Google Chrome

[Umnik]

А равно Алекса, Кортана, и вообще абсолютно все в мире, кто пытается улучшать качество распознавания речи. Это одна из причин, почему голосовое управление — зло.

[Friend]

В Chrome 76 будет блокирована лазейка для определения просмотра в режиме инкогнито :

  Показать контент

 

Компания Google сообщила об изменении поведения режима инкогнито в выпуске Chrome 76, намеченном на 30 июля. В частности, будет блокирована возможность использования лазейки в реализации FileSystem API, позволяющей определить из web-приложения факт применения режима инкогнито пользователем.

Суть метода в том, что раньше при работе в режиме инкогнито браузер блокировал доступ к FileSystem API для предотвращения оседания данных между сеансами, т.е. из JavaScript можно было проверить возможность сохранения данных через FileSystem API и в случае сбоя судить об активности режима инкогнито. В будущем выпуске Chrome доступ к FileSystem API блокироваться не будет, но содержимое после завершения сеанса будет очищаться.

Подобным способом активно пользовались некоторые сайты, работающие по модели предоставления полного доступа по платной подписке (paywall), но до ограничения возможности просмотра полных текстов статей предоставляющие новым пользователями на какое-то время демонстрационный полный доступ. Соответственно, самым простым способом получить доступ к платному контенту в таких системах является использование режима инкогнито. Издателей такое поведение не устраивает, поэтому они последнее время активно пользуются связанной с FileSystem API лазейкой для блокировки доступа к сайту при включении режима инкогнито и вывода требования отключить данный режим для продолжения просмотра.

 

 

[sputnikk]

Новое расширение 2ГИС https://vk.com/wall-486955_32865

[Friend]

Релиз Chrome 76:

  Показать контент

 

Компания Google представила релиз web-браузера Chrome 76. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 77 запланирован на 10 сентября.

Основные изменения в Chrome 76:

• Активирован по умолчанию режим защиты от передачи сторонних Cookie, который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию выставляет значение "SameSite=Lax", ограничивающее отправку Cookie для вставок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None). До сих пор браузер передавал Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. В режиме 'Lax' передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe, которые часто используются для организации CSRF-атак и для отслеживания перемещений пользователя между сайтами.
• Прекращено воспроизведение Flash-контента по умолчанию. До выпуска Chrome 87, ожидаемого в декабре 2020 года, поддержку Flash можно будет вернуть в настройках (Advanced > Privacy and Security > Site Settings) с последующим явным подтверждением операции воспроизведения Flash-контента для каждого сайта (подтверждение запоминается до перезапуска браузера). Полное удаление кода для обеспечения поддержки Flash синхронизировано с ранее озвученным компанией Adobe планом прекращения сопровождения технологии Flash в 2020 году;
• Для предприятий в адресную строку добавлена возможность поиска файлов в хранилище Google Drive;
• Началась массовая блокировка в Chrome неприемлемой рекламы, мешающей восприятию содержимого и не соответствующей критериям, выработанным Коалицией по улучшению рекламы;
• Реализован адаптивный режим переключения на новую страницу, при котором очистка текущего содержимого и отображение белого фона производится не сразу, а через небольшую задержку. Для быстро загружающихся страниц очистка приводит лишь к мерцанию и не несёт полезной нагрузки, призванной информировать пользователя о начале загрузки новой страницы. В новом выпуске если страница открывается быстро и укладывается в небольшую задержку, то новая страница отображается по месту, бесшовно заменяя предыдущую (например, удобно при переходе на близкие по оформлению и цветовой гамме другие страницы того же сайта). Если для отображения страницы требуется какое-то заметное пользователю время, то как и раньше экран будет предварительно очищен;
• Ужесточены критерии определения активности пользователя на странице. Chrome разрешает выводить всплывающие уведомления и воспроизводить назойливый видео/аудио контент только после действий пользователя со страницей. В новом выпуске нажатие Escape, наведение курсора на ссылку и касания экрана больше не воспринимаются как активирующие страницу взаимодействие (требуется явный клик, ввод текста или прокрутка);
• Добавлен медиа-запрос "prefers-color-scheme", позволяющий сайтам определить применение в браузере тёмной темы оформления и автоматически включить тёмное оформление для просматриваемого сайта.
• При включении тёмной темы оформления в сборках для Linux, тёмным цветом теперь отображается и адресная строка;
• Блокирована возможность определения открытия страницы в режиме инкогнито через манипуляции с FileSystem API, которая ранее использовалась некоторыми изданиями для навязывания платной подписки в случае обезличенного открытия страниц без запоминания Cookie (чтобы пользователи не использовали приватный режим для обхода механизма предоставления бесплатного пробного доступа). Раньше при работе в режиме инкогнито браузер блокировал доступ к FileSystem API для предотвращения оседания данных между сеансами, что позволяло из JavaScript проверить возможность сохранения данных через FileSystem API и в случае сбоя судить об активности режима инкогнито. Теперь доступ к FileSystem API не блокируется, а содержимое очищается после завершения сеанса;
• Добавлены новые вызовы в API Payment Request и Payment Handler. В объекте PaymentRequestEvent появился новый метод changePaymentMethod(), а в объект PaymentRequest добавлен новый обработчик события paymentmethodchange, которые позволяют собирающей платежи площадке или web-приложению, отреагировать на смену пользователем метода проведения платежа. В новом выпуске в связанных с платежами API также упрощено тестирование приложений с использованием самоподписанных сертификатов. Для игнорирования ошибок проверки сертификатов в процессе разработки добавлена новая опция командной строки "--ignore-certificate-errors";
• В адресную строку рядом с кнопкой для добавления в закладки для web-приложений, работающих в режиме Desktop Progressive Web Apps (PWA), добавлен ярлык для установки web-приложения в систему для работы как с обособленной программой;
• Для мобильных устройств предоставлена возможность управления выводом мини-панели с приглашением по добавлению приложения на домашний экран. Для PWA-приложений (Progressive Web App) мини-панель по умолчанию автоматически показывается при первом открытии сайта. Разработчик теперь может отказаться от вывода данной панели и реализовать собственное приглашение к установке, для чего можно установить обработчик события beforeinstallprompt и привязать к нему вызов preventDefault();
• Увеличена частота проверки обновления для установленных в окружении Android PWA-приложений (Progressive Web App). Обновления WebAPK теперь проверяются раз в день, а не раз в три дня как раньше. Если в манифесте при такой проверке будет выявлено изменение хоть одного ключевого свойства, браузер загрузит и установит новый WebAPK;
• В API Async Clipboard добавлена возможность программного чтения и записи изображений через буфер обмена, используя методы navigator.clipboard.read() и navigator.clipboard.write();
• Реализована поддержка группы HTTP-заголовков Fetch Metadata (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site и Sec-Fetch-User), позволяющих отправить дополнительные метаданные о характере запроса (межсайтовый запрос, запрос через тег img и т.п.) для принятия на сервере мер для защиты от некоторых типов атак (например, маловероятно, что ссылка на обработчик для перевода денег будет задана через тег img, поэтому такие запросы можно блокировать без передачи приложению);
• Добавлена функция form.requestSubmit(), которая инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче привязанных к кнопке отправки данных;
• В IndexedDB добавлена функция commit(), позволяющая фиксировать транзакции, связанные с объектом IDBTransaction, не дожидаясь завершения обработчиков событий во всех связанных запросах. Использование commit() позволяет увеличить пропускную способность запросов на запись и чтение в хранилище и явно контролировать завершения транзакции;
• В функции Intl.DateTimeFormat, такие как formatToParts() и resolveOptions(), добавлены опции dateStyle и timeStyle, позволяющие запросить специфичные для локали стили отображения даты и времени;
• Метод BigInt.prototype.toLocaleString() изменён для форматирования чисел с учётом локали, а метод Intl.NumberFormat.prototype.format() и функция formatToParts() адаптированы для поддержки входных значений с типом BigInt;
• Разрешено использование API Media Capabilities во всех типах Web Worker-ов, что может быть использовано для выбора оптимальных параметров при создании MediaStream из worker-а;
• Добавлен метод Promise.allSettled(), который возвращает только уже выполнение или отклонённые promise, не учитывая promise, ожидающих выполнения;
• Удалена опция "--disable-infobars", которая ранее могла применяться для скрытия всплывающих предупреждений в интерфейсе Chrome (для скрытия связанных с безопасностью предупреждений предложено правило CommandLineFlagSecurityWarningsEnabled);
• В интерфейс для работы с блобами добавлены методы text(), arrayBuffer() и stream() для чтения определённых типов данных;
• Добавлено CSS-свойство "white-space:break-spaces", определяющее, что любая последовательность пробелов, приводящая к переполнению строки, должна быть разорвана;
• Началась работа по чистке флагов в chrome://flags, например, удалён флаг для отключения атрибута "ping", позволяющего владельцам сайтов отслеживать переходы по ссылкам с их страниц. В случае перехода по ссылке при наличии в теге "a href" атрибута "ping=URL" в браузере теперь нельзя отключить отправку дополнительного POST-запроса к указанному в атрибуте URL со сведениями о состоявшемся переходе. Смысл блокирования ping теряется так как данный атрибут определён в спецификациях HTML5 и существует множество обходных методов для совершения того же действия (например, проброс через транзитную ссылку или перехват кликов обработчиками на JavaScript);
• Убран флаг для отключения режима строгой изоляции сайтов, при котором страницы разных хостов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox.
• В движке V8 существенно увеличена производительность сканирования и парсинга формата JSON. Для популярных web-страниц отмечается ускорение выполнения JSON.parse до 2.7 раз. Значительно ускорено преобразование unicode-строк, например, скорость работы вызовов String#localeCompare, String#normalize, а также некоторых API Intl, возросла почти в два раза. Также существенно оптимизирована производительность операций с замороженными массивами при использовании операций, подобных frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) и fn.apply(this, [...frozen]).
  
  
• Включён предпросмотр содержимого страницы при наведении курсора на вкладку;
• Из адресной строки убран показ протокола (http://, https://) и поддомена "www". В отличие от ранее предпринятой в Chrome 69 попытки скрытия, изменение не затронуло поддомен "m" из-за возникающей путаницы при открытии мобильной версии сайта в настольном браузере. Полный URL можно просмотреть кликнув два раза на адресеной строке. Старое поведение можно вернуть через флаг "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains".

Кроме нововведений и исправления ошибок в новой версии устранено 43 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 16 премии на сумму 23500 долларов США (одна премия $10000, одна премия $6000, две премии $3000 и три премии $500). Размер 9 вознаграждений пока не определён

 

 

[Friend]

В Chrome 77 и Firefox 70 будет прекращена маркировка сертификатов с расширенной верификацией:

  Показать контент

 

Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV (Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену.

Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.

Проведённое в Google исследование показало, что ранее применяемый для EV-сертификатов индикатор не предоставлял ожидаемой защиты пользователей, которые не обращали внимание на разницу и не использовали её при принятии решений о вводе конфиденциальных данных на сайтах. Проведённое в Google исследование показало, что 85% пользователей не остановило от ввода учётных данных наличие в адресной строке URL "accounts.google.com.amp.tinyurl.com" вместо "accounts.google.com", в случае, если на странице отображается типичный для сайта Google интерфейс.

Для того, чтобы вызвать доверие к сайту у большинства пользователей оказалось достаточным лишь сделать страницу похожей на оригинал. В результате был сделан вывод, что позитивные индикаторы безопасности не эффективны и стоит сосредоточить внимание на организацию вывода явных предупреждений о проблемах. Например, подобная схема с недавних пор применяется для HTTP-соединений, которые явно помечаются как небезопасные.

При этом выводимая для EV-сертификатов информация занимает слишком много места в адресной строке, может приводить к дополнительному замешательству при виде названия компании в интерфейсе браузера, а также нарушает принцип нейтральности продукта и используется для фишинга. Например, удостоверяющий центр Symantec выдал EV-сертификат компании "Identity Verified", вывод названия которой вводил пользователей в заблуждение, особенно когда реальное имя открытого домена не вмещалось в адресную строку:

Дополнение: Разработчики Firefox приняли аналогичное решение и не будут отдельно выделять EV-сертификаты в адресной стоке начиная с выпуска Firefox 70. В Firеfox 70 также будет изменено отображение протоколов HTTPS и HTTP в адресной строке.

 

 

[sputnikk]

Google отучит Chrome «жрать батарею» на Windows
Заплатка Microsoft включена в тестовую сборку браузера
 
Спустя неделю после выпуска Microsoft потенциального исправления, компания Google добавила его в тестовую сборку браузера Chrome Canary.
 
Дело в том, что разработчики Microsoft заметили, что браузеры на базе Chromium склонны к излишнему кэшированию информации на диск при обработке мультимедиа контента. Это приводит к излишнему энергопотреблению.
 
Заплатка доступна в Chrome Canary для macOS, Windows, Linux, Chrome OS и Android. Для этого необходимо активировать флаг «Turn off caching of streaming media to disk» (выключить кэширования потокового медиа на диск). Он предотвращает излишнее кэширование и приводит энергопотребление браузера в норму.

 

https://www.ferra.ru/news/apps/google-otuchit-chrome-zhrat-batareyu-na-windows-17-08-2019.htm

[Friend]

В Chrome планируют полностью убрать поддержку FTP :

  Показать контент

 

Компания Google опубликовала план прекращения поддержки протокола FTP в Chromium и Chrome. В Chrome 80, намеченном на начало 2020 года, ожидается постепенное отключение поддержи FTP для пользователей стабильной ветки (для корпоративных внедрений будет добавлен флаг DisableFTP для возвращения FTP). В Chrome 82 планируется полностью удалить код и ресурсы, использующиеся для обеспечения работы FTP-клиента.

Постепенное урезание поддержки FTP началось в Chrome 63, в котором обращение к ресурсам по протоколу FTP начало помечаться как небезопасное соединение. В Chrome 72 было отключено отображение в окне браузера содержимого ресурсов, загружаемых по протоколу "ftp://" (например, прекращён показ HTML-документов и файлов README), и запрещено использование FTP при загрузке субресурсов из документов. В Chrome 74 из-за ошибки перестал работать доступ к FTP через HTTP-прокси, а в Chrome 76 поддержка прокси для FTP была удалена. На текущий момент остаются работоспособны загрузка файлов по прямым ссылкам и отображение содержимого каталогов.

По оценке Google FTP уже почти не используется - доля пользователей FTP составляет около 0.1%. Данный протокол также небезопасен из-за отсутствия шифрования трафика. Поддержка FTPS (FTP over SSL) для Chrome не реализована, и компания не видит смысла в доработке FTP-клиента в браузере с учётом его невостребованности, а также не намерена продолжать сопровождение небезопасной реализации (с точки зрения отсутствия шифрования). При необходимости загрузки данных по протоколу FTP пользователям будет предложено использовать сторонние FTP-клиенты - при попытке открытия ссылок по протоколу "ftp://" браузер будет вызывать установленный в операционной системе обработчик.

 

[Василий Акимов]

На рабочем Ноуте при запуске Хрома вообще все стало жутко тормозить. Грешу на то, что встроили они в него какую то свою проверку на вирусы. Верны ли предположения? Поскольку очистка всего и вся в браузере к ощутимым улучшениям не привела

[Noo]

  В 04.09.2019 в 12:42, Василий Акимов сказал:

На рабочем Ноуте при запуске Хрома вообще все стало жутко тормозить. Грешу на то, что встроили они в него какую то свою проверку на вирусы. Верны ли предположения? Поскольку очистка всего и вся в браузере к ощутимым улучшениям не привела

Проблема при откате на старую версию остаётся?

[sputnikk]

  Василий Акимов сказал:

Грешу на то, что встроили они в него какую то свою проверку на вирусы.

Там давно такое https://remontka.pro/chrome-cleanup-adware/

[Friend]

  Василий Акимов сказал:

решу на то, что встроили они в него какую то свою проверку на вирусы. Верны ли предположения?

 

Да, они пользуются технологиями ESET.

---

В состав Chrome включена поддержка блокировки сторонних Cookie в режиме инкогнито :

  Показать контент

 

В экспериментальные сборки Chrome Canary для режима инкогнито реализована возможность блокировки всех Cookie, выставленных сторонними сайтами, в том числе рекламными сетями и системами web-аналитики. Режим включается через флаг "chrome://flags/#improved-cookie-controls" и также активирует расширенный интерфейс для контроля за установкой Cookie на сайтах.

После активации режима в адресной строке появляется новый значок, при нажатии на который показывается число заблокированных Cookie и предоставляется возможность отключения блокировки.

Посмотреть какие именно Cookie разрешены и заблокированы для текущего сайта можно в секции "Cookies" контекстного меню, вызываемого при клике на символ замка в адресной строке. В дальнейшем в конфигуратор Chrome планируется добавить настройки, позволяющие удалить все Cookie и данные во внутренних хранилищах, ранее установленные сторонними сайтами.

 

 

[Friend]

Релиз Chrome 77:

  Показать контент

 

Компания Google представила релиз web-браузера Chrome 77. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 78 запланирован на 22 октября.

Основные изменения в Chrome 77:

• Прекращена отдельная пометка сайтов с сертификатами уровня EV (Extended Validation). Информация о применении EV-сертификатов теперь отображается только в выпадающем меню, показываемом при клике на значок защищённого соединения. Название проверенной удостоверяющим центром компании, к которой привязан EV-сертификат, в адресной строке больше отображаться не будет;
• Усилена изоляция обработчиков сайтов. Добавлена защита для межсайтовых данных, таких как Cookie и HTTP-ресурсы, получаемых со сторонних сайтов, контролируемых злоумышленниками. Изоляция работает даже если атакующий обнаружит ошибку в процессе, отвечающем за отрисовку, и попытается выполнить код в его контексте;
• Добавлена новая страница с приветствием новых пользователей (chrome://welcome/), выводимая вместо штатного интерфейса открытия новой вкладки после первого запуска Chrome. Страница позволяет добавить в закладки популярные сервисы Google (GMail, YouTube, Maps, News и Translate), прикрепить ярлыки на страницу новой вкладки, подключиться к учётной записи Google для включения Chrome Sync и назначить вызов Chrome по умолчанию в системе.
• В меню страницы новой вкладки, отображаемое в верхнем правом углу, добавлена возможность загрузки фонового изображения, а также появились опции для выбора темы оформления и настройки блока с ярлыками для быстрого перехода (наиболее часто посещаемые сайты, ручной выбор пользователя и скрытие блоки с ярлыками). Настройки пока позиционируются как экспериментальные и требуют активации через флаги "chrome://flags/#ntp-customization-menu-v2" и "chrome://flags/#chrome-colors-custom-color-picker";
• Обеспечена анимация пиктограммы сайта в заголовке вкладки, сигнализирующая о том, что страница находится в процессе загрузки;
• Добавлен флаг "--guest", позволяющий запустить Chrome из командной строки в режиме гостевого входа (без подключения к учётной записи Google, без записи активности в браузере на диск и без сохранения сеанса);
• Продолжена начатая в прошлом выпуске чистка флагов в chrome://flags. Вместо флагов для настройки поведения браузера теперь рекомендуется использовать наборы правил;
• В контекстное меню страницы, вкладки и адресной строки добавлена кнопка "Send to your devices", позволяющая отправить ссылку на другое устройство при помощи Chrome Sync. После выбора устройства назначения, привязанного к той же учётной записи, и отправки ссылки, на целевом устройстве будет выведено уведомление для открытия ссылки;
• В версии для Android полностью переработана страница со списком загруженных файлов, в которой вместо выпадающего меню с разделами контента добавлены кнопки для фильтрации общего списка по типу контента, а эскизы загруженных изображений теперь показываются на всю ширину экрана;
• Добавлены новые метрики для оценки скорости загрузки и отрисовки контента в браузере, позволяющие web-разработчику определить как быстро основное содержимое страницы становится доступной для пользователя. Предлагавшиеся ранее средства контроля отрисовки позволяли судить лишь о самом факте начала отрисовки, но не о готовности страницы в целом. В Chrome 77 предложен новый API Largest Contentful Paint, позволяющий узнать время отрисовки крупных (заметных пользователю) элементов в видимой области, таких как изображения, видео, блочные элементы и фон страницы;
• Добавлен API PerformanceEventTiming, предоставляющий сведения о задержке перед первым взаимодействием пользователя (например, нажатие клавиши на клавиатуре или мыши, клик или перемещение указателя). Новый API является подмножеством API EventTiming, позволяющем получить дополнительные сведения для измерения и оптимизации отзывчивости интерфейса;
• Добавлены новые возможности для форм, упрощающие использование собственных нестандартных элементов управления формами (нестандартные поля ввода, кнопки и т.п.). Новое событие "formdata" даёт возможность использовать обработчики на JavaScript для добавления данных в форму на этапе её отправки без необходимости сохранять данные в скрытых элементах input.

  Вторым новшеством является поддержка создания собственных элементов, ассоциированных с формой и действующих как встроенные элементы управления формами, в том числе поддерживающих такие возможности, как включение проверки корректности ввода и инициирование отправки данных на сервер. Для пометки элемента как компонента интерфейса формы предложено свойство formAssociated, а для доступа к дополнительным методам управления формой, таким как setFormValue() и setValidity(), добавлен вызов attachInternals();

• В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлен новый API Contact Picker, позволяющий пользователю выбрать записи из адресной книги и передать определённые детали о них на сайт. При запросе определяется список свойств, которые необходимо получить (например, ФИО, email, номер телефона). Данные свойства явно отображаются пользователю, которые принимает конечное решение передавать данные или нет. API может быть использован, например, в почтовом web-клиенте для выбора получателей для отправляемого письма, в web-приложении с функцией VoIP для инициирования звонка по определённому номеру или в социальной сети для поиска уже зарегистрированных друзей.

  Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.

  
• Для форм реализован атрибут "enterkeyhint", позволяющий определить поведение при нажатии клавиши Enter на виртуальной клавиатуре. Атрибут может принимать значения enter, done, go, next, previous, search и send;
• Добавлено правило document-domain, управляющее доступом к свойству "document.domain". По умолчанию доступ разрешён, но если его запретить попытка изменения значения "document.domain" будет приводить к выводу ошибки;
• В API Performance добавлен вызов LayoutShift, позволяющий отслеживать изменение позиции элементов DOM на экране.
• Размер HTTP-заголовка "Referer" ограничен 4 КБ, при превышении данного значения содержимое урезается до имени домена;
• Аргумент url в функции registerProtocolHandler() ограничен применением только схем http:// и https:// и теперь не допускает схемы "data:" и "blob:".
• В метод Intl.NumberFormat добавлена поддержка форматирования единиц измерения, валют, научных и компактных обозначений (например, "Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}");
• Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки;
• Для CSS-свойства white-space реализована поддержка значения break-spaces;
• В Service Workers добавлена поддержка аутентификации HTTP Basic и вывода штатного диалога для ввода параметров входа;
• API Web MIDI теперь может применяться только в контексте безопасного соединения (https, локальный файл или localhost);
• Объявлен устаревшим API WebVR 1.1, на смену которому пришёл API WebXR Device, позволяющий получить доступ к компонентам для создания виртуальной и дополненной реальности и унифицировать работу с различными классами устройств, от стационарных шлемов виртуальной реальности до решений на базе мобильных устройств.
• В инструментах для разработчиков добавлена возможность копирования в буфер обмена CSS-свойств узла DOM через контекстное меню, вызываемое правым кликом на узле в дереве DOM. Добавлен интерфейс (Show Rendering/ Layout Shift Regions) для отслеживания сдвигов разметки из-за отсутствия заглушек под рекламу и изображения (когда при просмотре загрузка очередного изображения сдвигает текст вниз). Панель аудита обновлена до выпуска Lighthouse 5.1. Обеспечено автоматическое переключение на тёмную тему оформления DevTools при использовании тёмной темы в ОС. В режиме инспектирования сети добавлен признак загрузки ресурса из кэша упреждающей загрузки (prefetch cache). В панели Application добавлена поддержка отображения push-сообщений и уведомлений. В web-консоли при предпросмотре объектов теперь отображаются и приватные поля классов;
• В JavaScript-движке V8 оптимизировано хранение статистики о типах операндов, преданных в разные операции (позволяет оптимизировать выполнение данных операций с учётом конкретных типов). Чтобы сократить потребление памяти векторы для учёта типов теперь размещаются в памяти только после выполнения определённого объёма байткода, что исключает применение оптимизации для функций с коротким временем жизни. Указанное изменение позволяет сэкономить 1–2% памяти в версии для настольных систем и 5–6% для мобильных устройств.

  Улучшена масштабируемость фоновой компиляции WebAssembly - чем больше процессорных ядер в системе, тем больше выигрыш от добавленных оптимизаций. Например, на 24-ядерном компьютере с процессором Xeon время компиляции демонстрационного приложения Epic ZenGarden сократилось вдвое.

  

Кроме нововведений и исправления ошибок в новой версии устранено 52 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одна проблема (CVE-2019-5870) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали о критической уязвимости пока не разглашаются, известно только что она может привести к обращению к уже освобождённой области памяти в коде обработки мультимедийных данных. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 38 премии на сумму 33500 долларов США (одна премия $7500, четыре премии $3000, три премии $2000, четыре премии $1000 и восемь премий $500). Размер 18 вознаграждений пока не определён.

 

 

[sputnikk]

В  Хроме для Андройда есть облачный сканер? Или Гугл ограничивается сканированием магазином приложений?

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[Friend]

Корректирующий выпуск Chrome 77.0.3865.90 с устранением критической уязвимости :

  Показать контент

 

Доступно обновление браузера Chrome 77.0.3865.90, в котором устранены четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости (CVE-2019-13685) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в обработчиках, связанных с интерфейсом пользователя (доступ к информации будет открыт после того, как большая часть пользователей установит обновление).

Остальные три уязвимости помечены как опасные. Проблемы также вызваны обращением к уже освобождённому блоку памяти (Use-after-free) в коде обработки offile-страниц (CVE-2019-13686) и мультимедийных данных (CVE-2019-13687, CVE-2019-13688). Исследователям, выявившим проблемы в мультимедийных обработчиках компания Google выплатила вознаграждение размером по 20 тысяч долларов за каждую уязвимость. Размер премии за две остальные уязвимости пока не определён.

 

 

[Friend]

В Chrome добавлена экспериментальная поддержка протокола HTTP/3 :

  Показать контент

 

В экспериментальные сборки Chrome Canary добавлена поддержка протокола HTTP/3, реализующего надстройку для обеспечения работы HTTP поверх протокола QUIC. Непосредственно протокол QUIC был добавлен в браузер пять лет назад и с тех пор используется для оптимизации работы с сервисами Google. При этом применявшийся в Chrome вариант QUIC от Google в некоторых деталях отличался от варианта из спецификаций IETF, но теперь реализации синхронизированы.

HTTP/3 стандартизирует использование QUIC в качестве транспорта для HTTP/2. Для включения HTTP/3 и варианта QUIC из 23 черновика спецификаций IETF требуется запуск Chrome с опциями "--enable-quic --quic-version=h3-23", после чего при открытии тестового сайта quic.rocks:4433 в режиме инспектирования сети в инструментах для разработчиков активность по HTTP/3 будет отображаться как "http/2+quic/99".

Напомним, что протокол QUIC (Quick UDP Internet Connections) c 2013 года развивается компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Рассматриваемый протокол уже интегрирован в серверную инфраструктуру Google, входит в состав Chrome, запланирован для включения в Firefox и активно применяется для обслуживания запросов клиентов на серверах Google.

Основные особенности QUIC:

• Высокая безопасность, аналогичная TLS (по сути QUIC предоставляет возможность использования TLS поверх UDP);
• Контроль за целостностью потока, предотвращающий потерю пакетов;
• Возможность мгновенно установить соединение (0-RTT, примерно в 75% случаях данные можно передавать сразу после отправки пакета установки соединения) и обеспечить минимальные задержки между отправкой запроса и получением ответа (RTT, Round Trip Time);
• Не использование при повторной передаче пакета того же номера последовательности, что позволяет избежать двусмысленности при определении полученных пакетов и избавиться от таймаутов;
• Потеря пакета влияет на доставку только связанного с ним потока и не останавливает доставку данных в параллельно передаваемых через текущее соединение потоках;
• Средства коррекции ошибок, минимизирующие задержки из-за повторной передачи потерянных пакетов. Использование специальных кодов коррекции ошибок на уровне пакета для сокращения ситуаций, требующих повторной передачи данных потерянного пакета.
• Криптографические границы блоков выравнены с границами пакетов QUIC, что уменьшает влияние потерь пакетов на декодирование содержимого следующих пакетов;
• Отсутствие проблем с блокировкой очереди TCP;
• Поддержка идентификатора соединения, позволяющего сократить время на установку повторного соединения для мобильных клиентов;
• Возможность подключения расширенных механизмов контроля перегрузки соединения;
• Использование техники прогнозирования пропускной способности в каждом направлении для обеспечения оптимальной интенсивности отправки пакетов, предотвращая скатывание в состояние перегрузки, при которой наблюдается потеря пакетов;
• Заметный прирост производительности и пропускной способности, по сравнению с TCP. Для видеосервисов, таких как YouTube, применение QUIC показало сокращение операций повторной буферизации при просмотре видео на 30%.