Излезе Chrome 84 – нововъведения и промени

0
2360

Google представи стабилната версия на браузъра Chrome 84. Едновременно с това бе публикувана и стабилната версия на отворения проект Chromium, на който се базира Chrome. Браузърът Chrome се различава от Chromium по използване логотипите на Google, наличието на система за изпращане на съобщения до производителя при крашване, възможност за зареждане на Flash по желание на потребителя, добавените модули за възпроизвеждане на защитено (DRM) съдържание, система за автоматично инсталиране на обновяванията и други. Следващата версия Chrome 85 е планирана да излезе на 25 август тази година.

Промени и нововъведения в уеб браузъра Chrome 85

  • Спряна е поддръжката на протоколите TLS 1.0 и TLS 1.1. За да може да се посещават сайтовете чрез защитен канал сървърът трябва да предостави минимум TLS 1.2, като в противен случай браузърът извежда съобщение за грешка. По информация на Google, към днешен ден около 0,5% от всички уеб страници продължават да използват остарели версии на TLS.

Спирането на поддръжката е осъществено в съответствие с препоръките на IETF (Internet Engineering Task Force).  Причината за отказа от TLS 1.0/1.1 е, че в тези протоколи липсва поддръжката на съвременните алгоритми за криптиране, като например ECDHE и AEAD, а старите протоколи вече не са надеждни, понеже в тях се използват лесните за разбиване алгоритми MD5 и SHA-1.

  • Блокира се свалянето на изпълними файлове без криптиране на връзката и е добавен нов вид предупреждение при необезопасено сваляне на архивирани файлове. В следващите версии постепенно ще се въведе блокиране свалянето на всякакви файлове по незащитен канал. Това се прави, понеже свалянето на файлове без криптиране на връзката може да се използва за хакерски атаки  чрез промяна на съдържанието в процеса на една MITM атака

  • Добавена е началната поддръжка на идентификатора Client Hints, който се предлага като алтернатива на заглавието User-Agent. Механизмът Client Hints предлага като замяна на User-Agent  серията заглавия Sec-CH-UA-* даващи възможност за подаване по избор на данните за параметрите на браузъра и на операционната система – версия, платформа и т.н. По този начин потребителят получава възможност да определи кои точно параметри да могат да се подават към уеб сайтовете. По този начин става невъзможна пасивната идентификация на потребителя, като по подразбиране се подава единствено версията на браузъра. Унификацията на User-Agent  трябва да стане през 2021 година.

  • Предложено е по-твърдо ограничение за прехвърляне на текстовите бисквитки между сайтовете. Въвеждането на тази функция бе временно отложена заради COVID-19. За не-HTTPS запитванията е забранена обработката на външни Cookie, вмъквани при обръщения към сайтове с различен от текущата уеб страница домейн. Подобни Cookie се използват за проследяване на преместването на потребителя от един сайт в друг и се използват от рекламните мрежи, социалните мрежи и системите за уеб аналитика.

Да си припомним, че за управление на подаването на подобни Cookie се използва специалния атрибут SameSite в заглавието Set-Cookie, който по подразбиране ще има значение SameSite=Lax, ограничаващо изпращането на Cookie между сайтовете.

  • Добавена е експериментална поддръжка на блокатор на рекламите, които изискват прекалено много системни ресурси.

Системата за блокиране на тежките реклами може да се активира с помощта на следния флаг:

chrome://flags/#enable-heavy-ad-intervention

Блокаторът автоматично премахва рекламните iframe след превишаване на зададените прагове за използвани ресурси на процесора. Рекламният блок се премахва, ако от основния поток са изразходвани общо 60 секунди процесорно време или 15 секунди по време на 30-секундни интервали (изразходват се 50% от ресурсите за повече от 30 секунди), както и когато за заредени над 4 MB рекламни данни.

Блокирането ще се задейства само ако до момента на превишаване на лимитите потребителят не е взаимодействал с рекламния блок (например, не е кликвал върху него), което при ограничен трафик ще даде възможност за блокирането на автоматичното възпроизвеждане на големи клипове без явна активация от страна на потребителя. Тези мерки ще избавят потребителите от реклами с неефективна реализация на кода и от преднамерена паразитна активност (например добив на криптовалута). Според статистиките на Google, тази система ще блокира около 0,30% от всички рекламни блокове, които обаче използват 28% от всички системни ресурси на включените в интернет компютри и 27% от целия рекламен трафик.

  • Намалено е използването на процесорни ресурси когато програмният прозорец на браузъра не се намира в полето на видимост на потребителя. Chrome вече проверява дали не е закрит от програмните прозорци на другите приложения и изключва рендирането на пикселите в скритите области. Тази оптимизация ще бъде включвана постепенно: само за някои потребители на Chrome 84 и за всички останали в Chrome 85.
  • По подразбиране е включена защитата от досадни уведомления като например от спама за получаване на push уведомления. Тези запитвания във вид на уведомления прекъсват работата на потребителя и отвличат неговото внимание. Сега вместо досаден диалогов прозорец, на който трябва задължително да се отговори, в адресния ред се появява ненатрапчива иконка с предупреждение за блокирани push съобщения. Оттам може да бъде активиран протоколът за активиране или забрана на тези съобщения.
  • Добавена е защита от промени в настройките без съгласието на потребителя. Ако някое разширение се опита да промени използваната по подразбиране търсачка или начална страница за нов раздел, браузърът извежда диалогов прозорец с предложение потребителят да потвърди тази промяна
  • Въведена е защита срещу зареждането на смесено мултимедийно съдържание – когато в HTTPS страницата се зареждат ресурси чрез http протокола. В страниците, отворени по HTTPS, линковете http:// автоматично се заменят с https:// в блоквете за зареждане на изображения. Ако изображението не е достъпно по HTTPS, то неговото зареждане се блокира, но това може да се отмени чрез иконката във форма на катинар в адресния ред.
  • Във версията за мобилната операционна система Android е добавена поддръжката на препратки за приложенията, даващи възможност за предоставяне на бърз достъп до най-често използваните типови действия в дадено приложение. За създаването на тези препратки е достатъчно да се добавят необходимите елементи в манифеста на уеб приложението в PWA (Progressive Web Apps) формат.
  • За Web Worker е разрешено използването на API ReportingObserver, който дава възможност за определяне на манипулатора за генериране на отчет, извикван при обръщение към вече остарели възможности. Генерираният отчет по избор на потребителя може да бъде записан в диска, изпратен към отдалечен сървър или обработен с помощта на JavaScript скрипт.
  • Добавена е поддръжката на API Web OTP, който преди това бе известен като SMS Receiver API, даващ възможност за организиране на логване в уеб страница чрез еднократна парола след получаването на SMS съобщение с код за потвърждение, пристигнал в смартфона на потребителя, на който е стартиране Chrome. Потвърждението по SMS може да се използва за проверка номера на телефона, указан от потребителя при регистрацията. Досега се налагаше потребителят да отвори приложение за работа със SMS съобщения, да копира от него кода в клопборда, да се върне в браузъра и да вмъкне този код. Новият API автоматизира този процес и го свежда до само едно докосване.
  • Ускорено е стартирането на на WebAssembly приложенията.

Освен направените промени и нововъведения, в новата версия са отстранени 38 уязвимости. Повечето от тях са открити от автоматичното тестване с помощта на софтуерните инструменти AddressSanitizerMemorySanitizerControl Flow IntegrityLibFuzzer и AFL. Един от проблемите  (CVE-2020-6510 – препълване на буфера при обработката на фонови процеси) е отбелязан като критичен – тоест, позволява да се заобиколят всички нива на защита на браузъра и да се изпълни код в операционната система система извън sandbox средата.

В рамките на програмата за заплащане на парични възнаграждения за открити уязвимости за текущата версия на браузъра. Google е заплатил 26 премии с обща сума $21500. Това са две премии от по $5000, две премии по $3000, една премия от $2000, две премии от $1000 и три премии от $500. Размерът на останалите 16 възнаграждения засега не е определен.

5 1 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари