Google Chrome

[Friend]

Google отменяет предложенное в Chrome 80 ужесточение обработки сторонних Cookie :

  Показать контент

 

Компания Google объявила об отмене изменения, связанного с переходом к более жёстким ограничениям передачи Cookie между сайтами, не использующими HTTPS. Начиная с февраля данное изменение постепенно доводилось до пользователей Chrome 80. Отмечается, что несмотря на то, что большинство сайтов были адаптированы для указанного ограничения, в связи с пандемией коронавируса SARS-CoV-2 компания Google решила повременить с применением новых ограничений, которые потенциально могут повлиять на стабильность работы с сайтами, обеспечивающими предоставление ключевых сервисов, таких как банковские услуги, онлайн-продукты, госуслуги и медицинские сервисы.

Вносимые ограничения запрещали для не-HTTPS запросов обработку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Напомним, что для управления передачей Cookie применяется указываемый в заголовке Set-Cookie атрибут SameSite, который по умолчанию начал выставляться в значение "SameSite=Lax", ограничивающее отправку Cookie для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe с другого сайт

 

 

[sputnikk]

Из меню Расширения chrome://extensions можно перейти в магазин расширений? Или иным образом через меню браузера

[phantom]

@sputnikk, Расширения >  верхний левый угол, три полоски > внизу есть Открыть Интернет-магазин Chrome

[sputnikk]

 

 

  phantom сказал:

внизу есть Открыть Интернет-магазин Chrome

спасибо, не посмотрел вниз

[Friend]

Google экспериментирует со скрытием по умолчанию пиктограмм дополнений :

  Показать контент

 

Компания Google представила экспериментальную реализацию нового меню дополнений, которое предоставит пользователям больше информации о полномочиях, предоставляемых каждому дополнению. Суть изменения в том, что по умолчанию предлагается прекратить закрепление пиктограмм дополнений рядом с адресной строкой. При этом рядом с адресной строкой появится новое меню, обозначенное значком пазла, в котором будут перечислены все имеющиеся дополнения и их полномочия. После установки дополнения пользователь должен будет явно включить прикрепление на панель значка дополнения, попутно оценив предоставляемые дополнению полномочия.

Для того, чтобы дополнение не терялось, сразу после установки выводится индикатор с информацией о новом дополнении. Новый режим можно включить при помощи настройки "chrome://flags/#extensions-toolbar-menu". Если эксперимент будет признан удачным, то изменение будет применено ко всем пользователям в одном из следующих стабильных выпусков.

В комментариях к изменению разработчики дополнений в основном негативно восприняли изменение, так как в подавляющем большинстве случаев пользователь кроме установки не будет совершать каких-либо дополнительных настроек и дополнение окажется скрытым. По их мнению отображение пиктограмм стоило бы как раньше включать по умолчанию, но сделать более явной возможность их открепления.
 

   

 

 

[Friend]

Релиз Chrome 81:

  Показать контент

 

Компания Google представила релиз web-браузера Chrome 81. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Изначально Chrome 81 планировалось опубликовать 17 марта, но из-за пандемии коронавируса SARS-CoV-2 и перевода разработчиков на работу на дому выпуск был отложен. Следующий выпуск Chrome 82 будет пропущен, выпуск Chrome 83 запланирован на 19 мая.

Основные изменения в Chrome 81:

• Продолжена реализация защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, теперь автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений, скриптов, iframe, звуковых и видео файлов была реализована в прошлом выпуске. Если изображение недоступно по https, то его загрузка блокируется (вручную можно отметить блокировку через меню, доступное через символ замка в адресной строке).
• Отключена поддержка протокола FTP. В следующем выпуске весь связанный с FTP код будет удалён из кодовой базы. Для обращения по протоколу FTP рекомендовано использовать внешние FTP-клиенты. Временно поддержку FTP можно вернуть при помощи флага "--enable-ftp" или "--enable-features=FtpProtocol".
• Для всех пользователей включена функция группировки вкладок, позволяющая объединять несколько сходных по назначению вкладок в визуально разделённые группы. Каждой группе можно привязать свой цвет и имя. Ранее группировка вкладок была предложена для тестирования только небольшому проценту пользователей.
• В API WebXR Device добавлена поддержка устройств дополненной реальности. API WebXR позволяет унифицировать работу с различными классами устройств, от стационарных шлемов виртуальной реальности до решений на базе мобильных устройств. Для создания приложений дополненной реальности предложен новый API Web XR Hit Test, который позволяет размещать виртуальные объекты в области видимости камеры, отражающей реальную действительность. Например, можно отобразить виртуальный цветок на снимаемом на камеру подоконнике, выводить информационные метки поверх предметов или расставлять виртуальную мебель, снимая пустую комнату.
• При сохранении пароля во встроенном менеджере паролей обеспечен вывод предупреждения, если пароль введён на небезопасном сайте.
• Внесены изменения в условия использования Google (Google Terms of Service), в которых появился отдельный раздел для Google Chrome и Chrome OS.
• В режиме инкогнито и в гостевом сеансе по умолчанию отключена аутентификация с использованием NTLM / Kerberos.
• В реализации TLS 1.3 включены расширенные механизмы для противостояния откату на более ранние версии протокола TLS. Ранее защита от отката версии протокола была включена лишь частично из-за несовместимости с некоторыми некорректно работающими прокси-серверами (Palo Alto Networks PAN-OS, Cisco Firepower Threat Defense, ASA c FirePOWER). Сейчас проблемы с совместимостью остались в прошлом, так как большинство производителей подобных прокси выпустили обновления с приведением реализаций TLS в соответствие с требованиями спецификаций.
• В настройки добавлена опция "chrome://flags/#treat-unsafe-downloads-as-active-content", которая позволяет включить вывод предупреждений при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS (в Chrome 83 подобные предупреждения будут выводиться по умолчанию, а в Chrome 84 загрузки будут блокироваться).
  
   
• Для мобильных устройств добавлена поддержка API Web NFC, позволяющего web-приложениям читать и записывать NFC-тэги. Среди примеров применения нового API в web-приложениях отмечается предоставление информации о музейных экспонатах, проведение инвентаризации, получение сведений с бейджей участников конференций и т.п. Отправка и сканирование тегов производится при помощи объектов NDEFWriter и NDEFReader. Новый API пока доступен только в режиме Origin Trials (экспериментальные возможности, требующие отдельной активации). Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
• В режиме Origin Trial в API PointerLock предложен флаг unadjustedMovement, при установке которого данные о событиях о движении мыши передаются в чистом виде, без корректировок и ускорения.
• Стабилизирован и теперь распространяется вне Origin Trials программный интерфейс Badging, позволяющий web-приложениям создавать индикаторы, выводимые на панели или домашнем экране. При закрытии страницы индикатор автоматически убирается. Например, подобным способом можно отображать число непрочитанных сообщений или информацию о каких-то событиях;
• В API Media Session добавлена возможность отслеживания позиции при воспроизведении композиции. Можно получить данные о скорости воспроизведения, продолжительности и текущем времени воспроизведения, что позволяет создавать собственные интерфейсы для оценки позиции и перемещения по треку.
• В API INTL реализован метод DisplayNames, через который можно получить локализированные названия языков, стран, валют, элементов дат и т.п.
• В API PerformanceObserver, предназначенном для сбора данных о состоянии ресурсов во время работы пользователя с web-приложением, реализована возможность использования флага "buffered" с длительно выполняемыми задачами.
• По умолчанию при выводе изображений Chrome будет учитывать информацию об ориентации из метаданных EXIF. Для явного переопределения данного поведения предложено CSS-свойство "image-orientation".
• Добавлены мета-тэг и CSS-свойство "color-scheme", позволяющие выбрать цветовую схему для отрисовки элементов интерфейса, таких как кнопки форм и полосы прокрутки.
• В HTMLAnchorElement добавлен атрибут hrefTranslate, через который можно передать информацию о необходимости перевода страницы на другой язык после перехода по ссылке.
• Добавлен новый тип событий SubmitEvent, который включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
• Улучшения в инструментах для web-разработчиков:
  • В контестное меню, показываемое для сетевых запросов, добавлен пункт "Copy > Copy as Node.js fetch" для копирования в форме fetch-выражения, включающего данные о Cookie.
  • Обеспечен вывод подсказки с неэкранированным вариантом данных при наведении мыши на CSS-свойства "content".
  • В web-консоли повышена детализация сообщений об ошибках при разборе полей в source map.
  • Добавлена настройка "Preferences > Sources > Allow scrolling past end of file", позволяющая запретить прокрутку за конец файла при просмотре исходного текста страницы.
  • В панель Device добавлена симуляция экрана смартфона Moto G4.
  • В панели Cookies обеспечена подсветка жёлтым фоном заблокированных Cookie.
  • В таблицы с Cookies, показываемые в панелях Network и Application, добавлен столбец с данными о приоритете выбора Cookie.
  • Все поля (кроме поля с размером) в таблицах с Cookie теперь доступны для редактирования.
• Отключение поддержки протоколов TLS 1.0 и TLS 1.1 отложено до выпуска Chrome 84. До выпуска Chrome 83 также отложено включение нового оформления элементов web-форм, которые были оптимизированы для использования на сенсорных экранах.

Кроме нововведений и исправления ошибок в новой версии устранено 32 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 23 премии на сумму 26 тысяч долларов США (одна премия $7500, одна премия $5000, одна премия 3000, две премии $2000, три премии $1000 и восемь премий $500). Размер 7 вознаграждений пока не определён.

 

 

[sputnikk]

Кто успершно воспользовался батником для отключения Software Reporter Tool? https://zen.yandex.ru/media/id/5bc5a83fbe2b3500ae83bdb1/kak-ubrat-software-reporter-tool-5bc5f5d2e9bf0f00ac364555?utm_source=serp

[Friend]

Обновление Chrome 81.0.4044.113 с устранением критической уязвимости :

  Показать контент

Опубликовано обновление браузера Chrome 81.0.4044.113 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2020-6457) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи (к слову, прошлая критическая уязвимость в Chrome также затрагивала данный компонент).

 

[Friend]

Google начнёт блокировать спамерские дополнения в Chrome Web Store

  Показать контент

Компания Google предупредила об ужесточении правил размещения дополнений в каталоге Chrome Web Store с целью борьбы со спамом. До 27 августа разработчики должны привести дополнения к соответствию новым требованиям, иначе они будут удалены из каталога. Отмечается что каталог, в котором насчитывается более 200 тысяч дополнений, стал объектом внимания спамеров и мошенников, начавших публиковать низкокачественные и вводящие в заблуждение дополнения, не выполняющие полезных действий, навязываемые пользователям и сосредоточенные лишь на привлечении внимания к определённым услугам или продуктам.

С целью борьбы с манипуляциями, мешающими оценить суть дополнения, такими как камуфлирование под известные дополнения, предоставление ложных сведений о функциональности, создание фиктивных отзывов и накручивание рейтинга, в Chrome Web Store вводятся следующие изменения:

• Разработчикам или аффилированным с ними лицам запрещено размещение нескольких дополнений, предоставляющих идентичную функциональность (дубликаты дополнений под другими именами). В качестве примеров недопустимых дополнений приводится расширение с обоями, содержащее иное описание, но устанавливающее ту же фоновую картинку, что и в другом дополнении. Или дополнения для преобразования форматов, которые предложены под разными именами (например, Fahrenheit to Celsius, Celsius to Fahrenheit), но направляют пользователя на одну и ту же страницу для преобразования. Размещение близких по функциональности тестовых версий разрешено, но в описании должно быть явно обозначено, что это тестовый выпуск и дана ссылка на основную версию.
• Дополнения не должны включать вводящие в заблуждение, некорректно отформатированные, бессвязные, неактуальные, чрезмерные или неподходящие метаданные в таких полях, как описание, имя разработчика, заголовок, скриншоты и привязанные изображения. Разработчики должны предоставить ясное и понятное описание. Не допускается упоминание в описании отзывов от неафишируемых или анонимных пользователей.
• Разработчикам запрещено пытаться манипулировать с позицией расширений в списках Chrome Web Store, в том числе "раздувать" рейтинг, создавать фиктивные отзывы и накручивать число установок при помощи мошеннических схем или искусственного стимулирования активности пользователей. Например, запрещено предлагать бонусы за установку дополнения.
• Запрещены дополнения, единственной целью которых является установка или запуск других приложений, тем оформления или web-страниц.
• Запрещены дополнения, которые злоупотребляют системой уведомлений для рассылки спама, показа рекламы, продвижения товаров, осуществления фишинга или показа других незапрошенных сообщений, мешающих работе пользователя. Также запрещены дополнения отправляющие сообщения от имени пользователя, без предоставления пользователю возможности проверки содержимого и подтверждения получателей (например, для блокировки дополнений, рассылающих приглашений по адресной книге пользователя).

 

[Friend]

Chrome начнёт блокировать ресурсоёмкую рекламу.

  Показать контент

Компания Google объявила о скором начале блокировки в Chrome рекламы, расходующей много трафика или сильно нагружающей CPU. При превышении определённых порогов рекламные iframe-блоки, потребляющие слишком много ресурсов, будут автоматически отключаться. В следующие несколько месяцев будут проведены эксперименты по выборочной активации блокировщика для некоторых категорий пользователей, после чего в конце августа новая возможность будет предложена широкой аудитории в стабильном выпуске Chrome.

Рекламные вставки будут блокироваться если в основном потоке израсходовано более 60 секунд процессорного времени в сумме или 15 секунд в 30-секундном интервале (потребляет 50% ресурсов более 30 секунд). Блокировка также будет срабатывать при загрузке рекламным блоком более 4 Мб данных по сети. По статистике Google, подпадающая под указанные критерии блокировки реклама составляет всего 0.30% от всех рекламных блоков. При этом подобные рекламные вставки потребляют 28% ресурсов CPU и 27% трафика от всего объёма рекламы.

Предлагаемые меры избавят пользователей от рекламы с неэффективной реализацией кода или преднамеренной паразитной активностью. Подобная реклама создаёт большую нагрузку на системы пользователя, замедляет загрузку основного контента, сокращает время автономной работы от аккумулятора и расходует трафик на ограниченных мобильных тарифах. Из типичных примеров рекламных блоков, подлежащих блокировке, упоминаются рекламные вставки с кодом для майнинга криптовалют, обработчиками больших несжатых изображений, декодировщиками видео на JavaScript или скриптами, интенсивно обрабатывающим события таймера.

После превышения ограничений проблемный iframe будет заменяться на страницу с ошибкой, информирующей пользователя о том, что рекламный блок удалён из-за чрезмерного потребления ресурсов. Блокировка будет срабатывать только если до момента превышения лимитов пользователь не взаимодействовал с рекламным блоком (например, не кликал на него), что с учётом ограничения на трафик позволит блокировать автовоспроизведение объёмных видеороликов в рекламе без явной активации воспроизведения пользователем.

Для исключения использования блокировки как признака для осуществления атак по сторонним каналам, по которым можно судить о мощности CPU, будут добавляться небольшие случайные флуктуации в пороговые значения. В Chrome 84, который ожидается 14 июля, появится возможность активации блокировщика через настройку "chrome://flags/#enable-heavy-ad-intervention".

 

[Friend]

Релиз Chrome 83

  Показать контент

Компания Google представила релиз web-браузера Chrome 83. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Из-за перевода разработчиков на работу на дому в условиях пандемии коронавируса SARS-CoV-2 выпуск Chrome 82 был пропущен. Следующий выпуск Chrome 84 запланирован на 14 июля.

 

Основные изменения в Chrome 83:

• Началось массовое включение режима "DNS поверх HTTPS" (DoH, DNS over HTTPS) на системах пользователей, в системных настройках которых указаны DNS-провайдеры, поддерживающие DoH (будет включён DoH того же DNS-провайдера). Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DoH-сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DoH сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п. Для того чтобы исключить проблемы с резолвингом корпоративных интранет сетей DoH не применяется при определении использования браузера в централизованно управляемых системах. DoH также отключается при наличии систем родительского контроля. Управления включением DoH и смена DoH-провайдера осуществляется через штатный конфигуратор.
• Предложено новое оформление элементов web-форм, которые были оптимизированы для использования на сенсорных экранах и системах для людей с ограниченными возможностями. Оформление оптимизировано компанией Microsoft в рамках разработки браузера Edge и передано в основную кодовую базу Chromium. Ранее часть элементов форм была спроектирована для соответствия элементам операционных систем, а часть - в соответствии с наиболее популярными стилями. Из-за этого разные элементы по разному подходили для сенсорных экранов, систем для людей с ограниченными возможностями и управления с клавиатуры. Целью переработки была унификация оформления элементов форм и устранение несоответствия стилей.
• Изменено оформление секции настроек "Конфиденциальность и безопасность", добавлены новые инструменты для управления безопасностью. Настройки теперь легче найти и проще понять их суть. Предложены четыре базовые секции, в которых собраны инструменты связанные с очисткой истории, управления Cookie и данными сайтов, режимами безопасности и запретами или разрешениями, привязанными к конкретным сайтам. Пользователь может быстро включить блокировку сторонних Cookie для режима инкогнито или всех сайтов, заблокировать все Cookie для конкретного сайта. Новое оформление включено лишь на системах части пользователей, остальные могут активировать настройки через "chrome://flags/#privacy-settings-redesign".

  Специфичные для сайтов настройки разделены на группы - доступ к местоположению, камере, микрофону, уведомлениям и выполнению фоновой отправки данных. Также предложена секция с дополнительными настройками для блокирования JavaScript, изображений и переадресации на определённых сайтах. Отдельно выделено последнее действие пользователя, связанное с изменением полномочий.

  
• В режиме инкогнито включена по умолчанию блокировка всех Cookie, выставленных сторонними сайтами, в том числе рекламными сетями и системами web-аналитики. Также предложен расширенный интерфейс для контроля за установкой Cookie на сайтах. Для управления предусмотрены флаги "chrome://flags/#improved-cookie-controls" и "chrome://flags/#improved-cookie-controls-for-third-party-cookie-blocking". После активации режима в адресной строке появляется новый значок, при нажатии на который показывается число заблокированных Cookie и предоставляется возможность отключения блокировки. Посмотреть какие именно Cookie разрешены и заблокированы для текущего сайта можно в секции "Cookies" контекстного меню, вызываемого при клике на символ замка в адресной строке, или в настройках.
• В настройках предложена новая кнопка "Проверка безопасности" (Safety check), выдающая сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений.
• В менеджере паролей добавлена возможность проверки всех сохранённых логинов и паролей по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем (проверка осуществляется на основе сверки хэш-префикса на стороне пользователя, сами пароли и их полные хэши не передаются во вне). Проверка выполняется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Предупреждение также выводится при попытке использования тривиальных паролей, таких как "abc123".
• Представлен расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing), в котором активируются дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web. Также применяется дополнительная защита для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется в сервис Google Safe Browsing для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновиться локальный чёрный список.

  Для ускорения работы поддерживается предварительная проверка по белым спискам, в которые включены хэши тысяч популярных сайтов, заслуживающих доверия. Если открываемый сайт отсутствует в белом списке, то браузер проверяет URL на сервере Google, передавая первые 32 бита хэша SHA-256 ссылки, из которой вырезаются возможные персональные данные. По оценке Google новый подход позволяет на 30% повысить эффективность вывода предупреждений для новых фишинг-сайтов.

• Вместо автоматического закрепления пиктограмм дополнений рядом с адресной строкой реализовано новое меню, обозначенное значком пазла, в котором перечислены все имеющиеся дополнения и их полномочия. После установки дополнения пользователь теперь должен явно включить прикрепление на панель значка дополнения, попутно оценив предоставляемые дополнению полномочия. Для того, чтобы дополнение не терялось, сразу после установки выводится индикатор с информацией о новом дополнении. Новое меню активировано по умолчанию для определённого процента пользователей, остальные могут включить его при помощи настройки "chrome://flags/#extensions-toolbar-menu".
• Добавлена настройка "chrome://flags/#omnibox-context-menu-show-full-urls", при включении которой в контекстом меню адресной строки появляется пункт "Всегда показывать URL полностью", запрещающий искажение URL. Напомним, что в Chrome 76 адресная строка была переведена по умолчанию на показ ссылок без "https://", "http://" и "www.". Для отключения данного поведения была предусмотрена настройка, но в Chrome 79 она была удалена, и пользователи потеряли возможность отображения полного URL в адресной строке.
• Для всех пользователей включена функция группировки вкладок ("chrome://flags/#tab-groups"), позволяющая объединять несколько сходных по назначению вкладок в визуально разделённые группы. Каждой группе можно привязать свой цвет и имя. Дополнительно предложена экспериментальная возможность сворачивания и раскрытия групп, которая пока работает не на всех системах. Например, несколько непрочитанных статей можно временно свернуть, оставив только метку, чтобы они не занимали место при навигации, а при возвращении к чтению вернуть на место. Для включения режима предложена настройка "chrome://flags/#tab-groups-collapse".
• Включён вывод по умолчанию предупреждений при попытке небезопасной загрузки (без шифрования) исполняемых файлов по ссылкам со страниц HTTPS (в Chrome 84 загрузки исполняемых файлов будут блокироваться, а предупреждение начнёт выдаваться для архивов). Отмечается, что загрузка файлов без шифрования может использоваться для совершения вредоносной активности через подмену содержимого в процессе MITM-атак. Также запрещена загрузка файлов, инициируемая из изолированных iframe-блоков.
• При активации Adobe Flash добавлен вывод предупреждения о прекращении поддержки данной технологии в декабре 2020 года.
  
   
• Реализована технология Trusted types, позволяющая блокировать манипуляции с DOM, приводящие к межсайтовому скриптингу (DOM XSS), например, при некорректной обработке полученных от пользователя данных в блоках eval() или вставках ".innerHTML", что может привести к выполнению JavaScript-кода в контексте определённой страницы. Trusted types требует предварительной обработки данных перед передачей в рискованные функции. Например, при включении Trusted types выполнение "anElement.innerHTML = location.href" приведёт к ошибке и потребует применения специальных объектов TrustedHTML или TrustedScript при присвоении. Включение Trusted Types осуществляется при помощи CSP (Content-Security-Policy).
• Добавлены новые HTTP-заголовки Cross-Origin-Embedder-Policy и Cross-Origin-Opener-Policy, позволяющие включить особый режим изоляции cross-origin для безопасного использования на странице привилегированных операций, таких как SharedArrayBuffer, Performance.measureMemory() и API профилирования, которые могут применяться для осуществления атак по сторонним каналам, таким как Spectre. Режим изоляции cross-origin также не даёт возможность изменять свойство document.domain.
• Предложена новая реализация системы инспектирования доступа к ресурсам по сети - OOR-CORS (Out-Of-Renderer Cross-Origin Resource Sharing). Старая реализация могла инспектировать только основные компоненты движка Blink, XHR и API Fetch API, но не охватывала HTTP-запросы, производимые из некоторых внутренних модулей. Новая реализация решает эту проблему.
• В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
  • API Native File System, позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов, использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение;
  • Метод Performance.measureMemory() для оценки потребления памяти при обработке web-приложения или web-страницы. Может использоваться для анализа и оптимизации потребления памяти в web-приложениях, а также для выявления регрессивного роста потребления памяти.
  • Метод Prioritized Scheduler.postTask() для планирования выполнения задач (callback-вызовов JavaScript) с различными уровнями приоритета (блокирует работу пользователя, создаёт видимые изменения и фоновая работа). Для изменения приоритета и отмены задач можно использовать объект TaskController.
  • API WebRTC Insertable Streams, позволяющий приложениям создавать свои обработчики данных, применяемые при кодировании и декодировании WebRTC MediaStreamTrack. Например, API можно использовать для организации сквозного шифрования потоков, передаваемых через транзитный сервер.
• Добавлен API Barcode Detection для выявления и раскодировки штрихкодов в определённом изображении. API работает только на устройствах Android с установленным пакетом Google Play Services.
• Добавлен мета-тег color-scheme, позволяющий сайту обеспечить полноценную поддержку тёмной темы оформления без применения CSS-трансформаций.
• Добавлена возможность использования модулей JavaScript в shared worker.
• В IndexedDB в IDBDatabase.transaction() добавлен новый аргумент "durability", позволяющий управлять сбросом данных на накопитель. Передав значение "relaxed" вместо применяемого по умолчанию режима "strict" можно пожертвоать надёжностью в угоду производительности (ранее Chrome всегда сбрасывал данные на диск после записи каждой транзакции).
• В selector() добавлена функция @supports, позволяющая определять наличие CSS-селекторов (например, можно вначале проверить доступность селектора перед тем, как привязать к нему CSS-стили).

• В Intl.DateTimeFormat добавлено свойство fractionalSecondDigits для настройки формата отображения долей секунды.
• В движке V8 ускорено отслеживание ArrayBuffer в сборщике мусора. Для модулей на WebAssembly разрешено запрашивать до 4 ГБ памяти.
• Добавлены новые инструменты для web-разработчиков. Например, появился режим эмуляции восприятия страницы людьми с ослабленным зрением и различными формами дальтонизма. Также добавлен режим эмуляции смены локали, изменение которой влияет на API Intl.*, *.prototype.toLocaleString, navigator.language, Accept-Language и т.п.

  В интерфейс инспектирования сетевой активности добавлен отладчик COEP (Cross-Origin Embedder Policy), позволяющий оценить причины блокировки загрузки тех или иных ресусров по сети. Добавлено ключевое слово cookie-path для фильтрации запросов, в которых Cookie привязывается к определённому пути.

  

  Добавлен режим закрепления инструментов разработчиков в левой части экрана.

  

  Переработан интерфейс отслеживания длительно выполняемого кода JavaScript.

  
• Из-за инфекции COVID-19 некоторые планировавшиеся изменения отложены. Например, удаление кода для работы с FTP перенесено на неопределённое время. Отключение поддержки протоколов TLS 1.0/1.1 отложено до выпуска Chrome 84. Начальная поддержка идентификатора Client Hints (альтернатива User-Agent) также отложена до Chrome 84. Работа по унификации User-Agent перенесена на следующий год.

Кроме нововведений и исправления ошибок в новой версии устранено 38 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 28 премий на сумму 76 тысяч долларов США (одна премия $20000, одна премия $10000, две премии $7500, две премии $5000, две премии $3000, две премии $2000, две премии $1000 и восемь премий $500). Размер 7 вознаграждений пока не определён.

 

[Friend]

В Chrome 84 по умолчанию включат защиту от назойливых уведомлений

  Показать контент

Компания Google сообщила о решении включить в выпуске Chrome 84, намеченном на 14 июля, систему защиты от назойливых уведомлений, например, спама запросами на получение push-уведомлений. Так как подобные запросы прерывают работу пользователя и отвлекают внимание на действия в диалогах подтверждения, вместо отдельного диалога в адресной строке будет отображаться не требующая действий от пользователя информационная подсказка с предупреждением о блокировке запроса полномочий, которая автоматически сворачивается в индикатор с изображением зачёркнутого колокола. При клике на индикатор можно активировать или отклонить запрошенное полномочие в любой удобный момент.

Новый режим автоматически будет применяться для сайтов, уличённых в злоупотреблении уведомлениями (например, выводящих фиктивные сообщения, напоминающие сообщения чата, предупреждений или системных диалогов), а также сайтов на которых фиксируется большой процент отклонения запросов подтверждения полномочий. Сайтам не рекомендуется использовать всплывающие окна или отвлекающие рекламные диалоги с предложением подписки на уведомления, которые обычно выводятся перед запросом полномочий. Запрос полномочий следует производить только после действий по инициативе пользователя, например, когда пользователь кликнет на специальный флажок подписки в меню или на отдельной странице. До повсеместной активации новый режим можно включить при помощи настройки "chrome://flags/#quiet-notification-prompts".

 

[Friend]

В Chrome намерены перейти к показу только домена в адресной строке

  Показать контент

Компания Google добавила в кодовую базу Chromium, на основе которой будет сформирован выпуск Chrome 85, изменение, по умолчанию отключающее отображение элементов пути и параметров запроса в адресной строке. Видимым останется только домен сайта, а полный URL можно будет увидеть после клика на адресной строке.

Изменение планируется доводить до пользователей постепенно в ходе экспериментальных включений, охватывающих небольшой процент пользователей. Данные эксперименты позволят понять насколько скрытие URL соответствует ожиданиям компании, дадут возможность скорректировать реализацию с учётом пожеланий пользователей и покажут эффективно ли изменение в области защиты от фишинга. В Chrome 85 на странице about:flags появится опция "Omnibox UI Hide Steady-State URL Path, Query, and Ref", при помощи которой можно включить или отключить скрытие URL.

Изменение затрагивает как мобильные, так и настольные версии браузера. Для настольных версий предусмотрено несколько опций. Первая опция будет доступна в контекстном меню и позволит вернуться к старому поведению и всегда показывать полный URL. Вторая, которая пока предложена только в разделе about:flags, даст возможность включить отображение полного URL при наведении мыши на адресную строку (показ без необходимости клика). Третья позволит сразу после открытия показывать полный URL, но после начала взаимодействия со страницей (прокрутка, клики, нажатие клавиш) перейти к сокращённому отображению домена.

В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL - злоумышленники пользуются невнимательностью пользователей для создания видимости открытия другого сайта и совершения мошеннических действий (если для технически грамотного пользователя подобные подмены бросаются в глаза, то неискушённые обыватели легко покупаются на подобные простые манипуляции).

Напомним, что Google начиная с 2018 года продвигает инициативу по уходу от показа традиционного URL в адресной строке, настаивая на том, что обычным пользователям трудно понять URL, его трудно читать и по нему сразу не понятно какие из частей адреса заслуживают доверия. Начиная с Chrome 76 адресная строка была переведена по умолчанию на показ ссылок без "https://", "http://" и "www.", теперь настала очередь урезания информативной части URL.

По мнению Google в адресной строке пользователь должен ясно видеть с каким сайтом взаимодействует и можно ли ему доверять (компромиссный вариант с более явным выделением домена и отображением параметров запроса более светлым/мелким шрифтом почему-то не рассматривается). Также упоминается путаница с заполнением URL при работе с интерактивными web-прижениями, такими как Gmail. При изначальном обсуждении инициативы некоторыми пользователями было высказано предположение, что избавление от показа полного URL выгодно для продвижения технологии AMP (Accelerated Mobile Pages).

При помощи AMP страницы отдаются пользователю не напрямую, а через инфраструктуру Google, что приводит к отображению в адресной строке другого домена (https://cdn.ampproject.org/c/s/example.com) и часто вызывает замешательство пользователей. Уход от отображения URL позволит скрыть домен AMP Cache и создаст иллюзию прямого обращения к основному сайту. Подобное скрытие уже производится в Chrome для Android, но не применяется на настольных системах. Скрытие URL также может быть полезным при распространении web-приложений при помощи механизма Signed HTTP Exchanges (SXG), предназначенного для организации размещения верифицированных копий web-страниц на других сайтах.

 

[Friend]

Утечка поисковых ключей через DNS в Firefox и Chrome

  Показать контент

В Firefox и Chrome выявлена особенность обработки набранных в адресной строке поисковых запросов, которая приводит к утечке сведений через DNS-сервер провайдера. Суть проблемы в том, что если поисковый запрос состоит только из одного слова, браузер вначале пытается в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправляет запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получает сведения о состоящих из одного слова поисковых запросах, что оценивается как нарушение конфиденциальности.

Проблема проявляется при использовании как DNS-сервера провайдера, так и сервисов "DNS over HTTPS" (DoH), в случае задания в настройках DNS-суффикса (устанавливается по умолчанию при получении параметров по DHCP). При этом, главная проблема в том, что даже при включении DoH, запросы продолжают отправляться через указанный в системе DNS-сервер провайдера. Важно, что попытка резолвинга осуществляется только при отправке поисковых запросов, состоящих из одного слова. При указании нескольких слов обращение к DNS не производится.

Проблема подтверждена в Firefox и Chrome, а также возможно затрагивает и другие браузеры. Разработчики Firefox согласились с наличием проблемы и намерены предоставить решение в выпуске Firefox 79. В частности, для управления поведением при обработке поисковых запросов в about:config добавлена настройка "browser.urlbar.dnsResolveSingleWordsAfterSearch", при установке которой в значение "0" резолвинг блокируется , "1" (по умолчанию) используется эвристика для выборочного резолвинга и "2" сохраняется старое поведение. Эвристика заключается в проверке включения DoH, наличия только записи о 'localhost' в /etc/hosts и отсутствия поддомена для текущего хоста.

Разработчики Chrome пообещали ограничить утечку через DNS, но сообщение о похожей проблеме остаётся нерешённым с 2015 года. В Tor Browser проблема не проявляется.

 

[Umnik]

Ну, если кто-то на уровне ОС и/или роутера не указал DoH или DoT, то ССЗБ. Я не защищаю браузеры, это очевидный косяк, но блин, пускать через DoH только браузеры и забивать на всю другую тонну установленного ПО, кто так делает?

 

Прописал DoH на роутере и теперь все устойства, мои и жены, без доп настроек используют его. Дополнительно прописал DoH на смартфоне и теперь он его использует даже за пределаи моего роутера.