Chrome 版本 79

谷歌 呈現 網絡瀏覽器發布 鉻79的。 同時地 有空 免費項目的穩定發布 鉻，這是 Chrome 的基礎。 Chrome 瀏覽器 不同 Google 徽標的使用、出現崩潰時發送通知的系統、按需下載 Flash 模塊的能力、播放受保護視頻內容 (DRM) 的模塊、自動更新系統和搜索傳輸 RLZ參數。 Chrome 80 的下一個版本計劃於 4 月 XNUMX 日發布。

主要的 變化 в Chrome瀏覽器 79:

• 活性 密碼檢查組件，旨在分析使用者使用的密碼強度。嘗試登入任何網站時密碼檢查 滿足 根據受損帳戶的資料庫檢查登入名稱和密碼，如果偵測到問題，則會發出警告（檢查是基於使用者端的雜湊前綴進行的）。該檢查是針對一個資料庫進行的，該資料庫涵蓋了洩漏的用戶資料庫中出現的超過 4 億個受損帳戶。當嘗試使用簡單密碼（例如“abc123”）時，也會顯示警告。為了控制密碼檢查的包含，「同步和 Google 服務」部分實施了特殊設定。
• 提出了一種即時檢測網路釣魚的新技術。先前，驗證是透過存取本地下載的安全瀏覽黑名單來進行的，該黑名單大約每 30 分鐘更新一次，但事實證明，例如在攻擊者頻繁切換網域的情況下，這種方法是不夠的。新方法可讓您透過對白名單進行初步檢查來動態檢查 URL，其中包括數千個值得信賴的熱門網站的雜湊值。如果正在開啟的網站不在白名單中，瀏覽器會檢查 Google 伺服器上的 URL，傳輸連結的 SHA-32 雜湊值的前 256 位，從中刪除可能的個人資料。谷歌表示，新方法可以將新釣魚網站的警告有效性提高30%。
• 新增了主動保護，防止透過網路釣魚頁面傳輸 Google 憑證和密碼管理器中儲存的任何密碼。如果您嘗試在通常不使用該密碼的網站上輸入已儲存的密碼，系統將警告使用者有關潛在危險的操作。
• 使用 TLS 1.0 和 1.1 的連線現在顯示不安全連線指示器。完全支援 TLS 1.0 和 1.1 將被禁用 Chrome 81 中，預定於 17 年 2020 月 XNUMX 日發售。
• 新增了凍結非活動選項卡的功能，可讓您自動從記憶體中卸載已在背景運行超過 5 分鐘且不執行重大操作的選項卡。關於特定標籤是否適合冷凍的決定是基於啟發法做出的。啟用該功能是透過「chrome://flags/#proactive-tab-freeze」標誌控制的。
• 有擔保 阻止透過 HTTPS 開啟的頁面上的混合內容，以確保透過 https:// 開啟的頁面僅包含透過安全通訊通道載入的資源。儘管腳本和 iframe 等最危險的混合內容類型已預設被阻止，但圖像、音訊檔案和視訊仍然可以透過 http:// 下載。先前使用的此類插入的混合內容指示符被發現無效並且會誤導用戶，因為它不能提供對頁面安全性的明確評估。例如，透過影像欺騙，攻擊者可以替換使用者追蹤 Cookie，嘗試利用影像處理器中的漏洞，或透過替換影像中提供的資訊來進行偽造。為了停用混合組件的鎖定，新增了一個特殊設置，可以透過點擊鎖定符號時出現的選單進行存取。
• 新增了在桌面版和行動版 Chrome 之間共用剪貼簿內容的實驗功能。在連結到一個帳戶的 Chrome 實例中，您現在可以存取另一台裝置的剪貼簿內容，包括在行動裝置和桌面系統之間共用剪貼簿。剪貼簿的內容使用端對端加密進行加密，這可以防止存取 Google 伺服器上的文字。此功能透過選項 chrome://flags#shared-clipboard-receiver、chrome://flags#shared-clipboard-ui 和 chrome://flags#sync-clipboard-service 啟用。
• 在關閉個人資料同步的某些時刻（例如，儲存密碼時），網址列中除了顯示頭像外，還會顯示目前 Google 帳戶的名稱，以便使用者可以準確識別目前活動帳戶。
• 為 1% 的用戶激活 支持 「HTTPS 上的 DNS」（DoH，HTTPS 上的 DNS）。此實驗僅涉及系統設定已指定支援 DoH 的 DNS 提供者的使用者。例如，如果使用者在系統設定中指定了 DNS 8.8.8.8，則 Chrome 中將啟動 Google 的 DoH 服務（「https://dns.google.com/dns-query」）；如果 DNS 為 1.1.1.1. XNUMX，然後是DoH Cloudflare 服務（“https://cloudflare-dns.com/dns-query”）等。為了控制是否啟用 DoH，提供了「chrome://flags/#dns-over-https」設定。支援三種操作模式：安全、自動和關閉。在「安全性」模式下，僅根據先前快取的安全性值（透過安全連線接收）和透過 DoH 的請求來確定主機；不套用回退到常規 DNS。在「自動」模式下，如果 DoH 和安全快取不可用，則可以從不安全快取中檢索資料並透過傳統 DNS 存取。在「關閉」模式下，首先檢查共享緩存，如果沒有數據，則透過系統 DNS 發送請求。
• 添加了實驗性的 支持 使用前進和後退按鈕更改頁面時快取渲染的內容，由於整個頁面的完整快取不需要重新渲染和載入資源，因此可以顯著減少此類導航期間的延遲。優化在行動裝置版本中特別明顯，導航效能提升達19%。使用“chrome://flags#back-forward-cache”選項啟用該模式。
• 已刪除 設定“chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains”，允許返回地址欄中協議的顯示（現在所有連結始終顯示，不帶 https :// 和http://，也沒有「www」。）。
• Windows 版本包含音訊播放服務的沙箱。為了控制是否啟用隔離，建議使用 AudioSandboxEnabled 屬性。
• 企業的集中管理工具包括定義規則的能力，這些規則控制在卸載後台選項卡之前瀏覽器實例可以消耗多少記憶體。卸載選項卡後釋放的記憶體可供使用，切換到該選項卡時會再次載入該選項卡的內容。
• Linux使用內建的憑證驗證處理器，取代了先前使用的NSS系統。在這種情況下，內建處理器在驗證期間繼續使用NSS存儲，但在處理錯誤編碼和單獨認證的證書時施加更嚴格的要求（所有證書必須由認證機構認證）。
• 在Android平台版本中 添加 能夠為在漸進式 Web 應用程式 (PWA) 模式下執行的已安裝 Web 應用程式指派自適應圖示。自適應圖示可以適應裝置製造商使用的介面，例如圓形、方形或具有平滑角的圖示。
• 添加 API WebXR 設備，它提供對用於創建虛擬和擴增實境的組件的存取。此 API 可讓您統一使用各種類型的設備，從 Oculus Rift、HTC Vive 和 Windows Mixed Reality 等固定虛擬實境耳機，到基於 Google Daydream View 和 Samsung Gear VR 等行動裝置的解決方案。新API可能適用的應用包括以360°模式觀看影片的程式、可視化三維空間的系統、創建用於視訊演示的虛擬影院、為商店和畫廊創建3D介面的實驗；
  

• 在 Origin Trials 模式下（需要單獨的實驗功能 激活）已經提出了幾個新的 API。 Origin Trial 表示能夠使用從 localhost 或 127.0.0.1 下載的應用程式中的指定 API，或者在註冊並接收在特定網站的有限時間內有效的特殊令牌之後。
  • 對於所有的HTML元素，提出了「rendersubtree」屬性，它保證了DOM元素的顯示是固定的。將屬性設為「不可見」將阻止元素的內容被渲染或檢查，從而允許優化渲染。設定為「activatable」時，瀏覽器將刪除不可見屬性，渲染內容並使其可見。
  • 新增了 API 選項 喚醒鎖 基於Promise機制，提供更安全的方式來控制自動鎖定螢幕的停用以及裝置切換至省電模式。
• 實現了使用屬性的能力 自動對焦 適用於所有可以具有輸入焦點的 HTML 和 SVG 元素。
• 對於圖像和視頻 安全的 根據Width或Height屬性計算長寬比，可用於在影像尚未載入階段使用CSS確定影像的大小（解決影像載入後重建頁面的問題）。
• 新增了 CSS 屬性 字體光學尺寸，自動設定光學座標中的可變字體大小“奧普斯”，如果字體支援它們。此模式可讓您為指定大小選擇最佳字形形狀，例如，為標題使用更具對比性的字形。
• 新增了 CSS 屬性 列表樣式類型，它允許您在清單中使用任何符號代替句點，例如“-”、“+”、“★”和“▸”。
• 如果無法執行 Worklet.addModule()，現在會返回一個對象，其中包含有關錯誤性質的詳細信息，這使您可以更準確地評估錯誤原因（網絡連接問題、語法錯誤等） .)。
• 在文件之間移動 元素時停止處理它們。在文件之間傳輸時，也會停用與腳本相關的「錯誤」和「載入」事件的執行。
• 在 JavaScript 引擎 V8 中 執行 優化處理物件中欄位表示形式的更改，從而使 Speedometer 測試套件中的 AngularJS 程式碼執行速度提高 4%。
  

• 在沒有 IC 處理程序（內嵌快取）的情況下，V8 也優化了內建 API 中定義的 getter 的處理，例如 Node.nodeType 和 Node.nodeName。從 Speedometer 套件執行 Backbone 和 jQuery 測試時，這項變更將 IC 運行時間減少了約 12%。
  

• OSR（稱為堆疊上替換）機制的結果被緩存，該機制在函數執行期間替換最佳化程式碼（允許您開始對長時間運行的函數使用最佳化程式碼，而無需等待它們再次運行）。 OSR 快取使得重新運行函數時可以使用最佳化結果，而無需重新最佳化。
  在某些測試中，這項變更將峰值效能提高了 5-18%。
  

• Web 開發人員工具的變更：
  出現 調試模式以確定阻止請求或發送 Cookie 的原因。
  
  • 在 Cookie 清單區塊中，新增了透過點選特定行來快速查看所選 Cookie 值的功能。
    

  • 新增了模擬首選顏色方案和首選減少運動媒體查詢的不同設定的功能（例如，測試具有深色系統主題或停用動畫效果的頁面的行為）。
    

  • 「覆蓋率」標籤的設計已經過現代化，可讓您評估已使用和未使用的程式碼。新增了按類型（JavaScript、CSS）過濾資訊的功能。顯示原始文字時也會新增程式碼使用資訊。
    

  • 新增了在記錄網路活動後偵錯請求特定網路資源的原因的功能（您可以查看導致資源載入的 JavaScript 程式碼呼叫的追蹤）。
    

  • 新增了「設定 > 首選項 > 來源 > 預設縮排」設定以確定控制台和來源面板中顯示的程式碼中的縮排類型（2/4/8 個空格或製表符）。

除了創新和錯誤修復之外，新版本還消除了 51 個漏洞。許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。兩個問題（CVE-2019-13725，存取藍牙支援代碼中已釋放的內存，以及 CVE-2019-13726，密碼管理器中的堆溢出）被標記為嚴重問題，即允許您繞過所有層級的瀏覽器保護並在沙箱環境以外的系統上執行程式碼。這是首次在 Chrome 的相同開發週期內發現兩個關鍵問題。第一個漏洞是由騰訊科恩安全實驗室的研究人員發現的 證明了 在天府杯比賽中，第二個是由谷歌零號項目的謝爾蓋·格拉祖諾夫發現的。

作為發現當前版本漏洞的現金獎勵計劃的一部分，Google 支付了37 個價值80000 美元的獎勵（一項20000 美元獎勵、一項10000 美元獎勵、兩項7500 美元獎勵、四項5000 美元獎勵、一項3000美元獎勵、兩項2000 美元獎勵、兩項1000 美元獎勵和八項獎勵）。500 美元 獎勵）。 15 項獎勵的金額尚未確定。

來源： opennet.ru