Google Chrome

[Friend]

Google отказался от навязывания блокировки сторонних Cookie в Chrome

Спойлер

Вице-президент Google, курирующий проект Privacy Sandbox, объявил о решении сохранить сложившийся подход к блокировке сторонних Cookie в Chrome - Cookie, выставляемые при обращении к доменам, отличающимся от домена текущей страницы, будут блокироваться по умолчанию только в режиме "инкогнито". Также будет пересмотрено использование технологий Privacy Sandbox в экосистеме, план по дальнейшему продвижению которых намерены подготовить в ближайшие месяцы.

Отмечается, что решение принято так как с момента запуска инициативы Privacy Sandbox в 2019 году многое изменилось, например, ускорилось продвижение технологий для защиты конфиденциальности, были реализованы основанные на AI методы обеспечения безопасности пользователей, во всём мире изменилась нормативная база для регулирования отрасли.

Летом прошлого года компания Google отказалась от идеи полного прекращения поддержки сторонних Cookie в Chrome, но намеревалась выводить диалог для подтверждения пользователем согласия на включение блокировки. Теперь этот план отменён и блокировка будет выполняться только при выставлении соответствующих настроек в секции "Privacy and Security", т.е. вместо введения концепции "блокируем по умолчанию, но пользователь может отказаться" сохранится схема "сторонние Cookie разрешены по умолчанию, но при желании пользователь может включить блокировку".

Под сторонними Cookie понимаются Cookie, выставленные при обращении к доменам, отличающимся от домена текущей страницы. Например, при блокировке сторонних Cookie код с сайта "C", встроенный через iframe на сайты "A" и "В", не сможет обрабатывать общие для данных сайтов Cookie, и выставленные сайтом "C" Cookie будут недоступны при загрузке кода при обращении к сайтам "A" и "В". Сторонние Cookie обычно применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. В Firefox сторонние Cookie по умолчанию блокируются с 2019 года, а в Safari c 2020 года.

Вместо сторонних Cookie компания Google продвигала ряд специализированных API, учитывающие потребность пользователей в конфиденциальности, такие как FedCM (Federated Credential Management, позволяет создавать объединённые сервисы идентификации), Private State Tokens (позволяет разделять пользователей без использования межсайтовых идентификаторов), Topics (позволяет ранжировать пользователей по группам интересов), Protected Audience (таргетинг и изучение аудитории) и Attribution Reporting (оценка эффективности рекламы).

Несмотря на многолетние усилия Google по продвижению технологий Privacy Sandbox индустрия интернет-рекламы оказалась не готова к отказу от использования отслеживающих Cookie. Изменение также вызвало опасения регулирующих органов, что блокировка сторонних Cookie может использоваться Google для подавление конкуренции и злоупотребления доминирующим положением Chrome на рынке браузеров для предоставления преимуществ своим рекламным сервисам.

Кроме того, инициатива Google вызвала сопротивление в сообществе и критику, связанную с тем, что идущие на смену отслеживающим Cookie методы не решают всех проблем и создаёт новые риски, такие как создание условий для дискриминации пользователей и появление дополнительного фактора для скрытой идентификации и отслеживания перемещений пользователя.

В анонсе также упоминается намерение активировать в режиме "инкогнито" механизм IP Protection. Включение намечено на третий квартал этого года. IP Protection позволит скрыть IP-адрес пользователя от владельцев сайтов, благодаря отправке трафика не напрямую, а через прокси-серверы. При включении IP Protection целевой сервер будет видеть в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса упоминается возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а второй прокси в цепочке будет видеть адрес первого прокси

[Friend]

Выпуск web-браузера Chrome 137 

Спойлер

Компания Google опубликовала релиз web-браузера Chrome 137. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 138 запланирован на 24 июня.

Основные изменения в Chrome 137:

• В сборки для Windows и macOS интегрирован чатбот Gemini, который может пояснять содержимое просматриваемой страницы и отвечать на связанные со страницей вопросы не переключаясь с текущей вкладки. Поддерживается текстовое и голосовое взаимодействие с Gemini. Работа с чатботом пока доступна только части пользователей из США, имеющих подписки Google AI Pro и Ultra.
• По аналогии с ранее реализованным сегментированием хранилища, обеспечена изоляция обработки URL-схемы "blob:", предназначенной для доступа к локально сгенерированным данным через API Blob или File. При сегментировании к ключу, применяемому для извлечения объектов, прикрепляется отдельный признак, определяющий привязку к первичному домену, с которого открыта основная страница, что позволяет блокировать методы отслеживания перемещений пользователя между сайтами через манипуляцию с URL "blob:".
• В режиме расширенной защиты браузера (Safe Browsing > Enhanced protection) активирована возможность использования большой языковой модели для определения мошеннических страниц по их содержимому. AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google. В текущей версии пока производится только сбор информации о проблемных страницах. В следующем выпуске планируется начать выводить предупреждения пользователю.
• Включена защита от скрытой идентификации пользователей при помощи кэша HSTS (HTTP Strict Transport Security). HSTS позволяет сайтам при входе по HTTP перенаправить пользователя на HTTPS. В процессе работы имя хоста, выставленного через HSTS, сохраняется во внутреннем кэше, что позволяет использовать факт присутствия или отсутствия хоста в кэше для хранения одного бита информации. Для скрытого хранения 32-разрядного идентификатора пользователя можно использовать массив из 32 изображений, отдаваемых с разных хостов по HTTP (http://bit0.example.com/image.jpg, http://bit1.example.com/image.jpg и т.п.). Определение идентификатора производится путём проверки с каких хостов изображения загрузились по HTTPS, а с каких по HTTP (если изображения были отданы ранее по HTTP и через HSTS перенаправлены на HTTPS, то при последующих запросах они сразу будут загружены с HTTPS, минуя обращение по HTTP). Защита сводится к разрешению обновления HSTS только для ресурсов верхнего уровня и блокировке обновления HSTS в запросах субресурсов.
• Для соединений WebRTC реализована поддержка протокола DTLS 1.3 (Datagram Transport Layer Security, аналог TLS для UDP). Поддержка DTLS 1.3 необходима для использования алгоритмов постквантового шифрования в WebRTC.
• Удалена опция командной строки "--load-extension", позволяющая загружать дополнения. Опция убрана с целью снижения риска её использования для подстановки вредоносных дополнений. Для принудительной загрузки распакованных дополнений рекомендуется использовать кнопку Load Unpacked на странице управления дополнениями (chrome://extensions/) после включения режима для разработчика. В Chromium и тестовых сборках Chrome For Testing поддержка опции "--load-extension" сохранена.
• Решено отказаться от автоматического отката на использование для WebGL системы программной отрисовки SwiftShader, реализующей API Vulkan. В случае отсутствия должного бэкенда на базе GPU создание контекста WebGL теперь будет возвращать ошибку, а не переключаться на SwiftShader. Прекращение использования SwiftShader позволит повысить безопасность, благодаря исключению выполнения сгенерированного JIT-компилятором кода в процессе, отвечающем за взаимодействие с GPU. Для возвращения использования SwiftShader предусмотрена отдельная опция командной строки "--enable-unsafe-swiftshader". В версии Chrome 137 для пользователей платформ Linux и macOS при использовании SwiftShader в web-консоль будет выводиться предупреждение, а в Chrome 138 откат на Swiftshader будет отключён. Для пользователей Windows система SwiftShader заменена на встроенную в Windows систему программной отрисовки WARP (Windows Advanced Rasterization Platform).
• В настройки добавлена возможность включения функции "Autofill with AI", упрощающей заполнение web-форм. При включении браузер задействует AI-модель для понимания web-формы и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В API Web Cryptography добавлена поддержка криптоалгоритмов на базе эллиптической кривой Curve25519, таких как алгоритм формирования цифровых подписей Ed25519.
• Реализовано CSS-свойство "reading-flow", позволяющее управлять порядком обработки элементов во flex, grid и блочных контейнерах при использовании экранных ридеров и при последовательной навигации. Также добавлено свойство "reading-order", дающее возможность вручную переопределять порядок элементов.
• В CSS предложена функция "if()", предназначенная для выбора значений в зависимости от результата выполнения условных выражений. В качестве аргумента передаётся разделённый точкой с запятой список пар "условие:значение". Функция перебирает эти пары и останавливается при первом сработавшем условии. Например: "background-color: if(style(--color: white): black; else: white);".
• В CSS-свойстве offset-path реализована функция shape() для формирования фигур при помощи команд, эквивалентных функции path(), но позволяющих использовать для них стандартный синтаксис CSS.
• Добавлен API JSPI (JavaScript Promise Integration), обеспечивающий интеграцию WebAssembly-приложений с JavaScript-объектом Promise и позволяющий WebAssembly-программам выступать в роли генератора Promise и взаимодействовать с API на базе Promise.
• В API CanvasRenderingContext2D, OffscreenCanvasRenderingContext2D и ImageData добавлена поддержка пиксельных форматов, использующих значения с плавающей запятой для представления составляющих цвета.
• В режиме Origin trials предложены экспериментальные API Rewriter и Writer, позволяющие переделывать (например, более кратко излагать суть или менять стиль повествования) или генерировать текст при помощи больших языковых моделей.
• В инструменты для web-разработчиков добавлена возможность привязки к рабочим пространствам, позволяющая сохранять в локальных файлах изменения, добавленные в JavaScript, HTML и CSS при работе со встроенными в браузер инструментами. Расширены возможности AI-ассистента, который может изменять CSS и анализировать производительность.

Кроме нововведений и исправления ошибок в новой версии устранены 11 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 8 премии на сумму 7500 долларов США (по одной премии в $4000, $2000, $1000 и $500). Размер четырёх вознаграждений пока не определён.

[Peter15]

Интересно, только у меня на одном из компов Chrome не загружался онлайн - инсталлятором? Пробовал перезапускать ПК, не помогает. Стоит Kaspersky Standard последней версии, ОС -- Windows 10 22h2 Pro RU x64.

[andrew75]

Только вчера переустанавливал хром именно с онлайн-установщика.

Цитата

Как установить Chrome в офлайн-режиме

Если при скачивании Chrome на компьютер с ОС Windows вы столкнулись с проблемой, воспользуйтесь альтернативной ссылкой для скачивания браузера на другой компьютер.

1. Скачайте установщик Chrome на другой компьютер.
2. В нижней части страницы в разделе "Семейство Chrome" нажмите Другие платформы.
3. Выберите ОС устройства, на которое нужно установить Chrome.
4. Скачайте файл.
5. Перенесите его на тот компьютер, куда вы хотите установить Chrome.
6. Завершите установку, следуя инструкциям на экране.

https://support.google.com/chrome/answer/95346?hl=ru&co=GENIE.Platform%3DDesktop#zippy=%2Cwindows

Изменено 4 июля пользователем andrew75

[Friend]

Выпуск web-браузера Chrome 140 с поддержкой скрытия IP и блокировки скриптов 

Спойлер

Компания Google опубликовала релиз web-браузера Chrome 140. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 141 запланирован на 30 сентября.

Основные изменения в Chrome 140:

• Для усиления защиты от отслеживания перемещения между сайтами в режиме инкогнито реализована возможность скрытия сведений об IP-адресе пользователя в сторонних контекстах (например, для страниц, загружаемых через iframe). Скрытие применяется только для доменов, присутствующих в списке MDL (Masked Domain List), и реализовано через отправку запроса не напрямую, а через прокси-сервер Google. Соответственно, сайт увидит в качестве входящего IP-адреса адрес прокси, а не пользователя.
• Для получения выборочной информации об IP-адресах пользователей при включении в браузере режима защиты IP-адресов, отправляющем запросы через транзитный прокси, реализован механизм PRT (Probabilistic Reveal Token). PRT подразумевает отправку заголовка с зашифрованным токеном, позволяющим получить случайную урезанную выборку реальных IP-адресов клиентов, обращавшихся к заданному домену, но не привязанных к конкретным запросам. Часть PRT-токенов содержит информацию о реальном IP, а часть нет, и определить содержимое токена можно только после истечения определённого времени, расшифровав их ключом, выданным Google после отдельного запроса. Подобная информация об IP-адресах может использоваться в системах защиты от мошенников и для анализа качества web-трафика.
   
• В режиме инкогнито реализован механизм "Script Blocking", выборочно блокирующий доступ к некоторым JavaScript API, которые можно использовать для скрытой идентификации пользователя. Например, как дополнительный признак для идентификации могут учитываться различия в отрисовке разными браузерами изображений через API Canvas. Блокировка осуществляется только для стороннего контента (например, встроенного на страницу через теги iframe или script) при выявлении активности, специфичной для скрытой идентификации, и для доменов из чёрного списка MDL (Masked Domain List), уличённых в скрытой идентификации.
• Включён режим OverrideDefaultOzonePlatformHintToAuto для автоматического выбора бэкенда в прослойке Ozone, абстрагирующей взаимодействие с графической подсистемой. Изменение позволяет адаптивно активировать Wayland-бэкенд на системах с поддержкой Wayland, не привязываясь по умолчанию с бэкенду X11.
• Включена функция автоматической смены пароля, основанная на использовании AI. Если пароль присутствует в известных базах скомпрометированных учётных записей, то при попытке входа c данным паролем на сайт Chrome выведет предупреждение с предложением изменить пароль. При согласии браузер сгенерирует стойкий к подбору пароль, сменит пароль на сайте (сам заполнит и отправит нужные web-формы) и сохранит новый пароль в менеджере паролей.
• Добавлена оптимизация DSE Prewarming (Default Search Engine Prewarming) для ускорения открытия страницы с результатами поиска после выполнения запроса через адресную строку. При включении DSE Prewarming сразу после перехода фокуса ввода на адресую строку осуществляется пререндеринг макета страницы с результатами поиска и загрузка необходимых для этой страницы ресурсов. Загруженные ресурсы также используются для ускорения следующих запросов. Возможность пока активирована по умолчанию только для части пользователей.
• Расширены средства автозаполнения форм, которые задействуют AI-модель для понимания web-формы и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы. Настройка "Autofill with AI" переименована в "Enhanced autofill". В новой версии расширено число стран и языков, для которых доступна функция, а также добавлена поддержка дополнительных типов информации.
• Для пользователей из США активирован встроенный в браузер чат-бот Gemini, который может пояснять содержимое просматриваемой страницы и отвечать на связанные со страницей вопросы, не переключаясь с текущей вкладки. Поддерживается текстовое и голосовое взаимодействие с Gemini. В дальнейшем планируется включения чат-бота и для пользователей из других стран.
• Для всех пользователей включена возможность присоединения к уже созданным группам совместных вкладок, с которыми одновременно могут работать несколько пользователей. Поддержка создания групп пока доступна только для пользователей тестовых сборок (Beta/Dev/Canary), подразумевается, что они могут создать набор вкладок и поделиться им с другими пользователями, которые будут видеть те же вкладки на своих устройствах. В случае, если кто-то из участников поменяет вкладку в группе, изменение будет сразу отражено и на устройствах других пользователей.
• Изменено оформление предупреждений, показываемых при попытке открытия сайта без HTTPS в случае выставления в настройках (chrome://settings/security) режима установки только безопасных соединений. Вместо вывода страницы с предупреждением реализован диалог, всплывающий под адресной строкой и блокирующий загрузку данных без шифрования до выбора действия пользователем.
• В запросах, связанных с упреждающей загрузкой ресурсов или отрисовкой (<link rel=prefetch> или <link rel=prerender>), обеспечена отправка HTTP-заголовка "Sec-Purpose". Ранее применяемый для этих целей HTTP-заголовок "Purpose: prefetch" объявлен устаревшим, но пока не отключён по умолчанию для сохранения совместимости.
• В API ToggleEvent добавлено свойство source, содержащее объект Element, представляющий элемент управления, инициировавший изменение состояния, в ответ на которое было сгенерировано событие Toggle. Например, когда пользователь кликнет на элемент "<button>" с атрибутом "popovertarget" при открытии всплывающего окна будет сгенерировано событие ToggleEvent, свойство "source" в котором позволит понять какой элемент "<button>" был нажат.
• Добавлена возможность использования функций counter() и counters() внутри альтернативного текста в свойстве "content" (например, 'content: "Chapter" counter(chapter);').
• Добавлено CSS-свойство "caret-animation", позволяющее управлять анимацией изменения курсора в полях ввода (например, мигание курсора можно заменить на собственную анимацию). Также добавлены свойства animation-timing-function, animation-iteration-count, animation-direction и animation-play-state для управления переходными анимационными эффектами.
• В СSS-правиле "@font-face" реализована поддержка свойства font-variation-settings для настройки глифов в вариативных шрифтах (толщина линий, ширина символов, наклон символов и т.п.)
• В CSS добавлена поддержка типизированной арифметики, позволяющей использовать такие выражения, как "calc(10em / 1px)" и "calc(20% / 0.5em * 1px)".
• Добавлены методы Uint8Array.prototype.toBase64, Uint8Array.prototype.toHex, Uint8Array.fromBase64 и Uint8Array.fromHex для преобразования между Uint8Array и данными в формате base64 или шестнадцатеричным представлением.
• В инструментах для web-разработчиков расширены возможности, связанные с применением AI для отладки проблем с производительностью. Добавлена поддержка эмуляции поведения при использовании HTTP-заголовка "Save-Data".  

Кроме нововведений и исправления ошибок в новой версии устранены 6 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 4 премии на сумму 10 тысяч долларов США (по одной премии $5000, $4000 и $1000). Размер одного вознаграждения пока не определён.