компанія Google реліз web-браузера . Одночасно стабільний випуск вільного проекту , що є основою Chrome. Браузер Chrome використанням логотипів Google, наявністю системи надсилання повідомлень у разі краху, можливістю завантаження модуля Flash на запит, модулями для відтворення захищеного відеоконтенту (DRM), системою автоматичної установки оновлень та передачею при пошуку . Через переклад розробників на роботу вдома в умовах пандемії коронавірусу SARS-CoV-2 випуск Chrome 82 був . Наступний випуск Chrome 84 заплановано на 14 липня.
:
- масове включення (DoH, DNS over HTTPS) на системах користувачів, у системних налаштуваннях яких вказані DNS-провайдери, що підтримують DoH (буде включений DoH того ж DNS-провайдера). Наприклад, якщо у користувача в системних налаштуваннях вказано DNS 8.8.8.8, то в Chrome буде активовано DoH-сервіс Google ("https://dns.google.com/dns-query"), якщо DNS - 1.1.1.1, то DoH сервіс Cloudflare ("https://cloudflare-dns.com/dns-query") і т.п. Щоб виключити проблеми з резолвінгом корпоративних інтранет мереж DoH не застосовується щодо використання браузера в централізовано керованих системах. DoH також відключається за наявності систем батьківського контролю.
Управління включенням DoH та зміна DoH-провайдера здійснюється через штатний конфігуратор. - Запропоновано оформлення web-форм, які були оптимізовані для використання на сенсорних екранах та системах для людей з обмеженими можливостями. Оформлення оптимізовано компанією Microsoft у рамках розробки браузера Edge та передано в основну кодову базу Chromium. Раніше частина елементів форм була спроектована для відповідності елементам операційних систем, а частина відповідно до найпопулярніших стилів. Через це різні елементи по-різному підходили для сенсорних екранів, систем для людей з обмеженими можливостями та керування з клавіатури. Метою переробки була уніфікація оформлення елементів форм та усунення невідповідності стилів.
- Змінено оформлення секції налаштувань «Конфіденційність та безпека», нові інструменти для керування безпекою. Налаштування тепер легше знайти і простіше зрозуміти їхню суть. Запропоновано чотири базові секції, в яких зібрані інструменти, пов'язані з очищенням історії, управління Cookie та даними сайтів, режимами безпеки та заборонами або дозволами, прив'язаними до конкретних сайтів. Користувач може швидко увімкнути блокування сторонніх cookie для режиму інкогніто або всіх сайтів, заблокувати всі cookie для конкретного сайту. Нове оформлення включено лише на системах частини користувачів, решта може активувати налаштування через «chrome://flags/#privacy-settings-redesign».
Специфічні для сайтів налаштування розділені на групи — доступ до розташування, камери, мікрофона, сповіщень та виконання фонового надсилання даних. Також запропоновано секцію з додатковими налаштуваннями для блокування JavaScript, зображень та переадресації на певних сайтах. Окремо виділено останню дію користувача, пов'язану зі зміною повноважень.
- У режимі інкогніто за замовчуванням включено блокування всіх Cookie, виставлених сторонніми сайтами, у тому числі рекламними мережами і системами web-аналітики. Також запропоновано розширений інтерфейс контролю за встановленням Cookie на сайтах. Для керування передбачені прапори «chrome://flags/#improved-cookie-controls» та «chrome://flags/#improved-cookie-controls-for-third-party-cookie-blocking». Після активації режиму в адресному рядку з'являється новий значок, при натисканні на який відображається кількість заблокованих Cookie і надається можливість вимкнення блокування. Переглянути які саме Cookie дозволені та заблоковані для поточного сайту можна в секції «Cookies» контекстного меню, що викликається при натисканні на символ замку в адресному рядку, або в налаштуваннях.
- У налаштуваннях запропоновано нову кнопку «Перевірка безпеки» (Safety check), що видає зведення про можливі проблеми з безпекою, такі як використання скомпрометованих паролів, стан перевірки шкідливих сайтів (Safe Browsing), наявність невстановлених оновлень та виявлення шкідливих доповнень.
- У менеджері паролів додана можливість всіх збережених логінів і паролів на базі скомпрометованих облікових записів з виведенням попередження у разі виявлення проблем (перевірка здійснюється на основі звіряння хеш-префіксу на стороні користувача, самі паролі та їх повні хеші не передаються поза). Перевірка виконується за базою, що охоплює понад 4 мільярди скомпрометованих акаунтів, що фігурували в витоках баз користувача. Попередження також виводиться при спробі використовувати тривіальні паролі, такі як «abc123».
- розширений режим захисту від небезпечних сайтів (Enhanced Safe Browsing), в якому активуються додаткові перевірки для захисту від фішингу, шкідливої активності та інших загроз Web. Також застосовується додатковий захист для облікового запису в Google та сервісів Google (Gmail, Drive тощо). Якщо у звичайному режимі Safe Browsing перевірки виконуються локально за періодично завантажуваною на систему клієнта БД, то в Enhanced Safe Browsing інформація про сторінки та завантаження в режимі реального часу надсилається до сервісу Google Safe Browsing для перевірки на стороні Google, що дозволяє оперативно реагувати на загрози відразу після їх виявлення, не чекаючи поки оновити локальний чорний список.
Для прискорення роботи підтримується попередня перевірка за білими списками, в які включені хеші тисяч популярних сайтів, що заслуговують на довіру. Якщо сайт відсутній у білому списку, то браузер перевіряє URL на сервері Google, передаючи перші 32 біти хешу SHA-256 посилання, з якого вирізаються можливі персональні дані. За оцінкою Google, новий підхід дозволяє на 30% підвищити ефективність виведення попереджень для нових фішинг-сайтів.
- Замість автоматичного закріплення піктограм доповнень поруч із адресним рядком реалізовано нове меню, позначене значком пазла, в якому перелічені всі наявні доповнення та їх повноваження. Після встановлення доповнення користувач тепер повинен явно включити прикріплення на панель значка доповнення, принагідно оцінивши повноваження, що надаються доповненню. Для того, щоб доповнення не втрачалося, одразу після встановлення виводиться індикатор з інформацією про нове доповнення. Нове меню активовано за замовчуванням для певного відсотка користувачів, інші можуть увімкнути його за допомогою «chrome://flags/#extensions-toolbar-menu».
- Додано налаштування "chrome://flags/#omnibox-context-menu-show-full-urls", при включенні якого в контекстному меню адресного рядка з'являється пункт "Завжди показувати URL повністю", що забороняє спотворення URL. Нагадаємо, що в Chrome 76 адресний рядок було переведено за замовчуванням на показ посилань без "https://", "http://" та "www.". Для відключення цієї поведінки було передбачено налаштування, але в Chrome 79 було видалено, і користувачі втратили можливість відображення повного URL в адресному рядку.
- Для всіх користувачів включена функція групування вкладок («chrome://flags/#tab-groups»), що дозволяє об'єднувати кілька подібних за призначенням вкладок візуально розділені групи. Кожній групі можна прив'язати свій колір та ім'я. Додатково запропоновано експериментальну можливість згортання та розкриття груп, яка поки що працює не на всіх системах. Наприклад, кілька непрочитаних статей можна тимчасово згорнути, залишивши лише мітку, щоб вони не займали місце під час навігації, а при поверненні до читання повернути на місце. Для включення режиму запропоновано налаштування "chrome://flags/#tab-groups-collapse".
- Увімкнено висновок за промовчанням попереджень під час спроби (без шифрування) файлів, що виконуються за посиланнями зі сторінок HTTPS (в Chrome 84 завантаження виконуваних файлів будуть блокуватися, а попередження почне видаватися для архівів). Зазначається, що завантаження файлів без шифрування може використовуватися для здійснення шкідливої активності через заміну вмісту в процесі MITM-атак. Також завантаження файлів, що ініціюється із ізольованих iframe-блоків.
- При активації Adobe Flash додано висновок попередження про припинення підтримки цієї технології у грудні 2020 року.
- Реалізовано технологію дозволяє блокувати маніпуляції з DOM, що призводять до міжсайтового скриптингу (DOM XSS), наприклад, при некоректній обробці отриманих від користувача даних у блоках eval() або вставках «.innerHTML», що може призвести до виконання JavaScript-коду в контексті певної сторінки. Trusted types вимагає попередньої обробки даних перед передачею ризиковані функції. Наприклад, при включенні Trusted types виконання «anElement.innerHTML = location.href» призведе до помилки і потребує застосування спеціальних об'єктів TrustedHTML або TrustedScript при присвоєнні. Увімкнення Trusted Types здійснюється за допомогою CSP (Content-Security-Policy).
- нові HTTP-заголовки Cross-Origin-Embedder-Policy та Cross-Origin-Opener-Policy, що дозволяють увімкнути особливий режим ізоляції cross-origin для безпечного використання на сторінці привілейованих операцій, таких як SharedArrayBuffer, Performance.measureMemory() та можуть застосовуватися для здійснення атак сторонніми каналами, таким як Spectre. Режим ізоляції cross-origin також не дозволяє змінювати властивість document.domain.
- Запропоновано нову реалізацію системи інспектування доступу до ресурсів через мережу — OOR-CORS (Out-Of-Renderer Cross-Origin Resource Sharing). Стара реалізація могла перевіряти лише основні компоненти двигуна Blink, XHR і API Fetch API, але не охоплювала HTTP-запити, що виробляються з деяких внутрішніх модулів. Нова реалізація вирішує цю проблему.
- У режимі Origin Trials (експериментальні можливості, що потребують окремої активації), додано кілька нових API. Origin Trial має на увазі можливість роботи із зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після проходження реєстрації та отримання спеціального токена, який діє обмежений час для конкретного сайту.
- API , що дозволяє створювати web-додатки, що взаємодіють із файлами в локальній ФС. Наприклад, новий API може бути затребуваний в інтегрованих середовищах розробки, редакторах тексту, зображень і відео, що запускаються в браузері. Для отримання можливості прямого запису та читання файлів, використання діалогів для відкриття та збереження файлів, а також для навігації за вмістом каталогів, програма запитує у користувача спеціальне підтвердження;
- метод для оцінки споживання пам'яті при обробці веб-додатку або веб-сторінки. Може використовуватись для аналізу та оптимізації споживання пам'яті у web-додатках, а також для виявлення регресивного зростання споживання пам'яті.
- метод для планування виконання завдань (callback-дзвінків JavaScript) з різними рівнями пріоритету (блокує роботу користувача, створює видимі зміни та фонову роботу). Для зміни пріоритету та скасування завдань можна використовувати об'єкт TaskController.
- API , що дозволяє програмам створювати свої обробники даних, що застосовуються під час кодування та декодування WebRTC MediaStreamTrack. Наприклад, API можна використовувати для організації наскрізного шифрування потоків, які передаються через транзитний сервер.
- Доданий API для виявлення та розкодування штрих-кодів у певному зображенні. API працює лише на пристроях Android із встановленим пакетом Google Play Services.
- Доданий мета-тег , що дозволяє сайту забезпечити повноцінну підтримку темної теми оформлення без застосування CSS-трансформацій.
- Додано можливість використання модулів JavaScript в .
- В IndexedDB в додано новий аргумент
"durability", що дозволяє керувати скиданням даних на накопичувач. Передавши значення «relaxed» замість режиму «strict», що застосовується за умовчанням, можна пожертвувати надійністю задля продуктивності (раніше Chrome завжди скидав дані на диск після запису кожної транзакції). - У selector() додано функцію @supports, що дозволяє визначити наявність CSS-селекторів (наприклад, можна спочатку перевірити доступність селектора перед тим, як прив'язати до нього CSS-стилі).
@supports selector(::before) {
div { background: green };
} - В Intl.DateTimeFormat властивість fractionalSecondDigits для налаштування формату відображення часток секунди.
- У двигуні V8 відстеження ArrayBuffer у збирачі сміття. Для модулів на WebAssembly можна вимагати до 4 ГБ пам'яті.
- нові інструменти для веб-розробників. Наприклад, з'явився режим емуляції сприйняття сторінки людьми з ослабленим зором та різними формами дальтонізму. Також додано режим емуляції зміни локалі, зміна якої впливає на API Intl.*, *.prototype.toLocaleString, navigator.language, Accept-Language тощо.
В інтерфейс інспектування мережної активності доданий налагоджувач COEP (Cross-Origin Embedder Policy), що дозволяє оцінити причини блокування завантаження тих чи інших ресурсів по мережі. Додано ключове слово cookie-path для фільтрації запитів, у яких Cookie прив'язується до певного .
Додано режим закріплення інструментів розробників у лівій частині екрана.
Перероблено інтерфейс відстеження коду JavaScript, що довго виконується.
- Через інфекцію COVID-19 деякі зміни, що планувалися, відкладені. Наприклад, коду для роботи з FTP на невизначений час. підтримки протоколів TLS 1.0/1.1 до випуску Chrome 84. Початкова
підтримка ідентифікатора Client Hints (альтернатива User-Agent) також до Chrome 84. Робота з перенесено на наступний рік.
Окрім нововведень та виправлення помилок у новій версії усунено . Багато вразливостей виявлено в результаті автоматизованого тестування інструментами , , , и . Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 28 премій на суму 76 тисяч доларів США (одна премія $20000, одна премія $10000, дві премії $7500, дві премії $5000, дві премії $3000, дві премії премії $2000 та вісім премій $1000). Розмір 500 винагород поки не визначений.
Джерело: opennet.ru