Компания Google опубликовала релиз web-браузера Chrome 127. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 128 запланирован на 20 августа.
В режиме "инкогнито" по умолчанию включена функция "HTTPS-First", выполняющая автоматическое перенаправление HTTP-запросов на HTTPS. Для обеспечения работы с сайтами не поддерживающими HTTPS, реализован откат на HTTP, если после проброса не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. При попытке открытия сайта по HTTP выводится специальное предупреждение. Во встроенном хранилище корневых сертификатов (Chrome Root Store) решено прекратить доверие к удостоверяющему центру Entrust из-за множественных нарушений требований к удостоверяющим центрам, не соблюдение сроков реагирования на проблемные сертификаты, затягивание отзыва сертификатов, ненадлежащее оформление отчётов об инцидентах и не соблюдение правил при выдаче TLS-сертификатов уровня EV (Extended Validation), требующих проведения проверки документов о принадлежности домена и подтверждение владельца ресурса. В связи с отсутствием действий по устранению выявленных недостатков, TLS-сертификаты, выданные Entrust после 31 октября 2024 года, будут восприниматься в Chrome как не заслуживающие доверия. Сертификаты, выпущенные до 31 октября, продолжат восприниматься как нормальные.
Начался процесс постепенного прекращения поддержки второй версии манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Отключение дополнений, использующих вторую версию манифеста, пока затрагивает только часть пользователей тестовых сборок Chrome (не релизов). Полностью завершить миграцию на третью версию манифеста планируется до июня 2025 года.
При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализована отправка на серверы Google дополнительной телеметрии с информацией о просматриваемых страницах, если на этих страницах используются API для инициирования вибрации (Vibration) или полного контроля над мышью (PointerLock) и клавиатурой (Keyboard). Если открываемая страница присутствует в чёрном списке, пользователю выводится соответствующие предупреждение и действие отмеченных API отключается.
Подведены итоги работы по модернизации проверки загружаемых файлов в режиме расширенной защиты браузера (Safe Browsing > Enhanced protection), при которой включена отправка исполняемых файлов и подозрительных архивов на серверы Google для проверки на наличие вирусов и вредоносного ПО. Для проверки безопасности загружаемых зашифрованных архивов (.zip, .7z и .rar) браузер запросит у пользователя пароль для расшифровки архива. Пользователь может отказаться от проверки или ввести пароль, после чего браузер отправит файл с паролем для проверки на серверы Google. В стандартном (не расширенном) режиме Safe Browsing также будет выведен запрос пароля, но вместо отправки содержимого архива на серверы Google для проверки будут отправлены только метаданные и хэши от содержащихся в архиве файлов. Реализованы более заметные предупреждения о загрузке опасных файлов, которые выводятся не в нижней панели, а под верхней панелью.
Предложена начальная реализация спецификации Private Network Access, ограничивающая возможность загрузки ресурсов с публично доступного сайта, ссылающихся на хосты во внутренней сети (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 и т.п.). Загрузка подобных ресурсов теперь допускается только при открытии страницы в безопасном контексте (по HTTPS). В дальнейшем планируется полностью ограничить возможность неконтролируемого обращения к внутренним интранет-подсетям со страниц, открываемых с публичных сайтов так как подобные запросы используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Эксперименты с блокировкой были начаты ещё в 2022 году в Chrome 98, но из-за выявления пробоем блокировка была отложена.
В режиме "Origin trials" реализована экспериментальная блокировка доступа к IP 0.0.0.0, так как данный IP может использоваться для обхода блокировки обращения к IP 127.0.0.1 (localhost) на платформах Linux и macOS.
В версии для платформы Android упрощён интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация теперь интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках.
В версии для платформы Android обновлён интерфейс управления паролями. Пользователям, подключившимся к своей учётной записи в Google, но не активировавшим синхронизацию, предоставлена возможность сохранения и использования паролей в привязке к учётной записи в Google.
Добавлена настройка "Автоматическое включение полноэкранного режима" (Automatic Fullscreen, chrome://settings/content/automaticFullScreen), позволяющая сайтам автоматически включать полноэкранный режим при помощи метода Element.requestFullscreen() без подтверждения пользователем, а также дающая возможность выводить диалоги браузера без выхода из полноэкранного режима. По умолчанию настройка отключена и может быть активирована в привязке к отдельным сайтам и web-приложениям. В комбинации с API Window Management и настройками всплывающих уведомлений (chrome://settings/content/popups) новая функция упрощает использование таких возможности как открытие всплывающего окна на всём экране другого монитора, показ полноэкранного содержимого на всех экранах или на дополнительном экране, переключение полноэкранного содержимого с одного дисплея на другой.
Добавлено CSS-свойство font-size-adjust, позволяющее изменять размер строчных букв относительно размера прописных букв, заданного через свойство "font-size", что может быть полезным, например, для сохранения прежнего уровня читаемости текста в условиях задействования запасного семейства шрифтов при недоступности основного. У шрифтов, имеющих разных коэффициент соотношения высоты строчных букв к размеру шрифта, размер букв существенно отличается, что, например, может сделать текст плохо читаемым при замене шрифта Verdana на Times.
В API для статической маршрутизации ServiceWorker-ов (Service Worker Static Routing), который позволяет определить, как следует загружать определённые ресурсы и отключить вызов ServiceWorker-а для ресурсов, которые можно извлечь из кэша или загрузить напрямую, добавлена возможность применения логической операции "not" для инвертирования условий сопоставления запросов.
Обеспечена передача событий активации, сформированных при работе пользователя с контентом в окне, открытым в режиме "картинка в картинке" (picture-in-picture), в родительское для данного режима окно. Изменение позволяет на основной странице, из которой было открыто окно "картинка в картинке", использовать API User Activation (navigator.userActivation) для определения взаимодействия пользователя с данным окном (например, можно узнать щёлкал ли пользователь мышью в окне "картинка в каринке" или страница лишь загружена и остаётся нетронутой).
Внесены улучшения в инструменты для web-разработчиков. При просмотре CSS-стилей добавлены ссылки на соответствующие позиции в документе, на которые ссылаются CSS-свойства управления показом элементов, привязанных к местоположению других элементов (CSS Anchor Positioning). При просмотре HTML-кода добавлены ссылки на которые указывает атрибут "popovertarget". В панели инспектирования сетевой активности добавлена новая преднастройка симуляции скорости доступа "Fast 4G" (преднастройка "Fast 3G" переименована в "Slow 4G", а "Slow 3G" в "3G"). В панели анализа производительности при трассировке обеспечен показ сведений о событиях отправки и приёма сообщений через WebSocket.
Кроме нововведений и исправления ошибок в новой версии устранены 24 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. 5 проблемам присвоен высокий уровень опасности. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 16 премии на сумму 47.5 тысяч долларов США (по одной премии в $11000, $5000, $3000 и $500, две премии $8000, три премии $2000). Размер 6 вознаграждений пока не определён.
В настольном Google Chrome появился визуальный поиск Circle to Search 31.07.2024 [16:33]
Функция Circle to Search, позволяющая запускать поиск по изображению, если обвести область экрана, появилась в бета-версиях Google ChromeOS 127 и Chrome 128 для Windows и macOS.
Первоначально функция дебютировала на смартфонах Samsung Galaxy S24 и Google Pixel 8, но впоследствии быстро распространилась и на другие устройства. Circle to Search позволяет осуществлять поиск на основе визуального контента, и теперь она доступна на ПК под управлением Google ChromeOS 127, а также в настольных версиях браузера Chrome 128 — пока только в бета-версиях.
В ChromeOS для её запуска потребуется выбрать значок «Google Объектив» в адресной строке, а в Chrome для Windows и macOS потребуется выбрать пункт «Поиск с Google Объективом» в меню браузера — для удобства её дальнейшего использования соответствующую кнопку можно перенести на панель инструментов Chrome.
Поиск по содержимому, которое попало в обведённый фрагмент страницы, начинается немедленно, а его результаты выводятся на боковой панели — можно оставаться на открытой странице и сразу же знакомиться с результатами поиска.
«Google Объектив» в Chrome упрощает поиск всего, что выведено на экран: запущенное видео, кадр прямой трансляции или изображение с текущей страницы — нужные ответы демонстрируются в той же вкладке. Присутствие новой функции в официальных бета-версиях платформы ChromeOS и браузера Chrome свидетельствует, что скоро она станет общедоступной — как ожидается, это произойдёт 14 августа.
31 июл 2024, 16:49
За это сообщение пользователю vladimir59 "Спасибо" сказали: Admin
vladimir59
ЗАМ АДМИНА
Зарегистрирован: Сообщения: 7291 Cпасибо сказано: 7950 Спасибо получено: 7741 раз в 5500 сообщениях Баллы репутации: 42
Обновление Chrome 127.0.6533.88 с устранением критической уязвимости 31.07.2024 10:41
Компания Google сформировала обновление Chrome 127.0.6533.88, в котором исправлены 3 уязвимости, среди которых критическая уязвимость (CVE-2024-6990), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с использованием неинициализированных значений в компоненте Dawn, реализующей спецификацию WebGPU.
Другие две уязвимости помечены как опасные и связаны с чтением из области памяти вне буфера в реализации API WebTransport (CVE-2024-7255) и недостаточной проверкой входных данных в компоненте Dawn (CVE-2024-7256).
31 июл 2024, 19:22
За это сообщение пользователю vladimir59 "Спасибо" сказали: Admin
Admin
Основатель ресурса
Зарегистрирован: Сообщения: 12585 Cпасибо сказано: 32783 Спасибо получено: 9061 раз в 6735 сообщениях Баллы репутации: 3243
Google добавила в экспериментальную версию Chrome функцию для оповещения пользователей о страницах, которые используют слишком много системных ресурсов.
Когда браузер обнаруживает проблемы с производительностью, появляется окно со списком прожорливых вкладок и кнопками Исправить и Отклонить. После этого их можно отключить все разом и освободить ресурсы.
Опция будет активироваться автоматически при превышении определённого порога использования центрального процессора. При желании её можно будет запускать вручную через настройки.
Сроки появления функции в стабильной версии браузера пока неизвестны
_________________ Качественный кардшаринг
По поводу подключениякаршаринга пишем в личку Качество проверено временем, все вопросы по viewtopic.php?f=425&t=2737
31 июл 2024, 19:50
За это сообщение пользователю Admin "Спасибо" сказали: Толян
Admin
Основатель ресурса
Зарегистрирован: Сообщения: 12585 Cпасибо сказано: 32783 Спасибо получено: 9061 раз в 6735 сообщениях Баллы репутации: 3243
Google обновила систему распознавания угроз в скачиваемых файлах и алгоритмы их проверки на вирусы. Теперь браузер лучше определяет степень возможной опасности и сканирует даже архивы, защищённые паролем.
Если у пользователя включена функция расширенной защиты, то вдобавок браузер автоматически загрузит опасный файл в облако для проверки.
Подозрительные файлы помечаются серым треугольником. Красный же значок информирует о высокой степени риска для пользователя и достоверности определения заражения.
_________________ Качественный кардшаринг
По поводу подключениякаршаринга пишем в личку Качество проверено временем, все вопросы по viewtopic.php?f=425&t=2737
03 авг 2024, 17:24
Admin
Основатель ресурса
Зарегистрирован: Сообщения: 12585 Cпасибо сказано: 32783 Спасибо получено: 9061 раз в 6735 сообщениях Баллы репутации: 3243
Некоторые расширения Chrome скоро перестанут работать
При обновлении до последней версии Google Chrome вы можете заметить новый раздел Скоро мы можем прекратить поддержку этих расширений при управлении установленными расширениями в браузере.
Недостаточно сообщений на форуме, чтобы прочитать это содержимое. Нужно иметь: 5 и быть зарегистрированным пользователем.
_________________ Качественный кардшаринг
По поводу подключениякаршаринга пишем в личку Качество проверено временем, все вопросы по viewtopic.php?f=425&t=2737
08 авг 2024, 14:08
vladimir59
ЗАМ АДМИНА
Зарегистрирован: Сообщения: 7291 Cпасибо сказано: 7950 Спасибо получено: 7741 раз в 5500 сообщениях Баллы репутации: 42
Google рекомендует срочно обновить Chrome из-за новой уязвимости нулевого дня
Google сообщила о девятой за год уязвимости, обнаруженной в веб-версии Chrome. Найденный эксплойт активно используется злоумышленниками, а потому компания уже выпустила исправление и порекомендовала пользователям не тянуть с обновлением браузера.
Речь идёт об уязвимости «путаницы типов» (type confusion), которая использует ошибку в движке JavaScript. Она была найдена ещё в прошлом месяце совместно «Центром поиска угроз» (Threat Intelligence Center) и «Центром реагирования на безопасность» (Security Response Center) Microsoft.
Помимо прочего, текущее обновление Chrome содержит ещё семь важных исправлений и тринадцать исправлений со средним или низким приоритетом. Актуальная версия браузера для Windows и Linux — 128.0.6613.84, для Mac — 128.0.6613.85.
Чтобы самостоятельно обновить браузер, необходимо в «Параметрах» перейти во вкладку «Справка», выбрать пункт «О Google Chrome», дождаться загрузки обновления, а затем перезапустить браузер.
23 авг 2024, 17:11
За это сообщение пользователю vladimir59 "Спасибо" сказали: Admin
vladimir59
ЗАМ АДМИНА
Зарегистрирован: Сообщения: 7291 Cпасибо сказано: 7950 Спасибо получено: 7741 раз в 5500 сообщениях Баллы репутации: 42
Google увеличила выплаты за обнаруженные уязвимости Chrome
Недавно Google закрыла программу поиска уязвимостей Google Play
Компания Google запускает свою схему оплаты за поиск уязвимостей в фирменном браузере Chrome. Программа VPR Chrome (Vulnerability Reward Program) дебютировала 14 лет назад, время от времени компания корректировала вознаграждения в соответствии с потребностями платформы. Теперь Google проводит новую реструктуризацию, с целью «стимулировать высококачественную отчетность и более глубокое исследование уязвимостей Chrome».
Вознаграждения за некоторые уязвимости, в том числе связанные с MiraclePtr, выросли вдвое. Ранее максимальная награда за обнаружение уязвимостей MiraclePtr составляла $100 115. Теперь компания увеличила эту цифру до $250 128.
Новая структура VPR Chrome разделяет уязвимости на два основных сегмента — «уязвимости повреждения памяти» и «другие уязвимости», которые в свою очередь делятся на категории. В каждой категории есть определенные параметры, которые определяют оплату за результаты.
Недавно Google закрыла программу Google Play Security Reward Program (GPSRP), в рамках которой эксперты и энтузиасты поощрялись за поиск уязвимостей в популярных приложениях для платформы Android.
29 авг 2024, 15:23
За это сообщение пользователю vladimir59 "Спасибо" сказали: Admin
буран
Друзья сайта
Зарегистрирован: Сообщения: 151 Cпасибо сказано: 387 Спасибо получено: 282 раз в 175 сообщениях Баллы репутации: 5
Google Chrome блокирует нотификации мошенников, отзывая разрешения
Татьяна Никитина 13 сентября 2024 - 18:46
В браузере Google усовершенствован механизм Safety Check, добавлена возможность одноразовых разрешений для сайтов, облегчен отказ от непрошеных нотификаций в Android. Нововведения уже начали развертываться в виде очередной версии Chrome. Обновленная защита Chrome Safety Check теперь автоматически аннулирует получение уведомлений с ресурсов, занесенных в базу Google Safe Browsing как мошеннические.
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения