що дозволяють встановлювати значення за замовчуванням і допускають прив'язку анімаційних ефектів. Для реєстрації властивості може використовуватися метод registerProperty() або CSS-правило @property, наприклад:
CSS.registerProperty({
name: "-my-font-size",
syntax: «‹length›»,
initialValue: "0px",
inherits: false
}); - У режимі Origin Trials (експериментальні можливості, що вимагають окремої ) запропоновано кілька нових API. Origin Trial має на увазі можливість роботи із зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після проходження реєстрації та отримання спеціального токена, який діє обмежений час для конкретного сайту.
- API , що дозволяє створювати web-додатки, що взаємодіють із файлами в локальній ФС. Наприклад, новий API може бути затребуваний в інтегрованих середовищах розробки, редакторах тексту, зображень і відео, що запускаються в браузері. Для отримання можливості прямого запису та читання файлів, використання діалогів для відкриття та збереження файлів, а також для навігації за вмістом каталогів, програма запитує у користувача спеціальне підтвердження;
- механізм , що дозволяє розміщувати на інших сайтах верифіковані копії web-сторінок, що виглядають для користувача як вихідні сторінки (без зміни URL), можливістю завантаження субресурсів (CSS, JS, картинки і т.п.) з оригінального сайту. Першоджерело ресурсу задається через HTTP-заголовок Link, в якому також вказується перевірочний хеш для верифікації кожного ресурсу. За допомогою нової можливості постачальники контенту можуть створювати єдиний підписаний HTML-файл, що охоплює всі пов'язані з ним субресурси;
- API , що дозволяє web-додатку отримати доступ до SMS-повідомлень, наприклад, для автоматизації верифікації операції за відправленим через SMS одноразовим кодом. Доступ надається лише до SMS, в яких вказано спеціальний тег, що визначає прив'язку повідомлення до конкретного веб-додатку;
- API , що дозволяє створювати web-додатки, що взаємодіють із файлами в локальній ФС. Наприклад, новий API може бути затребуваний в інтегрованих середовищах розробки, редакторах тексту, зображень і відео, що запускаються в браузері. Для отримання можливості прямого запису та читання файлів, використання діалогів для відкриття та збереження файлів, а також для навігації за вмістом каталогів, програма запитує у користувача спеціальне підтвердження;
- Істотно збільшено продуктивність завантаження об'єктів ArrayBuffer через Web Socket. На платформі Linux відзначається збільшення швидкості завантаження у 7.5 разів, у Windows – у 4.1 рази, у macOS – у 7.8 разів;
- Додано можливість визначення у відсотках значення прозорості в CSS-властивості opacity, stop-opacity, fill-opacity, stroke-opacity, і shape-image-threshold. Наприклад, замість "opacity: 0.5" тепер можна вказувати "opacity: 50%";
- В API дозволено передачу довільних міток часу у виклики performance.measure() і performance.mark() для виконання вимірювань між ними, а також вказівку довільних метаданих;
- В API Media Session підтримка визначення обробників зміни позиції в потоці (seekto), крім раніше доступних обробників призупинення та початку відтворення;
- У JavaScript-движку V8 режим фонового аналізу скриптів на льоту в міру їх завантаження по мережі. Реалізована оптимізація дозволила на 5–20% скоротити час компіляції скриптів. У новому випуску також збільшено продуктивність деструктуризації об'єкта (перетворення "const {x, y} = object;" в "const x = object.x; const y = object.y;"). Підвищена швидкість обробки виразів RegExp з незбігаючими зіставленнями.
Істотно (на 9-20%) підвищено швидкість виклику функцій JavaScript з WebAssembly і навпаки. При компіляції байткоду підвищено ефективність побудови таблиць прив'язки до вихідних позицій, яка дозволила скоротити споживання пам'яті
1-2.5%. - інструменти для веб-розробників. Панель аудиту тепер може використовуватися у комбінації з іншими можливостями, такими як блокування запитів та перевизначення завантажень. Додано підтримку налагодження обробників платежів через API Payment. У панелі аналізу продуктивності додані мітки LCP (Largest Contentful Paint), що відображають час відтворення найбільших елементів;
- механізм блокування міжсайтового скриптингу XSS Auditor, який визнаний неефективним (такуючі вже давно застосовують методи для обходу захисту XSS Auditor) і додають нові вектори для витоку інформації;
- У версії для Android забезпечено можливості використання темної теми оформлення для меню, налаштувань та режиму навігації на відкритих сайтах.
Окрім нововведень та виправлення помилок у новій версії усунено . Багато вразливостей виявлено в результаті автоматизованого тестування інструментами , , , и . Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 21 премію на суму 59500 доларів США (одна премія $20000, одна премія $15000, одна премія $5000, дві премії $3000, три премії $2000, $1000). Розмір 500 винагород поки не визначений.
Джерело: opennet.ru