Chrome versiyasi 79

Google taqdim veb-brauzer versiyasi Chrome 79... Bir vaqtning o'zida mavjud bepul loyihaning barqaror chiqarilishi Chromium, bu Chrome brauzerining asosi bo'lib xizmat qiladi. Chrome brauzeri farq qiladi Google logotiplaridan foydalanish, buzilish holatlarida bildirishnomalarni yuborish tizimining mavjudligi, so'rov bo'yicha Flash modulini yuklab olish imkoniyati, himoyalangan video kontentini o'ynash modullari (DRM), yangilanishlarni avtomatik ravishda o'rnatish va qidiruv paytida uzatish tizimi. RLZ parametrlari. Chrome 80-ning navbatdagi versiyasi 4-fevralga rejalashtirilgan.

asosiy o'zgartirish в Chrome 79:

• faollashtirilgan Parolni tekshirish komponenti foydalanuvchi tomonidan ishlatiladigan parollar kuchini tahlil qilish uchun mo'ljallangan. Har qanday saytga kirishga urinayotganda Parol tekshiruvi bajaradi Agar muammolar aniqlansa, ogohlantirish bilan buzilgan hisoblar ma'lumotlar bazasiga login va parolni tekshirish (tekshirish foydalanuvchi tomonidagi xesh-prefiks asosida amalga oshiriladi). Tekshiruv foydalanuvchilar ma'lumotlar bazalarida paydo bo'lgan 4 milliarddan ortiq buzilgan hisoblarni qamrab olgan ma'lumotlar bazasiga qarshi o'tkaziladi. "abc123" kabi ahamiyatsiz parollardan foydalanishga urinayotganda ham ogohlantirish ko'rsatiladi. Parolni tekshirishni qo'shishni nazorat qilish uchun "Sinxronizatsiya va Google xizmatlari" bo'limida maxsus sozlama amalga oshirildi.
• Haqiqiy vaqtda fishingni aniqlashning yangi texnologiyasi taqdim etildi. Ilgari tekshirish mahalliy yuklab olingan Xavfsiz ko'rish qora ro'yxatlariga kirish orqali amalga oshirilgan, ular taxminan har 30 daqiqada bir marta yangilanadi, masalan, tajovuzkorlar tomonidan domenni tez-tez almashtirish sharoitida bu etarli emas edi. Yangi usul sizga ishonchli bo'lgan minglab mashhur saytlar xeshlarini o'z ichiga olgan oq ro'yxatlarga qarshi oldindan tekshirish orqali URL manzillarini tezda tekshirish imkonini beradi. Agar ochilayotgan sayt oq ro'yxatda bo'lmasa, brauzer Google serveridagi URL manzilini tekshirib, havolaning SHA-32 xeshining dastlabki 256 bitini uzatadi, undan shaxsiy ma'lumotlar olib tashlanadi. Google ma'lumotlariga ko'ra, yangi yondashuv yangi fishing saytlari uchun ogohlantirishlar samaradorligini 30% ga oshirishi mumkin.
• Google hisob ma'lumotlari va parol menejerida saqlangan har qanday parollarni fishing sahifalari orqali o'tkazishdan proaktiv himoya qo'shildi. Agar siz ushbu parol odatda ishlatilmaydigan saytga saqlangan parolni kiritishga harakat qilsangiz, foydalanuvchi potentsial xavfli harakat haqida ogohlantiriladi.
• TLS 1.0 va 1.1 dan foydalanadigan ulanishlar endi xavfsiz ulanish ko'rsatkichini ko'rsatadi. TLS 1.0 va 1.1 ni to'liq qo'llab-quvvatlaydi o‘chirib qo‘yiladi Chrome 81-da, 17-yil 2020-martga rejalashtirilgan.
• 5 daqiqadan ko'proq vaqt davomida fonda bo'lgan va muhim harakatlarni bajarmaydigan xotira yorliqlarini avtomatik ravishda tushirish imkonini beruvchi faol bo'lmagan yorliqlarni muzlatish qobiliyati qo'shildi. Muayyan yorliqning muzlatish uchun yaroqliligi to'g'risidagi qaror evristika asosida qabul qilinadi. Funktsiyani yoqish "chrome://flags/#proactive-tab-freeze" bayrog'i orqali boshqariladi.
• Xavfsiz HTTPS orqali ochilgan sahifalardagi aralash kontentni bloklash https:// orqali ochilgan sahifalarda faqat xavfsiz aloqa kanali orqali yuklangan resurslarni o'z ichiga olishini ta'minlash. Skriptlar va iframes kabi aralash kontentning eng xavfli turlari sukut bo'yicha allaqachon bloklangan bo'lsa ham, rasmlar, audio fayllar va videolarni http:// orqali yuklab olish mumkin. Bunday qo'shimchalar uchun ilgari qo'llanilgan aralash tarkib ko'rsatkichi samarasiz va foydalanuvchini chalg'ituvchi deb topildi, chunki u sahifa xavfsizligini aniq baholamaydi. Misol uchun, tasvirni aldash orqali tajovuzkor foydalanuvchi kuzatuvi cookie-fayllarini almashtirishi, tasvir protsessorlaridagi zaifliklardan foydalanishga urinishi yoki rasmda ko'rsatilgan ma'lumotni almashtirish orqali qalbakilashtirishi mumkin. Aralash komponentlarning blokirovkasini o'chirish uchun maxsus sozlama qo'shildi, uni qulflash belgisini bosganingizda paydo bo'ladigan menyu orqali chaqirish mumkin.
• Chrome brauzerining ish stoli va mobil versiyalari o‘rtasida almashish buferidagi kontentni almashish uchun tajribaviy imkoniyat qo‘shildi. Bir hisob bilan bog'langan Chrome misollarida, endi siz boshqa qurilmaning almashish buferi tarkibiga kirishingiz mumkin, jumladan, mobil va ish stoli tizimlari o'rtasida almashish buferi. Buferning mazmuni Google serverlarida matnga kirishni oldini oluvchi uchdan-end shifrlash yordamida shifrlangan. Funktsiya chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui va chrome://flags#sync-clipboard-service opsiyalari orqali yoqiladi.
• Profil sinxronizatsiyasi o'chirilgan bo'lsa, ma'lum daqiqalarda (masalan, parolni saqlashda) manzil satrida foydalanuvchi joriy faol hisobni aniq aniqlashi uchun avatarga qo'shimcha ravishda joriy Google hisobining nomi ko'rsatiladi.
• Foydalanuvchilarning 1% uchun faollashtirilgan qo'llab-quvvatlash “HTTPS orqali DNS” (DoH, HTTPS orqali DNS). Tajriba faqat tizim sozlamalarida DoH-ni qo'llab-quvvatlaydigan DNS provayderlarini belgilab qo'ygan foydalanuvchilar ishtirok etadi. Misol uchun, agar foydalanuvchi tizim sozlamalarida ko'rsatilgan DNS 8.8.8.8 bo'lsa, Chrome brauzerida Google DoH xizmati (“https://dns.google.com/dns-query”) faollashadi; DNS 1.1.1.1. XNUMX, keyin DoH Cloudflare xizmati (“https://cloudflare-dns.com/dns-query”) va boshqalar. DoH yoqilganligini nazorat qilish uchun “chrome://flags/#dns-over-https” sozlamasi taqdim etiladi. Uchta ish rejimi qo'llab-quvvatlanadi: xavfsiz, avtomatik va o'chirilgan. "Xavfsiz" rejimda xostlar faqat oldindan keshlangan xavfsiz qiymatlar (xavfsiz ulanish orqali olingan) va DoH orqali so'rovlar asosida aniqlanadi; oddiy DNS-ga qaytish qo'llanilmaydi. "Avtomatik" rejimda, agar DoH va xavfsiz kesh mavjud bo'lmasa, ma'lumotlarni xavfsiz keshdan olish va an'anaviy DNS orqali kirish mumkin. "O'chirish" rejimida birinchi navbatda umumiy kesh tekshiriladi va agar ma'lumot bo'lmasa, so'rov tizim DNS orqali yuboriladi.
• Eksperimental qo'llab-quvvatlash oldinga va orqaga tugmalari yordamida sahifalarni o'zgartirganda ko'rsatilgan tarkibni keshlash, bu butun sahifani to'liq keshlash tufayli ushbu turdagi navigatsiya paytida kechikishlarni sezilarli darajada kamaytirishi mumkin, bu esa resurslarni qayta ko'rsatish va yuklashni talab qilmaydi. Optimallashtirish, ayniqsa, mobil qurilmalar uchun versiyada sezilarli bo'lib, u erda navigatsiya paytida ishlash ko'rsatkichi 19% ga etadi. Rejim “chrome://flags#back-forward-cache” opsiyasi yordamida yoqiladi.
• Oʻchirildi “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains” sozlamalari protokolning manzillar satriga ko'rinishini qaytarishga imkon berdi (endi barcha havolalar har doim httpssiz ko'rsatiladi. :// va http:/ /, shuningdek, “www.”siz).
• Windows uchun tuzilmalar audio ijro etish xizmatini sinovdan o'tkazishni o'z ichiga oladi. Izolyatsiya yoqilganligini nazorat qilish uchun AudioSandboxEnabled xususiyati taklif etiladi.
• Korxonalar uchun markazlashtirilgan boshqaruv vositalari fon yorliqlarini yuklashdan oldin brauzer nusxasi qancha xotirani iste'mol qilishi mumkinligini nazorat qiluvchi qoidalarni aniqlash qobiliyatini o'z ichiga oladi. Yorliq bo'shatilgandan so'ng bo'shatilgan xotira foydalanish uchun mavjud bo'ladi va unga o'tishda yorliq tarkibi yana yuklanadi.
• Linux o'rnatilgan sertifikatlarni tekshirish protsessoridan foydalanadi, u ilgari ishlatilgan NSS tizimini almashtiradi. Bunday holda, o'rnatilgan protsessor tekshirish vaqtida NSS do'konidan foydalanishni davom ettiradi, lekin noto'g'ri kodlangan va alohida sertifikatlangan sertifikatlarni qayta ishlashda yanada qattiqroq talablarni qo'yadi (barcha sertifikatlar sertifikatlashtirish organi tomonidan sertifikatlangan bo'lishi kerak).
• Android platformasi uchun versiyada qo'shildi Progressive Web Apps (PWA) rejimida ishlaydigan o'rnatilgan veb-ilovalar uchun adaptiv belgilarni belgilash imkoniyati. Moslashuvchan piktogrammalar qurilma ishlab chiqaruvchisi tomonidan ishlatiladigan interfeysga moslashishi mumkin, masalan, yumaloq, kvadrat yoki silliq burchakli.
• Qo'shilgan API WebXR qurilmasi, bu virtual va kengaytirilgan haqiqatni yaratish uchun komponentlarga kirishni ta'minlaydi. API sizga Oculus Rift, HTC Vive va Windows Mixed Reality kabi statsionar virtual reallik garnituralaridan tortib Google Daydream View va Samsung Gear VR kabi mobil qurilmalarga asoslangan yechimlargacha turli sinf qurilmalari bilan ishlashni birlashtirish imkonini beradi. Yangi API qo'llanilishi mumkin bo'lgan ilovalar orasida videoni 360° rejimida ko'rish dasturlari, uch o'lchamli makonni vizualizatsiya qilish tizimlari, video taqdimot uchun virtual kinoteatrlar yaratish, do'konlar va galereyalar uchun 3D interfeyslarni yaratish bo'yicha tajribalar o'tkazish kiradi;
  

• Origin sinovlari rejimida (alohida talab qilinadigan eksperimental xususiyatlar faollashtirish) bir nechta yangi API taklif qilindi. Origin sinovi localhost yoki 127.0.0.1-dan yuklab olingan ilovalardan yoki ma'lum bir sayt uchun cheklangan vaqt uchun amal qiladigan maxsus tokenni ro'yxatdan o'tkazgandan va olgandan keyin ko'rsatilgan API bilan ishlash qobiliyatini nazarda tutadi.
  • Barcha HTML elementlari uchun "rendersubtree" atributi taklif qilinadi, bu DOM elementining ko'rinishini o'rnatishni ta'minlaydi. Atributni "ko'rinmas" ga o'rnatish element tarkibini ko'rsatish yoki tekshirishni oldini oladi, bu esa optimallashtirilgan renderlash imkonini beradi. "Aktivatsiya" ga o'rnatilganda, brauzer ko'rinmas atributni olib tashlaydi, kontentni ko'rsatadi va uni ko'rinadigan qiladi.
  • API opsiyasi qo‘shildi Uyg'otish qulfi avtomatik blokirovka ekranlarini o‘chirish va qurilmalarni quvvatni tejash rejimlariga o‘tkazishni boshqarishning yanada xavfsiz usulini ta’minlovchi Promise mexanizmiga asoslangan.
• Atributdan foydalanish qobiliyatini amalga oshirdi avtofokus kirish fokusiga ega bo'lishi mumkin bo'lgan barcha HTML va SVG elementlari uchun.
• Rasmlar va videolar uchun ta'minlangan Tasvir hali yuklanmagan bosqichda CSS yordamida tasvir hajmini aniqlash uchun ishlatilishi mumkin bo'lgan Width yoki Height atributlari asosida tomonlar nisbatini hisoblang (tasvirlar yuklangandan keyin sahifani qayta tiklash muammosini hal qiladi).
• CSS xususiyati qo'shildi shrift-optik o'lchamlari, bu avtomatik ravishda optik koordinatalarda o'zgaruvchan shrift hajmini o'rnatadi "opsz", agar shrift ularni qo'llab-quvvatlasa. Tartib sizga belgilangan o'lcham uchun optimal glif shaklini tanlash imkonini beradi, masalan, sarlavhalar uchun ko'proq kontrastli gliflardan foydalaning.
• CSS xususiyati qo'shildi ro'yxat uslubi turi, bu sizga roʻyxatlardagi nuqtalar oʻrniga istalgan belgilarni ishlatish imkonini beradi, masalan, “-“, “+”, “★” va “▸”.
• Agar Worklet.addModule() ni bajarishning iloji bo'lmasa, ob'ekt endi xatoning tabiati haqida batafsil ma'lumot bilan qaytariladi, bu sizga xato sababini aniqroq baholash imkonini beradi (tarmoq ulanishi bilan bog'liq muammolar, noto'g'ri sintaksis va hk.) .).
• Elementlarni qayta ishlash toʻxtatildi при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• JavaScript dvigatelida V8 amalga oshirildi Ob'ektlardagi maydonlarni ko'rsatishga ishlov berishni optimallashtirish, natijada Speedometer test to'plamida AngularJS kodini bajarish 4% tezroq ishlaydi.
  

• V8 shuningdek, Node.nodeType va Node.nodeName kabi o'rnatilgan API-larda aniqlangan qabul qiluvchilarni qayta ishlashni optimallashtiradi, IC ishlov beruvchisi (inline keshlash). O'zgartirish Speedometer to'plamidan Backbone va jQuery testlarini bajarishda IC ish vaqtiga sarflangan vaqtni taxminan 12% ga qisqartirdi.
  

• OSR (stekda almashtirish deb ataladi) mexanizmining natijalari keshlangan bo'lib, u funksiyani bajarish vaqtida optimallashtirilgan kodni almashtiradi (ularning qayta ishga tushishini kutmasdan uzoq vaqt ishlaydigan funktsiyalar uchun optimallashtirilgan koddan foydalanishni boshlash imkonini beradi). OSR keshlash funksiyani qayta ishga tushirishda optimallashtirish natijalaridan qayta optimallashtirishdan o‘tmasdan foydalanish imkonini beradi.
  Ba'zi testlarda o'zgarish eng yuqori ko'rsatkichni 5-18% ga oshirdi.
  

• Veb-ishlab chiquvchilar uchun vositalardagi o'zgarishlar:
  Paydo bo'ldi so'rovni blokirovka qilish yoki cookie faylini yuborish sabablarini aniqlash uchun disk raskadrovka rejimi.
  
  • Cookie ro'yxati bo'lgan blokda ma'lum bir qatorni bosish orqali tanlangan Cookie qiymatini tezda ko'rish imkoniyati qo'shildi.
    

  • Afzal rang sxemasi va afzal ko'rganlar kamaytirilgan harakatli media so'rovlari uchun turli xil sozlamalarni simulyatsiya qilish imkoniyati qo'shildi (masalan, qorong'u tizim mavzusi yoki animatsiya effektlari o'chirilgan sahifaning harakatini sinab ko'rish).
    

  • Qamrov yorlig'i dizayni modernizatsiya qilindi, bu sizga ishlatilgan va foydalanilmagan kodni baholash imkonini beradi. Ma'lumotni turi bo'yicha filtrlash imkoniyati qo'shildi (JavaScript, CSS). Koddan foydalanish haqidagi ma'lumot manba matnni ko'rsatishda ham qo'shiladi.
    

  • Tarmoq faolligini qayd etgandan so'ng ma'lum bir tarmoq resursini so'rash sabablarini disk raskadrovka qilish imkoniyati qo'shildi (siz resurs yuklanishiga olib kelgan JavaScript kod chaqiruvining izini ko'rishingiz mumkin).
    

  • Konsol va Manbalar panellarida ko‘rsatilgan koddagi chekinish turini (2/4/8 bo‘shliqlar yoki yorliqlar) aniqlash uchun “Sozlamalar > Afzalliklar > Manbalar > Standart chekinish” sozlamasi qo‘shildi.

Innovatsiyalar va xatolarni tuzatishdan tashqari, yangi versiya 51 ta zaiflikni yo'q qiladi. Ko'pgina zaifliklar AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer va AFL vositalaridan foydalangan holda avtomatlashtirilgan testlar natijasida aniqlangan. Ikkita muammo (CVE-2019-13725, Bluetooth-ni qo'llab-quvvatlash uchun kodda allaqachon bo'shatilgan xotiraga kirish va CVE-2019-13726, parol menejerida to'plangan to'planish) muhim deb belgilangan, ya'ni. brauzer himoyasining barcha darajalarini chetlab o'tish va tizimda kodni sandbox muhitidan tashqarida bajarish imkonini beradi. Bu Chrome brauzerida bir xil ishlab chiqish siklida birinchi marta ikkita muhim muammo aniqlandi. Birinchi zaiflik Tencent Keen Security Lab tadqiqotchilari tomonidan topilgan va namoyish qilgan Tianfu kubogi musobaqasida, ikkinchisini esa Google Project Zero kompaniyasidan Sergey Glazunov topdi.

Joriy versiyaning zaif tomonlarini aniqlaganlik uchun pul mukofoti dasturining bir qismi sifatida Google 37 80000 dollarlik 20000 ta mukofotni (bitta 10000 7500 dollarlik mukofot, bitta 5000 3000 dollarlik mukofot, ikkita 2000 1000 dollarlik mukofot, to'rtta 500 15 dollarlik mukofot, XNUMX XNUMX dollarlik mukofot, XNUMX dollarlik mukofot, XNUMX AQSH dollari va XNUMX XNUMX AQSH dollari) to'lagan. XNUMX dollar mukofot). XNUMX ta mukofot miqdori hali aniqlanmagan.

Manba: opennet.ru