Перейти к содержанию

Краб

Рекомендуемые сообщения

Релиз Chrome 114: Новый режим чтения

 

Цитата
30 мая 2023 года компания Google выпустила новую версию браузера Chrome 114 Stable. Обновление включает новый режим чтения а также внутренние оптимизации и улучшения для разработчиков

Релиз Chrome 114: Новый режим чтения

 

Обновление Chrome

   Новая версия Chrome 114 будет установлена автоматически на устройства в ближайшие недели.

Пользователи Google Chrome на платформах Windows, Linux или Mac могут запустить ручную проверку обновлений для установки Chrome 114.

   Чтобы проверить версию Google Chrome, перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help. Если обновление доступно, то браузер автоматически скачает и установит свежую версию. Для завершения установки обновления потребуется перезапуск браузера.

 

Chrome 114: Что нового

   В Chrome 114 представлен новый режим чтения, который можно вызывать с помощью выпадающего меню на боковой панели Chrome. При его активации в браузере будет отображена упрощенная версия веб-страницы с возможностью изменить цвет фона, цвет шрифта и высоту строки для комфортного чтения.

2023-03-30_11-57-12.png

   Google удалил старый режим чтения в Chrome 112. На протяжении нескольких лет он был доступен для активации с помощью флага скрытой функции и так и не получил широкого распространения. В старой реализации страница полностью заменялась упрощенной версии, но в новом режиме чтения исходная страница остается видимой.

   Новый режим чтения был анонсирован еще в марте, но широкое развертывание было запланировано на релиз Chrome 114. Сейчас новая функция должна быть доступна для всех пользователей. В противном случае, вы можете включить ее принудительно установив значение Enabled для флага chrome://flags/#read-anything и перезапустив браузер.

   В Chrome 114 представлено несколько новых функций и API для сайтов. Например, добавлен новый Popover API, цель которого — сделать всплывающие подсказки и другие элементы всплывающих окон более согласованными, а также представлены новые функции Bluetooth и WebAssembly.

 

Ссылка на комментарий
Поделиться на другие сайты

В Хроме есть неубираемая боковая панель со всеми закладками? Если нет, то можете посоветовать хромовское расширение? Мне для Яндекса

Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, sputnikk сказал:

В Хроме есть неубираемая боковая панель со всеми закладками?

Есть, можно спрятать, если не нужна.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

15 минут назад, Mark D. Pearlstone сказал:

Есть, можно спрятать, если не нужна.

Спасибо. В ЯБ Избранное не фиксируется.

RSS понимает?

Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, kmscom сказал:

она сверху. не сбоку

Кнопка справа вверху "Показать боковую панель". Можно и сверху панель выдвинуть.

 

@sputnikk rss не пользуюсь. Но может и есть https://www.comss.ru/page.php?id=10831

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

75 миллионов пользователей Chrome установили вредоносные расширения

 

Цитата
   Компания Google удалила более двух десятков вредоносных расширений для Chrome из Интернет-магазина Chrome. Эти расширения были установлены более 75 миллионов раз. Пользователям Chrome нужно вручную удалить опасные расширения из своих браузеров

75 миллионов пользователей Chrome установили вредоносные расширения

   Владимир Палант (Wladimir Palant), создатель AdBlock Plus, обнаружил вредоносные расширения и опубликовал информацию о них на блоге Almost Secure. Палант проинформировал Google о 34 вредоносных расширениях, но удаление не было мгновенным.

   Google удалил вредоносные расширения из Интернет-магазина Chrome после того, как компания Avast подтвердила эти находки. В последующей публикации блога Палант отметил, что 8 расширений не были удалены Google, так как они были добавлены позже и не попали в список анализа Avast.

Несколько из удаленных расширений имели миллионы пользователей. Например, аудитория расширения «Autoskip for YouTube» превысила 9 миллионов активных пользователей (пользуются еженедельно). Google даже пометил многие из этих расширений как рекомендованные, что еще раз подчеркивает, что компания не прикладывает достаточно усилий, чтобы убедиться в безопасности рекомендуемых расширений.

   У Mozilla в этом плане дела обстоят лучше. Все рекомендованные расширения проходят проверку исходного кода при каждом обновлении, что означает, что вероятность наличия вредоносного рекомендованного расширения крайне мала. Ревьюер должен пропустить вредоносный код в расширении, чтобы это произошло.

Большинство расширений, обнаруженных Палантом, связаны с повышением производительности. Некоторые из них представляют собой загрузчики видео, другие позволяют взаимодействовать с видео или аудио, например, изменять громкость, вносить визуальные изменения или якобы блокировать рекламу.

 
 

Требуется ручное удаление

   Основна проблема заключается в том, что удаление расширений из Интернет-магазина не удаляет вредоносные расширения из установок Chrome.

Ниже приводится полный список вредоносных расширений:

Название Активные пользователей за неделю ID
Autoskip for Youtube 9,008,298 lgjdgmdbfhobkdbcjnpnlmhnplnidkkp
Soundboost 6,925,522 chmfnmjfghjpdamlofhlonnnnokkpbao
Crystal Ad block 6,869,278 lklmhefoneonjalpjcnhaidnodopinib
Brisk VPN 5,595,420 ciifcakemmcbbdpmljdohdmbodagmela
Clipboard Helper 3,499,233 meljmedplehjlnnaempfdoecookjenph
Maxi Refresher 3,483,639 lipmdblppejomolopniipdjlpfjcojob
Quick Translation 2,797,773 lmcboojgmmaafdmgacncdpjnpnnhpmei
Easyview Reader view 2,786,137 icnekagcncdgpdnpoecofjinkplbnocm
PDF toolbox 2,782,790 bahogceckgcanpcoabcdgmoidngedmfo
Epsilon Ad blocker 2,571,050 bkpdalonclochcahhipekbnedhklcdnp
Craft Cursors 2,437,224 magnkhldhhgdlhikeighmhlhonpmlolk
Alfablocker ad blocker 2,430,636 edadmcnnkkkgmofibeehgaffppadbnbi
Zoom Plus 2,370,645 ajneghihjbebmnljfhlpdmjjpifeaokc
Base Image Downloader 2,366,136 nadenkhojomjfdcppbhhncbfakfjiabp
Clickish fun cursors 2,353,436 pbdpfhmbdldfoioggnphkiocpidecmbp
Cursor-A custom cursor 2,237,147 hdgdghnfcappcodemanhafioghjhlbpb
Amazing Dark Mode 2,228,049 fbjfihoienmhbjflbobnmimfijpngkpa
Maximum Color Changer for Youtube 2,226,293 kjeffohcijbnlkgoaibmdcfconakaajm
Awesome Auto Refresh 2,222,284 djmpbcihmblfdlkcfncodakgopmpgpgh
Venus Adblock 1,973,783 obeokabcpoilgegepbhlcleanmpgkhcp
Adblock Dragon 1,967,202 mcmdolplhpeopapnlpbjceoofpgmkahc
Readl Reader mode 1,852,707 dppnhoaonckcimpejpjodcdoenfjleme
Volume Frenzy 1,626,760 idgncaddojiejegdmkofblgplkgmeipk
Image download center 1,493,741 deebfeldnfhemlnidojiiidadkgnglpi
Font Customizer 1,471,726 gfbgiekofllpkpaoadjhbbfnljbcimoh
Easy Undo Closed Tabs 1,460,691 pbebadpeajadcmaoofljnnfgofehnpeo
Screence screen recorder 1,459,488 flmihfcdcgigpfcfjpdcniidbfnffdcf
OneCleaner 1,457,548 pinnfpbpjancnbidnnhpemakncopaega
Repeat button 1,456,013 iicpikopjmmincpjkckdngpkmlcchold
Leap Video Downloader 1,454,917 bjlcpoknpgaoaollojjdnbdojdclidkh
Tap Image Downloader 1,451,822 okclicinnbnfkgchommiamjnkjcibfid
Qspeed Video Speed Controller 732,250 pcjmcnhpobkjnhajhhleejfmpeoahclc
HyperVolume 592,479 hinhmojdkodmficpockledafoeodokmc
Light picture-in-picture 172,931 gcnceeflimggoamelclcbhcdggcmnglm
 

   Палант считает, что список может быть неполным. Он основан на выборке около 1600 расширений, а не на всех доступных на площадке расширениях.

   Список установленных расширений доступен на странице chrome://extensions/ . Вы можете перейти на эту страницу, выбрав Меню > Расширения > Управление расширениями.

   Убедитесь, что в списке установленных расширений отсутствуют вредоносные расширения, в противном случае удалите их, нажав на кнопку Удалить.

 

Ссылка на комментарий
Поделиться на другие сайты

Для rss посоветовали https://chrome.google.com/webstore/detail/feedbro/mefgmmbdailogpfhfblcnnjfmnpnmdfa?hl=ru , но не смог добиться показа заглавных картинок. На Гитхабе есть русский интерфейс, надо указать ссылку на него.

Ссылка на комментарий
Поделиться на другие сайты

Диспетчер паролей Google Chrome получил улучшенную защиту учетных данных

 

Цитата
   Google Chrome получил функции повышения уровня безопасности для встроенного диспетчера паролей. Пользователи смогут воспользоваться упрощенным управлением своими паролями и улучшенной защитой от атак с целью кражи учетных данных

Диспетчер паролей Google Chrome получил улучшенную защиту учетных данных

   Google Chrome имеет интегрированный менеджер паролей, который позволяет управлять учетными данными и автоматически заполнять их при входе на сайтах. Информация о входе синхронизируется между всеми приложениями, используемыми в рамках одной учетной записи.

   Хотя хранение учетных данных в браузере делает их уязвимыми для кражи и расшифровки со стороны вредоносного ПО, пользователи, следующие здравым принципам безопасности, могут пользоваться удобством диспетчера паролей Google с минимальным риском.

На днях компания Google анонсировала пять новых функций, усиливающих безопасность данных, сохраненных в менеджере паролей.

Улучшенная защита учетных данных

   Первая новая функция — добавление отдельных ярлыков для запуска менеджера паролей Google, которые позволяют получить быстрый доступ к управлению своими учетными данными, изменять настройки автозаполнения и выполнять другие действия.

chrome-pass_1.png

Второе нововведение - внедрение биометрической аутентификации в десктопной версии браузера, которая ранее была доступна только на мобильных платформах.

chrome-pass_2.png

   Таким образом, пользователи могут настроить дополнительный уровень безопасности. Для доступа к учетным данным потребуется биометрическая аутентификация или аутентификацию Windows Hello, например по распознаванию отпечатка пальца или лица.

   Третья по счету функция — возможность сохранять пользовательские заметки с каждым сохраненным логином, что позволяет сохранять дополнительную информацию, необходимую для входа в учетную запись.

chrome-pass_3.png

   Некоторые сайты требуют дополнительные данные для входа, например ответы на вопросы безопасности или ПИН-коды — теперь эти сведения можно сохранить в заметках.

   Четвертая функция, предлагаемая Google — возможность импортировать пароли из других менеджеров паролей. Теперь это можно сделать, экспортировав файл CSV из старого инструмента и импортировав его в Chrome.

chrome-pass_4.png

   Google Chrome в настоящее время поддерживает импорт паролей из Edge, Safari, 1Password, Bitwarden, Dashlane и LastPass.

Наконец, инструмент «Проверка паролей» (Password Checkup), который проверяет сохраненные учетные данные на предмет компрометации, теперь будет выделять слабые и повторно используемые пароли в мобильном приложении Chrome для iOS.

chrome-pass_5.png

   Хранение паролей в браузере повышает риски безопасности, потому что вредоносные программы в первую очередь ищут пароли их именно там. Зловреды сканируют установленные браузеры, получают доступ к базе данных браузера и крадут учетные данные для последующих атак или продажи на нелегальных веб-рынках.

   Однако, несмотря на эти риски, многие люди продолжают использовать браузер для хранения учетных данных из-за его удобства и автоматических запросов на сохранение паролей.

   По этой причине любые улучшения в безопасности менеджера паролей Google приветствуются и способствуют повышению безопасности миллионов учетных записей.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

 Релиз Chrome 115

Спойлер

Компания Google представила релиз web-браузера Chrome 115. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 116 запланирован на 15 августа.

Основные изменения в Chrome 115:

  • Расширены возможности боковой панели, которые включены для части пользователей и будут активированы для более широкой аудитории в следующем выпуске.
    • Реализован режим боковой панели, позволяющий уточнять сведения о содержимом с просматриваемой в данный момент страницы, например, можно отправлять поисковые запросы, просматривать ответы на связанные с текущей страницей вопросы и получать более детальные сведения о сайте (включается через chrome://flags/#side-search).
      CFD0C5CECEC5D4_1689838705.png
    • Добавлена возможность показа в боковой панели результатов поиска текста, выделенного на основной странице и отправленного в поисковую систему через нажатие "Найти в Google" в контекстном меню (chrome://flags/#search-web-in-side-panel).
    • Добавлена поддержка добавления примечаний о сайте. (chrome://flags/#user-notes-side-panel).
    • Появилась возможность показа в боковой панели содержимого страницы в режиме чтения, при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются (chrome://flags/#read-anything). Для быстрой активации режима в контекстное меню, показываемое для выделенного фрагмента текста, добавлена ссылка "Открыть в режиме чтения".
      CFD0C5CECEC5D4_1689838306.png
  • Для небольшой части пользователей (около 1%), в системе которых для разрешения имён применяется DNS-сервер 9.9.9.9 (Quad9) или DNS-серверы провайдера Cox, включено по умолчанию шифрование DNS-трафика, используя DoH (DNS over HTTPS).
  • Для некоторых пользователей включён режим HTTPS-First, выполняющий автоматическое перенаправление HTTP-запросов на HTTPS. Если сайт недоступен по HTTPS производится откат на HTTP. На странице "chrome://settings/content/" в секции "Insecure Content" можно отключить данное поведение или настроить список исключений. Для принудительного включения проброса добавлен параметр "chrome://flags#https-upgrades". Автоматический проброс может приводить к проблемам на сайтах, на которых отдаваемое по HTTP и HTTPS содержимое отличается, например, когда включён, но не настроен HTTPS на сервере. Для того чтобы сохранить совместимость с подобными сайтами, но защитить систему от атак, откатывающих HTTPS на HTTP, режим HTTPS-First будет автоматически включаться только, если в истории посещений для текущего сайта зафиксированы прошлые обращения по HTTPS.
  • Для части пользователей включена поддержка механизма ECH (Encrypted Client Hello), который продолжает развитие ESNI (Encrypted Server Name Indication) и используется для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). ECH также использует DNS-запись HTTPSSVC вместо записи с типом TXT для передачи информации об открытом ключе и применяет для получения и шифрования ключа аутентифицированное сквозное шифрование на основе механизма HPKE (Hybrid Public Key Encryption). Для управления включением ECH можно использовать параметр "chrome://flags#encrypted-client-hello". На платформах Windows и Linux для работы ECH необходимо, чтобы была активна настройка "Secure DNS".
  • В диалог, запрашивающий предоставление полномочий для доступа сайта к данным о местоположении пользователя, камере или микрофону, добавлена возможность открытия доступа только один раз для текущего сеанса, без запоминания выбранного варианта. Для управления показом опции предоставлен параметр "chrome://flags#one-time-permission".
    CFD0C5CECEC5D4_1689842071.png
  • Для централизованно управляемых конфигураций добавлена настройка ExtensionUnpublishedAvailability, позволяющая блокировать работу дополнений, удалённых из каталога Chrome Web Store.
  • В TLS прекращена поддержка согласования соединений с серверами, использующими цифровые подписи на базе хэшей SHA1. Поддержка SHA1 в серверных сертификатах прекращена в 2017 году, клиентские сертификаты на базе SHA1 продолжают поддерживаться.
  • Продолжено переключение пользователей на JIT-компилятор Maglev, который нацелен на быструю генерацию высокопроизводительного машинного кода для активно используемого кода на JavaScript. Включение Maglev позволяет ускорить прохождение теста производительности Jetstream на 7.5%, а теста Speedometer на 5%.
  • Обеспечен показ информации о том сколько памяти удалось высвободить при вытеснении вкладки в режиме "Memory Saver". Режим Memory Saver даёт возможность значительно снизить потребление оперативной памяти за счёт освобождения памяти, занимаемой неактивными вкладками, что позволяет предоставить необходимые ресурсы для обработки просматриваемых в текущий момент сайтов в ситуациях, когда в системе параллельно выполняются другие приложения, интенсивно потребляющие память. При переходе к вытесненным из памяти неактивным вкладкам, их содержимое загружается автоматически. Режим включается в настройках "Производительность/ Экономия памяти". Дополнительно проводится тестирование эвристического режима вытеснения вкладок ("chrome://flags/#heuristic-memory-saver-mode"), учитывающего разные факторы для выбора вытесняемой вкладки.
  • Расширена поддержка анимации, привязанной к прокрутке контента (Scroll-driven Animation), при помощи которой, например, можно создавать индикаторы для наглядного представления позиции на странице или добавлять эффекты, меняющие содержимое при появлении в зоне видимости во время прокрутки. Для использования доступно два режима "ScrollTimeline" для привязки к позиции прокрутки относительно оси координат и "ViewTimeline" для привязки к относительному смещению отображения отдельных элементов содержимого в области прокрутки. По умолчанию при прикреплении анимации к элементу продолжает использоваться временная шкала "DocumentTimeline", использующая таймер, который начинает увеличиваться после загрузки страницы.
  • В рамках инициативы Privacy Sandbox реализована поддержка HTML-элемента "fencedframe". Новый элемент напоминает "iframe" и также позволяет встраивать стороннее содержимое на страницу. Отличия сводятся к ограничению взаимодействия встроенного содержимого с содержимым страницы на уровне DOM и атрибутов. Например, страница news.example, в которую при помощи fencedframe встроен блок с рекламой, загружаемый с сайта shoes.example, не может получить доступ к данным shoes.example, а в свою очередь код с сайта shoes.example не может получить данные, связанные с news.example.
  • Добавлен API Topics для определения категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
  • Максимальный размер модуля WebAssembly, который может быть скомпилирован конструктором WebAssembly.Module() в основном потоке в синхронном режиме (может блокировать поток), увеличен до 8 МБ. Если размер модуля превышает 8 МБ в основном потоке конструктор может выполнять компиляцию только в асинхронном режиме с использованием метода WebAssembly.compile() или в синхронном режиме в отдельном worker-е. Ранее использовался лимит в 4 КБ, который изменён с учётом недавней оптимизации WebAssembly runtime и оценки производительности компиляции на смартфоне Google Pixel 1.
  • В WebGPU добавлена экспериментальная поддержка Direct3D 11 (--use-webgpu-adapter=d3d11), реализован API wgslLanguageFeatures для получения списка поддерживаемых в GPU расширений WGSL, добавлена возможность сброса вершинного буфера через указание значения null при вызове setVertexBuffer().
  • В CSS-свойстве "display" разрешено указание одновременно нескольких ключевых слов. Например, можно указывать "display: inline flex;", которое будет эквивалентно ранее доступному предопределённому сводному ключевому слову "inline-flex".
  • Добавлена возможность указания в CSS-запросах style() только имени свойства, без детализации значения, что приведёт к охвату всех значений, отличающихся от исходных. Например, теперь можно указывать "style(--my-property)" вместо "style(--my-property: initial)".
  • В режиме "origin trial" добавлена поддержка API Compute Pressure, позволяющего получить высокоуровневую информацию о текущем состоянии аппаратного обеспечения, например, в общих чертах можно получить сведения о создаваемой нагрузке на CPU (указываются уровни: минимальная нагрузка с включением энергосбережения; допустимая нагрузка, позволяющая без проблем запускать дополнительные задания; высокая нагрузка, но в предельно допустимых значениях и не мешающая работе системы; критическая нагрузка, близкая к исчерпанию ресурсов).
  • В режиме "origin trial" добавлены комментарии-подсказки, позволяющие прикрепить к функциям информацию о том, что они должны быть разобраны и скомпилированы в первую очередь.
  • Внесены улучшения в инструменты для web-разработчиков. Добавлена эксперимнтальная поддержка инспектирования вложенных CSS grid (subgrid). Обеспечен вывод подсказки со значениями собственных CSS-свойств. Реализована подсветка синтаксиса CSS-файлов в форматах SASS, SCSS и LESS. Добавлена комбинация "Ctrl+клик мышью на номере строки в редакторе кода" для быстрой установки условных точек останова.

Кроме нововведений и исправления ошибок в новой версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 11 премий на сумму 34 тысячи долларов США (две премии $7000, две премии $5000, четыре премии $2000 и две премии $1000).

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP

Спойлер

Компания Google опубликовала обновление браузера Chrome 116.0.5845.187, в котором устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP. Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day).

Судя по недавним изменениям и информации из трекеров ошибок Debian и SUSE, уязвимость также затрагивает развиваемую Google библиотеку libwebp, используемую для поддержки формата WebP в движке Chromium и многих сторонних проектах, например, в Firefox.

 

Ссылка на комментарий
Поделиться на другие сайты

Интересно, успели поправить уязвимость и выпустить новую версию:  Релиз Chrome 117

Спойлер

Компания Google представила релиз web-браузера Chrome 117. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 118 запланирован на 10 октября.

Основные изменения в Chrome 117:

  • Доступен для тестирования обновлённый интерфейс (включается через "chrome://flags#chrome-refresh-2023"), в котором предложено более "плоское" представление панелей в стиле "Google Material 3". Реализована система динамической настройки цветов. Перерисованы изображения кнопок. Кнопка вызова меню вкладок "V" перенесена в левую сторону панели.

    Убран индикатор защищённой передачи данных - вместо замка в адресной строке теперь показывается нейтральный значок "настройки", не вызывающий ассоциаций с безопасностью. Для соединений, установленных без шифрования, продолжает показываться индикатор "не защищено". По мнению Google, значок с замком искажённо воспринимается некоторыми пользователями, которые считают его признаком общей безопасности сайта и доверия к нему, а не индикатором, связанным с применением шифрования трафика. Значок в начале адресной строки теперь преподносится как кнопка для быстрого доступа к основным настройкам полномочий и параметрам текущего сайта.

    Было:

    CFD0C5CECEC5D4_1694588425.png

    Стало:

    CFD0C5CECEC5D4_1694588455.png

    Должно быть по задумке Google:

    CFD0C5CECEC5D4_1694594185.png
  • У некоторых пользователей включено новое оформление меню "гамбургер", которое теперь показывается со скруглёнными углами, увеличенными отступами и с использованием пиктограмм помимо текста. На первый уровень меню перенесены кнопки для удаления данных о просмотренных страницах, управления профилем пользователя, сохранения и обмена документами ("Сохранить и поделиться").
    CFD0C5CECEC5D4_1694594215.jpg
  • Переработаны индикаторы использования и блокировки расширенных возможностей, требующих предоставления пользователем отдельных полномочий. Изменена продолжительность показа в адресной строке индикатора, сигнализирующего, что сайт обращается к возможности, к которой ранее был предоставлен доступ (например, индикаторы показываются, когда web-приложение обращается к микрофону и камере или запрашивает данные о местоположении).
    CFD0C5CECEC5D4_1694605133.png
  • В рамках инициативы по форсированию протокола HTTPS реализован вывод предупреждений о риске подмены данных при попытке загрузки файлов с некоторыми опасными расширениями (".exe", ".zip") через незащищённое соединение. Пользователь может отклонить предупреждение и продолжить загрузку по HTTP. Для управления выводом предупреждений можно использовать настройку "chrome://flags/#insecure-download-warnings".
    CFD0C5CECEC5D4_1692255872.png
  • Переработаны предупреждения, показываемые при попытке загрузки файлов с опасными расширениями, используемыми при распространении вредоносного ПО.
    CFD0C5CECEC5D4_1694606146.pngCFD0C5CECEC5D4_1694606173.pngCFD0C5CECEC5D4_1694606195.png
  • При запуске браузера некоторым пользователям стал показываться диалог, рассказывающий о возможностях инициативы Privacy Sandbox и позволяющий перейти на страницу, на которой можно настроить передаваемую рекламным сетям информацию. Пользователю предлагается определять категории своих интересов и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей.
    CFD0C5CECEC5D4_1678262037.png
    CFD0C5CECEC5D4_1678262063.png
  • В интерфейс chrome://extensions добавлена панель для рецензирования пользователем дополнений, которые потенциально представляют угрозу безопасности. В панели показываются дополнения, отсутствующие в каталоге Chrome Web Store, нарушающие правила сервиса или признанные вредоносными. Пользователю предоставлен выбор удалить или оставить сомнительные дополнения. Число потенциально опасных дополнений показывается в разделе конфигуратора "Chrome Privacy & Security".
  • На платформах Linux и Chrome OS включена sandbox-изоляция сетевого сервиса, предоставляющая дополнительную защиту от уязвимостей в коде, связанном с сетевыми операциями. Отмечается, что изменение может привести к аварийному завершению в случае использования сторонних приложений, осуществляющих подстановку кода в процессы Chrome, таких как антивирусы и системы предотвращения утечек данных.
  • По умолчанию включена функция отслеживания изменения цен на избранные товары в интернет-магазинах. Функция активируется, когда пользователь добавляет в закладки товар из интернет-магазина, поддерживаемого сервисом. При желании автоматическое отслеживание цен можно отключить для отдельных товаров.
  • При просмотре страниц товаров на некоторых сайтах, браузер теперь автоматически анализирует стоимость и показывает оценочные сведения в адресной строке (например, указывает, что у товара низкая цена).
    CFD0C5CECEC5D4_1694605953.png
  • Началось продвижение инициативы по переходу браузеров к игнорированию обработчиков событий "unload", которые не позволяют эффективно использовать кэш перехода (BFCache - Back-forward cache), обеспечивающий мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Поведение стационарных браузеров планируют приблизить к мобильным браузерам, которые в большинстве случаев не генерируют событие "unload", отдавая приоритет кэшированию переходов. Возможность отключения событий "unload" пока предложена в качестве опции.
  • Для локальных сертификатов на базе алгоритма RSA, используемых для HTTPS, включено требование, предписывающие обязательное указания для ключей расширения X.509 "Key Usage", определяющего привязку ключа к определённой области использования (цифровые подписи, заверение сертификатов, TLS и т.п.), что предоставляет дополнительную защиту от атак, связанных с нецелевым использованием ключей. Ранее подобное требование предъявлялось для сертификатов ECDSA и сертификатов, связанных цепочкой доверия с удостоверяющими центрами.
  • Прекращена поддержка алгоритмов цифровых подписей, в которых используются хэши SHA-1. После прекращения поддержки серверных сертификатов на основе SHA-1 подобные алгоритмы могли применяться в серверных подписях, передаваемых в процессе согласования TLS-соединений. Поддержка клиентских сертификатов на основе SHA-1 сохраняется без изменений.
  • При выставлении свойства url.port запрещена установка значений, превышающих 65535.
  • В URL разрешено использование символов с нулевым кодом ("%00"), например, "http://example.com/%00", так как стандарт предписывает обрабатывать в URL любые символы.
  • Код для разбора адресов IPv4 в URL, встроенных в IPv6-блок ("http://[...]/"), приведён в соответствие со спецификацией, в которой не допускается использование сокращённых вариантов написания IPv4, содержащих менее 4 частей (т.е. не допускается использование "http://[::1.2]", нужно всегда указывать "http://[::1.2.3.4]").
  • Предоставлена возможность выставления HTTP-заголовка 'Clear-Site-Data: "clientHints"' для очистки кэша параметров, используемых в API Client Hints, который развивается для замены заголовка User-Agent и позволяет выборочно отдавать данные о конкретных параметрах браузера и системы (версия, платформа и т.д.). Очистка кэша Client Hints также выполняется при передаче заголовков Clear-Site-Data: "cookies" и Clear-Site-Data: "cache". Для очистки всех хранимых на стороне браузера данных (Cookie, кэши и локальные хранилища) можно использовать заголовок "'Clear-Site-Data: "*"'.
  • В версии для Android предоставлена возможность настройки выборочной очистки данных, накапливаемых в процессе навигации по сайтам (Cookie, история посещений, локальные хранилища, кэш), при выборе опции "Clear browsing data" в настройках приватности.
  • В версии для Android добавлена поддержка клавиатур, трекпадов и манипуляторов мышь для их использования по аналогии с версией браузера для десктоп-систем.
  • Прекращена поддержка операционных систем macOS 10.13 и macOS 10.14.

     
  • Добавлен API Service Worker Static Routing, позволяющий разработчикам управлять загрузкой Service Worker-ов. Например, можно задать условия, при которых навигация по странице будет осуществляться без запуска ServiceWorker-ов или без выполнения JavaScript для исключения влияния на производительность перехвата управления ServiceWorker-ом.
  • Содержимому из iframe предоставлена возможность использования API Storage Access для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если по умолчанию сторонние Cookie блокируются.
  • Добавлены новые возможности CSS для упрощения настройки анимации, используемой при добавлении или убирании элементов (entry- и exit-анимация, например, плавное появление/исчезновение блоков), а также для плавного анимирования закрываемых элементов верхнего слоя, таких как диалоги и всплывающие окна:
    • CSS-свойство "transition-behavior" для применения переходной анимации к дискретным свойствам, таким как "display".
    • CSS-правило "@starting-style" для применения стиля при создании entry-анимации на стадии до открытия элемента на странице (в состоянии "display: none").
    • Значение "overlay" в CSS-свойстве "transition" для управления поведением верхнего слоя во время анимированного закрытия диалогов и всплывающих окон.
  • В CSS-свойствах "grid-template-columns" и "grid-template-rows" добавлена поддержка значения "subgrid" для многослойной компоновки элементов страницы (CSS Grid Level 2), которая заметно улучшает гибкость построения макетов страниц, выровненных по сетке, за счёт предоставления возможности определения дочерних элементов, привязанных к родительским ячейкам (размещение отдельного grid внутри ячейки).
  • CSS-свойстве "text-wrap" реализовано значение "pretty", включающее оптимизацию по качеству распределения многострочного текста, а по не скорости.
  • Добавлена поддержка CSS-синтаксиса "contain-intrinsic-size: auto none;", при указании которого будет использован последний запомненный размер элемента, но если определить размер не удалось будет произведён откат на значение "contain-intrinsic-size: none".
  • Добавлен экспериментальный (origin trial) режим отображения вкладок (CSS-свойство "display: tabbed"), включающий использование вкладок, что, например, можно использовать для организации редактирования нескольких документов в одном web-приложении. Для настройки размещения вкладок в манифест web-приложения добавлены поля "tab_strip", "home_tab" и "new_tab_button", а также значение '"display_override": ["tabbed"]'.
  • Добавлены статические методы Object.groupBy и Map.groupBy для группировки элементов массива, используя в качестве ключа для группировки строковое значение, возвращаемое callback-функцией, которая вызывается для каждого элемента массива.
    
    
  • Добавлен метод customElements.getName(), возвращающий им тега для указанного собственного элемента (Custom Element), расширяющего функциональность существующих HTML-элементов.
  • Добавлен API Private State Token, позволяющего разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами. На практике, API может оказаться полезным для отделения ботов от реальных посетителей без явной передачи данных идентификации. Суть работы с API сводится к тому, что определённый сайт, на котором пользователь прошёл аутентификацию или проверку капчей, может сгенерировать токен, хранимый на стороне браузера. Данный токен могут использовать другие сайты для того, чтобы удостовериться, что пользователь человек, а не бот.
  • Внесены улучшения в инструменты для web-разработчиков. В панель инспектирования сети добавлена возможность подмены HTTP-заголовков ответа или загружаемых внешних ресурсов, которые можно подменить на модифицированный локальный вариант. Переопределение в настоящее время поддерживается для изображений, шрифтов, XHR- и fetch-ответов, скриптов, CSS и HTML-документов. Интерфейс для переопределения вызывается через пункт Override в контекстном меню, показываемом при нажатии правой кнопкой мыши на запросе. В дальнейшем переопределение можно отредактировать в интерфейсе "Sources > Overrides > Editor".
    CFD0C5CECEC5D4_1694626463.png

    При инспектировании сетевых запросов также реализован фильтр, позволяющий скрыть запросы (chrome-extension://), выполняемые установленными в браузер дополнениями. Обеспечен показ читаемых кодов состояния HTTP. Реализована подсветка данных в формате JSON. При просмотре кода по умолчанию включена поддержка сворачивания блоков с кодом в "{...}" (Settings > Preferences > Code folding), а также функция автоматического показа текущего файла в боковой панели (Settings > Preferences > Automatically reveal files in the sidebar). Улучшена отладка проблем со сторонними Cookie.

Кроме нововведений и исправления ошибок в новой версии устранено 16 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Среди прочего, в новом выпуске устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения при открытии специально оформленных изображений WebP. В сети уже выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). Кроме Chrome 117, данная критическая уязвимость также устранена в корректирующем обновлении Chrome 116.0.5845.187. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 11 премий на сумму 18,5 тысяч долларов США (одна премия $6000, две премии $3000, две премии $2000, две премии $1000 и одна премия $500). Размер 2 вознаграждений пока не определён.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

 Релиз Chrome 118. Подготовка к блокировке сторонних Cookie в Chrome

Спойлер

Компания Google опубликовала релиз web-браузера Chrome 118. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 119 запланирован на 31 октября.

Основные изменения в Chrome 118:

  • Началась подготовка к прекращению в Chrome поддержки сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.

    В Chrome 118 в инструментах для web-разработчиков обеспечен вывод предупреждения при отправке Cookie, подпадающих под будущие блокировки. Также добавлена опция командной строки "--test-third-party-cookie-phaseout" и настройка "chrome://flags/#test-third-party-cookie-phaseout" для принудительного включения блокировки с целью проведения тестирования. Фактическая блокировка сторонних Cookie начнётся в первом квартале 2024 года и до третьего квартала в рамках тестового периода будет охватывать только 1% пользователей Chrome. После третьего квартала 2024 года охват блокировки будет доведён до 100%.

    Вместо отслеживающих Cookie предлагается использовать следующие API:

    • FedCM (Federated Credential Management), позволяет создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без сторонних Cookie.
    • Private State Tokens, позволяет разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами.
    • Topics (критика), даёт возможность определять категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
    • Protected Audience, решение задач ретаргетинга и оценки собственной аудитории (работа с пользователями, уже посещавшими ранее сайт).
    • Attribution Reporting, позволяет оценивать такие характеристики эффективности рекламы, как переходы и конверсия (покупка на сайте после перехода).
    • Storage Access API, может применяться для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если по умолчанию сторонние Cookie блокируются.
  • Для всех пользователей включена поддержка механизма ECH (Encrypted Client Hello), который продолжает развитие ESNI (Encrypted Server Name Indication) и используется для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Для управления включением ECH предусмотрена настройка "chrome://flags#encrypted-client-hello".
  • При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализована возможность удалённого отключения вредоносных дополнений, установленных не из штатного каталога дополнений. Решение об удалении принимается на серверах Google на основании ручной проверки или после срабатывания автоматической системы выявления вредоносного кода.
  • При включении стандартной защиты браузера (Safe Browsing > Standard protection) в режиме реального времени реализована проверка безопасности открытых URL, выполняемая на основании передачи на серверы Google частичных хэшей от открываемых пользователем URL. Для исключения сопоставления IP-адреса пользователя и хэша, данные передаются через промежуточный прокси. Ранее проверка выполнялась через загрузку на систему пользователя локальной копии списка небезопасных URL. Новая схема позволяет более оперативной блокировать вредоносные URL.
  • Доработано оформление страниц, выводимых при попытке открытия сайта, признанного небезопасным при проверке через механизм Safe Browsing.
    CFD0C5CECEC5D4_1697120153.png
  • В телеметрии, отправляемой на серверы Google при включении расширенной защиты браузера (Safe Browsing > Enhanced protection), теперь учитываются обращения дополнений к API chrome.tabs. Данные собираются для выявления вредоносной активности и нарушений правил в дополнениях.
  • При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) обеспечена поддержка глубокого сканирования зашифрованных ZIP- и RAR-архивов на стороне Google (у пользователя запрашивается пароль распаковки, после чего содержимое отправляется для проверки на серверы Google).
  • В конфигураторе и руководстве по обеспечению конфиденциальности добавлен новый текст с пояснением сути уровней защиты Safe Browsing и добавлены ссылки на соответствующие статьи с дополнительной информацией. Упрощены описания стандартной защиты, отключения защиты и предупреждений о компрометации паролей.
    CFD0C5CECEC5D4_1697120216.png
  • В секцию Quests (отслеживание цен в интернет-магазинах) на странице новой вкладки добавлена информация о наличии скидок. Индикатор скидок также может появляться в адресной строке при открытии страниц с товарами из интернет-магазинов, отслеживаемых сервисом Google.
  • В соответствии со спецификацией RFC-6265bis обеспечено блокирование всех Cookie, содержащих управляющие символы и выставленных через JavaScript. Ранее Cookie с нулевым символом, возвратом каретки и переводом строки обрезались по проблемному символу, а не блокировались, что в некоторых ситуациях могло использоваться для вредоносных действий. Для отключения нового поведения можно использовать опцию "--disable-features=BlockTruncatedCookies".
  • В зарегистрированных дополнениями Service Worker-ах разрешено обращение к API WebUSB.
  • Убрана необходимость предварительной активации пользователем возможности вывода диалогов для запроса и подтверждения платежей.
  • Прекращено декодирование представления ASCII-символов в виде кодов "%xx". Например, ранее "http://example.com/%41" перед записью в url.href декодировался в "http://example.com/A", а теперь будет оставаться "http://example.com/%41".

     
  • Добавлена возможность вертикального размещения текста в элементах web-форм select, meter, progress, button, textarea и input. Позиционирование текста в формах задаётся при помощи CSS-свойства writing-mode, которое для вертикального отображения может принимать значения vertical-rl или vertical-lr.
  • В CSS-свойстве "appearance" прекращена поддержка нестандартных ключевых слов: inner-spin-button, media-slider, media-sliderthumb, media-volume-slider, media-volume-sliderthumb, push-button, searchfield-cancel-button, slider-horizontal, sliderthumb-horizontal, sliderthumb-vertical и square-button. Для оценки востребованности данных ключевых слов, не вошедших в спецификацию, была собрана статистика, в соответствии с которой они применялись лишь в 0.001% случаев.
  • Добавлено CSS-правило @scope, выполняющее привязку CSS-стилей с учётом близости определения стиля к элементам. Правило @scope может применяться для обхода типовой расстановки стилей на основе порядка следования элементов или для корректировки стиля компонента, не трогая стили вложенных в него элементов. Например, для вложенных div-ов:
    
    
    всё содержимое будет раскрашено светлорозовым из-за действия на весь блок стиля "lightpink-theme", указанного в родительском div-е. Используя @scope можно изменить область видимости и добиться выставления для вложенного div-a стиля "pink-theme" на основе близости определения стиля, а не порядка определения в коде:
    
    
  • Добавлена поддержка медиазапроса (@media) "scripting", позволяющего проверить доступность возможности выполнения скриптов (например, в CSS можно определить включена ли поддержка JavaScript).
  • Добавлена поддержка медиазапроса prefers-reduced-transparency, дающего возможность определить изменение в системе настроек, отвечающих за сокращение применения эффектов прозрачности или полупрозрачности (например, режим "Reduce transparency" в macOS, применяемый для повышения читаемости текста).
  • В CSS добавлена поддержка новых значений "float: inline-start", "float: inline-end", "clear: inline-start", "clear: inline-end", "resize: block", "resize: inline", управляющих логическим позиционированием элементов (для поддержки языков, в которых написание производится не сверху вниз и слева направо, логическое позиционирование использует понятия начала, конца и направления текста).
  • В CSS-свойстве "transform-box" добавлена поддержка значений stroke-box, content-box и border-box, позволяющих изменить метод вычисления эталонной области для операций трансформации, например, для реализации расширенных графических эффектов.
  • Добавлена возможность выставления фокуса на блоки прокрутки при навигации при помощи клавиатуры (например, фокус на прокрутку можно выставить нажатием клавиши Tab и прокрутить клавишами управления курсором).
  • Внесены улучшения в инструменты для web-разработчиков. Расширены возможности панели Sources ("Источники"), в которой вместо раздела "Filesystem" предложена вкладка "Workspace", через которую можно синхронизировать с исходными файлами изменения, добавленные через инструменты для разработчиков.
     

    Предоставлена возможность изменения порядка следования вкладок в панели Sources через их перемещение мышью в режиме drag&drop. Обеспечено форматирование JavaScript-кода, встроенного в элементы script c типами module, importmap и speculationrules. Добавлена подсветка синтаксиса для скриптов с типом importmap и speculationrules.

    CFD0C5CECEC5D4_1697296828.png

    В панели Elements во вкладке Styles добавлена отдельная секция для пользовательских свойств, позволяющая определять свои свойства CSS без выполнения JavaScript. В результатах поиска обеспечено отображение всех совпадений в строке, а не только первого совпадения, что удобно при поиске в JavaScript-файлах, упакованных для уменьшения размера (при нажатии на результат, файл открывается в редакторе и прокручивается по вертикали и горизонтали для показа найденной позиции).

    CFD0C5CECEC5D4_1697304636.png

Кроме нововведений и исправления ошибок в новой версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Среди прочего, в новом выпуске устранена критическая уязвимость CVE-2023-5218, связанная с обращением к памяти после её освобождения (Use after free) в механизме изоляции сайтов. Уязвимость позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 14 премий на сумму 30,5 тысяч долларов США (одна премия $6000, две премии $5000, две премии $3000, одна премия $2000, шесть премий $1000 и одна премия $500). Размер одного вознаграждения пока не определён.

 

Ссылка на комментарий
Поделиться на другие сайты

В Chrome планируют реализовать режим скрытия IP-адреса пользователя

Спойлер

Компания Google приступила к реализации в браузере Chrome функции IP Protection, предназначенной для скрытия IP-адреса пользователя от владельцев сайтов. Новая возможность может использоваться в качестве встроенного анонимайзера, нацеленного прежде всего на предотвращение отслеживания перемещений, но, среди прочего, пригодного и для обхода блокировок, реализованных как на стороне сайтов, так и на уровне операторов связи.

Технически предложенная возможность реализована через отправки трафика не напрямую, а через прокси-сервер, перенаправляющий запрос на целевой сервер, который видит в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса предусмотрена возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а второй прокси в цепочке будет видеть адрес первого прокси.

Google планирует протестировать режим защиты IP-адресов на небольшом проценте пользователей в одном из будущих выпусков Chrome (c 119 по 125). На первом этапе в тестировании будет задействован только один прокси-сервер, принадлежащий Google, и скрытие будет включено только для доменов и рекламных сетей Google. Данный этап будет предложен для систем с IP-адресами из США и охватит не более 33% пользователей экспериментальных выпусков Chrome.

На второй фазе тестирования планируют ввести в строй конфигурацию из двух уровней прокси: вначале соединение будет направляться из браузера через шифрованный туннель к прокси, принадлежащий Google, а затем направляться на второй прокси, принадлежащий компании, не связанной с Google. Туннелирование трафика будет организовано так, что первый прокси, который видит IP-адрес пользователя, не будет видеть параметры запроса и не сможет определить целевой хост, к которому адресовано обращение пользователя. Второй же прокси сможет определить данные о целевом хосте, но не будет видеть IP-адрес пользователя. Т.е. прокси будут видеть сведения либо об адресе пользователя, либо о целевом сайте, что не позволит на стороне прокси связать пользователя с запрошенным сайтом.

Трафик будет направляться на прокси с использованием методов CONNECT и CONNECT-UDP и созданием туннеля на базе протокола TLS, обеспечивающем сквозное шифрование. Для предотвращения злоупотреблений доступ к первому прокси, контролируемому Google, будет производиться при помощи криптографического токена, который будет генерироваться сервером аутентификации Google при подключении Chrome к учётной записи пользователя в Google (без аутентификации в Chrome доступ к прокси будет закрыт). К токену также будут привязаны ограничения трафика, которые затруднят пробрасывание трафика через прокси серверы во вредоносных целях.

Режим скрытия IP-адресов по умолчанию будет отключён и сможет быть активирован по желанию пользователя. Скрытие адресов планируют применять не для всех сайтов, а только для отдельно сформированного списка доменов, которые уличены в отслеживании перемещений пользователей. Привязка к списку позволит избежать нежелательных изменений, нарушающих поведение сайтов и приводящих к проблемам c определением местоположения, разделением пользователей и учётом трафика (например, блокировка нарушителя на сайте может оказаться применённой ко всем пользователям, перенаправляемым через прокси).

Для решения проблем с привязкой к местоположению, которая может использоваться на сайте для выполнения требований локальных законодательств и выбора параметров локализации, предлагается использовать прокси второго уровня в той же стране или даже городе, что и пользователь (в конечном счёте планируется развернуть широкую сеть из прокси-серверов второго звена, построенную в сотрудничестве с разными провайдерами и сетями доставки контента).

Разработчики движка WebKit развивают для браузера Safari похожую функциональность Intelligent Tracking Protection, которая пока ограничена экспериментами с одним прокси, но в дальнейшем будет переведена на использование модели с двумя независимыми уровнями прокси-серверов.

Интересно после реализации этой "фичи", будут ли сайты блокировать сам Google Chrome? :coffee:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...