谷歌
-
活性 密码检查组件,旨在分析用户使用的密码强度。 尝试登录任何网站时密码检查执行 根据受损帐户的数据库检查登录名和密码,如果检测到问题,则会发出警告(检查是基于用户端的哈希前缀进行的)。 该检查是针对一个数据库进行的,该数据库涵盖了泄露的用户数据库中出现的超过 4 亿个受损帐户。 当尝试使用简单密码(例如“abc123”)时,也会显示警告。 为了控制密码检查的包含,“同步和 Google 服务”部分实施了特殊设置。 - 提出了一种实时检测网络钓鱼的新技术。 此前,验证是通过访问本地下载的安全浏览黑名单来进行的,该黑名单大约每 30 分钟更新一次,但事实证明,例如在攻击者频繁切换域的情况下,这种方法是不够的。 新方法允许您通过对白名单进行初步检查来动态检查 URL,其中包括数千个值得信赖的热门网站的哈希值。 如果正在打开的网站不在白名单中,浏览器会检查 Google 服务器上的 URL,传输链接的 SHA-32 哈希值的前 256 位,从中删除可能的个人数据。 谷歌表示,新方法可以将新钓鱼网站的警告有效性提高30%。
- 添加了主动保护,防止通过网络钓鱼页面传输 Google 凭据和密码管理器中存储的任何密码。 如果您尝试在通常不使用该密码的网站上输入已保存的密码,系统将警告用户有关潜在危险的操作。
- 使用 TLS 1.0 和 1.1 的连接现在显示不安全连接指示器。 完全支持 TLS 1.0 和 1.1
将被禁用 Chrome 81 中,计划于 17 年 2020 月 XNUMX 日发布。 - 添加了冻结非活动选项卡的功能,允许您自动从内存中卸载已在后台运行超过 5 分钟且不执行重大操作的选项卡。 关于特定标签是否适合冷冻的决定是基于启发法做出的。 启用该功能是通过“chrome://flags/#proactive-tab-freeze”标志控制的。
-
由...提供 阻止通过 HTTPS 打开的页面上的混合内容,以确保通过 https:// 打开的页面仅包含通过安全通信通道加载的资源。 尽管脚本和 iframe 等最危险的混合内容类型已默认被阻止,但图像、音频文件和视频仍然可以通过 http:// 下载。 以前使用的此类插入的混合内容指示符被发现无效并且会误导用户,因为它不能提供对页面安全性的明确评估。 例如,通过图像欺骗,攻击者可以替换用户跟踪 Cookie,尝试利用图像处理器中的漏洞,或者通过替换图像中提供的信息来进行伪造。 为了禁用混合组件的锁定,添加了一个特殊设置,可以通过单击锁定符号时出现的菜单进行访问。 - 添加了在桌面版和移动版 Chrome 之间共享剪贴板内容的实验功能。 在链接到一个帐户的 Chrome 实例中,您现在可以访问另一台设备的剪贴板内容,包括在移动和桌面系统之间共享剪贴板。 剪贴板的内容使用端到端加密进行加密,这可以防止访问 Google 服务器上的文本。 该功能通过选项 chrome://flags#shared-clipboard-receiver、chrome://flags#shared-clipboard-ui 和 chrome://flags#sync-clipboard-service 启用。
- 在关闭个人资料同步的某些时刻(例如,保存密码时),地址栏中除了显示头像外,还会显示当前 Google 帐户的名称,以便用户可以准确识别当前活动帐户。
- 为 1% 的用户激活
支持 “HTTPS 上的 DNS”(DoH,HTTPS 上的 DNS)。 该实验仅涉及系统设置已指定支持 DoH 的 DNS 提供商的用户。 例如,如果用户在系统设置中指定了 DNS 8.8.8.8,则 Chrome 中将激活 Google 的 DoH 服务(“https://dns.google.com/dns-query”);如果 DNS 为 1.1.1.1。 XNUMX,然后是 DoH Cloudflare 服务(“https://cloudflare-dns.com/dns-query”)等。 为了控制是否启用 DoH,提供了“chrome://flags/#dns-over-https”设置。 支持三种操作模式:安全、自动和关闭。 在“安全”模式下,仅根据先前缓存的安全值(通过安全连接接收)和通过 DoH 的请求来确定主机;不应用回退到常规 DNS。 在“自动”模式下,如果 DoH 和安全缓存不可用,可以从不安全缓存中检索数据并通过传统 DNS 访问。 在“关闭”模式下,首先检查共享缓存,如果没有数据,则通过系统 DNS 发送请求。 - 添加了实验性的
支持 使用前进和后退按钮更改页面时缓存渲染的内容,由于整个页面的完整缓存不需要重新渲染和加载资源,因此可以显着减少此类导航期间的延迟。 优化在移动设备版本中尤为明显,导航性能提升达19%。 使用“chrome://flags#back-forward-cache”选项启用该模式。 -
已删除 设置“chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”,允许返回地址栏中协议的显示(现在所有链接始终显示,不带 https :// 和 http://,也没有“www”。)。 - Windows 版本包括音频播放服务的沙箱。 为了控制是否启用隔离,建议使用 AudioSandboxEnabled 属性。
- 企业的集中管理工具包括定义规则的能力,这些规则控制在卸载后台选项卡之前浏览器实例可以消耗多少内存。 卸载选项卡后释放的内存可供使用,切换到该选项卡时会再次加载该选项卡的内容。
- Linux使用内置的证书验证处理器,取代了以前使用的NSS系统。 在这种情况下,内置处理器在验证期间继续使用NSS存储,但在处理错误编码和单独认证的证书时施加更严格的要求(所有证书必须由认证机构认证)。
- 在Android平台版本中
添加 能够为在渐进式 Web 应用程序 (PWA) 模式下运行的已安装 Web 应用程序分配自适应图标。 自适应图标可以适应设备制造商使用的界面,例如圆形、方形或具有平滑角的图标。 -
额外 APIWebXR 设备 ,它提供对用于创建虚拟和增强现实的组件的访问。 该 API 允许您统一使用各种类型的设备,从 Oculus Rift、HTC Vive 和 Windows Mixed Reality 等固定虚拟现实耳机,到基于 Google Daydream View 和 Samsung Gear VR 等移动设备的解决方案。 新API可能适用的应用包括以360°模式观看视频的程序、可视化三维空间的系统、创建用于视频演示的虚拟影院、为商店和画廊创建3D界面的实验; - 在 Origin Trials 模式下(需要单独的实验功能
激活 )已经提出了几个新的 API。 Origin Trial 意味着能够使用从 localhost 或 127.0.0.1 下载的应用程序中的指定 API,或者在注册并接收在特定站点的有限时间内有效的特殊令牌之后。- 对于所有的HTML元素,提出了“rendersubtree”属性,它保证了DOM元素的显示是固定的。 将属性设置为“不可见”将阻止元素的内容被渲染或检查,从而允许优化渲染。 当设置为“activatable”时,浏览器将删除不可见属性,渲染内容并使其可见。
- 添加了 API 选项
唤醒锁 基于Promise机制,提供更安全的方式来控制自动锁屏的禁用以及设备切换至省电模式。
- 实现了使用属性的能力
自动对焦 适用于所有可以具有输入焦点的 HTML 和 SVG 元素。 - 对于图像和视频
安全的 根据Width或Height属性计算长宽比,可用于在图像尚未加载阶段使用CSS确定图像的大小(解决图像加载后重建页面的问题)。 - 添加了 CSS 属性
字体光学尺寸 ,自动设置光学坐标中的可变字体大小“奥普斯 ”,如果字体支持它们。 该模式允许您为指定大小选择最佳字形形状,例如,为标题使用更具对比性的字形。 - 添加了 CSS 属性
列表样式类型 ,它允许您在列表中使用任何符号代替句点,例如“-”、“+”、“★”和“▸”。 - 如果无法执行 Worklet.addModule(),现在会返回一个对象,其中包含有关错误性质的详细信息,这使您可以更准确地评估错误原因(网络连接问题、语法错误等) .)。
- 已停止处理项目 при их перемещении между документами. При переносе между документами также отключено выполнение связанных со скриптом событий «error» и «load».
- 在 JavaScript 引擎 V8 中
进行 优化处理对象中字段表示形式的更改,从而使 Speedometer 测试套件中的 AngularJS 代码执行速度提高 4%。 - 在没有 IC 处理程序(内联缓存)的情况下,V8 还优化了内置 API 中定义的 getter 的处理,例如 Node.nodeType 和 Node.nodeName。 从 Speedometer 套件运行 Backbone 和 jQuery 测试时,这一更改将 IC 运行时间减少了约 12%。
- OSR(称为栈上替换)机制的结果被缓存,该机制在函数执行期间替换优化代码(允许您开始对长时间运行的函数使用优化代码,而无需等待它们再次运行)。 OSR 缓存使得重新运行函数时可以使用优化结果,而无需进行重新优化。
在某些测试中,这一变化将峰值性能提高了 5-18%。 - Web 开发人员工具的变化:
- 在 Cookie 列表块中,添加了通过单击特定行来快速查看所选 Cookie 值的功能。
- 添加了模拟首选颜色方案和首选减少运动媒体查询的不同设置的功能(例如,测试具有深色系统主题或禁用动画效果的页面的行为)。
- “覆盖率”选项卡的设计已经过现代化,允许您评估已使用和未使用的代码。 添加了按类型(JavaScript、CSS)过滤信息的功能。 显示源文本时还会添加代码使用信息。
- 添加了在记录网络活动后调试请求特定网络资源的原因的功能(您可以查看导致资源加载的 JavaScript 代码调用的跟踪)。
- 添加了“设置 > 首选项 > 源 > 默认缩进”设置以确定控制台和源面板中显示的代码中的缩进类型(2/4/8 个空格或制表符)。
出现 调试模式以确定阻止请求或发送 Cookie 的原因。 - 在 Cookie 列表块中,添加了通过单击特定行来快速查看所选 Cookie 值的功能。
除了创新和错误修复之外,新版本还消除了 51 个漏洞。 许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。 两个问题(CVE-2019-13725,访问蓝牙支持代码中已释放的内存,以及 CVE-2019-13726,密码管理器中的堆溢出)被标记为严重问题,即允许您绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 这是首次在 Chrome 的同一开发周期内发现两个关键问题。 第一个漏洞是由腾讯科恩安全实验室的研究人员发现的
作为发现当前版本漏洞的现金奖励计划的一部分,Google 支付了 37 个价值 80000 美元的奖励(一项 20000 美元奖励、一项 10000 美元奖励、两项 7500 美元奖励、四项 5000 美元奖励、一项 3000 美元奖励、两项 2000 美元奖励、两项 1000 美元奖励和八项奖励)。 500 美元奖励)。 15 项奖励的金额尚未确定。
来源: opennet.ru