Перейти к содержанию

Краб

Рекомендуемые сообщения

Обновление Chrome 87.0.4280.141 с исправлением уязвимостей

Спойлер

Доступен корректирующий выпуск web-браузера Chrome 87.0.4280.141, в котором устранено 16 уязвимостей. 12 проблем помечены как опасные. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено.

Обновление примечательно существенным увеличением денежных вознаграждений за выявление уязвимостей. За обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премий на сумму 111 тысяч долларов США (три премии по $20000, две премии $15000, две премии $7500 и одна премия $6000). Размер 5 вознаграждений пока не определён. Наибольшие вознаграждения выплачены за обнаружение use-after-free уязвимостей в коде, связанном с автозаполнением полей, механизмом drag&drop и обработкой мультимедийных данных. Награда в $15000 назначена за use-after-free уязвимости в API для проведения платежей и режиме SafeBrowsing.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Google запретил использование Google API в сторонних браузерах на основе Chromium

Спойлер

Компания Google сообщила о введении ограничений по использованию своих внутренних API в сторонних браузерах на базе движка Chromium. Помимо общей функциональности, в кодовой базе Chromium также присутствуют некоторые возможности, используемые в браузере Chrome и привязанные к сервисам Google. Среди таких возможностей привязка к учётной записи в Google, механизм Click to Call и сервис синхронизации настроек и данных пользователя.

В ходе аудита выяснилось, что некоторые браузеры сторонних производителей используют данные функции в своих продуктах для интеграции с сервисами Google. Решено начиная с 15 марта ограничить доступ к подобным внутренним API, при этом данные, такие как закладки, пароли и история посещений, ранее сохранённые через сторонние браузеры, будут оставлены в учётной записи пользователей Google и доступны для просмотра на странице My Google Activity или загрузки в разделе Google Takeout.

 

Ссылка на комментарий
Поделиться на другие сайты

@Mark D. Pearlstone наверно, вы ошибаетесь. Здесь получается, что используя синхронизацию Google можно перейти с любого браузера на основе Chromium на Chrome сохранением своих данных (закладок, паролей и т.д)

Ссылка на комментарий
Поделиться на другие сайты

Релиз Chrome 88

Спойлер

Компания Google представила релиз web-браузера Chrome 88. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 89 запланирован на 2 марта.

 

Основные изменения в Chrome 88:

  • Для небольшого процента пользователей включена поддержка профилей для разделения учётных записей пользователей. Пользователь может создать новый профиль Chrome и настроить его активацию при подключении к определённой учётной записи в Google, что позволит разным пользователям разделять свои закладки, настройки и историю посещений. При попытке входа в учётную запись, привязанную к другому профилю, пользователю будет предложено переключиться на этот профиль. При наличии у пользователя привязки к нескольким профилям, будет предоставлена возможность выбора желаемого профиля.
  • В состав включена третья редакция манифеста Chrome, которая пока предложена опционально. Разработчикам предоставлена возможность создания дополнений с использованием Manifest V3, но поддержка дополнений, использующих вторую версию манифеста, какое-то время будет сохранена. Дата прекращения поддержки Manifest V2 пока не определена, но период миграции на новый манифест продлится как минимум год. Манифест Chrome определяет возможности и ресурсы, предоставляемые дополнениям. Новый манифест разработан в рамках инициативы по усилению безопасности, конфиденциальности и производительности дополнений. Главной целью вносимых изменений является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений. Обратной стороной нового манифеста является нарушение работы многих дополнений для блокирования нежелательного контента и обеспечения безопасности из-за ограничений в использовании блокирующего режима работы API webRequest.
  • С целью блокирования утечки поисковых ключей через DNS, по умолчанию прекращена обработка ввода отдельных слов в адресной строке как потенциальных сайтов. До сих пор, в случае ввода одного слова в адресной стоке, браузер вначале пытался в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправлял запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получал сведения о состоящих из одного слова поисковых запросах, что оценивалось как нарушение конфиденциальности. Для предприятий, использующих интернет-хосты без поддомена (например, "https://helpdesk/") предоставлена опция для возвращения старого поведения.
  • Для небольшого процента пользователей предложен новый ненавязчивый интерфейс подтверждения полномочий, в котором запросы на подтверждение показываются в адресной строке перед доменом, не отвлекая пользователя. В отличие от ранее применявшихся запросов, новый интерфейс не требует мгновенного решения и остаётся на виду, давая возможность подтвердить или блокировать полномочия при возникновении необходимости.
    0_1611220267.png
  • Проведена модернизация менеджера паролей. Добавлена кнопка для проверки сохранённых паролей на надёжность с возможностью быстрой смены небезопасных паролей. Реализован интерфейс для смены паролей сразу для нескольких учётных записей, связанных с одним сайтом.
    0_1611226625.png
  • Добавлена экспериментальная поддержка быстрого поиска вкладок, которая ранее была ограничена версией для Chrome OS. Пользователь может просмотреть список всех открытых вкладок и быстро отфильтровать нужную вкладку, независимо от того в текущем или другом окне она находится. Для включения поиска вкладок можно использовать флаг "chrome://flags/#enable-tab-search".
    0_1605710575.png
  • Расширена защита от небезопасной отправки форм ввода на страницах, загруженных по HTTPS, но отправляющих данные по HTTP. Предупреждение о потенциальном риске передачи данных через незашифрованный канал связи при отправке смешанной формы теперь выводится не в виде индикатора, а в форме отдельной промежуточной страницы, требующей подтверждения выполняемого действия. Изначально новое предупреждение было добавлено в один из прошлых выпусков, но сразу отменено из-за всплывших проблем с редиректами. Теперь эти проблемы решены и предупреждение выводится не только при прямой отправке формы по "http://", но и при попытке редиректа на "http://" с использованием кодов 307 и 308, допускающих проброс данных POST-запроса.
  • На платформе Android для определённого процента пользователей реализована новая кнопка с микрофоном, показываемая в верхней панели, рядом с адресной строкой. Кнопка позволяет через Google Assistant прочитать текущую страницу или перевести на другой язык.
  • Для всех пользователей включён режим урезания активности фоновых вкладок ("Tab Throttling"), который в прошлом выпуске был предложено небольшому проценту пользователей. Браузер теперь отдаёт приоритет активным вкладкам и ограничивает потребление CPU фоновыми вкладками, снижая интенсивность пробуждения процессора. В соответствии с собранной статистикой около 40% потребления ресурсов при вызове таймеров JavaScript приходилось на фоновые вкладки. Подобные вкладки после пяти минут нахождения в фоне теперь могут активироваться не чаще одного раза в минуту, за исключением операций воспроизведения мультимедийного содержимого, обработчиков сетевых событий и поступивших уведомлений, активных потоков RTCDataChannel и MediaStreamTrack. Проведённое тестирование показало, что внесённые изменения при наличии большого числа открытых вкладок позволили до 5 раз снизить нагрузку на CPU и продлить время автономной работы более чем на час.
  • Для всех пользователей на страницу, показываемую при открытии новой вкладки, добавлены информационные карты, помогающие найти недавно просматриваемый контент и связанную с ним информацию. Карты призваны упростить продолжение работы с информацией, просмотр которой был прерван. Например, карты помогут найти рецепт блюда, который недавно был найден в сети, но утерян после закрытия страницы, продолжить выбор покупок в магазинах или вернуться к просмотру прерванного видео.
  • Для пользователей, входящих в учётную запись Google, предоставлена возможность доступа к методам платежей и паролям, сохранённым в учётной записи Google, без включения Chrome Sync.
  • Обеспечена приостановка вывода web-уведомлений при показе презентации или предоставлении совместного доступа к экрану. Накопившиеся уведомления будут показаны после завершения сеанса совместного доступа.

     
  • Прекращена поддержка протокола FTP. Постепенное урезание поддержки FTP началось ещё в Chrome 63, а в Chrome 77 поддержка FTP была отключена по умолчанию для 50% пользователей, но был оставлен флаг для её возвращения. В Chrome 88 поддержка FTP полностью отключена.
  • Удалён код, связанный с обработкой Flash-контента. Поддержка Flash Player компанией Adobe была официально прекращена 31 декабря. Предприятиям, которым необходима поддержка Flash, предложено воспользоваться отдельным сервисом HARMAN.
  • Удалён код для поддержки протокола DTLS 1.0 (Datagram Transport Layer Security), основанного на TLS 1.1 и использовавшегося в WebRTC для передачи звука и видео. Вместо DTLS 1.0 рекомендуется использовать DTLS 1.2, основанный на TLS 1.2 (спецификация DTLS 1.3 на базе TLS 1.3 ещё не готова).
  • В Chrome Web Store прекращена поддержка дополнения Legacy Browser Support (LBS), обеспечивающего совместимость со старыми дополнениями. Функциональность LBS теперь встроена в Chrome.
  • Прекращена поддержка Google Cloud Print и убрана возможность сохранения в Google Drive со страницы управления выводом на печать (пользователям отныне потребуется осуществить печать в PDF и затем вручную загружать результат в Google Drive в при помощи меню "New > File upload" на сайте drive.google.com).
  • Прекращена поддержка платформы OS X 10.10 (Yosemite), выпущенной в 2014 году. В качестве минимальной версии macOS заявлен выпуск OS X 10.11 (El Capitan).
  • Достигла финальной стадии инициатива по блокированию небезопасной загрузки (без шифрования) контента. В новой версии реализована блокировка небезопасной загрузки мультимедийных данных, текстовых файлов и изображений. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак. Ранее была включена блокировка небезопасной загрузки исполняемых файлов, архивов (zip, iso и т.п.) и документов (docx, pdf и т.п.). Для платформы Android введение ограничений отстаёт на один релиз, т.е. в нынешнем выпуске включена блокировка документов.
    0_1605694703.png


     
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API, которые пока ограничены платформой Android. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • API Digital Goods для упрощения организации покупок из web-приложений. Обеспечивает связывание с сервисами распространения товаров, в Android предоставляет обвязку над API Android Play Billing.
    • В сеансы на базе WebXR для дополненной реальности добавлена возможность определения параметров окружающего освещения для придания моделям более естественного вида и более гармоничной интеграции с окружением пользователя.
    • Механизм Idle Detection для определения неактивности пользователя, позволяющий определять время, когда пользователь не взаимодействует с клавиатурой/мышью, запущен хранитель экрана, экран заблокирован или работа выполняется на другом мониторе. Информирование приложения об неактивности осуществляется через отправку уведомления после достижения заданного порога неактивности.
  • Стабилизирован и теперь распространяется вне Origin Trials метод Performance.measureMemory() для оценки потребления памяти при обработке web-приложения или web-страницы. Может использоваться для анализа и оптимизации потребления памяти в web-приложениях, а также для выявления регрессивного роста потребления памяти.
  • В API PointerLock стабилизирован флаг unadjustedMovement, при установке которого данные о событиях о движении мыши передаются в чистом виде, без корректировок и ускорения. Например, применение unadjustedMovement даёт возможность обеспечить более качественное движение в шутерах от первого лица.
  • Ссылки с атрибутом target="_blank" в теге <a> теперь обрабатываются по аналогии с использованием атрибута rel="noopener", т.е. воспринимаются как не заслуживающие доверия страницы. Для открытых по данным ссылкам страниц не выставляется свойство Window.opener и не открывается доступ к контексту из которого была открыта ссылка. Изменение позволяет блокировать атаки "tab-napping", при которых новая вкладка или окно может обращаться к контексту исходной страницы, с которой была открыта ссылка.
  • Улучшены стили, предлагаемые по умолчанию при активации тёмных тем оформления. Добавлены тёмные стили элементов форм и полос прокрутки, применяемые при выборе в операционной системе тёмной темы. Для упрощения настройки стилей для различных режимов отображения предложено CSS-свойство color-scheme и одноимённый мета-тег.
  • В addEventListener() добавлена опция "signal", позволяющая прикрепить обработчик AbortSignal, созданный при помощи вызова AbortController, для отмены подписки на события.
  • Добавлено CSS-свойство aspect-ratio для явной привязки коэффициента соотношения сторон к любому элементу, который будет учитываться при автоматическом вычислении размеров. Предложенное свойство позволяет добиться автоматического вычисления недостающего размера при указании только высоты или ширины. Ранее подобное было возможным только для изображений, а при помощи свойства aspect-ratio может применяться для любых других элементов, например, для подгонки iframe под указанную высоту или ширину.
  • В CSS-псевдокласс :not() добавлена поддержка сложных селекторов. Например: ":not(.a + .b .c)".
  • В метод ElementInternals добавлен атрибут shadowRoot, позволяющий из собственных элементов обращаться к своему отдельному корню в Shadow DOM, независимо от состояния. Кроме того, добавлены дополнительные ограничения в метод attachInternals(), который теперь будет генерировать исключение при попытке вызова конструктора для создаваемого элемента.
  • В методе WakeLock.request() параметр "type" переведён в категорию необязательных и по умолчанию выставляется в значение "screen".
  • Добавлена возможность более гибкого управления ключами для изоляции в отдельных процессах. Изоляция подразумевает вынос обработчиков контента в отдельные процессы в привязке к источнику (origin - домен+порт+протокол), а не сайту, т.е. позволяет организовать разделение по разным процессам на основе домена ресурса, а не сайта со всеми посторонними включениями на страницах. Предложенное изменение позволяет управлять помещением в отдельные процессы синхронно выполняемых скриптов, манипулирующих значением document.domain, или вызовов postMessage() с экземплярами WebAssembly.Module.
  • Добавлена поддержка типа SharedArrayBuffer, который может использовать в окружениях, изолированных в отдельных процессах при помощи механизмов Cross-Origin-Embedder-Policy и Cross-Origin-Opener-Policy. Для атомарного доступа к объектам SharedArrayBuffer предложен объект Atomics.
  • В CSS-свойстве clip-path добавлена возможность определения ограничивающей видимость области, заданной при помощи функции path() в формате контура SVG. Например "clip-path: path(oddeven, 'M 5 5 h 100 v 100 Z')".
  • Добавлена поддержка HTTP-заголовка Permissions-Policy, который пришёл на смену HTTP-заголовку Feature-Policy, предназначенному для включения определённых возможностей и управления доступом к API (например, можно включить синхронный режим работы XMLHttpRequest или отключить Geolocation API)
  • В JavaScript-движке V8 реализован экспериментальный RegExp-движок, для включения которого можно использовать флаг "--enable-experimental-regexp-engine". Движок примечателен использованием алгоритма, работающего без возвратов (backtracking), что позволяет добиться времени выполнения, линейного зависящего от размера обрабатываемой строки. Текущий движок Irregexp в большинстве ситуаций работает очень быстро, но начинает буксовать при обработке некоторых шаблонов, время выполнения которых сильно зависит от размера входной строки.
  • В инструментах для web-разработчиков примерно на 37% сокращено время запуска. Реализована эмуляция работы в условиях отсутствия поддержки в браузере определённых типов изображений (например, можно отключить AVIF и WebP и проверить сработает ли на сайте замена на PNG). Добавлен новый инструмент для наглядной оценки углов, задаваемых в CSS-свойствах.
    0_1611233085.png

    В панели анализа производительности появилась возможность визуализация метрик Core Web Vitals, учитывающих сводные показатели времени загрузки, отзывчивости и стабильности содержимого. В панели отслеживания сетевых операций добавлена сводка о сбоях выполнения запросов, связанных с блокировками CORS (Cross-origin Resource Sharing), а в контекстное меню добавлена опция "Copy value" для копирования отдельных параметров запроса. Добавлены новые возможности для отладки WebAssembly.

    0_1611233687.png

    В панели Storage добавлена симуляция исчерпания квоты на размер браузерного хранилища. Расширена информация о Web Worker. В панели Elements обеспечено выделение цветом псевдоэлементов. Представлен экспериментальный отладчик моделей компоновки элементов страницы Flexbox.

    0_1611233855.png

Кроме нововведений и исправления ошибок в новой версии устранено 36 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одна уязвимость (CVE-2021-21117, проблемы с применением ограничений в Cryptohome) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 26 премий на сумму 81000 долларов США (одна премия $30000, одна премия $16000, четыре премии $5000, две премии $2000, четыре $1000 и две премии $500). Размер 10 вознаграждений пока не определён.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Обновление Chrome 88.0.4324.146 с устранением критической уязвимости

Спойлер

Опубликовано обновление браузера Chrome 88.0.4324.146 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2021-21142) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в реализации API Payments.

Кроме того, в новом выпуске устранено ещё 5 уязвимостей, из которых четырём присвоен высокий уровень опасности. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 52500 долларов США (одна премия $20000, две премии $10000, по одной премии $7500 и $5000). Размер одного вознаграждения пока не определён.

Дополнение: На платформе Windows антивирусный пакет Microsoft Defender ATP ошибочно блокировал обновление Chrome 88.0.4324.146, предупреждая о наличии трояна "PHP/Funvalget.A". Компания Microsoft подтвердила, что блокировка вызвана ложным срабатыванием, и выпустила обновление Microsoft Defender с устранением ошибки. Проблема проявлялась только в коммерческой версии Microsoft Defender ATP, в бесплатном Microsoft Defender блокировка не происходила.

 

Ссылка на комментарий
Поделиться на другие сайты

Google Chrome перестанет поддерживать несколько очень старых процессоров

Спойлер
Команда разработчиков Chromium опубликовала обновленную политику, в которой сообщается о прекращении поддержки всех процессоров x86, лишенных минимальной поддержки SSSE3 (Supplemental Streaming SIMD Extension 3), начиная с Chrome 89

Под данное изменение подпадают процессоры, вышедшие до линейки Intel Core 2 Duo (например, Intel Atom и Celeron M). Большинство процессоров, произведенных после 2005 года, уже поддерживают SSSE3. В системных требованиях к Windows 10 обозначена поддержка лишь SSSE2.

С выходом Chrome 87, браузер начал отображать предупреждение о прекращении поддержки устаревшего оборудования на затронутых устройствах.

После релиза Chrome 89, установщик не сможет установить новую версию браузера на неподдерживаемом оборудовании.

Ожидается, что данное изменение повлияет только на системы Windows, поскольку другие операционные системы (ChromeOS, Android и macOS) требуют поддержку уровня SSSE3. Разработчики не объясняют целесообразность данного изменения, но, скорее всего, это делается для повышения производительности.

Так как Microsoft Edge также использует кодовую базу Chromium, то данное изменение затронет и браузер Microsoft.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

Релиз Chrome 89

Спойлер

Компания Google представила релиз web-браузера Chrome 89. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 90 запланирован на 13 апреля.

 

Основные изменения в Chrome 89:

  • Версия Chrome для Android отныне сможет запускаться только на устройствах, сертифицированных в Play Protect. В виртуальных машинах и эмуляторах Chrome для Android сможет использоваться если эмулируется допустимое устройство или эмулятор разработан в Google. Проверить сертифицировано устройство или нет можно в приложении Google Play в секции настроек (на странице с настройками в самом низу показан статус "Play Protect certification"). Для несертифицированных устройств, например при использовании сторонних прошивок, для запуска Chrome пользователям предлагается зарегистрировать свои устройства.
  • Для небольшого процента пользователей включено открытие сайтов по умолчанию через HTTPS при наборе имён хостов в адресной строке. Например, при вводе хоста example.com по умолчанию будет открыт сайт https://example.com, а если при открытии возникли проблемы будет выполнен откат до http://example.com. Для управления использованием по умолчанию "https://" предложена настройка "chrome://flags#omnibox-default-typed-navigations-to-https".
  • Включена переработанная реализация профилей, позволяющих разным пользователям разделить свои учётные записи при работе через один браузер. Например, при помощи профилей можно организовать доступ членам семьи или разделить сеансы, используемые для работы и личных интересов. Пользователь может создать новый профиль Chrome и настроить его активацию при подключении к определённой учётной записи в Google, что позволяет разным пользователям разделять закладки, настройки и историю посещений.

    В новой реализации упрощено переключение между профилями и обеспечено наглядное разделение сеансов. Браузер теперь определяет попытки входа на сайтах Google в другую учётную запись, - если эта учётная запись привязана к другому профилю, пользователю будет предложено переключиться на этот профиль. При наличии у одного пользователя привязки к нескольким профилям, предоставлена возможность выбора желаемого профиля. Возможна настройка для профилей своих цветовых схем и тем оформления, что позволяет добиться визуального разделения сеансов разных пользователей. Добавлена возможность открытия интерфейса для выбора профиля после запуска браузера.

    0_1614776799.png
  • Включено отображение эскизов содержимого при наведении курсора на вкладки в верхней панели. Ранее предпросмотр содержимого вкладок был отключён по умолчанию и требовал изменения настройки "chrome://flags/#tab-hover-cards".
    0_1614775553.png
  • Для части пользователей включена функция "Список чтения" (Reading List, "chrome://flags#read-later"), при активации которой при нажатии на звёздочку в адресной строке помимо кнопки "Добавить закладку" появляется вторая кнопка "Добавить в список чтения", а в правом углу панели закладок появляется меню "Список чтения", в котором перечислены все ранее добавленные в список страницы. При открытии страницы из списка она помечается прочитанной. Страницы в списке также могут быть отмечены прочитанными и непрочитанными вручную или удалены из списка.
    0_1614789811.png
  • Для пользователей, входящих в учётную запись Google, без включения Chrome Sync предоставлен доступ к методам платежей и паролям, сохранённым в учётной записи Google. Возможность включена для части пользователей и постепенно будет доведена до остальных.
  • Включена поддержка быстрого поиска вкладок, которая ранее требовала активации через флаг "chrome://flags/#enable-tab-search". В правом углу панели вкладок появилась новая кнопка со стрелкой вниз, при нажатии на которую появляется форма поиска, через которую можно просмотреть список всех открытых вкладок и быстро отфильтровать нужную вкладку, независимо от того в текущем или другом окне она находится. Функция также доступна через комбинацию клавиш "Ctrl+Shift+A".
    0_1614830914.png
  • Для всех пользователей прекращена обработка ввода отдельных слов в адресной строке как попыток открытия внутренних сайтов. Ранее, в случае ввода одного слова в адресной строке, браузер вначале пытался в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправлял запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получал сведения о состоящих из одного слова поисковых запросах, что оценивалось как нарушение конфиденциальности. Для предприятий, использующих интернет-хосты без поддомена (например, "https://helpdesk/") предоставлена опция для возвращения старого поведения.
  • Предоставлена возможность закрепления версии дополнения или приложения. Например, для использования на предприятии только проверенных дополнений администратор при помощи новой политики ExtensionSettings может настроить Chrome для использования собственного URL для загрузки обновлений, вместо URL указанного в манифесте дополнения.
  • На системах x86 для работы браузера теперь обязательна поддержка процессором инструкций SSE3, которые поддерживаются процессорами Intel начиная с 2004 года, а AMD - c 2005 года.

     
  • Добавлены дополнительные API, нацеленные на предоставление функциональности, которая сможет заменить сторонние Cookie, применяемые для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Предложены для тестирования следующие API:
    • Trust Token для разделения пользователей без использования межсайтовых идентификаторов.
    • First party sets - позволяет связанным доменам объявить себя первичными для того, чтобы браузер мог учесть эту связь при межсайтовых обращениях.
    • Schemeful Same-Site для распространения понятия same-site на разные схемы URL, т.е. http://website.example и https://website.examplе будут обработаны как один сайт при межсайтовых запросах.
    • Floc для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов.
    • Conversion Measurement для оценки активности пользователя после перехода на рекламу.
    • User-Agent Client Hints для замены User-Agent и выборочной отдачи данных о конкретных параметрах браузера и системы (версия, платформа и т.д.).
  • Добавлен API Serial, позволяющий сайтам читать и записывать данные через последовательный порт. В качестве причины появления подобного API называется возможность создавать web-приложения для прямого управления такими устройствами как микроконтроллеры и 3D-принтеры. Для получения доступа к периферийному устройству требуется явное подтверждение пользователем полномочий.
  • Добавлен API WebHID для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов. Прежде всего новый API нацелен на предоставление поддержки геймпадов.
  • Добавлен API Web NFC, позволяющий web-приложениям читать и записывать NFC-тэги. Среди примеров применения нового API в web-приложениях отмечается предоставление информации о музейных экспонатах, проведение инвентаризации, получение сведений с бейджей участников конференций и т.п. Отправка и сканирование тегов производится при помощи объектов NDEFWriter и NDEFReader.
  • API Web Share (объект navigator.share) выведен за рамки мобильных устройств и теперь доступен пользователям настольных браузеров (пока только для Windows и Chrome OS). API Web Share предоставляет средства для обмена информацией в социальных сетях, например, позволяет сгенерировать унифицированную кнопку для публикации в социальных сетях, которыми пользуется посетитель, или организовать отправку данных другим приложениям.
  • В версиях для Android и компоненте WebView включена поддержка декодирования формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (в настольных версиях поддержка AVIF была включена ещё в Chrome 85). Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • Добавлен новый Reporting API для получения информации о нарушении правил безопасного использования на странице привилегированных операций, заданных через заголовок COOP (Cross-Origin-Opener-Policy), который также позволяет перевести COOP в режим отладки, работающий без блокировки нарушений правил.
  • Добавлена функция performance.measureUserAgentSpecificMemory(), определяющая размер памяти, израсходованный при обработке страницы.
  • Для соответствия требованиям web-стандарта все URL "data:" теперь обрабатываются как потенциально заслуживающие доверия, т.е. являются частью защищённого контекста.
  • В API Streams добавлена поддержка потоков байтов (Byte Streams), которые специально оптимизированы для эффективной передачи произвольных наборов байтов и минимизируют число операций копирования с данными. Вывод потока может быть записан в такие примитивы как строки или ArrayBuffer.
  • В элементах SVG реализована поддержка полного синтаксиса свойства "filter", что позволяет одновременно применять к SVG и не SVG элементам такие функции фильтрации, как blur(), sepia() и grayscale().
  • В CSS реализован псевдо-элемент "::target-text", который можно использовать для выделения фрагмента на который был переход по тексту (scroll-to-text) другим стилем, чем используется браузером при подсветке найденного.
  • Добавлены CSS-свойства для управления скруглением углов: border-start-start-radius, border-start-end-radius, border-end-start-radius, border-end-end-radius.
  • Добавлено CSS-свойство forced-colors для определения того, применяет ли браузер на странице заданную пользователем ограниченную цветовую палитру.
  • Добавлено CSS-свойство forced-color-adjust для отключения принудительного ограничения цветов для отдельных элементов, оставляя для них полные возможности управления цветами через CSS.
  • В JavaScript разрешено использование ключевого слова await в модулях на верхнем уровне, что позволяет более мягко интегрировать асинхронные вызовы в процесс загрузки модулей и обойтись без упаковки в "async function". Например, вместо
    
    
    теперь можно писать
    
    
  • В JavaScript-движке V8 ускорен вызов функций, в ситуации, когда число переданных аргументов не соответствует определённым в функции параметрам. При расхождении числа аргументов в режиме без JIT производительность возросла на 11.2%, а при использовании JIT TurboFan на 40%.
  • Внесена большая порция мелких улучшений в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 47 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. При этом отмечается, что одна из исправленных уязвимостей (CVE-2021-21166), связанная с временем жизни объектов в звуковой подсистеме, имеет характер 0-day проблемы и до исправления применялась в одном из эксплоитов. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 33 премии на сумму 61000 долларов США (две премии $10000, две премии $7500, три премии $5000, две премии $3000, четыре $1000 и две премии $500). Размер 18 вознаграждений пока не определён.

 

Ссылка на комментарий
Поделиться на другие сайты

Chrome сокращает цикл подготовки релизов и вводит в обиход редакцию Extended Stable

Спойлер

Разработчики браузера Chrome объявили о сокращении цикла подготовки новых выпусков с шести до четырёх недель, что позволит ускорить доведение новых возможностей до пользователей. Отмечается, что оптимизация процесса подготовки релизов и улучшение системы тестирования позволяет формировать выпуски более часто без ущерба качеству. Изменение вступит в силу начиная с выпуска Chrome 94, который будет сформирован в третьем квартале.

Кроме того, для предприятий и для тех, кому необходимо больше времени на обновление, раз в 8 недель будет выпускаться редакция Extended Stable, которая позволит переходить на новые функциональные выпуски не раз в 4 недели, а раз в 8 недель. На всём протяжении сопровождения выпусков Extended Stable раз в две недели будут формироваться обновления с устранением уязвимостей. Для Chrome OS также планируется сопровождать одновременно несколько стабильных релизов и публиковать обновления с устранением уязвимостей для прошлого стабильного выпуска, после доступного очередного функционального релиза.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
11.03.2021 в 11:53, KuZbkA сказал:

никаких расширений кроме кпм и касперский протекшн у меня не стоит, флеш удален

Попробуйте сбросить настройки по умолчанию.

---------------------------------------------------------------------------------------------------------------------------------------------

В Chrome 90 утверждено использование HTTPS по умолчанию в адресной строке:

Спойлер

Компания Google объявила о переходе в выпуске Chrome 90, релиз которого запланирован на 13 апреля, к открытию сайтов по умолчанию через HTTPS при наборе имён хостов в адресной строке. Например, при вводе хоста example.com по умолчанию будет открыт сайт https://example.com, а если при открытии возникли проблемы будет выполнен откат до http://example.com. Ранее данная возможность уже была активирована для небольшого процента пользователей Chrome 89 и теперь эксперимент признан успешным и готовым для повсеместного внедрения.

Напомним, что, несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола, по умолчанию до сих пор продолжает использоваться "http://". Для решения этой проблемы в Firеfox 83 был реализован опциональный режим "HTTPS Only", в котором все выполняемые без шифрования запросы автоматически перенаправляются на защищённые варианты страниц ("http://" заменяется на "https://"). Замена не ограничивается адресной строкой и работает также для сайтов явно открываемых по "http://", а также при загрузке ресурсов внутри страницы. Если проброс на https:// завершается таймаутом, пользователю показывается страница с ошибкой, на которой присутствует кнопка для выполнения запроса по "http://".

 

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

Релиз Chrome 90

Спойлер

Компания Google представила релиз web-браузера Chrome 90. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 91 запланирован на 25 мая.

 

Основные изменения в Chrome 90:

  • Для всех пользователей включено открытие сайтов по умолчанию через HTTPS при наборе имён хостов в адресной строке. Например, при вводе хоста example.com по умолчанию будет открыт сайт https://example.com, а если при открытии возникли проблемы будет выполнен откат до http://example.com. Для управления использованием по умолчанию "https://" предложена настройка "chrome://flags#omnibox-default-typed-navigations-to-https".
  • Реализована возможность присвоения окнам разных меток для их наглядного разделения в панели рабочего стола. Поддержка изменения имени окна упростит организацию работы при использовании отдельных окон браузера для разных задач, например, при открытии отдельных окон для рабочих задач, персональных интересов, развлечений, отложенных материалов и т.п. Имя меняется через пункт "Добавить название окна" в контекстом меню, появляющемся при клике правой кнопкой мыши на пустую область в строке вкладок. После смены имени в панели приложений вместо названия сайта из активной вкладки отображается выбранное имя, что может быть полезным при открытии одинаковых сайтов в разных окнах с привязкой к отдельным учётным записям. Привязка сохраняется между сеансами и после перезапуска окна будут восстановлены с выбранными именами.
    0_1618475816.png
  • Добавлена возможность скрытия "Списка чтения" (Reading List) без необходимости изменения настроек в "chrome://flags" ("chrome://flags#read-later"). Для скрытия теперь можно использовать опцию "Show Reading List" в нижней части контекстного меню, показываемого при клике правой кнопкой на панели закладок. Напомним, что в прошлом выпуске у части пользователей при нажатии на звёздочку в адресной строке помимо кнопки "Добавить закладку" появляется вторая кнопка "Добавить в список чтения", а в правом углу панели закладок появляется меню "Список чтения", в котором перечислены все ранее добавленные в список страницы. При открытии страницы из списка она помечается прочитанной. Страницы в списке также могут быть отмечены прочитанными и непрочитанными вручную или удалены из списка.
  • Добавлена поддержка сегментирования сети для защиты от методов отслеживания перемещений пользователя между сайтами, основанных на хранении идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"). Так как ресурсы в кэше хранятся в общем пространстве имён, независимо от исходного домена, один сайт может определить загрузку ресурсов с другого сайта через проверку наличия этого ресурса в кэше. Защита основана на применении сегментирования сети (Network Partitioning), суть которого в добавлении в совместно используемые кэши дополнительной привязки записей к домену, с которого открыта основная страница, что ограничивает область охвата кэша для скриптов отслеживания перемещений только текущим сайтом (скрипт из iframe не сможет проверить загружался ли ресурс с другого сайта). Ценой сегментирования является снижение эффективности кэширования, приводящее к незначительному увеличению времени загрузки страницы (максимум на 1.32%, но для 80% сайтов на 0.09-0.75%).
  • Пополнен чёрный список сетевых портов для которых блокируется отправка HTTP, HTTPS и FTP-запросов с целью защиты от атаки NAT slipstreaming, позволяющей при открытии специально подготовленной атакующим web-страницы в браузере установить сетевое соединение с сервера атакующего к любому UDP или TCP порту на системе пользователя, несмотря на применение внутреннего диапазона адресов (192.168.x.x, 10.x.x.x). В число запрещённых портов добавлены 554 (протокол RTSP) и 10080 (используется в Amanda backup и VMWare vCenter). Ранее уже были заблокированы порты 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 и 6566.
  • Добавлена начальная поддержка открытия в браузере PDF-документов с XFA-формами.
  • Для части пользователей активирована новая секция настроек "Chrome Settings > Privacy and security > Privacy sandbox", позволяющая управлять параметрами API FLoC, нацеленного на определение категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов.
  • Обеспечен вывод более понятного уведомления с перечнем дозволенных действий, показываемого в случае подключения пользователя к профилю, для которого включено централизованное управление.
  • Сделан менее назойливым интерфейс запроса полномочий. Запросы, которые пользователь скорее всего не одобрит, теперь блокируются автоматически c показом соответствующего индикатора в адресной строке, при помощи которого пользователь может перейти в интерфейс для управления полномочиями в привязке к каждому сайту.
    0_1618395566.png
  • Включена поддержка расширений Intel CET (Intel Control-flow Enforcement Technology) для аппаратной защиты от выполнения эксплоитов, построенных с использованием приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming).
  • Продолжена работа по переводу браузера на применение инклюзивной терминологии. Файл "master_preferences" переименован в "initial_preferences", чтобы не ранить чувства пользователей, которые воспринимают слово master как намёк о былом рабстве их предков. Для сохранения совместимости поддержка "master_preferences" некоторое время ещё сохранится в браузере. Ранее браузер уже избавился от использования слов "whitelist", "blacklist" и "native".
  • В версии для Android при включении режима экономии трафика "Lite" реализовано снижение битрейта при загрузке видео при подключении через сети мобильных операторов связи, что позволит снизить расходы пользователей, у которых включены тарифы с учётом трафика. В режиме "Lite" также обеспечено сжатие изображений, запрашиваемых из публично доступных ресурсов (не требующих аутентификации) по HTTPS.

     
  • Добавлен кодировщик формата видео AV1, специально оптимизированный для использования в видеоконференциях, реализуемых на базе протокола WebRTC. Применение AV1 в видеоконференциях позволяет повысить эффективность сжатия и обеспечить возможность трансляции на каналах с пропускной способности на уровне 30 кбит/сек.
  • В JavaScript в объектах Array, String и TypedArrays реализован метод at(), позволяющий использовать относительную индексацию (в качестве индекса массива указывается относительная позиция), в том числе с указанием отрицательных значений относительно конца (например, "arr.at(-1)" вернёт последний элемент массива).
  • В JavaScript для регулярных выражений добавлено свойство ".indices", содержащее массив c начальными и конечными позициями групп совпадений. Свойство заполняется только при выполнении регулярного выражения с флагом "/d".
    
    
  • Проведена оптимизация производительности свойств "super" (например, super.x), для которых задействован inline-кэш. Производительность использования "super" теперь близка к производительности доступа к обычным свойствам.
  • Значительно ускорен вызов WebAssembly-функций из JavaScript за счёт применения inline-развёртывания. Указанная оптимизация пока остаётся экспериментальной и требует запуска с флагом "--turbo-inline-js-wasm-calls".
  • Добавлен API WebXR Depth Sensing, позволяющий определять расстояние между объектами в окружении пользователя и устройством пользователя, например, для создания более реалистичных приложений дополненной реальности. Напомним, что API WebXR позволяет унифицировать работу с различными классами устройств виртуальной реальности, от стационарных 3D-шлемов до решений на базе мобильных устройств.
  • Стабилизирована возможность WebXR AR Lighting Estimation, позволяющая в сеансах WebXR для дополненной реальности определять параметры окружающего освещения для придания моделям более естественного вида и более гармоничной интеграции с окружением пользователя.
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API, которые пока ограничены платформой Android. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • Метод getCurrentBrowsingContextMedia(), дающий возможность организовать захват видеопотока MediaStream, отражающего содержимое текущей вкладки. В отличие от похожего метода getDisplayMedia(), при вызове getCurrentBrowsingContextMedia() пользователю выводится простой диалог для подтверждения или блокирования операции передачи видео с содержимым вкладки.
    • API Insertable Streams, дающий возможность манипулировать необработанными (raw) мультимедийными потоками, передаваемыми через API MediaStreamTrack, такими как данные с камеры и микрофона, результат захвата экрана или промежуточные данные декодирования кодеком. Для представления необработанных кадров используются интерфейсы WebCodec, после чего формируется поток, аналогичный тому, что API WebRTC Insertable Streams генерирует на основе RTCPeerConnections. С практической стороны новый API позволяет реализовать такую функциональность, как применение методов машинного обучения для идентификации или аннотирования объектов в режиме реального времени или для добавления эффектов, таких как вырезание фона, перед кодированием или после декодирования кодеком.
    • Возможность упаковки ресурсов в пакеты (Web Bundle) для организации более эффективной загрузки большого числа сопутствующих файлов (CSS-стили, JavaScript, изображения, iframe). Среди недостатков в имеющейся поддержке пакетов для файлов JavaScript (webpack), которые пытаются устранить в Web Bundle: в HTTP-кэше может оседать сам пакет, но не его составные части; компиляция и выполнение может начаться только после полной загрузки пакета; дополнительные ресурсы, такие как CSS и изображения, должны кодироваться в форме JavaScript-строк, что приводит к увеличению размера и выполнения ещё одной стадии разбора.
    • Поддержка обработки исключений в WebAssembly.
  • Стабилизирован API Declarative Shadow DOM для создания новых корневых веток в Shadow DOM, например чтобы отделить импортируемый сторонний стиль элемента и связанную с ним подветку DOM от основного документа. Предложенный декларативный API позволяет обойтись для открепления веток DOM только HTML без необходимости написания кода на JavaScript.
  • В CSS-свойстве aspect-ratio, позволяющем явно привязать коэффициент соотношения сторон к любому элементу (для автоматического вычисления недостающего размера при указании только высоты или ширины), реализована возможность интерполяции значений при анимации (плавного перехода от одного коэффициента соотношения сторон к другому).
  • Добавлена возможность отражения состояния собственных HTML-элементов (custom element) в CSS через псевдо-класс ":state()". Функциональность реализована по аналогии с возможностью штатных HTML-элементов менять своё состояние в зависимости от взаимодействия с пользователем.
  • В CSS-свойстве "appearance" появилась поддержка значения 'auto', которое по умолчанию выставляется для <input type=color> и <select>, а на платформе Android дополнительно для <input type=date>, <input type=datetime-local>, <input type=month>, <input type=time> и <input type=week>.
  • В CSS-свойство "overflow" добавлена поддержка значения "clip", при установке которого выходящее за пределы блока содержимое обрезается по границе допустимого переполнения блока без возможности прокрутки. Значение, определяющее насколько далеко содержимое может выходить за пределы фактической границы блока до начала обрезки, задаётся через новое CSS-свойство "overflow-clip-margin". По сравнению с "overflow: hidden" использование "overflow: clip" позволяет добиться более высокой производительности.
    0_1618473554.png0_1618473524.png
  • На смену HTTP-заголовку Feature-Policy пришёл новый заголовок Permissions-Policy для управления делегированием полномочий и включением расширенных возможностей, в котором имеется поддержка структурированных значений полей (например, теперь можно указывать "Permissions-Policy: geolocation=()" вместо "Feature-Policy: geolocation 'none'").
  • Усилена защита от использования Protocol Buffers для проведения атак, вызванных спекулятивным выполнением инструкций в процессорах. Защита реализована через добавление MIME-типа "application/x-protobuffer" в список никогда не прослушиваемых (sniffed) MIME-типов, обработка которого производится через механизм Cross-Origin-Read-Blocking. Ранее в подобный список уже был занесён MIME-тип "application/x-protobuf", но остался упущен "application/x-protobuffer".
  • В API File System Access реализована возможность смещения текущей позиции в файле за его конец с заполнением нулями образовавшего промежутка при последующей записи через вызов FileSystemWritableFileStream.write(). Указанная возможность позволяет создавать разряжённые файлы с пустотами и существенно упрощает организацию записи в файл потоков с неупорядоченным поступлением блоков данных (например, такое практикуется в BitTorrent).
  • Добавлен конструктор StaticRange с реализацией легковесных типов Range, не требующих обновления всех связанных объектов при каждом изменении дерева DOM.
  • Реализована возможность указания параметров width и height для элементов <source>, указанных внутри элемента <picture>. Данная возможность позволяет рассчитать коэффициент соотношения сторон для элементов <picture>, по аналогии с тем, как это сделано для <img>, <canvas> и <video>.
  • Из WebRTC удалена не стандартизированная поддержка каналов данных RTP (RTP Data Channels), вместо которых рекомендуется использовать каналы данных на основе SCTP.
  • Свойства navigator.plugins и navigator.mimeTypes теперь всегда возвращают пустое значение (после прекращения поддержки Flash пропала необходимость в данных свойствах).
  • Внесена большая порция мелких улучшений в инструменты для web-разработчиков и добавлен новый инструмент для отладки CSS flexbox.
    0_1618473767.png

Кроме нововведений и исправления ошибок в новой версии устранено 37 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 19 премий на сумму 54000 долларов США (одна премия $20000, одна премия $10000, две премии $5000, три премии $3000, одна премия $2000, одна $1000 и четыре премии $500). Размер 6 вознаграждений пока не определён.

Отдельно можно отметить, что вчера после формирования корректирующего выпуска 89.0.4389.128, но до выхода Chrome 90, был опубликован ещё один эксплоит, в котором использовалась новая 0-day уязвимость, не исправленная в Chrome 89.0.4389.128. Пока не ясно, устранена ли данная проблема в Chrome 90. Как и в первом случае эксплоит охватывает лишь одну уявзимость и не содержит кода для обхода sandbox-изоляции (при запуске chrome с флагом "--no-sandbox" эксплоит при открытии web-страницы на платформе Windows обеспечивает запуск notepad). Связанная с новым эксплоитом уязвимость затрагивает технологию WebAssembly.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...