Автор Тема: Google Chrome  (Прочитано 26685 раз)

0 Пользователей и 1 Гость просматривают эту тему.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #105 : 13 Апрель 2019, 15:49:10 »
Первый публичный выпуск дополнения NoScript для Chrome
13.04.2019 08:17


Джоржио Маоне (Giorgio Maone), создатель проекта NoScript, представил первый доступный для тестирования выпуск дополнения для браузера Chrome. Сборка соответствует версии 10.6.1 для Firefox и стала возможной благодаря переводу ветки NoScript 10 на технологию WebExtension. Выпуск для Chrome имеет статус бета-версии и доступен для загрузки из Chrome Web Store. В конце июня планируется выпустить NoScript 11, который станет первым релизом со стабильной поддержкой Chrome/Chromium.

Дополнение, предназначенное для блокирования опасного и нежелательного JavaScript-кода, а также различных видов атак (XSS, DNS Rebinding, CSRF, Clickjacking), используется в составе Tor Browser и многих дистрибутивов, ориентированных на обеспечение конфиденциальности. Отмечается, что появление версии для Chrome является важным этапом развития проекта - кодовая база теперь унифицирована и может применяться для формирования сборок как для Firefox, так и для браузеров на движке Chromium.

Из отличий тестовой версии NoScript для Chrome выделяется отключение XSS-фильтра, применяемого для блокирования межсайтового скриптинга и подстановки стороннего JavaScript-кода. До приведения указанной возможности до должного вида пользователям придётся положиться на встроенный в Chrome "XSS Auditor", который не настолько эффективен как "Injection Checker" от NoScript. XSS-фильтр пока не может быть портирован, так как для его работы требуется обработка запросов в асинхронном режиме. В своё время при переходе на WebExtension разработчики Mozilla реализовали в данном API некоторые необходимые для NoScript расширенные возможности, такие как асинхронные обработчики, которые пока не перенесены Google в Chrome.

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2230
  • Респект: +1738/-0
Google Chrome
« Ответ #106 : 30 Апрель 2019, 20:07:02 »
В будущем Chrome сможет выводить не только видео в режиме «картинка в картинке»

Недавно Google представила режим «картинка в картинке» для пользователей Chrome. Эта функция на данный момент доступна как для ПК, так и для мобильных устройств, однако поддерживает пока только видеоконтент. Но скоро это изменится. Согласно свежему коммиту разработчиков, возможно, планируется добавить этой функции новые возможности.
Спойлер   :
Дополнительно к видео там может появиться выполнение произвольного HTML-кода и иного контента. По сути, это будет расширенный аналог всплывающих окон.
Как сообщается, отображаемый контент может быть интерактивным или нет. На данный момент для отображения видео в PiP-окне используется HTMLVideoElement, который берёт слой видео и помещает его в окно, следующее правилам отображения, специфичным для Picture-in-Picture. Однако здесь возникает ряд вопросов, связанных с безопасностью. Предполагается, что подобные функции не будут зависеть от желания пользователей и спроса на них. Вместо этого «погоду» будут делать намерения партнёров Google. Также наверняка этим воспользуются злоумышленники, которые будут размещать в таких окнах произвольный код, рекламу и так далее.
На данный момент пока не уточняется, когда новая возможность появится в релизе или хотя бы в тестовой версии Canary, потому сложно прогнозировать сроки её выхода на рынок. Не исключено, что если эта функция окажется слишком небезопасной, то в Google полностью откажутся от неё. Впрочем, на это мало надежды.
Также отметим, что и добропорядочные ресурсы наверняка будут экспериментировать с рекламой и прочими данными в PiP-окне, что негативно отразится на производительности ПК и программы. Впрочем, это пока лишь теория.


San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2230
  • Респект: +1738/-0
Google Chrome
« Ответ #107 : 02 Июнь 2019, 15:49:27 »
Google вводит новые политики конфиденциальности для улучшения расширений Chrome

На данный момент в онлайн-магазине Chrome представлено порядка 180 000 расширений. Часть размещённых в магазине расширений осуществляют сбор пользовательских данных без надлежащих разрешений. Вскоре это изменится, поскольку Google начинает вводить новые политики конфиденциальности для расширений Chrome. Известно, что озвученные компанией правила начнут действовать осенью этого года.
Спойлер   :
Если какое-то расширение не будет соответствовать новым требованиям конфиденциальности, то оно будет удалено из онлайн-магазина Chrome.  В сообщении Google говорится о необходимости исполнения требований, в соответствии с которыми расширения должны запрашивать доступ только к тем данным, которые необходимы для реализации функциональности. Если для работоспособности расширения можно использовать более одного разрешения, то разработчики должны использовать вариант, требующий доступ к наименьшему объёму информации. С вступлением в силу новых правил это условие станет обязательным абсолютно для всех расширений онлайн-магазина Chrome.
Ещё одно изменение коснётся требований обработки персональной информации. Разработчики софтверных продуктов, осуществляющих обработку пользовательских сообщений и предоставляемого контента, будут обязаны размещать отдельную политику конфиденциальности, в которой предоставляется описание того, каким образом данные обрабатываются и хранятся.
В компании уверены, что расширения должны оставаться прозрачными в плане того, как они проводят обработку пользовательских данных. Ожидается, что более подробная информация о новых требованиях конфиденциальности будет опубликована позднее. 

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #108 : 05 Июнь 2019, 19:46:34 »
Релиз Chrome 75
05.06.2019 14:15


Компания Google представила релиз web-браузера Chrome 75. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 76 запланирован на 30 июля.

Основные изменения в Chrome 75:

   
Спойлер   :
В метод canvas.getContext() добавлен флаг "desynchronized" для обработки контекстов Canvas (2D или WebGL) с использованием альтернативной системы отрисовки, обеспечивающей минимальные задержки за счёт обхода штатного механизма обновления DOM и вывода напрямую через OpenGL;
    Расширен API Web Share (объект navigator.share), при помощи которого можно вместо списка отдельных кнопок сгенерировать унифицированную кнопку для публикации в социальных сетях, актуальных для посетителя. В новом выпуске в API добавлена возможность вывода типового диалога для отправки файлов другим приложениям (например, на Android выводится блок для отправки через почту, Bluetooth и т.п.);
    Реализована возможность разделения групп чисел в цифровых литералах символом подчёркивания. Например, для улучшения читаемости больших чисел в коде можно указывать 1_000_000_000 и это число будет обработано как 1000000000;
    Для всех пользователей настольной версии включён по умолчанию режим строгой изоляции сайтов, при котором страницы разных хостов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox. Главной особенностью режима строгой изоляции является разделение не по вкладкам, а по доменам, т.е. если раньше содержимое загруженных с других доменов скриптов, iframe и popup-ов выполнялось в одном процессе с базовым сайтом, то теперь они будут разделены по разным процессам;
    Дополнения, занесённые в чёрный список теперь будут полностью удаляться, а не отключаться с переводом в неактивный режим.
    Во встроенном менеджере задач Chrome (Settings > More Tools > Task Manager) обеспечено отображение обработчиков Service worker;
    В метод window.open() добавлен атрибут "noreferrer", позволяющий открыть страницу без заполнения заголовка Referer;
    Добавлены директивы CSP (Content Security Policy) "script-src-attr", "script-src-elem", "style-src-attr" и "style-src-elem", предоставляющие функциональность директив script и style, но с возможностью применения к отдельным обработчикам событий, элементам или атрибутам;
    В Web Authentication API добавлена поддержка FIDO CTAP2 PIN для использования заданного пользователям PIN-кода для авторизации выполнения операций к ключами, поддерживающими протокол FIDO CTAP2. В конфигураторе в секции "Advanced" появился пункт "Manage security keys", в котором можно назначить PIN-код для защиты ключей, размещённых на USB-накопителе, а также опция для сброса ключа (очистки всех данных и PIN);
    В API Web Animations добавлены объекты AnimationEffect и KeyframeEffect, позволяющие интерактивно управлять анимируемыми элементами и хронометражом (продолжительность, задержки). Кроме того, добавлен новый конструктор Animation(), предоставляющий более обширные средства для управления анимацией. Ранее Web Animations API позволял создавать анимацию при помощи метода Element.animate(), возвращающего уже сформированный объект Animation. Теперь разработчик может управлять его созданием через явный вызов конструктора, в котором, например, можно указать объект KeyframeEffect;
    Добавлена опция HTMLVideoElement.playsInline, предписывающая браузеру отобразить видео в области воспроизведения элемента (например, для предоставления метода воспроизведения на весь экран);
    В методе MediaStreamTrack.getCapabilities() реализована возможность получения диапазон допустимых значений для свойств, связанных с звуковыми устройствами (частота дискретизации, задержки, число каналов и т.п.);
    В WebRTC добавлен API RTCDtlsTransport для получения сведений об активных транспортах, например об использовании SCTP или DTLS (Datagram Transport Layer Security), через которые отправляются или принимаются пакеты RTP и RTCP. Также добавлен интерфейс RTCIceTransport для предоставления информации о состоянии транспортов ICE, используемых в объекте RTCPeerConnection;
    В заголовке Cache-Control реализована директива "stale-while-revalidate", позволяющая задать дополнительное окно времени, в течении которого браузер может использовать ресурс с просроченным временем асинхронной перепроверки актуальности;
    Добавлена возможность Scroll Snap Stop для определения привязки к элементам при инерционной прокрутке (например, широкий листающий жест при выборе в списке изображений будет приводить к выбору не последнего элемента, а следующего);
    В версии для Android улучшен интерфейс автозаполнения параметров учётных записей в формах аутентификации. Блок с подсказкой теперь выводится непосредственно над экранной клавиатурой и при клике отображает возможные сохранённые варианты вместо экранной клавиатуры, не заслоняя собой форму ввода;
    Добавлена экспериментальная поддержка режима читателя (Reader Mode), при включении которого отображается только значимый текст, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. Включение поддержки нового режима производится опцией chrome://flags/#enable-reader-mode, после чего в выпадающем меню появляется пункт для его использования;
    В JavaScript-движке V8 реализован режим явного кэширования результатов компиляции WebAssembly (при повторном открытии страницы ранее обработанные компоненты WebAssembly будут запущены из кэша). В WebAssembly также добавлены новые инструкции memory.copy, memory.fill, table.copy, memory.init и table.init для копирования, заполнения и инициализации больших областей памяти;
    Добавлена поддержка прямого разбора скриптов на лету по мере их загрузки по сети без привлечения основного потока Chrome. Ранее поток вначале принимался в main thread, из которого перенаправлялся в парсер. Подобная организация приводила к тому, что перенаправление могло блокироваться другими задачами, выполняемыми в основном потоке, такими как разбор HTML и выполнение других скриптов JavaScript. Теперь подобное перенаправление упразднено;
    Улучшения в инструментах для web-разработчиков:
        В режиме инспектирования CSS обеспечено автодополнение названий и базовых значений функций, которые можно применять в свойствах CSS (например, "filter: blur(1px)"). Предлагаемые значения сразу отражаются на просматриваемом макете страницы;



        В командной панели, выводимой при нажатии Ctrl+Shift+P, реализована команда "Clear Site Data" для очистки всех данных, связанных со страницей (аналог вызова меню Application > Clear Storage ), включая Service workers, localStorage, sessionStorage, IndexedDB, Web SQL, Cookies, Cache и Application Cache;
        Добавлена возможность просмотра всех существующих БД IndexedDB (ранее в Application > IndexedDB можно было посмотреть БД для текущего домена, что не позволяло, например, проинспектировать использование IndexedDB в блоках, загружаемых через iframe);



        В интерфейсе инспектирования сети в подсказке, всплывающей при наведении на поля в столбце "Size", теперь отображается размер ресурса в исходном виде, без сжатия;



        В боковой панели отладчика обеспечен раздельный вывод сведений о состоянии точек останова, привязанных к отдельным частям сложных выражений в строке (inline breakpoint), например, выставленных в цепочке вызова методов;



        В панелях инспектирования IndexedDB и Cache реализовано отображение счётчиков общего числа ресурсов в БД или кэше;



    В экспериментальные Canary-сборки добавлена поддержка обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), которую можно активировать в chrome://flags#dns-over-https. DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси);

Кроме нововведений и исправления ошибок в новой версии устранено 42 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премии на сумму 9000 долларов США (одна премия $5000, две премии $1000 и четыре премии $500). Размер 7 вознаграждений пока не определён.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #109 : 20 Июнь 2019, 22:16:48 »
В Google Chrome добавлены новые функции безопасности

Корпорация Google представила накануне две новых функции браузера Chrome - они призваны укрепить платформу Google Safe Browsing, обеспечивающую безопасность пользователей. Одна из них защищает от посещения вредоносных сайтов, использующих метод тайпсквоттинга – подмену символов в адресах веб-страниц на сходные по написанию. Этот прием часто применяется киберпреступниками для создания клонов популярных ресурсов: например, замены «о» на «0» или «l» на «i» в адресе страницы нередко оказывается достаточно, чтобы обмануть пользователей. Браузер Chrome будет сопоставлять адреса ссылок с адресами ресурсов, посещенных пользователем ранее, и предупреждать об опасности в случае выявления адресов с измененными символами.

Кроме того, разработчики Google выпустили расширение браузера под названием Suspicious Site Reporter. Его установка добавляет на панель инструментов кнопку, нажатием на которую пользователь может сообщить, что тот или иной сайт является, по его мнению, подозрительным или вредоносным. Это не означает, что сайт немедленно будет заблокирован, но специалисты Google изучат полученную информацию – и внесут ресурс в «черный список», если жалоба пользователя окажется обоснованной.

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2230
  • Респект: +1738/-0
Google Chrome
« Ответ #110 : 27 Июнь 2019, 18:19:45 »
В Google Chrome улучшили режим «Картинка в картинке»

Компания Google продолжает улучшать браузер №1 — Chrome. Разработчики добавляют в него новые возможности, хотя подчас это небольшие и едва заметные изменения. На текущий момент «прилетело» ещё одно изменение, которое улучшает работу режима «Картинка в картинке».Суть изменения проста — добавилась возможность переключать треки прямо из дочернего окна.
Спойлер   :
Больше не нужно отрывать для этого свёрнутый браузер. Эта функция была добавлена к уже существующим кнопкам воспроизведения/паузы и отключения звука.
Традиционно эта возможность поначалу добавлена в сборку Chrome Canary, в релизе она появится в составе версии Chrome 77.  Те, кто использует именно ранние версии, могут активировать «Экспериментальные функции веб-платформы» в списке флагов.
На данный момент не сообщается, какие ещё нововведения запланированы для 77-й версии. Однако можно предположить, что это будут некие изменения в плане безопасности. Также не исключено, что в этой версии появятся первые ограничения для блокировщиков рекламы. Кроме того, наверняка компания продолжит развивать защиту режима «Инкогнито» и будет блокировать сайты, уличённые в слежке за пользователями для определения этого режима.
Из особенностей режима «Картинка в картинке», вероятно, стоит ожидать больше возможностей для управления видео. Это могут быть изменения качества ролика, плейлисты и другие возможности. В конце концов, такие функции тоже могут быть востребованы в этом режиме, чтобы не открывать браузер лишний раз.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #111 : 06 Август 2019, 18:34:55 »
Найден метод для определения просмотра в режиме инкогнито в Chrome 76
06.08.2019 10:02


В Chrome 76 была прикрыта лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет недостатки, позволяющие как и раньше определять активность режима инкогнито.

Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются постоянные характеристики, в то время как при записи на диск задержки меняются) можно достаточно уверенно судить просматривается страница в режиме инкогнито или нет. Недостатком метода является достаточно длительный процесс измерения отклонений, который может продолжаться около минуты (демонстрация).

Спойлер   :
При этом в Chrome 76 остаётся неисправлена ещё одна проблема, позволяющая судить об активности режима инкогнито на основании оценки устанавливаемых ограничений через API Quota Management. Для применяемого в режиме инкогнито временного хранилища устанавливаются иные лимиты, чем при полноценном хранении на диске.

Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall). Для привлечения новой аудитории подобные сайты предоставляют новым пользователями на какое-то время демонстрационный полный доступ, чем активно используются для обхода paywall. Самым простым способом получить доступ к платному контенту в таких системах является использование режима инкогнито, при котором сайт считает, что пользователь открыл страницу первый раз. Издателей такое поведение не устраивает, поэтому они активно использовали связанную с FileSystem API лазейку для вывода требования отключить режим инкогнито для продолжения просмотра.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #112 : 14 Август 2019, 21:48:43 »
Выпуск Chrome OS 76

Компания Google представила релиз операционной системы Chrome OS 76, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 76. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 76 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0.

Основные изменения в Chrome OS 76:

 
Спойлер   :
   Добавлены новые элементы управления воспроизведением, позволяющие быстро остановить или возобновить воспроизведение звука для вкладки или приложения. В системном меню теперь представлена отдельная секция, в которой перечислены все вкладки и программы, издающие звук, что позволяет управлять воспроизведением из одного места;
    Расширены возможности Android-окружения ARC++ (App Runtime for Chrome, прослойка для запуска Android-приложений в Chrome OS). Для приложений Chrome и Android добавлена поддержка единого входа с использованием учётной записи в Google. В настройках реализована новая секция "Google Accounts", поддерживающая подключение нескольких учётных записей и позволяющая привязать учётные записи к разным приложениям Chrome и ARC++;
    Для людей с расстройствами двигательной активности представлена улучшенная функция "Automatic Clicks". Помимо ранее доступной возможности автоматически совершать клик при длительном наведении мыши на ссылку, в новой версии добавлены средства для упрощения правого клика, двойного клика и перетаскивания элемента при нажатой кнопке. Кроме мыши режим может применяться с тачпадом, джойстиком и устройством для перемещения указателя движением головы;
    Добавлена поддержка встроенных криптоключей (предоставляются чипом Titan M), поддерживающих протокол FIDO. Применение данных ключей для двухфакторной аутентификации пока отключено по умолчанию и требует выставление опции DeviceSecondFactorAuthentication в значение U2F;

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #113 : 13 Сентябрь 2019, 21:54:25 »
Chrome обойдет блокировки Роскомнадзора, как и Firefox

Google и Mozilla готовят внедрение протокола DNS-over-HTTPS в свои браузеры

Недавно Mozilla Corporation объявила об успешном испытании нового протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH). Экспериментальный протокол включат в Firefox по умолчанию в одну из следующих версий браузера для части пользователей из США с единственным CDN-партнером (Content Delivery Network – сеть доставки контента) Cloudflare.

В свою очередь, Google также проведет тестирование DoH при поддержке уже шести CDN-провайдеров (Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS, Quad9 и сама Google), внедривших протокол на своей стороне. Обкатка новой технологии начнется в 78-й сборке браузера Chrome, релиз которого ожидается 22 октября.

С помощью протокола DoH у пользователей появится возможность обхода любых блокировок запрещенных сайтов по DNS прямо в браузере, так как все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу не сработают из-за изменения IP заблокированного адреса.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #114 : 24 Сентябрь 2019, 00:15:11 »
Google выпустила срочное обновление для Chrome


Последняя версия Chrome 77.0.3865.90 исправляет 4 опасных уязвимости.

Компания Google выпустила срочное обновление программного обеспечения для браузера Chrome и настоятельно рекомендует пользователям Windows, Mac и Linux обновить приложение до последней доступной версии. Последняя версия Chrome 77.0.3865.90 исправляет 4 опасных уязвимости, наиболее серьезная из которых может позволить злоумышленникам получить удаленный контроль над системой.

Компания Google решила не раскрывать подробности данных уязвимостей еще несколько дней, чтобы предотвратить их эксплуатацию злоумышленникам и дать пользователям достаточно времени для установки обновления Chrome.

Как сообщила команда безопасности Chrome, все четыре уязвимости (CVE-2019-13685, CVE-2019-13688, CVE-2019-13687 и CVE-2019-1368) являются ошибками использования после освобождения в различных компонентах web-браузера. Успешная эксплуатация данных уязвимостей может позволить злоумышленнику выполнить произвольный код в контексте браузера, убедив жертву открыть специально созданную web-страницу или перенаправить на нее в уязвимом браузере Chrome. Проблемы также могут привести к раскрытию конфиденциальной информации, обходу ограничений безопасности, несанкционированным действиям и отказу в обслуживании в зависимости от привилегий, связанных с приложением.

Хотя Google Chrome автоматически уведомляет пользователей о последней доступной версии, пользователям рекомендуется вручную запустить процесс обновления, выбрав в меню «Справка → О Google Chrome».


student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #115 : 23 Октябрь 2019, 14:54:28 »
Релиз Chrome 78
23.10.2019 12:59


Компания Google представила релиз web-браузера Chrome 78. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 79 запланирован на 10 декабря.

Основные изменения в Chrome 78:

   
Спойлер   :
Реализована экспериментальная поддержка "DNS поверх HTTPS" (DoH, DNS over HTTPS), которая будет выборочно включена для отдельных категорий пользователей, в системных настойках которых уже указаны DNS-провайдеры, поддерживающие DoH. Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DoH-сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DoH сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п.

    Для управления включением DoH предусмотрена настройка "chrome://flags/#dns-over-https". Поддерживается три режима работы "secure", "automatic" и "off". В режиме "secure" хосты определяются только на основе ранее прокешированных безопасных значений (полученных через защищённое соединение) и запросов через DoH, откат на обычный DNS не применяется. В режиме "automatic" если DoH и защищённый кэш недоступны допускается получение данных из небезопасного кэша и обращение через традиционный DNS. В режиме "off" вначале проверяется общий кэш и если данных нет, запрос отправляется через системный DNS.
    В средствах синхронизации появилась предварительная поддержка совместного буфера обмена, которая пока не активирована для всех пользователей. В связанных одной учётной записью экземплярах Chrome теперь можно получить доступ к содержимому буфера обмена другого устройства, в том числе возможен совместный доступ к буферу обмена между мобильной и настольной системой. Содержимое буфера обмена шифруется с применением сквозного (end-to-end) шифрования, не позволяющего получить доступ к тексту на серверах Google;
    Для отдельных категорий пользователей включена экспериментальная возможность смены темы оформления и кастомизации экрана, показываемого при открытии новой вкладки. В меню "Настроить", отображаемое в нижнем правом углу экрана новой вкладки, помимо выбора фонового изображения, появилась поддержка изменения метода компоновки ярлыков и возможность смены темы оформления. Ярлыки могут быть автоматически предложены на основе наиболее часто открываемых сайтов, подобраны пользователем или вообще отключены. Тему оформления можно выбрать из набора предопределённых тем или создав собственную на основе выбора желаемых цветов в палитре. Для включения новых возможностей можно использовать флаги "chrome://flags/#ntp-customization-menu-v2" и "chrome://flags/#chrome-colors";
    Для предприятий в адресной строке по умолчанию включена возможность поиска файлов в хранилище Google Drive. Поиск осуществляется не только по заголовкам, но и по содержимому документов с учётом истории их открытия в прошлом;



    В состав включён компонент Password Checkup, который будет поступательно активироваться для отдельных категорий пользователей (для принудительного включения предусмотрен флаг "chrome://flags/#password-leak-detection"). Password Checkup ранее поставлялся в виде внешнего дополнения, предназначенного для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт Password Checkup выполняет проверку логина и пароля по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем (проверка осуществляется на основе хэш-префикса на стороне пользователя). Проверка осуществляется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Предупреждение также выводится при попытке использования тривиальных паролей, таких как "abc123";
    Добавлена возможность инициирования звонка с Android-устройства, привязанного к той же учётной записи Google. В настольном браузере пользователь может выделить номер телефона в тексте, кликнуть правой кнопкой мыши и перенаправить операцию совершение звонка на Android-устройство, после чего на телефоне всплывёт уведомление, позволяющее инициировать звонок;
    Изменён формат подсказки, отображаемой при наведении мыши на заголовок вкладки. Подсказка теперь отображается в виде всплывающего блока, на котором показан полный текст заголовка и URL страницы. Блок удобно использовать для быстрого поиска нужной страницы при открытии очень большого числа вкладок (вместо перебора вкладок можно провести мышью поверх панели с вкладками и найти искомую страницу). В будущем в данном блоке планируется обеспечить отображение эскиза страницы;
    Добавлена экспериментальная возможность (chrome://flags/#enable-force-dark) принудительного использования тёмной темы оформления при просмотре сайтов. Для обеспечения тёмного представления сайта используется инвертирование цветов;

    Добавлена поддержка спецификации CSS Properties and Values API Level 1, позволяющей регистрировать собственные CSS-свойства, всегда имеющие определённый тип, позволяющие устанавливать значение по умолчанию и допускающие привязку анимационных эффектов. Для регистрации свойства может использоваться метод registerProperty() или CSS-правило "@property", например:

       CSS.registerProperty({
         name: "--my-font-size",
         syntax: "‹length›",
         initialValue: "0px",
         inherits: false
       });

    В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) предложено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
        API Native File System, позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов, использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение;



        Механизм Signed HTTP Exchanges (SXG), позволяющий размещать на других сайтах верифицированные копий web-страниц, выглядящие для пользователя как исходные страницы (без изменения URL), расширен возможностью загрузки cубресурсов (CSS, JS, картинки и т.п.) c оригинального сайта. Первоисточник ресурса задаётся через HTTP-заголовок Link, в котором также указывается проверочный хэш для верификации каждого ресурса. При помощи новой возможности поставщики контента могут создавать единый подписанный HTML-файл, охватывающий и все связанные с ним субресурсы;
        API SMS Receiver, позволяющий web-приложению получить доступ к SMS-сообщениям, например, для автоматизации верификации операции по отправленному через SMS одноразовому коду. Доступ предоставляется только к SMS, в которых указан специальный тег, определяющий привязку сообщения к конкретному web-приложению;
    Существенно увеличена производительность загрузки объектов ArrayBuffer через Web Socket. На платформе Linux отмечается увеличение скорости загрузки в 7.5 раз, в Windows - в 4.1 раза, в macOS - в 7.8 раз;
    Добавлена возможность определения в процентах значения прозрачности в CSS-свойствах opacity, stop-opacity, fill-opacity, stroke-opacity, и shape-image-threshold. Например, вместо "opacity: 0.5" теперь можно указывать "opacity: 50%";
    В API User Timing разрешена передача произвольные метки времени в вызовы performance.measure() и performance.mark() для выполнения измерений между ними, а также указание произвольных метаданных;
    В API Media Session добавлена поддержка определения обработчиков смены позиции в потоке (seekto), помимо ранее доступных обработчиков приостановки и начала воспроизведения;
    В JavaScript-движке V8 включён режим фонового разбора скриптов на лету по мере их загрузки по сети. Реализованная оптимизация позволила на 5–20% сократить время компиляции скриптов. В новом выпуске также увеличена производительность деструктуризации объекта (преобразование "const {x, y} = object;" в "const x = object.x; const y = object.y;"). Повышена скорость обработки выражений RegExp с несовпадающими сопоставлениями. Существенно (на 9-20%) повышена скорость вызова функций JavaScript из WebAssembly и наоборот. При компиляции байткода повышена эффективность построения таблиц привязки к исходным позициям, которая позволила сократить потребление памяти на 1-2.5%.



    Расширены инструменты для web-разработчиков. Панель аудита теперь может использоваться в комбинации с другими возможностями, такими как блокировка запросов и переопределение загрузок. Добавлена поддержка отладки обработчиков платежей через API Payment. В панели анализа производительности добавлены метки LCP (Largest Contentful Paint), отражающие время отрисовки самых крупных элементов;



    Удалён механизм блокирования межсайтового скриптинга XSS Auditor, который признан неэффективным (атакующие уже давно применяют методы для обхода защиты XSS Auditor) и добавляющим новые векторы для утечки информации;
    В версии для Android обеспечена возможности использования тёмной темы оформления для меню, настроек и режима навигации по открытым сайтам.

Кроме нововведений и исправления ошибок в новой версии устранено 37 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 59500 долларов США (одна премия $20000, одна премия $15000, одна премия $5000, две премии $3000,три премии $2000, пять премий $1000 и пять премий $500). Размер 4 вознаграждений пока не определён.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #116 : 12 Ноябрь 2019, 18:53:35 »
 Chrome начнёт помечать быстрые и медленные сайты
12.11.2019 07:42


Google выступил с инициативой по стимулированию повышения скорости загрузки сайтов в Web, для чего планирует включить в Chrome специальные индикаторы, выделяющие очень медленно или, наоборот, очень быстро загружаемые сайты. Окончательно способы индикации быстрых и медленных сайтов пока не определены, а оптимальный для пользователей вариант будет подобран в ходе нескольких экспериментов.

Например, если сайт обычно загружается медленно из-за применения неэффективных настроек или проблем с организацией загрузки, то в процессе открытия или во время ожидания появления контента может выводиться метка о том, что данный сайт обычно загружается медленно. Уведомление позволит пользователю понять, что задержка для открываемого сайта в порядке вещей, а не обусловлена каким-то единичным сбоем. Для хорошо оптимизированных и обычно очень быстро открываемых сайтов предлагается выделять зелёным цветом полоску, отображающую прогресс загрузки. Также рассматривается возможность предоставления сведений о скорости загрузки ещё не открытых страниц, например, через вывод индикатора в контекстом меню для ссылок.

Спойлер   :


Индикаторы будут отражать не скорость загрузки в конкретной ситуации, а сводные показатели, свойственные открываемому сайту. Целью является выделение плохо спроектированных сайтов, которые медленно грузятся не из-за стечения обстоятельств, а в силу плохой организации работы. На первом этапе критерием пометки станет наличие постоянных задержек загрузки, наблюдаемых при анализе истории работы с сайтом. В дальнейшем возможно будут выявляться и специфичные ситуации замедления работы, проявляющиеся на определённых типах устройств или сетевых конфигураций. В долгосрочной перспективе планируется учитывать и другие показатели производительности, влияющие на комфорт работы с сайтом, не привязанные к скорости загрузки.

Разработчикам сайтов рекомендуется использовать имеющиеся инструменты для оптимизации скорости загрузки, такие как PageSpeed Insights и Lighthouse. Данные инструменты позволяют проанализировать различные аспекты загрузки web-страницы, оценить потребление ресурсов и определить ресурсоёмкие операции в коде на JavaScript, блокирующие формирование вывода, после чего выработать рекомендации по ускорению и оптимизации.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38342
  • -> Вас поблагодарили: 36375
  • Сообщений: 16384
  • Респект: +2308/-0
Google Chrome
« Ответ #117 : 08 Декабрь 2019, 17:57:51 »
5 скрытых возможностей Google Chrome, которые стоит активировать

Как включить плавную прокрутку, группировку вкладок, темную тему и другие полезные функции браузера, которые по умолчанию отключены.

Кроме стандартного функционала, в браузере Google Chrome есть скрытые возможности, которые называются экспериментальными функциями. Чтобы получить к ним доступ нужно попасть на специальную страницу. Сделать это можно, просто набрав в адресной строке команду chrome://flags. К сожалению, они не переведены на русский язык, поэтому мы объясним, как включить или отключить функцию.

Спойлер   :


Кнопка Reset to default сбрасывает все настройки. Если будут какие-то проблемы с браузером (не забывайте, что это все же экспериментальные функции), то можно легко все отключить одним кликом.

Chrome — мультиплатформенный браузер, и некоторые функции доступны только на определенных платформах. Поэтому, все опции разделены на два списка. В колонке Available находятся функции, доступные для вашей платформы, а в колонке Unavailable, которые вам недоступны.

Активировать функцию можно кликнув по выпадающему списку справа. Enabled — активировано, disabled — деактивировано. Синим цветом выделены настройки, которые вы уже меняли.

Плавная прокрутка

Название функции говорит само за себя и вряд ли здесь нужно что-то дополнительно пояснять. Найдите в поисковой строке Smooth Scrolling. После активации попробуйте прокрутить любую страницу и почувствовать разницу.

Группировка вкладок

Когда в браузере открыто слишком много вкладок, то бывает сложно разобраться и найти нужную. Если вам приходится постоянно держать множество открытых страниц в браузере, то обязательно попробуйте группировку вкладок. Найдите функцию Tab Groups.



Далее вы сможете кликнуть правой кнопкой мыши на любой вкладке и добавить ее в уже существующую или новую группу. Кроме того, сгруппированным вкладкам можно присвоить название и цвет.

Темная тема на всех сайтах

Функция Force Dark Mode for Web Contents переводит любой сайт в ночной режим. Это не всегда будет работать корректно, но некоторым страницам такой режим явно на пользу.



Параллельная загрузка файлов

Одна из функций, которая поможет сделать ваш браузер быстрее. Суть в том, что chrome разбивает файл на части, которые загружаются одновременно. Тем самым некоторые файлы могут загружаться быстрее. Ищите опцию Parallel downloading.

Предпросмотр вкладок

Еще одна полезная функция при работе с большим количеством вкладок. Она позволяет увидеть уменьшенное изображение страницы при наведении на вкладку. Может быть полезно, когда текстовой информации недостаточно. Функция называется Tab Hover Card Images.


San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2230
  • Респект: +1738/-0
Google Chrome
« Ответ #118 : 16 Декабрь 2019, 16:42:45 »
В Chrome 79 для Android обнаружен баг, приводящий к удалению пользовательских данных

Несколько дней назад началось развёртывание Chrome 79 для настольных и мобильных платформ. Однако в процессе обновления браузера была выявлена серьёзная проблема, приводящая к потере пользовательских данных в сторонних приложениях, использующих компонент WebView.
Спойлер   :
В итоге Google была вынуждена приостановить развёртывание новой версии обозревателя, а разработчики занялись поиском решения проблемы.Android WebView представляет собой системный компонент, позволяющий отображать веб-контент внутри приложений. В сообщении говорится о том, что разработчики изменили в новом браузере место хранения веб-данных. Ошибка разработчиков заключается в том, что они не переместили данные из localStorage и WebSQL, которые обычно используются приложениями для хранения информации, в новую библиотеку Chrome 79.

Проще говоря, после загрузки Chrome 79 на пользовательские устройства под управлением Android в приложениях, использующих WebView, частично или полностью исчезли хранящиеся локально данные. Хотя данные всё ещё остаются неповреждёнными, поскольку браузер их не удалял, в настоящее время пользователи не могут получить к ним доступ.   

После того, как о баге стало известно, Google приостановила обновление браузера, а приоритетной задачей разработчиков стал поиск решения проблемы. По некоторым данным, к тому моменту Chrome 79 уже был установлен примерно на 50 % Android-устройств. В настоящее время Google рассматривает два варианта выхода из сложившейся ситуации. Разработчики могут продолжить распространять обновление, переместив локально хранящиеся данные в новые каталоги. Кроме того, рассматривается отмена обновления с возвратом уже перемещённых данных в старое хранилище. Также нельзя исключать того, что после выпуска нового обновления пользовательские данные, созданные за время ожидания исправления, будут перезаписаны, что приведёт к новой проблеме.

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2230
  • Респект: +1738/-0
Google Chrome
« Ответ #119 : 02 Январь 2020, 15:01:44 »
Релизная версия Chrome получила средства управления воспроизведением на Windows 10

Компания Google работает над глобальной функцией управления мультимедиа для Chrome, которая позволяет управлять мультимедийным контентом, воспроизводимым в фоновом режиме. Это даст возможность запускать и останавливать воспроизведение, даже если браузер свёрнут.В минувшие выходные вышло обновление для веб-обозревателя, которое реализует такую возможность на Windows 10.
Спойлер   :
В новой версии стало возможно управлять воспроизведением прямиком с панели инструментов браузера.
По умолчанию все возможности должны стартовать автоматически, однако если этого не произошло, нужно активировать соответствующий флаг. Для этого нужно перейти в список флагов chrome://flags и установить Enabled для Global media controls, после чего перезапустить браузер для применения изменений.
После перезапуска кнопка воспроизведения должна отображаться на панели инструментов всякий раз, когда есть источник звука, играющий в фоновом режиме или на переднем плане. Важно отметить, что это уже доступно в релизной ветви браузера, а не в Canary или Dev. То есть все пользователи 79-й сборки уже могут попробовать новинку.  Это позволит «лёгким движением руки» отключать звук, а не выискивать вкладку среди десятков других.
На данный момент функция работает с YouTube, Spotify, Netflix, Amazon Prime, Dailymotion и Microsoft. Вероятно, в будущем число поддерживаемых сервисов расширится.