Bản phát hành Chrome 79

Google trình bày phát hành trình duyệt web Chrome 79... Đồng thời có sẵn phát hành ổn định một dự án miễn phí Chromium, đóng vai trò là nền tảng của Chrome. trình duyệt Chrome khác nhau việc sử dụng logo Google, sự hiện diện của hệ thống gửi thông báo trong trường hợp gặp sự cố, khả năng tải xuống mô-đun Flash theo yêu cầu, mô-đun để phát nội dung video được bảo vệ (DRM), hệ thống tự động cài đặt các bản cập nhật và truyền trong quá trình tìm kiếm thông số RLZ. Bản phát hành tiếp theo của Chrome 80 được lên lịch vào ngày 4 tháng XNUMX.

Chính thay đổi в cơ rôm 79:

• đã kích hoạt Thành phần Kiểm tra mật khẩu, được thiết kế để phân tích độ mạnh của mật khẩu mà người dùng sử dụng. Khi cố gắng đăng nhập vào bất kỳ trang web nào Kiểm tra mật khẩu hoàn thành kiểm tra thông tin đăng nhập và mật khẩu dựa trên cơ sở dữ liệu của các tài khoản bị xâm nhập kèm theo cảnh báo nếu phát hiện sự cố (việc kiểm tra được thực hiện dựa trên tiền tố băm ở phía người dùng). Việc kiểm tra được thực hiện dựa trên cơ sở dữ liệu bao gồm hơn 4 tỷ tài khoản bị xâm nhập xuất hiện trong cơ sở dữ liệu người dùng bị rò rỉ. Cảnh báo cũng được hiển thị khi cố gắng sử dụng các mật khẩu tầm thường như "abc123". Để kiểm soát việc bao gồm Kiểm tra mật khẩu, một cài đặt đặc biệt đã được triển khai trong phần “Đồng bộ hóa và các dịch vụ của Google”.
• Một công nghệ mới để phát hiện lừa đảo trong thời gian thực được trình bày. Trước đây, việc xác minh được thực hiện bằng cách truy cập vào danh sách đen Duyệt web an toàn được tải xuống cục bộ, được cập nhật khoảng 30 phút một lần, điều này hóa ra là không đủ, chẳng hạn như trong điều kiện kẻ tấn công chuyển đổi tên miền thường xuyên. Phương pháp mới cho phép bạn kiểm tra URL một cách nhanh chóng bằng cách kiểm tra sơ bộ đối với danh sách trắng bao gồm các bản băm của hàng nghìn trang web phổ biến đáng tin cậy. Nếu trang web đang được mở không có trong danh sách trắng, trình duyệt sẽ kiểm tra URL trên máy chủ Google, truyền 32 bit đầu tiên của hàm băm SHA-256 của liên kết, từ đó dữ liệu cá nhân có thể bị cắt ra. Theo Google, cách tiếp cận mới có thể nâng cao hiệu quả cảnh báo cho các trang web lừa đảo mới lên 30%.
• Đã thêm tính năng bảo vệ chủ động chống lại việc chuyển thông tin đăng nhập Google và bất kỳ mật khẩu nào được lưu trữ trong trình quản lý mật khẩu thông qua các trang lừa đảo. Nếu bạn cố gắng nhập mật khẩu đã lưu trên một trang web mà mật khẩu đó thường không được sử dụng, người dùng sẽ được cảnh báo về một hành động nguy hiểm tiềm ẩn.
• Các kết nối sử dụng TLS 1.0 và 1.1 hiện hiển thị chỉ báo kết nối không an toàn. Hỗ trợ đầy đủ TLS 1.0 và 1.1 Sẽ bị vô hiệu hoá trong Chrome 81, dự kiến ​​vào ngày 17 tháng 2020 năm XNUMX.
• Đã thêm khả năng đóng băng các tab không hoạt động, cho phép bạn tự động hủy tải khỏi các tab bộ nhớ đã ở chế độ nền hơn 5 phút và không thực hiện các hành động quan trọng. Quyết định về tính phù hợp của một tab cụ thể để đóng băng được đưa ra dựa trên phương pháp phỏng đoán. Việc kích hoạt chức năng này được kiểm soát thông qua cờ “chrome://flags/#proactive-tab-freeze”.
• bảo đảm Chặn nội dung hỗn hợp trên các trang được mở qua HTTPS để đảm bảo rằng các trang được mở qua https:// chỉ chứa các tài nguyên được tải qua kênh liên lạc an toàn. Mặc dù các loại nội dung hỗn hợp nguy hiểm nhất, chẳng hạn như tập lệnh và iframe, đã bị chặn theo mặc định, nhưng hình ảnh, tệp âm thanh và video vẫn có thể được tải xuống qua http://. Chỉ báo nội dung hỗn hợp được sử dụng trước đây cho các phần chèn như vậy được phát hiện là không hiệu quả và gây hiểu lầm cho người dùng vì nó không cung cấp đánh giá rõ ràng về tính bảo mật của trang. Ví dụ: thông qua việc giả mạo hình ảnh, kẻ tấn công có thể thay thế Cookie theo dõi người dùng, cố gắng khai thác lỗ hổng trong bộ xử lý hình ảnh hoặc thực hiện hành vi giả mạo bằng cách thay thế thông tin được cung cấp trong hình ảnh. Để tắt tính năng khóa các thành phần hỗn hợp, một cài đặt đặc biệt đã được thêm vào, có thể truy cập cài đặt này thông qua menu xuất hiện khi bạn nhấp vào biểu tượng khóa.
• Đã thêm khả năng thử nghiệm để chia sẻ nội dung clipboard giữa phiên bản Chrome dành cho máy tính để bàn và thiết bị di động. Trong các phiên bản Chrome được liên kết với một tài khoản, giờ đây bạn có thể truy cập nội dung trong bảng nhớ tạm của một thiết bị khác, bao gồm cả việc chia sẻ bảng nhớ tạm giữa hệ thống di động và máy tính để bàn. Nội dung của bảng tạm được mã hóa bằng mã hóa đầu cuối, điều này ngăn cản quyền truy cập vào văn bản trên máy chủ Google. Chức năng này được bật thông qua các tùy chọn chrome://flags#shared-clipboard-receiver, chrome://flags#shared-clipboard-ui và chrome://flags#sync-clipboard-service.
• Trên thanh địa chỉ tại một số thời điểm nhất định (ví dụ: khi lưu mật khẩu) khi tắt đồng bộ hóa hồ sơ, ngoài hình đại diện, tên tài khoản Google hiện tại sẽ hiển thị để người dùng có thể xác định chính xác tài khoản đang hoạt động hiện tại.
• Đã kích hoạt cho 1% người dùng ủng hộ “DNS qua HTTPS” (DoH, DNS qua HTTPS). Thử nghiệm chỉ bao gồm những người dùng có cài đặt hệ thống đã chỉ định nhà cung cấp DNS hỗ trợ DoH. Ví dụ: nếu người dùng có DNS 8.8.8.8 được chỉ định trong cài đặt hệ thống thì dịch vụ DoH của Google (“https://dns.google.com/dns-query”) sẽ được kích hoạt trong Chrome; nếu DNS là 1.1.1.1. XNUMX, sau đó là dịch vụ DoH Cloudflare (“https://cloudflare-dns.com/dns-query”), v.v. Để kiểm soát xem DoH có được bật hay không, cài đặt “chrome://flags/#dns-over-https” sẽ được cung cấp. Ba chế độ hoạt động được hỗ trợ: an toàn, tự động và tắt. Ở chế độ “bảo mật”, máy chủ chỉ được xác định dựa trên các giá trị bảo mật được lưu trong bộ nhớ đệm trước đó (được nhận qua kết nối an toàn) và các yêu cầu qua DoH; dự phòng cho DNS thông thường không được áp dụng. Ở chế độ “tự động”, nếu DoH và bộ đệm an toàn không khả dụng, dữ liệu có thể được truy xuất từ ​​bộ đệm không an toàn và được truy cập thông qua DNS truyền thống. Ở chế độ “tắt”, bộ đệm chia sẻ trước tiên sẽ được kiểm tra và nếu không có dữ liệu, yêu cầu sẽ được gửi qua DNS hệ thống.
• Đã thêm thử nghiệm ủng hộ lưu vào bộ nhớ đệm nội dung được hiển thị khi thay đổi trang bằng nút chuyển tiếp và quay lại, điều này có thể giảm đáng kể độ trễ trong kiểu điều hướng này do bộ nhớ đệm hoàn chỉnh của toàn bộ trang, không yêu cầu kết xuất lại và tải tài nguyên. Sự tối ưu hóa đặc biệt đáng chú ý trong phiên bản dành cho thiết bị di động, nơi hiệu suất tăng trong quá trình điều hướng đạt 19%. Chế độ này được bật bằng tùy chọn “chrome://flags#back-forward-cache”.
• Đã xóa cài đặt “chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”, cho phép trả lại hiển thị giao thức trên thanh địa chỉ (bây giờ tất cả các liên kết luôn được hiển thị mà không cần https :// và http://, và cũng không có “www.”).
• Các bản dựng dành cho Windows bao gồm hộp cát của dịch vụ phát lại âm thanh. Để kiểm soát xem có bật tính năng cách ly hay không, thuộc tính AudioSandboxEnabled được đề xuất.
• Các công cụ quản trị tập trung dành cho doanh nghiệp bao gồm khả năng xác định các quy tắc kiểm soát lượng bộ nhớ mà một phiên bản trình duyệt có thể tiêu thụ trước khi dỡ bỏ các tab nền. Bộ nhớ được giải phóng sau khi dỡ bỏ một tab sẽ có sẵn để sử dụng và nội dung của tab sẽ được tải lại khi chuyển sang tab đó.
• Linux sử dụng bộ xử lý xác minh chứng chỉ tích hợp, thay thế hệ thống NSS đã sử dụng trước đó. Trong trường hợp này, bộ xử lý tích hợp tiếp tục sử dụng kho lưu trữ NSS trong quá trình xác minh nhưng áp đặt các yêu cầu nghiêm ngặt hơn khi xử lý các chứng chỉ được mã hóa không chính xác và được chứng nhận riêng (tất cả các chứng chỉ phải được cơ quan chứng nhận chứng nhận).
• Trong phiên bản dành cho nền tảng Android thêm khả năng gán các biểu tượng thích ứng cho các ứng dụng web đã cài đặt đang chạy ở chế độ Ứng dụng web lũy tiến (PWA). Các biểu tượng thích ứng có thể thích ứng với giao diện mà nhà sản xuất thiết bị sử dụng, chẳng hạn như có hình tròn, hình vuông hoặc có các góc nhẵn.
• Thêm API Thiết bị WebXR, cung cấp quyền truy cập vào các thành phần để tạo ra thực tế ảo và tăng cường. API cho phép bạn hợp nhất công việc với nhiều loại thiết bị khác nhau, từ tai nghe thực tế ảo cố định như Oculus Rift, HTC Vive và Windows Mixed Reality đến các giải pháp dựa trên thiết bị di động như Google Daydream View và Samsung Gear VR. Các ứng dụng có thể áp dụng API mới bao gồm các chương trình xem video ở chế độ 360°, hệ thống hiển thị không gian ba chiều, tạo rạp chiếu phim ảo để trình chiếu video, tiến hành thử nghiệm tạo giao diện 3D cho các cửa hàng và phòng trưng bày;
  

• Trong chế độ Bản dùng thử gốc (các tính năng thử nghiệm yêu cầu sự kích hoạt) một số API mới đã được đề xuất. Bản dùng thử gốc ngụ ý khả năng hoạt động với API được chỉ định từ các ứng dụng được tải xuống từ localhost hoặc 127.0.0.1 hoặc sau khi đăng ký và nhận mã thông báo đặc biệt có giá trị trong một thời gian giới hạn cho một trang web cụ thể.
  • Đối với tất cả các phần tử HTML, thuộc tính “rendersubtree” được đề xuất để đảm bảo rằng việc hiển thị phần tử DOM được cố định. Đặt thuộc tính thành "ẩn" sẽ ngăn nội dung của phần tử được hiển thị hoặc kiểm tra, cho phép hiển thị được tối ưu hóa. Khi được đặt thành "có thể kích hoạt", trình duyệt sẽ xóa thuộc tính vô hình, hiển thị nội dung và hiển thị nội dung đó.
  • Đã thêm tùy chọn API Khóa sau dựa trên cơ chế Promise, cung cấp một cách an toàn hơn để kiểm soát việc tắt màn hình tự động khóa và chuyển thiết bị sang chế độ tiết kiệm năng lượng.
• Triển khai khả năng sử dụng thuộc tính tự động lấy nét cho tất cả các phần tử HTML và SVG có thể có tiêu điểm đầu vào.
• Đối với hình ảnh và video bảo đảm Tính tỷ lệ khung hình dựa trên thuộc tính Chiều rộng hoặc Chiều cao, có thể được sử dụng để xác định kích thước của hình ảnh bằng CSS ở giai đoạn hình ảnh chưa được tải (giải quyết vấn đề xây dựng lại trang sau khi hình ảnh được tải).
• Đã thêm thuộc tính CSS phông chữ-quang-định cỡ, tự động đặt kích thước phông chữ thay đổi theo tọa độ quang học "hoạt động", nếu phông chữ hỗ trợ chúng. Chế độ này cho phép bạn chọn hình dạng glyph tối ưu cho một kích thước được chỉ định, ví dụ: sử dụng các glyph tương phản hơn cho tiêu đề.
• Đã thêm thuộc tính CSS kiểu danh sách, cho phép bạn sử dụng bất kỳ ký hiệu nào thay vì dấu chấm trong danh sách, ví dụ: “-“, “+”, “★” và “▸”.
• Nếu không thể thực thi Worklet.addModule(), một đối tượng hiện được trả về với thông tin chi tiết về bản chất của lỗi, cho phép bạn đánh giá chính xác hơn nguyên nhân lỗi (sự cố với kết nối mạng, cú pháp không chính xác, v.v. .).
• Đã dừng xử lý các mục при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
• Trong công cụ JavaScript V8 đã tiến hành Tối ưu hóa việc xử lý các thay đổi đối với cách biểu diễn các trường trong đối tượng, dẫn đến việc thực thi mã AngularJS trong bộ kiểm tra Đồng hồ tốc độ chạy nhanh hơn 4%.
  

• V8 cũng tối ưu hóa việc xử lý các getters được xác định trong các API tích hợp, chẳng hạn như Node.nodeType và Node.nodeName, trong trường hợp không có trình xử lý IC (bộ nhớ đệm nội tuyến). Thay đổi này đã giảm khoảng 12% thời gian dành cho thời gian chạy IC khi chạy thử nghiệm Backbone và jQuery từ bộ Đồng hồ tốc độ.
  

• Kết quả của cơ chế OSR (được gọi là thay thế trên ngăn xếp) được lưu trữ trong bộ nhớ đệm, thay thế mã được tối ưu hóa trong quá trình thực thi hàm (cho phép bạn bắt đầu sử dụng mã được tối ưu hóa cho các hàm chạy dài mà không cần đợi chúng chạy lại). Bộ nhớ đệm OSR cho phép sử dụng các kết quả tối ưu hóa khi chạy lại chức năng mà không cần phải tối ưu hóa lại.
  Trong một số thử nghiệm, sự thay đổi này đã tăng hiệu suất cao nhất lên 5–18%.
  

• Những thay đổi về công cụ dành cho nhà phát triển web:
  Đã xuất hiện chế độ gỡ lỗi để xác định lý do chặn yêu cầu hoặc gửi Cookie.
  
  • Trong khối có danh sách Cookie, khả năng xem nhanh giá trị của Cookie đã chọn đã được thêm bằng cách nhấp vào một dòng cụ thể.
    

  • Đã thêm khả năng mô phỏng các cài đặt khác nhau cho truy vấn phương tiện ưu tiên màu sắc và ưu tiên giảm chuyển động (ví dụ: để kiểm tra hoạt động của trang có chủ đề hệ thống tối hoặc tắt hiệu ứng hoạt hình).
    

  • Thiết kế của tab Bảo hiểm đã được hiện đại hóa, cho phép bạn đánh giá mã được sử dụng và không được sử dụng. Đã thêm khả năng lọc thông tin theo loại của nó (JavaScript, CSS). Thông tin sử dụng mã cũng được thêm vào khi hiển thị văn bản nguồn.
    

  • Đã thêm khả năng gỡ lỗi các lý do yêu cầu một tài nguyên mạng cụ thể sau khi ghi lại hoạt động mạng (bạn có thể xem dấu vết của lệnh gọi mã JavaScript dẫn đến việc tải tài nguyên).
    

  • Đã thêm cài đặt “Cài đặt > Tùy chọn > Nguồn > Thụt lề mặc định” để xác định loại thụt lề (2/4/8 dấu cách hoặc tab) trong mã được hiển thị trong bảng điều khiển Bảng điều khiển và Nguồn.

Ngoài những cải tiến và sửa lỗi, phiên bản mới còn loại bỏ 51 lỗ hổng. Nhiều lỗ hổng được xác định là kết quả của quá trình kiểm tra tự động bằng cách sử dụng các công cụ addressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer và AFL. Hai sự cố (CVE-2019-13725, truy cập bộ nhớ đã được giải phóng trong mã hỗ trợ Bluetooth và CVE-2019-13726, tràn vùng nhớ heap trong trình quản lý mật khẩu) được đánh dấu là nghiêm trọng, tức là. cho phép bạn bỏ qua tất cả các cấp độ bảo vệ của trình duyệt và thực thi mã trên hệ thống bên ngoài môi trường hộp cát. Đây là lần đầu tiên hai vấn đề nghiêm trọng được xác định trong cùng một chu kỳ phát triển của Chrome. Lỗ hổng đầu tiên được tìm thấy bởi các nhà nghiên cứu từ Phòng thí nghiệm bảo mật Tencent Keen và chứng minh tại cuộc thi Tianfu Cup và chiếc thứ hai được tìm thấy bởi Sergei Glazunov từ Google Project Zero.

Là một phần của chương trình thưởng tiền mặt cho việc phát hiện các lỗ hổng cho bản phát hành hiện tại, Google đã trả 37 giải thưởng trị giá 80000 USD (một giải thưởng 20000 USD, một giải thưởng 10000 USD, hai giải thưởng 7500 USD, bốn giải thưởng 5000 USD, một giải thưởng 3000 USD, hai giải thưởng 2000 USD, hai giải thưởng 1000 USD và tám giải thưởng giải thưởng trị giá 500 USD). Quy mô của 15 phần thưởng vẫn chưa được xác định.

Nguồn: opennet.ru