Перейти к содержанию

Рекомендуемые сообщения

В Chrome 86 появится защита от небезопасной отправки web-форм

Спойлер

Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения:

  • Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь также будет учитываться применение шифрования при отправке данных обработчику формы. Работа менеджера паролей, позволяющего использовать надёжные и уникальные пароли, для смешанных форм аутентификации не будет отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
  • При начале ввода в смешанных формах будет выводиться предупреждение, информирующее пользователя об отправке заполненных данных через незашифрованный канал связи.
    0_1597729746.png
  • При попытке отправки смешанной формы будет выводиться отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.
     
    0_1597729760.png

 

Для Chrome развивается API для прямых TCP и UDP коммуникаций

Спойлер

Компания Google приступила к реализации в Chrome нового API Raw Sockets, позволяющего web-приложениям устанавливать прямые сетевые соединения с использованием протоколов TCP и UDP. В 2015 году консорциумом W3C уже была предпринята попытка стандартизации API "TCP and UDP Socket", но участники рабочей группы не достигли консенсуса и разработка данного API была остановлена.

Необходимость добавления нового API объясняется предоставлением возможности взаимодействия с сетевыми устройствами, которые используют собственные протоколы, работающие поверх TCP и UDP, и не поддерживают взаимодействие через HTTPS или WebSockets. Отмечается, что API Raw Sockets дополнит уже имеющиеся в браузере низкоуровневые программные интерфейсы WebUSB, WebMIDI и WebBluetooth, позволяющие взаимодействовать с локальными устройствами.

Для исключения негативного влияния на безопасность API Raw Sockets будет допускать сетевые обращения только инициированные с согласия пользователя и ограниченные списком разрешённых пользователем хостов. Пользователь должен будет явно подтверждать первую попытку соединения для нового хоста. При помощи специального флага пользователь сможет отключить вывод повторных запросов подтверждения операции при повторных соединениях к тому же хосту. Для предотвращения DDoS-атак интенсивность обращений через Raw Sockets будет лимитирована, а отправка запросов возможно только после взаимодействия пользователя со страницей. UDP-пакеты, полученные с хостов, не одобренных пользователем, будут игнорироваться и не доходить до web-приложения.

Начальная реализация не предусматривает создания слушающих сокетов, но в будущем не исключается предоставление вызовов для приёма входящих соединений с localhost или списка известных хостов. Также упоминается необходимость защиты от атак "DNS rebinding" (атакущий может на уровне DNS сменить IP-адрес для одобренного пользователем доменного имени и получить доступ к другим хостам). Доступ к доменам, резолвящимся в 127.0.0.0/8 и интранет сети планируется блокировать (обращения к localhost предлагается разрешить только при явном вводе IP-адреса в форме подтверждения).

Среди рисков, которые могут возникнуть при реализации нового API, отмечается его возможное неприятие производителями других браузеров, что может привести к проблемам с совместимостью. Разработчики движков Mozilla Gecko и WebKit пока не выработали свою позицию по поводу возможной реализации API Raw Sockets, но компания Mozilla ранее для проекта Firefox OS (B2G) уже предлагала похожий API. В случае утверждения на первом этапе API Raw Sockets планируется активировать в Chrome OS, а уже потом предложить пользователям Chrome в других системах.

Web-разработчики положительно отозвались о новом API и высказали много новых идей об его применении в областях, в которых API XMLHttpRequest, WebSocket и WebRTC недостаточно (от создания браузерных клиентов для SSH, RDP, IMAP, SMTP, IRC и протоколов вывода на печать до разработки распределённых P2P-систем с DHT (Distributed Hash Table), поддержки IPFS и взаимодействия со специфичными протоколами IoT-устройств).

 

Разработчики Chrome экспериментируют с языком программирования Rust

Спойлер

Разработчики Chrome экспериментируют с использованием языка Rust. Работа ведётся в рамках инициативы по предотвращению появления ошибок работы с памятью в кодовой базе Chrome. В настоящее время работа ограничивается созданием прототипов средств для использования Rust. Первой задачей, которую необходимо решить до того, как начать полноценно использовать Rust в кодовой базе Chrome, называется обеспечение переносимости между кодом на C++ и Rust.

В обозримом будущем язык C++ останется первичным в Chrome, поэтому основное внимание в проводимых экспериментах уделяется возможностям по вызову существующих C++ функций из кода на Rust и безопасному способу передачи типов между Rust и C++. В качестве основного решения для организации обмена данными между Rust и C++ рассматривается библиотека cxx, которая автоматически создаёт безопасные привязки между функциями C++ и Rust. Вручную подобные привязки создавать слишком трудоёмко так как API Chrome насчитывает более 1700 вызовов и велика вероятность допустить ошибку.

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 1,6k
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Google Chrome 37 появился в стабильном канале обновлений.    - Наиболее значимое изменение - поддержка DirectWrite в версии для Windows, которая отвечает за более сглаженный внешний вид шрифтов (отк

У меня там много порно было и когда открывал, то на некоторое время забывал, что я хотел сделать.

Выпуск web-браузера Chrome 61 Компания Google представила релиз web-браузера Chrome 61. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrom

Posted Images

Поделитесь батником отключения Software Reporter Tool  на Вин 7.

 

Такой не подходит

TASKKILL /f /IM software_reporter_tool.exe

takeown.exe /F "%userprofile%\appdata\Local\Google\Chrome\User Data\SwReporter" /A
takeown.exe /F "%userprofile%\appdata\Local\Google\Software Reporter Tool" /A

icacls "%userprofile%\appdata\Local\Google\Chrome\User Data\SwReporter" /grant[:r] %Username%:(F)
icacls "%userprofile%\appdata\Local\Google\Software Reporter Tool" /grant[:r] %Username%:(F)

rmdir /S /Q "%USERPROFILE%\AppData\Local\Google\Chrome\User Data\SwReporter"
rmdir /S /Q "%USERPROFILE%\AppData\Local\Google\Software Reporter Tool"

pause

 

Ссылка на сообщение
Поделиться на другие сайты

 Релиз Chrome 85

Спойлер

Компания Google представила релиз web-браузера Chrome 85. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 86 запланирован на 6 октября.

 

Основные изменения в Chrome 85:

  • Добавлена возможность сворачивания групп вкладок. Вкладки объединяются в группы при помощи контекстного меню и могут быть связаны с определённым цветом и меткой. При клике на метке группы связанные с ней вкладки теперь скрываются и вместо них остаётся одна метка. Повторный клик на метке убирает скрытие.
    0_1598426163.png
    0_1598426192.png
  • Реализован предпросмотр содержимого вкладок. При наведении курсора на кнопку вкладки теперь показывается эскиз находящейся во вкладке страницы. Возможность пока активирована не для всех пользователей и может быть включена при помощи настройки "chrome://flags/#tab-hover-cards".
    0_1598427623.png
  • Добавлена возможность сохранения отредактированных PDF-форм, а также предложены настройки "chrome://flags#pdf-viewer-update" и "chrome://flags/#pdf-two-up-view" для экспериментов с новым интерфейсом просмотра PDF-документов.
  • Добавлена возможность обмена ссылками при помощи QR-кодов. Для генерации QR-кода для текущей страницы в адресную строку помещена специальная пиктограмма, которая появляется при клике на адресную строку. Возможность пока активирована не для всех пользователей и может быть включена при помощи настройки "chrome://flags/#sharing-qr-code-generator".
    0_1598427182.png
  • На странице about:flags появилась опция "Omnibox UI Hide Steady-State URL Path, Query, and Ref" ("chrome://flags#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction"), позволяющая отключить отображение элементов пути и параметров запроса в адресной строке, оставив видимым только домен сайта. Скрытие осуществляется при начале взаимодействия со страницей (во время загрузки и пока пользователь не начал прокрутку показывается полный URL). После скрытия для просмотра полного URL предлагается кликнуть на адресной строке. Также доступна опция "chrome://flags#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover" для показа полного URL при наведении курсора. Доступная в контекстном меню настройка "Всегда показывать URL полностью", отменяет скрытие "https://", "www.", путей и параметров. По умолчанию скрытие пока активировано только для небольшого процента пользователей. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL.
    0_1598424145.png
  • В планшетном режиме для устройств с сенсорными экранами включена горизонтальная навигация по открытым вкладкам, при которой кроме заголовков на вкладках отображаются крупные эскизы связанных со вкладками страниц. Вкладки можно перемещать и перегруппировывать экранными жестами. Отображение эскизов включается и выключается специальной кнопкой, размещённой рядом с адресной строкой и аватаром пользователя. Для отключения режима предусмотрены настройки "chrome://flags/#webui-tab-strip" и "chrome://flags/#scrollable-tabstrip".
    0_1589531924.png
  • В версии для Android при наборе в адресной строке в списке предлагаемых страниц обеспечен вывод подсказки для быстрого перехода к уже открытым вкладкам.
    0_1598429129.png
  • В версии для Android в контекстном меню ссылок, появляющемся при длительном удержании касания на ссылке, добавлены метки для выделения быстрых страниц. Скорость определяется на основе метрик Core Web Vitals, учитывающих сводные показатели времени загрузки, отзывчивости и стабильности содержимого.
    0_1598430645.png
  • Обеспечено блокирование небезопасной загрузки (без шифрования) исполняемых файлов и добавлен вывод предупреждений при небезопасной загрузке архивов (zip, iso и т.п.). В следующем выпуске ожидается блокировка архивов и вывод предупреждения для документов (docx, pdf и т.п.). В дальнейшем постепенно планируется полностью прекратить поддержку загрузки файлов без применения шифрования. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак.
  • Включена по умолчанию поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • При компиляции сборок для Windows и macOS по умолчанию при вызове компиляторов MSVC и Clang включены оптимизации на основе результатов профилирования кода (PGO - Profile-guided optimization), позволяющие генерировать более оптимальный код на основе анализа особенностей выполнения программы. Включение PGO дало возможность ускорить загрузку вкладок приблизительно на 10% (ускорение прохождения теста Speedometer 2.0 в macOS на 7.7%, а в Windows на 11.4%). Отзывчивость интерфейса увеличилась в macOS на 3.9%, а в Windows на 7.3%.
  • Добавлен экспериментальный режим урезания активности фоновых вкладок ("Tab Throttling"), доступный через настройку "chrome://flags##intensive-wake-up-throttling" (включение по умолчанию ожидается в Chrome 86). При включении режима передача управления фоновым вкладкам (TaskQueues) уменьшается до 1 вызова в минуту, если страница находится в фоне более 5 минут.
  • Для всех категорий пользователей активирован режим снижения потребление ресурсов CPU когда окно браузера не находится в поле видимости пользователя. Chrome проверяет не перекрывается ли окно браузера другими окнами и исключает отрисовку пикселей в областях перекрытия.
  • Усилена защита от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, реализована автоматическая замена ссылок "http://" на "https://" в блоках, связанных с загрузкой изображений (ранее заменились скрипты и iframe, звуковые файлы и видео). Если изображение недоступно по https, то его загрузка блокируется (вручную можно отметить блокировку через меню, доступное через символ замка в адресной строке).

     
  • К TLS-сертификатам, выписанным начиная с 1 сентября 2020 года, будет применяться новое ограничение на срок действия - время жизни данных сертификатов не сможет превышать 398 дней (13 месяцев). Аналогичные ограничения применены в Firefox и Safari. Для сертификатов, полученных до 1 сентября, доверие будет сохранено, но ограничено 825 днями (2.2 года).
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • Предложена концепция порталов для обеспечения бесшовной навигации между сайтами и вставки одной страницы в другую для предпросмотра содержимого перед переходом. Предложен новый тег <portal>, позволяющий отобразить другую страницу в форме вставки, при фокусе на которую, показанная во вставке страница будет переведена в состояние основного документа, внутри которого допускается навигация. В отличие от iframe вставка полностью изолирована от базовой страницы и обрабатывается как отдельный документ.
    • API Fetch Upload Streaming, позволяющий осуществлять fetch-запросы с загрузкой содержимого в форме потока ReadableStream (ранее запрос требовал полной готовности содержимого, а теперь можно начать отправлять данные в форме потока, не дожидаясь полной готовности тела запроса). Например, web-приложение может начать отправлять данные web-формы как только пользователь начал набирать текст в поле ввода и когда набор будет завершён данные через fetch() уже будут отправлены. В том числе через новый API можно передавать звуковые и видео данные, генерируемые на стороне клиента.
    • Предложен API Declarative Shadow DOM для создания новых корневых веток в Shadow DOM, например чтобы отделить импортируемый сторонний стиль элемента и связанную с ним подветку DOM от основного документа. Предложенный декларативный API позволяет обойтись для открепления веток DOM только HTML без необходимости написания кода на JavaScript.
    • Добавлено свойство RTCRtpEncodingParameters.adaptivePtime, позволяющее отправителю RTC-потоков (real-time communication) управлять включением адаптивного механизма отправки пакетов.
    • Упрощено предоставление постоянного хранилища для уже установленных приложений PWA (Progressive Web Apps) и TWA (Trusted Web Activities) Приложению достаточно вызвать метод navigator.storage.persist() и постоянное хранилище будет предоставлено автоматически.
  • Реализовано новое CSS-правило @property, позволяющее регистрировать собственные CSS-свойства с наследованием, проверкой типов и значениями по умолчанию. Действие @property аналогично ранее добавленному методу registerProperty().
  • Для систем с ОС Windows предоставлена возможность использования метода getInstalledRelatedApps() для определения установки PWA-приложений. Ранее данный мето работал только на платформе Android.
  • Для настольных систем реализована поддержка ярлыков приложений, позволяющих предоставить быстрый доступ к востребованным типовым действиям в приложении. Для создания ярлыков достаточно добавить элементы в манифест web-приложения в формате PWA (Progressive Web Apps). Ранее ярлыки приложений были доступны только на платформе Android.
  • Добавлено CSS-свойство content-visibility для управления видимостью содержимого для оптимизации отрисовки. При установке значения 'auto' видимость определяется браузером на основании близости элемента к границе видимой области. Значение 'hidden' позволяет полностью управлять отображением элемента из скриптов.
  • Добавлено CSS-свойство counter-set для установки определённого значения для существующих счётчиков. Новое CSS-свойство дополняет собой ранее доступные свойства counter-reset и counter-increment, применяемые для создания нового счётчика или увеличения существующего.
  • Добавлено CSS-свойство 'page', отражающее страницу при выводе на печать, а также свойство 'page-orientation' для получения информации об ориентации страницы ('upright', 'rotate-left' и 'rotate-right'). Реализована поддержка обращения к страницам по именам, например "@page foobar {}".
  • Реализован API Event Timing для измерения задержек события до и после загрузки страницы.
  • В событии leavepictureinpicture теперь передаётся ссылка на pictureInPictureWindow для доступа к окну в режиме Picture-in-Picture.
  • При заполнении заголовка Referrer по умолчанию теперь применяется правило strict-origin-when-cross-origin (отправлять Referrer обрезанным на другие хосты, с которых загружаются ресурсы) вместо no-referrer-when-downgrade (Referrer не заполняется при обращении с HTTPS на HTTP, но передаётся при загрузке ресурсов по HTTPS).
  • В API WebAuthn предложены новые методы getPublicKey(), getPublicKeyAlgorithm() и getAuthenticatorData().
  • В WebAssembly добавлена поддержка импорта и экспорта 64-разрядных целых параметров функции, используя JavaScript-тип BigInt.
  • В WebAssembly реализовано расширение Multi-value, позволяющее функции возвращать более одного значения.
  • Начальный (baseline) компилятор Liftoff для WebAssembly задействован для всех архитектур и платформ, а не только для систем Intel. Ключевое отличие Liftoff от ранее применяемого компилятора TurboFan в том, что Liftoff нацелен на достижение наибольшей скорости начальной компиляции, ценой низкой производительности генерируемого кода. Liftoff значительно проще TurboFan и генерирует готовый для запуска машинный код очень быстро, что позволяет почти сразу приступить к его выполнению, сведя задержку от компиляции к минимуму. Для ускорения чернового кода параллельно запускается фаза оптимизирующей перекомпиляции, которая выполняется с использованием компилятора Turbofan. После готовности оптимизированых машинных инструкций, начальный черновой вариант заменяется на более быстрый код. В сумме, за счёт снижения задержки перед началом выполнения, применение Liftoff привело к увеличению производительности тестового набора WebAssembly примерно на 20%.
  • В JavaScript добавлены новые операторы логического присвоения: "??=", "&&=" и "||=". Оператор "x ??= y" выполняет присвоение, только если "x" принимает значение null или undefined. Оператор "x ||= y" выполняет присвоение, только если "x" имеет значение FALSE, а в "x &&= y" - TRUE.
  • Добавлен метод String.prototype.replaceAll(), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  • Реализован метод Promise.any(), который возвращает первый выполненный Promise из списка.
  • Прекращено действие манифеста AppCache (технология для организации работы web-приложения в offline-режиме). В качестве причины называется желание избавиться от одного из векторов для совершения атак, связанных с межсайтовым скриптингом. Вместо AppCache рекомендуется использовать API Cache.
  • Запрещена передача Cookie в режиме SameSite=None для соединений без шифрования. Aтрибут SameSite указывается в заголовке Set-Cookie для управления передачей Cookie и по умолчанию выставлен в значение "SameSite=Lax", ограничивающее отправку Cookie для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe с другого сайта. Сайты могут переопределить применяемый по умолчанию режим SameSite, явно выставляя при установке Cookie значение SameSite=None. Значение SameSite=None для Cookie теперь может выставляться только в режиме Secure, который действует для соединений через HTTPS.
  • В инструментах для web-разработчиков добавлена поддержка редактирования стилей, созданных фреймворками CSS-in-JS при помощи API CSSOM (CSS Object Model), а также стилей, добавленных из JavaScript. Панель аудита обновлена до выпуска Lighthouse 6.0, в котором добавлены новые метрики Largest Contentful Paint (LCP), Cumulative Layout Shift (CLS) и Total Blocking Time (TBT).
    0_1598439958.png
  • В панели оценки производительности отображена информация о кэшировании результатов компиляции JavaScript. В случае навигации пользователя по странице в шкале обеспечен показ времени относительное начала навигации, а не начала записи.
    0_1598440202.png

Кроме нововведений и исправления ошибок в новой версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 14 премий на сумму 10000 долларов США (одна премия $5000, три премии $1000 и четыре премии $500). Размер 6 вознаграждений пока не определён.

 

Ссылка на сообщение
Поделиться на другие сайты

В Chrome для Android включена поддержка DNS-over-HTTPS

Спойлер

Компания Google объявила о начале поэтапного включения режима "DNS поверх HTTPS" (DoH, DNS over HTTPS) для пользователей Chrome 85, использующих платформу Android. Режим будет включаться постепенно, охватывая всё больше пользователей. Ранее в Chrome 83 началось включение DNS-over-HTTPS для пользователей настольных систем.

DNS-over-HTTPS будет автоматически активирован для пользователей, в настройках которых указаны DNS-провайдеры, поддерживающие данную технологию (для DNS-over-HTTPS используется тот же провайдер, который применялся для DNS). Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DNS-over-HTTPS сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DNS-over-HTTPS сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п.

Для того чтобы исключить проблемы с резолвингом корпоративных интранет сетей DNS-over-HTTPS не применяется при определении использования браузера в централизованно управляемых системах. DNS-over-HTTPS также отключается при наличии систем родительского контроля. В случае сбоев в работе DNS-over-HTTPS предусмотрена возможность отката настроек на обычный DNS. Для управления работой DNS-over-HTTPS в настройки браузера добавлены специальные опции, позволяющие отключить DNS-over-HTTPS или выбрать другого провайдера.

Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
 

   

 

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

Релиз Chrome 86

Спойлер

Компания Google представила релиз web-браузера Chrome 86. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 87 запланирован на 17 ноября.

 

Основные изменения в Chrome 86:

  • Добавлена защита от небезопасной отправки форм ввода на страницах, загруженных по HTTPS, но отправляющих данные по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Защита сводится к трём изменениям:
    • Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь учитывается и применение шифрования при отправке данных обработчику формы. Работа менеджера паролей для смешанных форм аутентификации не отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
    • При начале ввода в смешанных формах обеспечен вывод предупреждения, информирующего пользователя об отправке заполненных данных через незашифрованный канал связи.
    • При попытке отправки смешанной формы выводится отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.
       
      0_1597729760.png
  • Блокирование небезопасной загрузки (без шифрования) исполняемых файлов дополнено блокировкой небезопасной загрузки архивов (zip, iso и т.п.) и выводом предупреждений при небезопасной загрузке документов (docx, pdf и т.п.). В следующем выпуске ожидается блокировка документов и вывод предупреждения для изображений, текстовых и мультимедийных файлов. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак.
  • В контекстном меню по умолчанию показана опция "Всегда показывать URL полностью", для включения которой ранее требовалось изменение параметров на странице about:flags. Полный URL также можно просмотреть кликнув два раза на адресной строке. Напомним, что начиная с Chrome 76 по умолчанию адрес стал показываться без протокола и поддомена www. В Chrome 79 была удалена настройка по возвращению старого поведения, но после недовольства пользователей в Chrome 83 был добавлен новый экспериментальный флаг, добавляющий в контекстное меню пункт для отключения скрытия и показа полного URL в любых условиях.
  • Для небольшого процента пользователей запущен эксперимент по отображению по умолчанию в адресной строке только домена, без элементов пути и параметров запроса. Например, вместо "https://example.com/secure-google-sign-in/" будет показано "example.com". Доведение предложенного режима до всех пользователей ожидается в одном из следующих выпусков. Для отключения указанного поведения можно использовать опцию "Всегда показывать URL полностью", а для просмотра всего URL можно кликнуть на адресной строке. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL - злоумышленники пользуются невнимательностью пользователей для создания видимости открытия другого сайта и совершения мошеннических действий (если для технически грамотного пользователя подобные подмены бросаются в глаза, то неискушённые обыватели легко покупаются на подобные простые манипуляции).
  • Возобновлена инициатива по удалению поддержки FTP. В Chrome 86 FTP отключён по умолчанию примерно для 1% пользователей, а в Chrome 87 охват отключения будет увеличен до 50%, но поддержку можно будет вернуть при помощи флага "--enable-ftp" или "--enable-features=FtpProtocol". В Chrome 88 поддержка FTP будет полностью отключена.
  • В версии для Android по аналогии с версией для настольных систем в менеджере паролей реализована проверка сохранённых логинов и паролей по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем или попытке использования тривиальных паролей. Проверка выполняется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Для сохранения приватности применяется сверка хэш-префикса на стороне пользователя, а сами пароли и их полные хэши не передаются во вне.
  • В версию для Android также перенесены кнопка "Проверка безопасности" (Safety check) и расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing). Кнопка "Safety check" показывает сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. Расширенный режим защиты активирует дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web, а также включает дополнительную защиту для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновится локальный чёрный список.
  • Добавлена поддержка файла-индикатора ".well-known/change-password", при помощи которого владельцы сайтов могут указать адрес web-формы для смены пароля. В случае выявления компрометации учётных данных пользователя Chrome теперь сразу предложит пользователю форму для изменения пароля, определённую на основе информации из данного файла.
  • Реализован вывод нового предупреждения "Safety Tip", отображаемого при открытии сайтов, домен которых очень похож на другой сайт и эвристика показывает, что велика вероятность спуфинга (например, открыт goog0le.com вместо google.com).
  • Реализована поддержка кэша перехода (Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Кэш включается при помощи настройки chrome://flags/#back-forward-cache.
  • Проведена оптимизация потребления ресурсов CPU окнами вне области видимости. Chrome проверяет не перекрывается ли окно браузера другими окнами и исключает отрисовку пикселей в областях перекрытия. Указанная оптимизация была включена для небольшого процента пользователей в Chrome 84 и 85, а теперь активирована повсеместно. По сравнению с прошлыми выпусками также устранена несовместимость с системами виртуализации, из-за которой показывались пустые белые страницы.
  • Усилено урезание ресурсов для фоновых вкладок. Подобные вкладки теперь не могут потреблять больше 1% ресурсов CPU и могут активироваться не чаще одного раза в минуту. После пяти минут нахождения в фоне вкладки замораживаются, за исключением вкладок в которых воспроизводится мультимедийное содержимое или ведётся запись.
  • Возобновлена работа по унификации HTTP-заголовка User-Agent. В новой версии для всех пользователей активирована поддержка механизма User-Agent Client Hints, развиваемого в качестве замены User-Agent. Новый механизм подразумевает выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов. При использовании User-Agent Client Hints идентификатор не передаётся по умолчанию без явного запроса, что делает невозможным проведение пассивной идентификации (по умолчанию указывается только название браузера).
  • Изменена индикация наличия обновления и необходимости перезапуска браузера для его установки. Вместо цветной стрелки в поле аватара учётной записи теперь появляется надпись "Update".
    0_1602058250.png
  • Проведена работа по переводу браузера на применение инклюзивной терминологии. В именах политик слова "whitelist" и "blacklist" заменены на "allowlist" и "blocklist" (уже добавленные политики продолжат работать, но для них будет выводиться предупреждение о переводе в разряд устаревших). В коде и именах файлов упоминания "blacklist" заменены на "blocklist". Видимые пользователю упоминания "blacklist" и "whitelist" были заменены ещё в начале 2019 года.
  • Добавлена экспериментальная возможность редактирования сохранённых паролей, активируемая при помощи флага "chrome://flags/#edit-passwords-in-settings".




     
  • Переведён в разряд стабильных и общедоступных API Native File System, позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов или использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение.
    0_1602059707.png
  • Добавлен CSS-селектор ":focus-visible", который использует ту же эвристику, что используется браузером при принятии решения о показе индикатора смены фокуса (при перемещении фокуса на кнопку клавиатурными комбинациями индикатор появляется, а при клике мышью - нет). Ранее доступный CSS-селектор ":focus" всегда подсвечивает фокус. Кроме того, в настройки добавлена опция "Quick Focus Highlight", при включении которой рядом с активными элементами будет показываться дополнительный индикатор фокуса, который остаётся видимым даже если на странице через CSS отключены элементы стиля для визуального выделения фокуса.
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • API WebHID для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов. Прежде всего новый API нацелен на предоставление поддержки геймпадов.
    • API Screen Information, расширяет возможности API Window Placement поддержкой конфигураций с несколькими экранами. В отличие от window.screen новый API позволяет манипулировать размещением окна в общем экранном пространстве многомониторнных систем, не ограничиваясь текущим экраном.
    • Мета-тег battery-savings, при помощи которого сайт может информировать браузер о необходимости активации режимов снижения энергопотребления и оптимизации нагрузки на CPU.
    • API COOP Reporting для информирования о потенциальных нарушениях режимов изоляции Cross-Origin-Embedder-Policy (COEP) и Cross-Origin-Opener-Policy (COOP), без применения фактических ограничений.
    • В API Credential Management предложен новый тип учётных данных PaymentCredential, обеспечивающий дополнительное подтверждение совершаемой платёжной операции. Проверяющая сторона, например, банк, имеет возможность сгенерировать открытый ключ PublicKeyCredential, который может быть запрошен продавцом для дополнительного безопасного подтверждения платежа.
  • В API PointerEvents для определения наклона стилуса добавлена поддержка углов высоты (угол между стилусом и экраном) и азимута (угол между осью X и проекцией стилуса на экран), вместо углов TiltX и TiltY (углы между плоскостью из стилуса и одной из осей и плоскостью из осей Y и Z). Также добавлены функции преобразования между высотой/азимутом и TiltX/TiltY.
  • Изменено кодирование пробела в URL, при его вычислении в обработчиках протокола - метод navigator.registerProtocolHandler() теперь заменяет пробелы на "%20" вместо "+", что унифицирует поведение с другими браузерами, такими как Firefox.
  • В CSS добавлен псевдо-элемент "::marker", позволяющий настроить цвет, размер, форму и тип чисел и точек для перечислений в блоках <ul> и <ol>.
  • Добавлена поддержка HTTP-заголовка Document-Policy, позволяющего задать правила доступа к документам, похожие на механизм sandbox-изоляции для iframe, но более универсальный. Например, через Document-Policy можно ограничить использование некачественных изображений, отключить медленные JavaScript API настроить правила загрузки iframe, изображений и скриптов, ограничить общий размер документа и трафик, запретить методы, приводящие к перерисовке страницы, отключить функцию Scroll-To-Text.
  • В элемент <fieldset> добавлена поддержка параметров 'inline-grid', 'grid', 'inline-flex' и 'flex', задаваемых через CSS-свойство 'display'.
  • Добавлен метод ParentNode.replaceChildren() для замены всех дочерних элементов родительского узла на другой DOM-узел. Ранее для замены узлов можно было использовать комбинацию из методов node.removeChild() и node.append() или node.innerHTML и node.append().
  • Расширен спектр схем URL, допустимых для переопределения при помощи registerProtocolHandler(). В список схем включены децентрализованные протоколы cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns и ssb, что позволяет определять ссылки на элементы независимо от сайта или шлюза, предоставляющего доступ к ресурсу.
  • В API Asynchronous Clipboard добавлена поддержка формата text/html для копирования и вставки HTML через буфер обмена (при записи и чтения в буфер обмена выполняется чистка опасных конструкций HTML). Изменение, например, позволяет организовать в web-редакторах вставку и копирование отформатированного текста с изображениями и ссылками.
  • В WebRTC добавлена возможность подключения собственных обработчиков данных, вызываемых на стадиях кодирования или декодирования WebRTC MediaStreamTrack. Например, указанную возможность можно использовать для добавления поддержки сквозного шифрования данных, передаваемых через промежуточные серверы.
  • В JavaScript-движке V8 на 75% ускорена реализация Number.prototype.toString. В асинхронные классы добавлено свойство .name с пустым значением. Удалён метод Atomics.wake, который в своё время был переименован в Atomics.notify для соответствия спецификации ECMA-262. Открыт код инструментария fuzzing-тестирования JS-Fuzzer.
  • В задействованном в прошлом выпуске начальном (baseline) компиляторе Liftoff для WebAssembly включена возможность использования векторных инструкций SIMD для ускорения вычислений. Судя по тестам, оптимизация позволила ускорить прохождения некоторых тестов в 2.8 раз. Другая оптимизация позволила значительно ускорить вызов из WebAssembly импортированных функций JavaScript.
  • Расширены инструменты для web-разработчиков: В панель Media добавлены сведения о проигрывателях, применяемых для воспроизведения видео на странице, включая данные о событиях, логи, значения свойств и параметры декодирования кадров (например, можно определить причины потери кадров и проблем при взаимодействии из JavaScript).
    0_1602081769.png

    В контекстном меню панели Elements добавлена возможность создания скриншотов выбранного элемента (например, можно создать скриншот оглавления или таблицы).

    0_1602081920.png

    В web-консоли панель с предупреждением о проблемах заменена на обычное сообщение, а проблемы со сторонними Cookie скрыты по умолчанию во вкладке Issues и включаются специальным флажком.

    0_1602082121.png

    Во вкладке Rendering добавлена кнопка "Disable local fonts", позволяющая симулировать отсутствие локальных шрифтов, а во вкладке Sensors появилась возможность симулировать неактивность пользователя (для приложений, использующих API Idle Detection).

    0_1602082311.png

    В панели Application предоставлена детальная информация о каждом iframe, открытом окне и pop-up-ах, включая данные об изоляции Cross-Origin при помощи COEP и COOP.

    0_1602082574.png
  • Началась замена реализации протокола QUIC на вариант, развиваемый в спецификации IETF, вместо Google-варианта QUIC.

Кроме нововведений и исправления ошибок в новой версии устранено 35 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одна уязвимость (CVE-2020-15967, обращение к освобождённой области памяти в коде для взаимодействия с Google Payments) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 27 премий на сумму 71500 долларов США (одна премия $15000, три премии $7500, пять премий $5000, две $3000, одна $200 и две премии $500). Размер 13 вознаграждений пока не определён.
 

  исп

 

Ссылка на сообщение
Поделиться на другие сайты

В Chrome началась активация IETF QUIC и HTTP/3

Спойлер

Компания Google сообщила о начале замены собственной редакции протокола QUIC на вариант, развиваемый в спецификации IETF. Применявшийся в Chrome вариант QUIC от Google в некоторых деталях отличается от варианта из спецификаций IETF. При этом Chrome поддерживает оба варианта протокола, но по умолчанию до сих пор использовал свой вариант QUIC.

С сегодняшнего дня 25% пользователей стабильной ветки Chrome переключены на использование IETF QUIC и в ближайшее время доля таких пользователей будет увеличена. По статистике Google по сравнению с HTTP поверх TCP+TLS 1.3 протокол IETF QUIC показал снижение задержек при поиске в Google Search на 2% и уменьшение времени ребуферизации в YouTube на 9% при увеличении пропускной способности на 3% для настольных и на 7% для мобильных систем.

HTTP/3 стандартизирует использование протокола QUIC в качестве транспорта для HTTP/2. Протокол QUIC (Quick UDP Internet Connections) c 2013 года развивается компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. В процессе стандартизации в IETF в протокол были внесены изменения, что привело к возникновению двух параллельно существующих веток, одна для HTTP/3, а вторая поддерживаемая Google.

 

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

В Chrome экспериментируют с показом рекламы на странице новой вкладки

Спойлер

Компания Google добавила в тестовые сборки Chrome Canary, которые лягут в основу выпуска Chrome 88, новый экспериментальный флаг (chrome://flags#ntp-shopping-tasks-module), включающий отображение модуля с рекламой на странице, показываемой при открытии новой вкладки. Реклама показывается с учётом активности пользователя в сервисах Google. Например, если пользователь до этого искал связанную со стульями информацию в поисковой системе Google, то ему будет показана реклама с предложением купить стулья. Информации о намерении включить данный модуль по умолчанию пока нет.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Peter15
      Почему удаётся применить атрибут шифрования к папке Google в Appdata\Local, удаётся применить к кукам, другим файлам в том же каталоге, но не удаётся к Chrome?
       
      Т. е папка Chrome зелёным цветом не выделяется, что означает (если правильно помню), что новые созданные файлы в ней не будут зашифрованы (хотя уже имеющиеся зашифрованы).
       
    • От Ilya.Shutov
      Здравствуйте! Возникла странная проблема. Последние несколько дней на YouTube очень медленно работает поисковая строка, т.е. при вводе текста он появляется спустя несколько секунд, аналогичная ситуация на других сайтах, которыми я пользуюсь, например, songsterr. Почему я спрашиваю это здесь? Потому - что при отключении антивируса Касперский все приходит в норму. Подобные глюки происходят во всех браузерах. Самое интересное, что поисковые строки Google или Yandex работают нормально. В чем может быть проблема? Чистка куки и кэша не помогает. Основной браузер, который я использую - Google Chrome. Проверят в Microsoft Edge и Firefox.
    • От Mrak
      Всем привет!
       
      Подскажите пожалуйста, существует ли браузер, соответствующий максимальному числу критериев полезности:
      1) Встроенный VPN (чтобы если куда-то не пускают, нажал кнопку и прошёл, а не переключаться на оперу. И чтобы не выискивать какому ВПН довериться, где его скачать, что там с расширениями и т.п.).
      2) Кросплатформенная синхронизация (чтобы с винды, мака, андроида все закладки на своих местах).
      3) Поддержка КПМ (менеджера паролей Касперского), которой, увы, в опере я не нашёл. 
       
      Буду благодар
    • От Amicus
      Google Chrome стал периодически сбрасывать сохраненные пароли. В первый раз (недели две назад) сбросил около 30%. Во второй (на днях) около 10%. Причем это только у Google Chrome. У других браузеров таких проблем не наблюдал. Не сказал бы, что проблема для меня является серьезной, однако хотелось бы узнать возможные причины подобного поведения. 
    • От PitBuLL
      Вот уже с месяц, полтора замечаю: 
      рабочий стол обновляется - ярлыки и на рабочем столе, и на панели задач моргают, пропадают на долю секунды и вновь появляются, как будто выполнил ПКМ на рабочем столе - "Обновить". Так происходит по несколько раз, с разной периодичностью, только тогда, когда открыт браузер Google Chrome (даже когда он свёрнут). Ошибок это не вызывает, в журналах Windows 10 так же ни каких записей об ошибках или предупреждениях на это время обновлений рабочего стола нет.
      Почему так происходит? Нормальное ли это явление? Когда открыты другие браузеры или программы, такого не наблюдается.
      Возможно это появилось после того, как ОС Windows 10 обновилась до версии 2004.
       
      Windows 10 Pro, Версия 2004;
      Браузер Google Chrome, Версия 84.0.4147.135 (Официальная сборка), (64 бит);
      KIS 20.0.14.1085 (I)
       
       

×
×
  • Создать...