Разработчики: | |
Дата последнего релиза: | 2024/08/26 |
Отрасли: | Интернет-сервисы |
Основная статья: Веб-браузер
Показатели использования
2020
Доля рынка Google Chrome на март 67,88%
2 апреля 2020 года стало известно о том, что браузер Edge, выпущенный Microsoft одновременно с ОС Windows 10, занял второе место в общемировом рейтинге настольных обозревателей по количеству пользователей. Согласно статистике NetMarketShare за март 2020 г., суммарная доля Edge на рынке браузеров составила 7,59% (второе место) против 7,37% в феврале 2020 г. (третье место) и 5,2% в марте 2019 г. (четвертое место).
Как сообщалось, лидером среди всех обозревателей был и остается Google Chrome, существующий с 2008 г., и Edge пока не может догнать его. По состоянию на март 2019 г. его доля составляла 67,88%, и за год она увеличилась до 68,5%. Подробнее здесь.
2012
Май 2012 года
Google Chrome признан самым популярным браузером в мире, сообщает The Verge со ссылкой на данные сервиса StatCounter, отслеживающего данные о посетителях более 3 млн веб-сайтов со всего мира.
Этот вывод изданию позволил сделать тот факт, что Chrome впервые продержался на первом месте по популярности в течение целой недели - с 14 по 20 мая, поясняет The Verge. До этого почетное первое место иногда принадлежало Chrome лишь по выходным дням.
Согласно последним данным StatCounter, Chrome принадлежало 32,76% рынка, тогда как Internet Explorer - 31,94%. На третьем месте - Firefox с долей 25,47%. На четвертом - Safari с долей 7,08%. Пятерку самых популярных веб-браузеров замыкает Opera, которой принадлежит 1,74%.
Необходимо добавить, что данные статистических сервисов могут значительно различаться. Например, согласно Net Applications, самым популярным браузером по-прежнему является Internet Explorer. Причем Chrome - лишь на третье месте. Его также опережает Firefox.
Данные w3schools также отличаются, хотя также указывают на то, что самым популярным браузером является Google Chrome, причем еще с марта этого года. Что касается второго места, то тут мнение совпадает с мнением Net Applications (Firefox). Наконец, доля Safari значительно меньше оценки StatCounter и ближе к доли Opera.
6 Февраля 2012 года
Агентство кибербезопасности Германии на днях рекомендовало пользователям Windows 7 использовать браузер Chrome от Google, ссылаясь на такие преимущества как автоматическое обновление и наличие функционала защиты приложений в так называемой «песочнице» (sandbox, механизм безопасного запуска программ).
Руководствуясь соображениями практической безопасности, федеральное ведомство Германии по защите информационных технологий, известное под немецкой аббревиатурой BSI (Bundesamt fuer Sicherheit in der Informationstechnik), назвало Chrome лучшим браузером. «Интернет-браузер вашей системы является ключевым компонентом для доступа к сервисам в Интернете, следовательно, представляет собой главную мишень для кибер-атак», - отметила BSI в опубликованных рекомендациях. - При использовании Google Chrome в сочетании с другими мерами, описанными выше, вы сможете существенно снизить эффект от вероятных атак».
В качестве оснований для таких рекомендаций BSI отметила наличие в Chrome технологии «песочницы», которая изолирует браузер от операционной системы и компьютера, механизм незаметного обновления, а также программную связку Chrome-Adobe Flash. «Эта [песочница] технология защиты наиболее последовательно реализуется в Chrome ..., аналогичные механизмы в других браузерах в настоящее время слабы либо не существуют», - пояснила BSI.
У BSI, в отличие от аналогичных агентств США, существует традиция давать пользователям рекомендации в отношении программного обеспечения, в частности, браузеров. Два года назад BSI призвала немцев отказаться от использования Internet Explorer (IE), пока Microsoft не исправит уязвимость, которая якобы была использована китайскими хакерами для проникновения в сети, принадлежащие Google и десяткам других западных компаний.
В отличие от США, где пользователи Windows 7 автоматически включают IE в качестве браузера по умолчанию, немцам, когда они впервые запускают Windows, на экране показывают меню выбора браузера. Это помогает пользователям выбрать браузер, который они хотят установить в качестве программы просмотра по умолчанию, и, если необходимо, загрузить и установить его.
Процедура этого выбора основана на соглашении между Microsoft и антимонопольными структурами Европейского союза, которое было заключено в 2009 году, спустя два года после того как Opera Software официально пожаловалась на недобросовестную конкуренцию со стороны Microsoft. Памятуя об этом, неудивительно, что Google обрадовалась рекомендации. «Для нас большая честь – обнаружить в этой рекомендации признание нескольких преимуществ системы безопасности [в Chrome]», - написал в официальном блоге компании Виланд Холфелдер (Wieland Holfelder), глава технических разработок Google в Германии.
Для чтения документов в формате PDF BSI рекомендовала программу Adobe Reader X, которая, как и Chrome, создана с применением технологии «песочницы» для защиты пользователей от эксплойтов, и призвала граждан использовать систему автоматического обновления Windows для поддержки своих компьютеров всеми обновлениями и исправлениями системы безопасности операционной системы.
В настоящее время, согласно данным компании StatCounter, доля Chrome составляет лишь 14,3% всех браузеров, используемых в Германии. Firefox занимает 51% немецкого рынка, в то время как IE - 24,8%.
В то же время Mozilla, придавая ускорение развитию механизма автоматического обновления для своего браузера, не сможет завершить проект до июня 2012 года. Технология подобная «песочнице» Chrome также не войдёт в новый релиз Firefox, но компания работает над разграничением процессов каждой вкладки (нечто подобное предполагает и Chrome), чтобы сделать браузер более устойчивым к сбоям.
Сегодня Chrome - популярный браузер: по данным StatCounter, его доля составляет 28,4%, что ставит его на второе место после 37,5% IE, но опережая Firefox с его 24,8%.
2011
1 декабря 2011 года ирландская аналитическая компания StatCounter, собирающая статистику посещения миллиардов веб-страниц, возвела Google Chrome на второе место среди наиболее популярных веб-браузеров в мире. До этого второе место долгое время принадлежало браузеру Mozilla Firefox, который теперь, согласно StatCounter, находится на третьем месте. Первое же место по-прежнему принадлежит Internet Explorer от Microsoft, который предлагается в качестве браузера по умолчанию в операционной системе Windows[1].
По информации StatCounter, в ноябре доля Chrome достигла 25,70% против 25,23% у Firefox. Internet Explorer же занял 40,63% рынка.
Chrome продолжает уверенно набирать аудиторию. Годом ранее веб-браузеру Google, который был создан лишь три года назад, принадлежало лишь 4,66% мирового рынка, а в июле 2011 года он стал вторым по популярности веб-браузером среди пользователей в Великобритании, пишет TechCrunch.
StatCounter первой объявила о том, что Chrome стал популярнее Firefox. Компания Net Applications, которая также собирает данные о посетителях веб-сайтов, с выпуском аналогичного отчета не спешит.
Согласно данным Net Applications за ноябрь 2011 года, на втором месте по-прежнему находится Firefox с долей 22,14%, Chrome - на третьем с долей 18,18%. Ранее эксперты Net Applications сообщили, что ожидают перестановку не ранее апреля 2012 г., если динамика сохранится.
Рост популярности Google Chrome частично обусловлен короткими циклами обновления браузера, который позволяет разработчикам добавлять в него новые функции и повышать стабильность в кратчайшие сроки. С момента запуска Google обновляет приложение раз в 6 недель, и сейчас на этапе бета-тестирования находится шестнадцатая версия браузера, финальный выпуск которой запланирован на декабрь 2011.
Кроме того, Chrome лидирует по производительности. Согласно результатам исследования, проведенного в начале ноября ресурсом ZDNet среди наиболее свежих версий Chrome, Firefox, IE и Opera, браузер от Google показал рекордные результаты в наибольшем количестве тестов среди других программ.
2009
По статистике Net Applications за август 2009 г., Google Chrome принадлежало 2,9% мирового рынка веб-браузеров. Internet Explorer – 66,6%, Firefox – 23,3%, Safari – 4,1%, Opera – 2,9%. Таким образом, веб-браузер от Google занимает четвертое место.
С выходом третьей версии в Google заявили об амбициозных планах: увеличить долю Chrome на рынке веб-браузеров до 5% ко второй годовщине продукта (сентябрь 2010 г.) и до 10% – к концу третьего года существования (сентябрь 2011 г). По словам аналитика Рея Валдеса (Ray Valdes) из Gartner, такой план невероятно сложен, но осуществим: «Google оказывает гигантское влияние на интернет, однако для достижения такой доли компании потребуется сделать нечто большее, чем то, что она делает сейчас. Это, например, могут быть различные инициативы». Одна из таких инициатив уже запущена – с лета 2009 г. Sony начала предустанавливать Chrome на свои компьютеры. Кроме того, Google следует активнее заниматься разработкой браузера для Mac OS X и Linux, считает аналитик, пока ни для той, ни для другой платформы финальной, завершенной версии программы так и не выпущено.
По оценке Net Applications, в январе 2010 года Internet Explorer остался самым популярным браузером, за год серьезно сдав позиции с 62,1 до 56 %. В декабре Microsoft контролировала 57,1 % рынка. Firefox занимает второе место (22,8 %). Годом ранее этот показатель равнялся 24,4 %. Замыкает тройку Google Chrome, впервые взявший отметку в 10 %, завершив январь с 10,7 %. Годом ранее этому пакету отдавали предпочтение 5,2% пользователей. Количество приверженцев Apple Safari в течение прошлого месяца увеличилось с 5,9 до 6,3 %. Доля Opera поднялась с 2,2 до 2,3%, а Opera Mini несколько сдал позиции и теперь занимает 0,9% рынка против примерно 1,0% в декабре. Все остальные браузеры занимают 1,1% рынка.
Согласно данным Net Applicatons, в ноябре 2010 г. его доля в мире достигла 9,27%, увеличившись по сравнению с предыдущим месяцем на один процентный пункт, главным образом за счет вытеснения Internet Explorer. Рост также обусловлен быстрым распространением последней стабильной версии - Chrome 7, - вышедшей в середине октября этого года. За месяц она достигла доли в 5,64%. В настоящее время Chrome, выпущенный в сентябре 2008 г., является третьим по популярности браузером в мире после Internet Explorer и Firefox. В России он является четвертым по популярности, уступая также Opera.
По данным Net Applications, в январе 2011 г. Google Chrome впервые преодолел отметку в 10% рынка браузеров, завершив месяц с показателем 10,7% и заняв третье место среди самых популярных браузеров. Первенство по популярности сохранил Internet Explorer с 56%. На втором месте Firefox с 22,8%
Представители компании Google в ходе конференции Google I/O (май 2011 года) сообщили о том, что пользовательская база браузера Chrome за последний год «более чем удвоилась». Теперь по всему миру насчитывается около 160 млн пользователей Chrome против 70 млн годом ранее. Как отмечают сотрудники интернет-гиганта, такого впечатляющего результата им удалось достичь в значительной степени благодаря запуску версий Chrome для всех основных операционных систем - Linux, Windows и OS X. В течение следующих месяцев Google планирует реализовать ряд масштабных улучшений в своем браузере, включая поддержку голосовых команд и улучшенный рендеринг HTML5.
Хроника
2024
«Яндекс Браузер» впервые обошел Google Chrome по доле рынка в России
29 октября 2024 года стало известно о том, что по итогам сентября 2024 года доля пользователей, посещающих сайты через приложения «Яндекс Браузер», «Яндекс с Алисой» и «Яндекс Старт», достигла 36,23% и впервые превысила показатель Google Chrome в России. Об этом сообщила пресс-служба «Яндекса». Доля продуктов Google составила 34,79%, что на 1,44 процентного пункта ниже. Подробнее здесь.
Анализ критической уязвимости CVE-2024-7965
Специалисты BI.ZONE провели технический анализ критической уязвимости в JavaScript-движке V8, который используется в браузере Google Chrome. Исследование показало, что она представляет опасность для пользователей Android-смартфонов и ноутбуков на macOS определенных моделей. Об этом BI.Zone сообщила 17 сентября 2024 года.
Об эксплуатации уязвимости CVE-2024-7965 компания Google сообщила 26 августа 2024 года, спустя несколько дней после выпуска версии 128.0.6613.84, где ошибка была исправлена. Данная уязвимость позволяет атакующему захватить управление над рендерером браузера жертвы в случае перехода на сайт со специально сформированным кодом JavaScript. По шкале CVSS уязвимость получила оценку 8,8 из 10 баллов.
В Google также отметили, что CVE-2024-7965 использовалась злоумышленниками в связке с CVE-2024-7964 — уязвимостью платформы Privacy Sandbox в Chrome. В комбинации две эти уязвимости позволяют атакующему захватить контроль над браузером жертвы и получить чувствительные данные: пароли, историю браузера, сохраненные cookie-файлы. Успешная эксплуатация также позволяет установить на устройство шпионское ПО, которое будет отслеживать все действия пользователя в браузере.
Уязвимости подвержены и все браузеры, основанные на Chromium. В некоторых из них ошибка может быть все еще не устранена.
Подробный анализ уязвимости CVE-2024-7965 ранее не публиковался. Результаты этого и подобных исследований используются специалистами BI.ZONE для предоставления услуг по анализу защищенности, таких как пентест и red team, и помогают усилить безопасность наших клиентов. Это также идет на пользу кибербез-сообществу: такие материалы позволяют этичным хакерам совершенствовать свои навыки, — сказал руководитель управления анализа защищенности Михаил Сидорук. |
Исследование показало, что уязвимость распространяется на устройства с процессорной архитектурой ARM: ноутбуки Apple, выпущенные после ноября 2020 года, и смартфоны на Android любой версии.
Специалисты выяснили, что CVE-2024-7965 связана с некорректной обработкой значений при оптимизации во время выполнения кода JavaScript. Ошибка ведет к возможности записи и чтения за пределами легитимного участка памяти, что, в свою очередь, дает возможность захватить контроль исполнения кода. Это позволяет киберпреступнику при наличии распространенной уязвимости XSS на поддомене популярного сайта (например, my.example.com) украсть сессию пользователя на основном сайте и всех остальных поддоменах (например, example.com и mail.example.com). Последствия таких атак варьируются от кражи конфиденциальных данных до заражения устройства вредоносным ПО.
Для защиты устройств пользователям рекомендуется обновить браузер до актуальной версии, если автоматическое обновление не настроено.
Chrome 128
26 августа 2024 года стало известно о том, что компания Google опубликовала релиз web-браузера Chrome 128. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 129 запланирован на 17 сентября 2024 года.
Как сообщалось, основные изменения в Chrome 128 коснулись следующего:
- Предоставлена возможность поиска в истории посещений, учитывая содержимое открывавшихся страниц, а не только URL и заголовки. На данном этапе возможность доступна только для англоязычных пользователей из США. Функциональность поиска контента реализована с использованием работающей на стороне Google системы машинного обучения, для тренировки и оптимизации которой релевантные данные могут отправляться на серверы Google (отправку можно отключить в настройках).
- Задействован парсер формата JSON, переписанный с C++ на язык Rust, и обеспечивающий более высокую защищённость за счёт снижения вероятности появления ошибок при работе с памятью. Отмечается, что переход на данный парсер может привести к прекращению разбора некоторого некорректно оформленного контента в формате JSON, но при этом он также решает проблемы при работе с некорректным JSON, который раньше вызывал аварийное завершение, а теперь приводит к возврату кода ошибки.
- На страницу, показываемую при открытии вкладки, добавлена возможность размещения секции с данными из Google Calendar, позволяющей держать перед глазами предстоящие встречи и события.
- В Chrome для Android в интерфейс переключения между вкладками добавлена секция, в которую автоматически переносятся неактивные вкладки, открытые больше 60 дней. Имеется возможность закрытия разом всех старых вкладок. По умолчанию данная возможность включена для 1% пользователей.
- В Chrome для Android добавлена поддержка профилактических проверок безопасности (Safety Check), которые периодически проверяют наличие проблем в браузере и информируют пользователя в случае выявления требующих внимания угроз. Кроме того, изменено оформление страницы Safety Check в настройках (chrome://settings/safetyCheck).
- В компоненте WebView в Chrome для Android решено временно отключить поддержку технологии CHIPS (Cookies Having Independent Partitioned State), развиваемой в рамках инициативы Privacy Sandbox и позволяющей изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Причиной отключения стали проблемы с обращением к секционированными Cookie при помощи API CookieManager, предоставляемого платформой Android.
- В централизованно управляемых системах администратору предоставлены возможности для создания собственных ярлыков быстрого поиска через адресную строку (можно создать ярлык "@имя" для поиска на определённом сайте), а также управления нерасшифровываемыми паролями во встроенном менеджере паролей (например, можно настроить удаление подобных паролей, оставшимися после миграции на другое устройство при помощи стороннего ПО).
- В версии для Chrome OS добавлена поддержка механизма запуска самодостаточных web-приложений IWA (Isolated Web Apps), который расширяет PWA (Progressive Web Apps) применением более строгой изоляции приложения на случай компрометации сервера. Изоляция достигается за счёт заверения пакета с приложением цифровой подписью, защищающей от внесения в пакет сторонних изменений, что позволяет распространять приложение через сторонние каналы без поддержания своего сервера.
- CSS-свойство position-try-options переименовано в position-try-fallbacks, в соответствии с рекомендацией рабочей группы CSSWG (CSS working group), так как слово "options" вводит в заблуждение и не отражает реальную суть свойства.
- В HTML-элементе ruby, позволяющем прикрепить к тексту аннотацию, показываемую сверху, снизу или рядом с текстом, например, для уточнения произношения или значения иероглифов, появилась возможность синхронной расстановки разрывов строк при переносе длинного базового текста и аннотации, которые не умещаются в одной строке и ранее переносились по отдельности. Также добавлено CSS-свойство ruby-align для управления выравниванием базового текста и аннотации.
- Добавлен метод Promise.try(), позволяющий преобразовать в Promise результат выполнения любого callback-вызова для оптимизации обработки ошибок при выполнении функций, выполняемых как в асинхронном, так и в синхронном режиме.
- В интерфейс PointerEvent добавлен атрибут PointerEvent.deviceProperties, при помощи которого можно раздельно идентифицировать разные цифровые перья, используемые с графическим планшетом (например, для каждого устройства можно назначить свой цвет и форму пера).
- К соответствию спецификации приведена реализация CSS-свойства zoom, позволяющего уменьшать или увеличивать масштаб отдельных элементов.
- В режиме "Origin trials" реализована экспериментальная поддержка API Digital Credentials, позволяющего сайтам запрашивать необходимые для идентификации учётные данные из мобильных приложений-кошельков, используя предоставляемую в Android систему IdentityCredential CredMan.
- В WebGPU добавлена экспериментальная поддержка субгрупп, позволяющих использовать принцип SIMD (Single instruction, multiple data) для распараллеливания вычислений.
- Реализована экспериментальная возможность блокировки доступа к IP 0.0.0.0 для предотвращения атак на локальные сервисы.
- Внесены изменения в инструменты для web-разработчиков. В панель инспектирования анимации добавлена возможность захвата анимации и редактирования ключевых кадров на лету. Расширены возможности панели для анализа производительности. Для большинства европейских стран включена возможность вывода в web-консоли пояснений о сути ошибок, генерируемых с использованием большой языковой AI-модели Gemini.
Кроме изменений и исправления ошибок в данной версии устранены 38 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. 7 проблемам присвоен высокий уровень опасности. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 20 премий на сумму 95 тысяч долларов США (по одной премии в $36000, $10000, $5000 и $2000, по две премии $11000, $7000 и $500, четыре премии $1000). Размер 5 вознаграждений на август 2024 года не определён[2].
Браузер Google Chrome потерял пароли более 15 млн пользователей
В Google Chrome произошел массовый сбой, в результате которого у пользователей браузера версии М127 на операционной системе Windows перестали отображаться как старые, так и новые пароли в браузерном менеджере. Об этом 5 августа 2024 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина.
В Google сообщили, что изменение конфигурации системы, вызвавшей ошибку, затронуло около 25% пользователей браузера, из них порядка 2% столкнулись с проблемой нарушения работы менеджера паролей – это практически 15 млн человек.
Нарушение функционала – не единственная ошибка, с которой в последнее время сталкивались пользователи браузера. Не так давно у части пользователей компания перестала запрашивать проверку электронной почты при создании новых учетных записей в рабочем пространстве Google Workspace. Сообщается, что эта уязвимость позволила хакерам скомпрометировать данные учетных записей сторонних сервисов, в том числе Dropbox.
По словам Антона Немкина, Google Chrome ожидаемо теряет позиции в нашей стране, поэтому сбой вряд ли затронул многих россиян.
По данным статистики сервиса StatCounter, в 2023 году на него пришлось около 45% пользователей, хотя совсем недавно он занимал лидирующие позиции. Почему так происходит – понятно. Во-первых, российские решения уже давно стали конкурентноспособными, а по некоторым направлениям уже давно обогнали американский браузер. Например, «Яндекс.Браузер» уже давно обошел Chrome в части автоматического перевода страниц, внедрения поиска на основе искусственного интеллекта, а также в вопросах безопасности. Напомню, что, по данным ГК Softline, браузер эффективнее остальных выявляет фишинговые страницы. Во-вторых, положительно сказалось введение нормы по обязательной предустановке российского ПО на смартфоны, – рассказал депутат. |
Немкин отметил, что хранение данных в менеджерах паролей, безусловно, удобная, но небезопасная практика.
Большинство из нас, действительно, хранит конфиденциальную информацию в менеджерах паролей. В том числе данные от учетных записей банковских организаций и государственных сервисов. Это очень удобно – информация заполняется автоматически, при этом запоминать особенного ничего не нужно. Однако следствием такого комфорта может стать компрометация пользовательских сведений. Киберпреступники постоянно «охотятся» за данными сервисов. Например, в результате атаки на популярный менеджер LastPass, с риском компрометации информации столкнулись около 33 млн пользователей, – рассказал депутат. |
Немкин посоветовал не пользоваться менеджерами паролей как минимум для сервисов, собирающих чувствительную информацию.
Лучший вариант – минимизировать использование подобных технологий. Прежде всего, не сохранять данные учетных записей банковских приложений, государственных сервисов, социальных сетей и электронных почт. Это лучшая превентивная стратегия, которая обезопасит от возможных утечек, – пояснил депутат. |
Парламентарий также напомнил, что для каждого сервиса крайне важно иметь уникальный пароль.
Помимо этого, можно воспользоваться генератором паролей, но только убедившись, что сервис по генерации известный и надежный. Это позволит свести риски повторения либо предсказания пароля практически к нулю, – порекомендовал депутат. |
Google призналась в слежке за пользователями Chrome и теперь удалит миллиарды их записей
1 апреля 2024 года в федеральный суд Сан-Франциско направлено мировое соглашение об урегулировании коллективного иска, связанного со слежкой в браузере Chrome. В рамках данного процесса Google согласилась удалить «миллиарды записей» пользователей.
Разбирательство было инициировано в 2020 году. Оно касается режима «Инкогнито» в веб-обозревателе Chrome. В иске утверждается, что Google тайно собирала персональные данные пользователей Chrome даже в приватном режиме просмотра. Такие сведения могут применяться, например, в рекламных целях.
Помимо уничтожения накопленной информации, компания Google обновит политику о сборе данных в режиме «Инкогнито». Пользователям в течение пяти лет будет предоставлена возможность блокировать в приватном режиме сторонние куки. Хотя истцы потребовали возмещения ущерба в размере $5 млрд, в мировое соглашение не входит выплата компенсации от Google. Вместо этого, согласно судебным документам, пользователи смогут требовать возмещение ущерба в индивидуальном порядке, подавая иски против Google в американские суды. По состоянию на начало апреля 2024 года это сделали около 50 человек.
Адвокаты истцов назвали мировое соглашение «новаторским» и «историческим шагом», который нацелен на обеспечение крупными технологическими компаниями прозрачности для пользователей в отношении того, как они собирают и используют персональные данные. Согласие Google удалить ранее накопленную пользовательскую информацию является значительной уступкой, поскольку эти сведения формируют основу прибыльного рекламного бизнеса компании.
Рост коллективных исков и жалоб, связанных с конфиденциальностью, говорит о том, что потребители все лучше разбираются в этом вопросе и предпринимают меры по защите своих персональных данных, — говорит Стефани Лю (Stephanie Liu), старший аналитик Forrester.[3] |
Google удалит миллиарды данных о действиях пользователей
Американская компания Google согласилась удалить данные более 130 миллионов граждан США, пользовавшихся браузером Chrome, на фоне обвинений в незаконной слежке за пользователями. Об этом 5 апреля 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.
В иске утверждалось, что Google собирал информацию о посещаемых сайтах через Google Analytics, Google Ad Manager и плагины, включая приложения для смартфонов, вне зависимости от того, переходил ли пользователь по ссылкам на рекламные объявления, публикуемые Google. Для этого достаточно было просто посетить тот или иной сайт.
Компания Google планирует уничтожить массив данных, отражающих историю веб-браузинга миллионов пользователей, в рамках урегулирования иска, в котором утверждалось, что компания следила за людьми без их ведома, — говорится в сообщении издания Wall Steet Journal. |
Официально условия сделки между ответчиком и истцами будут утверждены не раньше 30 июля, когда пройдут первые слушания. Тем не менее, уже известно, что по условиям мирового соглашения, Google кроме удаления миллиардов записей из дата-центров должен будет более наглядно информировать о степени конфиденциальности, которая доступна пользователю при использовании режима инкогнито. Так, в последней версии описания режима «инкогнито» в браузере Google Chrome компания уже очевидно признала, что даже в этом режиме сохраняется возможность отслеживания активности пользователей.
Соглашение предусматривает и другие дополнительные меры контроля, призванные ограничить сбор компанией личной информации. При этом истцы не получат никаких выплат. Ситуация с Google и режимом инкогнито в очередной раз напоминает о том, что нужно крайне аккуратно пользоваться зарубежными сервисами – они уже многократно доказывали, что конфиденциальность и безопасность пользователей для них стоит далеко не на первом месте, отметил Антон Немкин.
Западных ИТ-гигантов уже много раз ловили на шпионаже за пользователями и передаче персональных данных спецслужбам США. Хочу в очередной раз подчеркнуть, нарушение конфиденциальности личных данных пользователей, тем более без их ведома, – недопустимо. Обеспечение конфиденциальности личной информации пользователей — это серьезная задача в цифровой век. Однако, западные ИТ-гиганты ее не спешат выполнять, поэтому для Google сбор данных с целью последующего использования в своих целях уже стал нормой. Например, по данным Bloomberg, тот же Google каждый день торгует персданными, совершая при этом более 70 млрд операций по передаче информации, - подчеркнул депутат. |
2023
Google призналась в слежке за пользователями Chrome в режиме анонимного просмотра веб-страниц
В конце декабря 2023 года Google объявила о заключении мирового соглашения по делу о слежке за пользователями Chrome в режиме анонимного просмотра веб-страниц. Хотя условия договоренности не раскрываются, стало понятно, что компания признала свою вину.
Иск против Google был подан в 2020 году в американском штате Калифорния. Он охватывает «миллионы» пользователей сервисов компании и требует возмещения ущерба в размере не менее $5 тыс. на каждого пострадавшего за нарушения федеральных законов о прослушивании телефонных разговоров и законов Калифорнии о приватности.
По словам истцов, приложения Google позволяли компании отслеживать активность пользователей даже в тех случаях, когда они переводили браузер Google Chrome в приватный режим просмотра «инкогнито». Таким образом компания могла получать сведения о друзьях, хобби, любимых блюдах, потребительских привычках и «потенциально смущающих вещах», которые люди ищут в интернете.
Google пыталась иск отклонить: она утверждала, что предупреждала пользователей о сборе данных — при каждом открытии режима «инкогнито» появлялось сообщение, что браузер не сохраняет действия пользователей, но они будут видны сайтам, которые те посещают. В августе 2023 года суд отказал компании и решил рассмотреть иск.
В общей сложности инициаторы иска требовали от Google компенсацию в размере $5 млрд. К концу декабря 2023 года условия мирового соглашения не обнародованы. Оно будет передано в суд, который рассмотрит документ в феврале 2024 года.
За годы, прошедшие с момента подачи иска, Google объявила об отказе от точного таргетинга рекламы, заявив, что больше не будет отслеживать конкретных пользователей во время просмотра веб-страниц. Также компания планировала отказаться от использования сторонних файлов cookie, которые многие веб-сайты используют для хранения данных пользователей, в своем браузере Chrome.[4]
Chrome 120
6 декабря 2023 года стало известно о том, что компания Google опубликовала релиз web-браузера Chrome 120. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 121 запланирован на 23 января 2024 года.
Как сообщалось, основные изменения в Chrome 120 коснулись следующего:
- Начался эксперимент по отключению поддержки сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. В январе 2024 года сторонние Cookie будут отключены для 1% пользователей браузера. Изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Вместо отслеживающих Cookie предлагается использовать следующие API:
- FedCM (Federated Credential Management), позволяет создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без сторонних Cookie.
- Private State Tokens, позволяет разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами.
- Topics (критика), даёт возможность определять категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
- Protected Audience, решение задач ретаргетинга и оценки собственной аудитории (работа с пользователями, уже посещавшими ранее сайт).
- Attribution Reporting, позволяет оценивать такие характеристики эффективности рекламы, как переходы и конверсия (покупка на сайте после перехода).
- Storage Access API, может применяться для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если по умолчанию сторонние Cookie блокируются.
- В соответствии с требованиями принятого в Евросоюзе закона DMA (Digital Markets Act) некоторым пользователям будет показан диалог для выбора поисковой системы по умолчанию, возможности которого соответствуют настройкам chrome://settings/search. В Chrome 120 диалог будет показан 1% пользователей, а к моменту публикации Chrome 122 доведён до 100%.
- Начался процесс прекращения поддержки видеокодека Theora. На начальном этапе Theora отключён для 1% пользователей, но до 16 января 2024 года его планируют отключить для всех пользователей. На переходном этапе для возвращения кодека предусмотрена настройка "chrome://flags/#theora-video-codec". В качестве причины прекращения поддержки Theora упоминаются опасения, что в реализации Theora, в которой имеется достаточно сложная логика разбора бинарных данных и декодирования потоков, могут присутствовать уязвимости, похожие на недавние критические проблемы с кодировщиком VP8.
- Оформление каталога Chrome Web Store переработано для оптимизации поиска и управления дополнениями. Добавлены категории дополнений (например, добавлена категория с дополнениями на базе машинного обучения и раздел "выбор редакции"). В меню " ⋮ " добавлена возможность возвращения прошлого дизайна.
- Расширена функциональность интерфейса "Проверка безопасности" (Safety check), показывающего сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. В данной версии предложен проактивный режим, периодически выполняющий связанные с безопасностью проверки браузера и информирующий пользователя в случае выявления проблем. В настройки добавлены параметры для управления действиями в проактивном режиме.
- Реализована адаптивная панель инструментов, меняющаяся в зависимости от изменения размера окна.
- В менеджере паролей разрешено предоставление совместного доступа к отдельным паролям для членов группы Google Family Group, настроенной через Google Account. За один раз можно предоставить доступ только к одному паролю, после чего совместно используемый пароль не сможет быть обновлён или отозван отправителем.
- Взаимодействие с принтерами перенесено в отдельный сервисный процесс, что позволило оптимизировать стабильность браузера и отзывчивость интерфейса предпросмотра страницы перед выводом на печать.
- В TLS включена реализация механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), использующего гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. Для создания сессионных ключей, применяемых для шифрования данных внутри TLS-соединений, теперь может использоваться комбинация из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
- В сервисе автоподавления запросов на подтверждение полномочий (Permission Suggestions Service) обеспечен учёт URL страницы, запрашивающей полномочия (на серверы Google будут передаваться хэши от запрашивающих полномочия URL).
- В версии для Android прекращена поддержка платформы Android 7.0 "Nougat".
- Добавлен фреймворк с реализацией концепции Close-запросов, позволяющих пользователю запрашивать закрытие модальных и всплывающих диалогов через нажатие клавиши Esc или используя экранный жест или кнопку "Назад" на смартфонах. Поддержка Close-запросов добавлена для диалогов, созданных при помощи элемента <dialog> или свойства "popover". Также добавлен API CloseWatcher, дающий возможность разработчикам приложений отслеживать Close-запросы и реагировать на их поступление (например, можно создать обработчик нажатия кнопки "назад" на Android-смартфоне).
- В элемент "<details>" добавлена поддержка атрибута "name", позволяющего создавать группы через определение серии элементов "<details>" с одним именем.
- В API Media Session добавлено событие "enterpictureinpicture", позволяющее сайту зарегистрировать обработчик, вызываемый при открытии содержимого в режиме "картинка в картинке".
- Оптимизирован синтаксис вложенных CSS-блоков - вложенные CSS-правила теперь могут начинаться с любого элемента, без необходимости указания перед вложенным правилом символа амперсанда или использования функции is().
- В CSS-свойстве "background-clip добавлена поддержка параметра "text" для отображения выбранного фона только в области, ограниченной символами текста. Например, указание "background: linear-gradient(60deg, red, yellow, red, yellow, red); background-clip: text; color: rgba(0, 0, 0, 0.2)" приведёт к отображению:
- В CSS добавлен медиазапрос "scripting", который можно использовать для определения возможности выполнения скриптов, например на языке JavaScript, на текущей странице.
- В CSS добавлен псевдокласс ":dir()", позволяющий выбрать элементы в зависимости от направленности текста (например, ":dir(ltr)" будет охватывать элементы, в которых текст выводится слева направо).
- В CSS добавлены экспоненциальные функции pow(), sqrt(), hypot(), log() и exp().
- В CSS добавлена поддержка свойств mask, mask-image, mask-repeat, mask-position, mask-clip, mask-origin, mask-size, mask-composite и mask-mode для скрытия элемента путём наложения изображения по определённым точкам.
- В API FontFaceSet добавлен метод check(), позволяющий проверить может ли быть отображён текст при выбранных шрифтах без использования в FontFaceSet шрифтов, загрузка которых ещё не завершена.
- В API WebGPU добавлена возможность использования в шейдерах 16-битного типа с плавающей запятой f16.
- В API Media Capabilities в метод decodingInfo() добавлены поля hdrMetadataType, colorGamut и transferFunction для определения поддержки HDR.
- В API MediaStreamTrack добавлена возможность получения информации о счётчиках полученных и отброшенных кадров видео.
- Добавлена возможность передачи объекта ArrayBuffer в конструкторы VideoFrame, AudioData, EncodedVideoChunk, EncodedAudioChunk и ImageDecoder для прямого использования байтового массива без создания его копии.
- В соответствии с изменившейся спецификацией для оптимизации защиты от XSS-атак и переносимости между браузерами в SVGUseElement прекращена поддержка URL "data:", который до этого не поддерживался в движке WebKit.
- Добавлена экспериментальная (origin trial) поддержка HTTP-заголовка "Priority", через который можно передать сведения о приоритете обработки запроса (RFC 9218) на стадии первого обращения к ресурсу.
- Внесены изменения в инструменты для web-разработчиков. В отладчике по умолчанию включено игнорирование скриптов размещённых в каталогах "/node_modules/" и "/bower_components/" с модулями Node.js. В режиме удалённой отладки реализован переключатель для выбора между мышью и сенсорным экраном. Оптимизирована отладка анимации. В панель Elements добавлен переключатель "media" для отладки элементов <audio> и <video>. По умолчанию включён вывод предупреждений об использовании сторонних Cookie. В утилиту Privacy Sandbox Analysis добавлен анализ используемых на сайте Cookie и вывод рекомендаций по использованию вместо Cookie других API.
Кроме изменений и исправления ошибок в данной версии устранено 10 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премий на сумму 15 тысяч долларов США (одна премия $10000, одна премия $2000 и три премии $1000)[5].
Chrome 116
16 августа 2023 года стало известно о том, что компания Google представила релиз web-браузера Chrome 116. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 117 запланирован на 12 сентября 2023 года.
По информации компании, основные изменения в Chrome 116 включают следующее:
- Сокращён цикл формирования промежуточных обновлений с устранением уязвимостей. Если ранее в рамках 4-недельного цикла формирования значительного выпуска корректирующие обновления выпускались через две недели после очередного релиза, то начиная с Chrome 116 подобные обновления при наличии уязвимостей будут формироваться каждую неделю. В ситуации устранения критических или уже эксплуатируемых уязвимостей, как и раньше, обновление будет выпускаться вне графика.
- В версии для платформы Android изменён интерфейс для передачи ссылок и отрывков текста в сторонние приложения (Share). На устройствах с Android 14 вместо собственной реализации интерфейса для отправки данных в Chrome будет вызываться штатный интерфейс платформы Android, в котором отсутствуют такие возможности как отправка информационных карт и создание скриншота. На устройствах с более старыми выпусками Android по умолчанию продолжит использоваться старый интерфейс, а вызвать системный интерфейс можно будет в секции "More".
- В Chrome для Android при нажатии на адресную строку реализован вывод контекстных поисковых рекомендаций, связанных с уже открытой в данный момент страницей. При переходе в адресную строку на вкладке обеспечен показ поисковых запросов, набирающих популярность (trending). В функции Touch to Search, позволяющей сформировать поисковый запрос по выделенному слову, реализован вывод популярных запросов с этим словом. Число показываемых при поиске контекстных рекомендаций увеличено с 6 до 10.
- В Chrome для Android оптимизирована производительность прокрутки и обеспечен более плавный сдвиг содержимого при прокрутке.
- Включена контекстная боковая панель, позволяющая уточнять сведения о содержимом просматриваемой в данный момент страницы, например, можно отправлять поисковые запросы, просматривать ответы на связанные с текущей страницей вопросы и получать более детальные сведения о сайте.
- Модернизирован интерфейс для управления загрузками. Виджет со списком загрузок отображается справа от адресной строки, а не внизу экрана. Процесс загрузки наглядно выделяется при помощи анимации на панели, а после завершения загрузки на какое-то время отображается подсказка о выполненной операции. В виджете управления загрузками по умолчанию показывается список загрузок за последние 24 часа. Имеется возможность приостановки и возобновления загрузок. Более детальную информацию о всех загрузках можно получить на странице "chrome://downloads", а настроить поведение виджета и каталог по умолчанию для сохранения файлов можно на странице "chrome://settigs/downloads".
- Для пользователей Chrome 116 предоставлена возможность участия в тестировании AI-помощника, помогающего при поиске, позволяющего задавать уточняющие вопросы и выделяющего краткое содержание статей.
- Добавлена реализация механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), использующая гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. Для создания сессионных ключей, применяемых для шифрования данных внутри TLS-соединений, теперь может использоваться комбинация из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
- Расширены сведения о памяти, которую удалось высвободить в режиме "Memory Saver" ("Производительность/ Экономия памяти"), который даёт возможность снизить потребление оперативной памяти за счёт освобождения памяти, занимаемой неактивными вкладками. Вытесненные вкладки теперь помечаются специальным индикатором. Добавлена подсказка с информацией об использовании памяти активными и неактивными вкладками. Оптимизировать интерфейс для добавления исключений, запрещающих вытеснение из памяти вкладок с определёнными сайтами (в настройках теперь можно выбрать, какие из текущих вкладок нельзя вытеснять, а в контекстном меню уже вытесненной вкладки можно запретить применение оптимизации памяти для данного сайта в будущем).
- При включении режима дополнительной защиты браузера (Safe Browsing) обеспечена передача на серверы Google телеметрии с данными о взаимодействии пользователя с браузером. Сбор данных осуществляется с целью анализа действий, совершаемых пользователем на фишинговых сайтах, и для изучения того, как пользователь реагирует на вывод предупреждений о фишинге.
- Для страниц, при отдаче которых для запрета кэширования выставлен HTTP-заголовок "Cache-Control: no-store", по умолчанию задействован кэш перехода (BFCache - Back-forward cache), обеспечивающий переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Исключение составляют только страницы, на которых имеются конфиденциальные данные, такие как поля с данными аутентификации. Для определения причин непопадания страницы в кэш перехода предложен API NotRestoredReason.
- Для централизованно управляемых систем администратору предоставлена возможность задания действия после истечения заданного периода неактивности. Например, когда пользователь долго не взаимодействует с браузером можно автоматически закрыть браузер, очистить Cookie или перейти в интерфейс выбора профиля.
- На системах со свежими обновлениями Windows 11 (начиная с Windows Insider Dev Build 23486) для поддержки технологии Passkey задействована системная библиотека webauthn.dll вместо встроенной в браузер реализации интерфейса. Passkey позволяет пользователю проходить аутентификацию без паролей с использованием биометрических идентификаторов, таких как отпечаток пальца или распознавание лица.
- Движок VaapiVideoDecodeAccelerator, применяемый для оптимизации декодирования видео при помощи VA-API (Video Acceleration API), заменён на обновленную реализацию VaapiVideoDecoder, которая корректно работает только на системах с GPU Intel.
- В CSS функциях circle(), ellipse(), rect(), inset(), xywh(), polygon(), ray() и url() реализована возможность указания траектории движения, позволяющая разработчику при создании анимации явно задать путь движения объекта, относительно его начальной позиции. Кроме анимации движения объекта по определённой траектории обновленные возможности могут применяться, например, для позиционирования с использованием полярных координат.
- В средствах CSS-анимации на основе ключевых кадров реализована поддержка автоматического выставления анимированным элементам значений "display: none" или "content-visibility: hidden" после окончания exit-анимации. Свойства display и content-visibility также могут использоваться в правилах, определяющих состояние ключевых кадров, например, в качестве финальных состояний после применения эффекта плавного исчезновения элементов.
- Добавлен метод AbortSignal.any(), возвращающий сигнал, прерываемый в случае прерывания любого исходного сигнала, что можно использовать в fetch() для комбинирования нескольких прерывающих сигналов, например, AbortSignal.timeout() и AbortController.
- В API Fetch для Response.body добавлена поддержка эффективной прямой передачи бинарных данных из ArrayBuffer в обход внутренних очередей (режим BYOB).
- Добавлен API Document Picture-in-Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
- Для браузерных дополнений добавлен API chrome.sidePanel.open для программного открытия боковой панели. В Service Worker-ах реализована поддержка API WebSocket. В API tabCapture реализована возможность записи звука и видео в фоновом режиме. Добавлен API runtime.getContexts() для получения сведений о контексте, связанном с текущим дополнением.
- Внесены изменения в инструменты для web-разработчиков. Оптимизировано выявление и отладка проблем, связанных с невозможностью загрузить CSS-файлы. Например, в "Sources > Page" теперь показываются только успешно применённые стили, а в web-консоли и в редакторе стилей ("Sources > Editor") добавлены индикаторы и подсказки с информацией об ошибках загрузки стилей через @import, url() и href.
Кроме изменений и исправления ошибок в обновлённой версии устранено 26 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 63 тысячи долларов США (одна премия $30000, две премии $5000, три премии $3000, четыре премии $2000, пять премий $1000 и две премии $500). Размер 4 вознаграждений пока не определён[6].
Chrome 115
20 июля 2023 года компания Google представила релиз web-браузера Chrome 115. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 116 запланирован на 15 августа 2023 года.
Как сообщалось, основные изменения в Chrome 115 коснулись следующего:
- Расширены возможности боковой панели, которые включены для части пользователей и будут активированы для более широкой аудитории в следующем выпуске.
- Реализован режим боковой панели, позволяющий уточнять сведения о содержимом с просматриваемой в данный момент страницы, например, можно отправлять поисковые запросы, просматривать ответы на связанные с текущей страницей вопросы и получать более детальные сведения о сайте (включается через chrome://flags/#side-search).
- Добавлена возможность показа в боковой панели результатов поиска текста, выделенного на основной странице и отправленного в поисковую систему через нажатие "Найти в Google" в контекстном меню (chrome://flags/#search-web-in-side-panel).
- Добавлена поддержка добавления примечаний о сайте. (chrome://flags/#user-notes-side-panel).
- Появилась возможность показа в боковой панели содержимого страницы в режиме чтения, при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются (chrome://flags/#read-anything). Для быстрой активации режима в контекстное меню, показываемое для выделенного фрагмента текста, добавлена ссылка "Открыть в режиме чтения".
- Для небольшой части пользователей (около 1%), в системе которых для разрешения имён применяется DNS-сервер 9.9.9.9 (Quad9) или DNS-серверы провайдера Cox, включено по умолчанию шифрование DNS-трафика, используя DoH (DNS over HTTPS).
- Для некоторых пользователей включён режим HTTPS-First, выполняющий автоматическое перенаправление HTTP-запросов на HTTPS. Если сайт недоступен по HTTPS производится откат на HTTP. На странице "chrome://settings/content/" в секции "Insecure Content" можно отключить данное поведение или настроить список исключений. Для принудительного включения проброса добавлен параметр "chrome://flags#https-upgrades". Автоматический проброс может приводить к проблемам на сайтах, на которых отдаваемое по HTTP и HTTPS содержимое отличается, например, когда включён, но не настроен HTTPS на сервере. Для того чтобы сохранить совместимость с подобными сайтами, но защитить систему от атак, откатывающих HTTPS на HTTP, режим HTTPS-First будет автоматически включаться только, если в истории посещений для текущего сайта зафиксированы прошлые обращения по HTTPS.
- Для части пользователей включена поддержка механизма ECH (Encrypted Client Hello), который продолжает развитие ESNI (Encrypted Server Name Indication) и используется для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). ECH также использует DNS-запись HTTPSSVC вместо записи с типом TXT для передачи информации об открытом ключе и применяет для получения и шифрования ключа аутентифицированное сквозное шифрование на основе механизма HPKE (Hybrid Public Key Encryption). Для управления включением ECH можно использовать параметр "chrome://flags#encrypted-client-hello". На платформах Windows и Linux для работы ECH необходимо, чтобы была активна настройка "Secure DNS".
- В диалог, запрашивающий предоставление полномочий для доступа сайта к данным о местоположении пользователя, камере или микрофону, добавлена возможность открытия доступа только один раз для текущего сеанса, без запоминания выбранного варианта. Для управления показом опции предоставлен параметр "chrome://flags#one-time-permission".
- Для централизованно управляемых конфигураций добавлена настройка ExtensionUnpublishedAvailability, позволяющая блокировать работу дополнений, удалённых из каталога Chrome Web Store.
- В TLS прекращена поддержка согласования соединений с серверами, использующими цифровые подписи на базе хэшей SHA1. Поддержка SHA1 в серверных сертификатах прекращена в 2017 году, клиентские сертификаты на базе SHA1 продолжают поддерживаться.
- Продолжено переключение пользователей на JIT-компилятор Maglev, который нацелен на быструю генерацию высокопроизводительного машинного кода для активно используемого кода на JavaScript. Включение Maglev позволяет оптимизировать прохождение теста производительности Jetstream на 7.5%, а теста Speedometer на 5%.
- Обеспечен показ информации о том сколько памяти удалось высвободить при вытеснении вкладки в режиме "Memory Saver". Режим Memory Saver даёт возможность значительно снизить потребление оперативной памяти за счёт освобождения памяти, занимаемой неактивными вкладками, что позволяет предоставить необходимые ресурсы для обработки просматриваемых в текущий момент сайтов в ситуациях, когда в системе параллельно выполняются другие приложения, интенсивно потребляющие память. При переходе к вытесненным из памяти неактивным вкладкам, их содержимое загружается автоматически. Режим включается в настройках "Производительность/ Экономия памяти". Дополнительно проводится тестирование эвристического режима вытеснения вкладок ("chrome://flags/#heuristic-memory-saver-mode"), учитывающего разные факторы для выбора вытесняемой вкладки.
- Расширена поддержка анимации, привязанной к прокрутке контента (Scroll-driven Animation), при помощи которой, например, можно создавать индикаторы для наглядного представления позиции на странице или добавлять эффекты, меняющие содержимое при появлении в зоне видимости во время прокрутки. Для использования доступно два режима "ScrollTimeline" для привязки к позиции прокрутки относительно оси координат и "ViewTimeline" для привязки к относительному смещению отображения отдельных элементов содержимого в области прокрутки. По умолчанию при прикреплении анимации к элементу продолжает использоваться временная шкала "DocumentTimeline", использующая таймер, который начинает увеличиваться после загрузки страницы.
- В рамках инициативы Privacy Sandbox реализована поддержка HTML-элемента "fencedframe". Данный элемент напоминает "iframe" и также позволяет встраивать стороннее содержимое на страницу. Отличия сводятся к ограничению взаимодействия встроенного содержимого с содержимым страницы на уровне DOM и атрибутов. Например, страница news.example, в которую при помощи fencedframe встроен блок с рекламой, загружаемый с сайта shoes.example, не может получить доступ к данным shoes.example, а в свою очередь код с сайта shoes.example не может получить данные, связанные с news.example.
- Добавлен API Topics для определения категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
- Максимальный размер модуля WebAssembly, который может быть скомпилирован конструктором WebAssembly.Module() в основном потоке в синхронном режиме (может блокировать поток), увеличен до 8 МБ. Если размер модуля превышает 8 МБ в основном потоке конструктор может выполнять компиляцию только в асинхронном режиме с использованием метода WebAssembly.compile() или в синхронном режиме в отдельном worker-е. Ранее использовался лимит в 4 КБ, который изменён с учётом недавней оптимизации WebAssembly runtime и оценки производительности компиляции на смартфоне Google Pixel 1.
- В WebGPU добавлена экспериментальная поддержка Direct3D 11 (--use-webgpu-adapter=d3d11), реализован API wgslLanguageFeatures для получения списка поддерживаемых в GPU расширений WGSL, добавлена возможность сброса вершинного буфера через указание значения null при вызове setVertexBuffer().
- В CSS-свойстве "display" разрешено указание одновременно нескольких ключевых слов. Например, можно указывать "display: inline flex;", которое будет эквивалентно ранее доступному предопределённому сводному ключевому слову "inline-flex".
- Добавлена возможность указания в CSS-запросах style() только имени свойства, без детализации значения, что приведёт к охвату всех значений, отличающихся от исходных. Например, теперь можно указывать "style(--my-property)" вместо "style(--my-property: initial)".
- В режиме "origin trial" добавлена поддержка API Compute Pressure, позволяющего получить информацию о текущем состоянии аппаратного обеспечения, например, в общих чертах можно получить сведения о создаваемой нагрузке на CPU (указываются уровни: минимальная нагрузка с включением энергосбережения; допустимая нагрузка, позволяющая без проблем запускать дополнительные задания; высокая нагрузка, но в предельно допустимых значениях и не мешающая работе системы; критическая нагрузка, близкая к исчерпанию ресурсов).
- В режиме "origin trial" добавлены комментарии-подсказки, позволяющие прикрепить к функциям информацию о том, что они должны быть разобраны и скомпилированы в первую очередь.
- Внесены изменения в инструменты для web-разработчиков. Добавлена экспериментальная поддержка инспектирования вложенных CSS grid (subgrid). Обеспечен вывод подсказки со значениями собственных CSS-свойств. Реализована подсветка синтаксиса CSS-файлов в форматах SASS, SCSS и LESS. Добавлена комбинация "Ctrl+клик мышью на номере строки в редакторе кода" для быстрой установки условных точек останова.
Кроме изменений и исправления ошибок в обновленной версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 11 премий на сумму 34 тысячи долларов США (две премии $7000, две премии $5000, четыре премии $2000 и две премии $1000)[7].
Chrome 111
8 марта 2023 года стало известно о том, что компания Google представила релиз web-браузера Chrome 111. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 112 запланирован на 4 апреля 2023 года.
Как сообщалось, основные изменения в Chrome 111 коснулись следующего:
- Обновлены элементы интерфейса, связанные с инициативой Privacy Sandbox и позволяющие определять категории интересов пользователя и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей. В обновленной версии добавлен диалог, рассказывающий пользователям о возможностях Privacy Sandbox и перенаправляющий на страницу с настройками, на которой можно настроить передаваемую рекламным сетям информацию.
- Предложен обновленный диалог с информацией о включении возможности синхронизации между браузерами настроек, истории, закладок, базы автодополнения и других данных.
- На платформах Linux и Android операции определения имён в DNS вынесены из отдельного сетевого процесса в не изолированный процесс браузера, так как при работе с системным резолвером нельзя реализовать некоторые sandbox-ограничения, применяемые для других сетевых сервисов (их-за этого приходилось отключать sandbox-изоляцию процесса с сетевыми сервисами в Linux и Android).
- Добавлена поддержка автоматического входа пользователей в сервисы идентификации Microsoft (Azure AD SSO), используя информацию об учётной записи из Microsoft Windows.
- В механизме обновления Chrome в Windows и macOS обеспечена обработка обновлений для 12 последних версий браузера.
- Для использования API Payment Handler, который оптимизирует интеграцию с существующими платёжными системами, теперь требуется явное определение источника загружаемых данных через указание в CSP-параметре connect-src (Content-Security-Policy) доменов, к которым отправляются запросы.
- Удалён API PPB_VideoDecoder(Dev), который потерял актуальность после прекращения поддержки Adobe Flash.
- Добавлен API View Transitions, оптимизирующий создание переходных анимационных эффектов между разными состояниями DOM (например, плавный переход от одного изображения к другому).
- В CSS-запрос "@container" добавлена поддержка функции style() для применения стилей в зависимости от вычисленных значений пользовательских свойств родительского элемента.
- В CSS добавлены тригонометрические функции sin(), cos(), tan(), asin(), acos(), atan() и atan2().
- Добавлен экспериментальный (origin trial) API Document Picture in Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через обновленный API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
- Предоставлена возможность увеличения или уменьшения размера ArrayBuffer, а также увеличения размера SharedArrayBuffer.
- В WebRTC реализована поддержка расширений SVC (Scalable Video Coding) для адаптации видеопотока под пропускную способность клиента и передачи в одном потоке нескольких видеопотоков разного качества.
- В API Media Session добавлены действия "previousslide" и "nextslide" для организации навигации между прошлым и следующим слайдами.
- Добавлен синтаксис псевдо-классов ":nth-child(an + b)" и ":nth-last-child()", допускающий получение селектора для предварительной фильтрации дочерних элементов перед выполнения с ними основной логики выбора "An+B".
- В CSS добавлены единицы измерения размера шрифтов корневого элемента: rex, rch, ric и rlh.
- Реализована полная поддержка спецификации CSS Color Level 4, включая поддержку семи цветовых палитр (sRGB, RGB 98, Display p3, Rec2020, ProPhoto, CIE и HVS) и 12 цветовых пространств (sRGB Linear, LCH, okLCH, LAB, okLAB, Display p3, Rec2020, a98 RGB, ProPhoto RGB, XYZ, XYZ d50, XYZ d65), помимо ранее поддерживаемых цветов форматов Hex, RGB, HSL и HWB. Предоставлена возможность использования собственных цветовых пространств для анимации и градиентов.
- В CSS добавлена функция color(), которую можно использовать для определения цвета в любом цветовом пространстве, в котором цвета задаются при помощи каналов R, G и B.
- Добавлена функция color-mix(), определённая в спецификации CSS Color 5 и позволяющая смешивать цвета в любых цветовых пространствах на основании заданного процента (например, для добавления 10% синего к белому можно указать "color-mix(in srgb, blue 10%, white);").
- Внесены изменения в инструменты для web-разработчиков. В панель Styles добавлена поддержка спецификации CSS Color Level 4 и предложенных в ней дополнительных цветовых пространств и палитр. В инструменте определения цвета произвольных пикселей ("пипетка") добавлена поддержка дополнительных цветовых пространств и возможность преобразования между разными форматами задания цветов. В отладчике JavaScript переработана панель управления точками останова.
Кроме изменений и исправления ошибок в данной версии устранено 40 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 92 тысячи долларов США (по одной премии в $15000 и $4000, по две премии в $10000 и $700, по три премии $5000, $2000 и $1000, пять премий $3000)[8].
Chrome 110
9 февраля 2023 года стало известно о том, что компания Google представила релиз web-браузера Chrome 110. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 111 запланирован на 7 марта 2023 года.
Как сообщалось, основные изменения в Chrome 110 коснулись следующего:
- Реализована опциональная возможность использования биометрической аутентификации перед каждым автоматическим заполнением полей с паролями.
- Для обособленных web-приложений реализована предлагаемая по умолчанию страница, показываемая в случае проблем с доступом к сети, если разработчики web-приложения не предусмотрели возможность работы в режиме offline.
- Обновлена реализация режима работы без вывода на экран (headless), который позволяет запускать браузер на системах без монитора и графической подсистемы, например, на серверах. Режим позволяет автоматически выполнять работы, требующие наличия полноценного web-браузера, например, можно автоматизировать настройку систем через web-интерфейсы, извлекать web-страницы и создавать собственные сервисы отрисовки web-содержимого. Обновленная реализация приближена к штатному режиму работы Chrome и поддерживает такие расширенные возможности, как учёт корпоративных политик.
- При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализован сбор телеметрии об Сookie, запрашиваемых дополнениями, с целью выявления на стороне Google вредоносной активности в дополнениях и нецелевого доступа к передаваемым через Cookie идентификаторам. Кроме того, в обновленной версии на платформе Android обеспечена синхронизация белого списка для режимов "Enhanced Safe Browsing" и "Make Browsing Better" с использованием штатного компонента доставки обновлений.
- Оптимизирован процесс смены пароля в случае выявления компрометации пользовательской базы на текущем сайте. В инструменте проверки паролей расширена база ссылок на формы смены паролей различных сайтов (теперь можно сразу перейти к смене пароля из уведомления о компрометации сайта).
- Активирована шестая стадия урезания информации в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform, реализуемая с целью сокращения информации, которая может использоваться для пассивной идентификации пользователя. В Chrome 110 сокращена выводимая в строке User-Agent информация о платформе Android (например, было "Android 9; SM-A205U", станет "Android 9; S").
- На странице "chrome://settings/language" предложены расширенные настройки перевода, позволяющие выбрать текущий целевой язык, языки для которых не нужно выполнять перевод и языки для которых всегда следует выполнять перевод.
- В CSS предложен псевдо-класс ":picture-in-picture", при помощи которого можно изменить оформление элементов интерфейса для просмотра видео в режиме "картинка в картинке".
- В манифесте обособленных web-приложений реализована поддержка блока launch_handler, при помощи которого можно управлять поведением при запуске web-приложения, например, открытием в отдельном или существующем окне.
- В элемент iframe добавлен атрибут "credentialless", позволяющий организовать встраивание через iframe стороннего контента, который будет обработан в изолированном от основного сайта окружении с пустыми Cookie и отдельными хранилищами, такими как LocalStorage и CacheStorage. Атрибут в iframe позволяет обойтись без выставления на сайте заголовка COEP (Cross-Origin Embedder Policy).
- Добавлено CSS-свойство initial-letter для задания размера и смещения на соседние строки начальных букв в абзацах.
- В API FileSystemHandle добавлен метод remove() для удаления файлов по файловому дескриптору, связанному с файлом, выбранным пользователем в диалоге showSaveFilePicker (речь ведётся не об удалении произвольных файлов, а о ситуации, когда пользователь выбрал в диалоге сохранения имя файла, web-приложение сохранило файл, но потом потребовалось удалить этот сохранённый файл).
- Добавлен метод AudioContext.setSinkId(), через который можно выбрать устройство для вывода звука, например, когда пользователю необходимо перенаправить звук на подключённое внешнее устройство.
- При обработке URL по аналогии с Firefox и Safari задействован утверждённый режим обработки интернационализированных имён в URL (IDNA 2008), который отличается от переходного временного режима тем, что в переходном режиме символ ß отражается в ss, ς в σ, а пустые разделители ZWJ и ZWNJ удаляются. Использование разных режимов, например, приводило к тому, что при обращении к домену faß.de в Firefox и Chrome открывались разные сайты.
- Прекращена поддержка операционных систем Windows 7/8/8.1, а также частично прекращена поддержка выпусков Windows Server 2012 и 2012 R2, для которых до 10 октября 2023 года предусмотрена возможность формирования обновлений с устранением критических уязвимостей.
- С целью защиты от проведения MITM-атак запрещена обработка запросов WebAuthn на сайтах, имеющих проблемы с TLS-сертификатами.
- Полностью блокирована возможность использования API WebSQL, независимо от контекста (ранее использование WebSQL было запрещено только в скриптах, загруженных не с текущего сайта). Вместо WebSQL рекомендуется использовать API Web Storage и Indexed Database. Обработчик WebSQL основан на коде библиотеки SQLite. Поддержка WebSQL прекращена, так как данный API не поддерживался в других браузерах, привязывался к API внешней библиотеки и повышал риски проблем с безопасностью (WebSQL мог использоваться злоумышленниками для эксплуатации уязвимостей в SQLite).
- Удалён API управления квотами window.webkitStorageInfo, который числился устаревшим с 2013 года и был заменён на стандартизированный API StorageManager.
- Внесены изменения в инструменты для web-разработчиков. Обеспечена очистка содержимого панели Performance при нажатии на кнопку перезагрузки страницы. В Recorder реализована подсветка кода, связанного с текущим этапом выполнения, предоставлена возможность редактирования содержимого не прерывая записи и добавлена возможность записи только определённых типов селекторов. В web-консоли расширены возможности автодополнения ввода. В панели Sources по умолчанию включён режим наглядного форматирования (pretty print) минифицированного JavaScript-кода и оптимизирована подсветка структур Vue, JSX, Dart, LESS, SCSS, SASS и inline CSS.
Кроме изменений и исправления ошибок в версии устранено 15 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 26.5 тысяч долларов США (по одной премии в $7000, $4000 и $1500, по две премии $3000 и $1000, три премии $2000).
Chrome 109
11 января 2023 года стало известно о том, что компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля 2023 года.
Как сообщалось, основные изменения в Chrome 109 коснулись следующего:
- Возвращена поддержка языка разметки MathML Core (Mathematical Markup Language) для определения математических формул, встраиваемых в документы HTML и SVG (MathML был удалён из движка Blink в 2013 году). Для настройки специфичного для MathML стиля предложены CSS-свойства math-style, math-depth и math-shift, а также значение "math" для свойств "display", значение math-auto для свойства text-transform и имя "math" для свойства "font-family". Для манипуляции MathML из JavaScript предложен интерфейс MathMLElement.
- Реализован встроенный в адресную строку индикатор подтверждения полномочий, который показывается вместо пиктограммы с замком в течение 4 секунд после подтверждения или отклонения пользователем полномочий, запрошенных сайтом. Индикатор позволяет убедиться, что сделан верный выбор и при необходимости перейти к редактированию полномочий.
- На страницу, показываемую при открытии вкладки, в поисковую строку добавлена пиктограмма с камерой для поиска по изображению при помощи сервиса Google Lens. Изображение для поиска может быть указано как в форме URL, так и в виде локального файла.
- Предложен многоплатформенный движок установки обновлений, в котором оптимизирована производительность и надёжность.
При использовании на системе пользователя резолвера на базе DNS-провайдера Cox обеспечено автоматическое включение режима "DNS поверх HTTPS" (DoH, DNS over HTTPS).
- В режиме Safe Browsing при сканировании файлов на наличие вредоносного кода обеспечена распаковка архивов в формате 7z (ранее поддерживались только zip и rar).
- В рамках инициативы Privacy Sandbox реализован учёт использования сайтами Web API с целью выявления типовых сценариев косвенной идентификации (fingerprinting) пользователя.
- Добавлена страница "About this page" с информацией о странице, используемых источниках и тематике сайта.
- Добавлен вывод детальных предупреждений о загрузке опасного содержимого. Например, при определении, что загружаемый файл потенциально может привести к утечке информации пользователя, вместо общего уведомления о блокировке опасного содержимого теперь будет уточнено, что речь о вредоносном ПО для кражи персональных данных.
- На странице "chrome://settings/language" предложены расширенные настройки перевода, позволяющие выбрать текущий целевой язык, языки для которых не нужно выполнять перевод и языки для которых всегда следует выполнять перевод.
- Отключена возможность выполнения специализированных web-приложений Chrome Apps, на смену которым пришли обособленные web-приложения на базе технологии Progressive Web Apps (PWA) и стандартных Web API. Изначально Google объявил о намерении отказаться от Chrome Apps ещё 2016 году и планировал прекратить их поддержку до 2018 года, но потом отложил данный план.
- Добавлен API OPFS (Origin-Private FileSystem), представляющий собой расширение к API File System Access для размещения файлов в локальной ФС, привязанных к хранилищу, ассоциированному с текущим сайтом. Создаётся своеобразная привязанная к сайту виртуальная ФС (другие сайты не могут получить доступ), позволяющая web-приложениям читать, изменять и сохранять файлы и каталоги на устройстве пользователя, API HTMLElement.offsetParent, HTMLElement.offsetTop и HTMLElement.offsetLeft приведены к поведению Firefox и Safari, при использовании Shadow DOM.
- Изменено поведение генерации событий мыши - клик на элемент формы с атрибутом "disabled" теперь будет приводить к формированию других событий, включая события mousemove, mouseenter, mouseleave и mouseover, а отправка событий click, mouseup и mousedown для некоторых родительских обработчиков будет ограничена.
- При проверке заголовка Access-Control-Allow-Methods осуществлён переход на использование проверки с учётом регистра символов (автоматическое преобразование метода запроса в верхний регистр прекращено). Изменение не влияет на методы post и put, которые нормализуются в соответствии с требованиями спецификации.
- В версии для Android реализована поддержка API Secure Payment Confirmation, предоставляющего инструменты для дополнительного подтверждения совершаемой платёжной операции.
- Добавлены возможности, нацеленные на оптимизацию предоставления совместного доступа к экрану. Добавлен API Conditional Focus, добавляющий в getDisplayMedia() объект CaptureController, при помощи которого приложение, осуществляющее захват окна или вкладки, может управлять переводом фокуса на транслируемое окно или вкладку. Также добавлено свойство MediaTrackSupportedConstraints.suppressLocalAudioPlayback, позволяющее управлять тем, будет ли выводиться на локально подключённые колонки звук, воспроизводимый во вкладке, или будет только транслироваться на внешнюю систему, используемую, например, при показе презентации на конференции.
- Прекращена поддержка нестандартного API Event.path, вместо которого следует использовать метод Event.composedPath().
- Расширена поддержка спекулятивных правил (Speculation rules), позволяющих авторам сайтов передать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц. В Chrome 109 разрешено применение API Speculation Rules для организации упреждающей отрисовки ресурсов с других доменов (cross-origin) при условии подтверждения учётных данных и доступа к хранилищу, а также активации с помощью заголовка "Supports-Loading-Mode: credentialed-prerender".
- В поддерживаемых CSS-правилом @font-face параметрах font-weight, font-style и font-stretch разрешено указания значения "auto", определяющего начальные значения стиля вариативных шрифтов.
- В CSS добавлена единица измерения "lh", соответствующая вычисленному значению свойства line-height для элемента с которым оно используется. Например, при помощи "lh" для блока textarea можно выставить высоту, эквивалентную определённому числу строк текста.
- Добавлено CSS-свойство "hyphenate-limit-chars", которое можно использовать для указания минимального числа символов в частях слова, разделённых при переносе конца слова на другую строку.
- Поведение движка Blink приближено к движкам Gecko и WebKit при расчёте ширины границы и контура перед отрисовкой. Ранее при использовании нецелых значений ширины границы из-за округления мог возникать заметный однопиксельный разрыв между границей родительского элемента и фоном дочернего элемента (например, если свойство border-width было выставлено в 10.75px, оно округлялось во время отрисовки до 10px, а во время обработки макета до 11px).
- Решена проблема с низкой скоростью прокрутки в Linux при использовании Wayland.
- Внесены изменения в инструменты для web-разработчиков. Оптимизирован отладчик JavaScript, в котором реализована деобфускация имён переменных в Generator и async-функциях, добавлено свойство new.target для определения вызова функции или конструктора при помощи оператора new, добавлен объект WeakRef для удержания ссылки на другой объект, чтобы он не был вытеснен сборщиком мусора. В панели Styles добавлены подсказки для неактивных CSS-свойств inline height/width, flex и grid. В панели Performance обеспечен вывод нормальных имён функций, определённых через sourcemap.
Кроме изменений и исправления ошибок в данной версии устранено 17 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 14 премий на сумму 39 тысяч долларов США (по одной премии в $8000, $5000 и $4000, по три премии в $3000 и $2000, по две премии в $2500 и $1000). Размер одного вознаграждения пока не определён[9].
2022
Chrome 108
30 ноября 2022 года стало известно о том, что компания Google представила релиз web-браузера Chrome 108. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 109 запланирован на 10 января 2023 года.
Как сообщалось, основные изменения в Chrome 108 коснулись следующего:
- Изменено оформление диалога управления Cookie и данными сайтов (вызывается через ссылку Файлы Cookie после нажатия на замок в адресной строке). Диалог оптимизирован и теперь отображает информацию с разбивкой на сайты.
- Предложены два режима оптимизации работы браузера - Экономия памяти (Memory Saver) и Экономия энергии (Energy Saver), которые предложены в настройках производительности (Settings > Performance). Режимы пока доступны только на платформах ChromeOS, Windows и macOS.
- В менеджере паролей предоставлена возможность прикрепления примечания к каждому сохранённому паролю. Как и пароль примечание показывается на отдельной странице только после прохождения аутентификации.
- В версии для Linux по умолчанию задействован встроенный DNS-клиент, который ранее использовался только в версиях для Windows, macOS, Android и ChromeOS.
- На платформе Windows при установке Chrome в панели задач теперь автоматически закрепляется ярлык для запуска браузера.
- Добавлена возможность отслеживания изменения цен на избранные товары в некоторых интернет-магазинах (Shopping List). При снижении цены пользователю направляется уведомление или e-mail (в Gmail). Добавление товара для отслеживания осуществляется через нажатие кнопки "Track price" в адресной строке при нахождении на странице товара. Отслеживаемые товары сохраняются вместе с закладками. Функция доступна только пользователям с активной учётной записью в Google, при включении синхронизации и активации сервиса "Web & App Activity".
- Включена возможность просмотра результатов поиска в боковой панели одновременно с просмотром другой страницы (в одном окне одновременно можно видеть как содержимое страницы, так и результат обращения к поисковой системе). После перехода на какой-то сайт со страницы с результатами поиска в Google перед полем ввода в адресной строке появляется пиктограмма с буквой "G", при клике на которую открывается боковая панель с результатами ранее предпринятого поиска.
- В API File System Access, позволяющее web-приложениям читать и записывать данные напрямую в файлы и каталоги на устройстве пользователя, методы getSize(), truncate(), flush() и close() в объекте FileSystemSyncAccessHandle переведены из асинхронной в синхронную модель выполнения, по аналогии с методами read() и write(). Изменение позволило предоставить полностью синхронно работающий API FileSystemSyncAccessHandle, позволяющий поднять производительность приложений на базе WebAssembly (WASM).
- Добавлена поддержка дополнительных размеров видимой области (viewport) - "small" (s), "large" (l) и "dynamic" (d), а также связанных с данными размерами единиц измерения - "*vi" (vi, svi, lvi и dvi), "*vb" (vb, svb, lvb и dvb), "*vh" (svh, lvh, dvh), "*vw" (svw, lvw, dvw), "*vmax" (svmax, lvmax, dvmax) и "*vmin" (svmin, lvmin и dvmin). Предложенные единицы измерения позволяют привязывать размер элементов к наименьшему, наибольшему и динамическому размеру видимой области в процентном соотношении (размер меняется в зависимости от показа, скрытия и состояния панели инструментов).
- Включена поддержка вариативных цветных векторных шрифтов в формате COLRv1 (подмножество шрифтов OpenType, содержащих помимо векторных глифов слой c информацией о цвете).
- Для проверки поддержки цветных шрифтов в CSS-правила @supports добавлены функции font-tech() и font-format(), а в CSS-правила @font-face добавлена функция tech().
- Предложен API Federated Credential Management (FedCM), позволяющий создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie.
- Предоставлена возможность применения уже существующего CSS-свойства "overflow" к заменённым элементам, выводимым за границей содержимого, что в сочетании со свойством object-view-box можно использовать для создания изображений с собственной тенью.
- Добавлены CSS-свойства break-before, break-after и break-inside, позволяющие настроить поведение разрывов при фрагментированном выводе в разрезе отдельных страниц, столбцов и областей. Например, "figure { break-inside: avoid;}" запретит разрывать страницу внутри рисунка.
- В CSS-свойствах align-items, justify-items, align-self и justify-self предоставлена возможность использования значения "last baseline" для выравнивания в привязке к последней опорной линии в раскладке flex или grid.
- Добавлено событие ContentVisibilityAutoStateChanged, генерируемое для элементов со свойством "content-visibility: auto" при изменении состояния отрисовки элемента.
- Предоставлена возможность доступа к API Media Source Extensions в контексте worker-ов, что можно использовать, например, для оптимизации производительности буферизированного воспроизведения мультимедийных данных через создание объекта MediaSource в отдельном worker-е и трансляцию результатов его работы в HTMLMediaElement в основном потоке.
- В HTTP-заголовке Permissions-Policy, применяемом для делегирования полномочий и включения расширенных возможностей, разрешено использование масок.
- Удалены устаревшие API window.defaultStatus, window.defaultstatus, ImageDecoderInit.premultiplyAlpha, navigateEvent.restoreScroll(), navigateEvent.transitionWhile().
- Внесены изменения в инструменты для web-разработчиков. В панели Styles добавлены подсказки для неактивных CSS-свойств. В панели Recorder реализовано автоматическое определение селекторов XPath и text. В отладчике предоставлена возможность пошагового прохода по разделённым запятой выражениям. Расширены настройки "Settings > Ignore List".
Кроме изменений и исправления ошибок в данной версии устранено 28 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 74 тысячи долларов США (по одной премии в $15000, $11000 и $6000, пять премий $5000, три премии по $3000 и $2000, две премии $1000). Размер 6 вознаграждений пока не определён[10].
Chrome 107
26 октября 2022 года стало известно о том, что компания Google представила релиз web-браузера Chrome 107. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 108 запланирован на 29 ноября 2022 года.
По информации компании основные изменения в Chrome 107 включают следующее:
- Добавлена поддержка механизма ECH (Encrypted Client Hello), который продолжает развитие ESNI (Encrypted Server Name Indication) и используется для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). ECH также использует DNS-запись HTTPSSVC вместо записи с типом TXT для передачи информации об открытом ключе и применяет для получения и шифрования ключа аутентифицированное сквозное шифрование на основе механизма HPKE (Hybrid Public Key Encryption). Для управления включением ECH предложена настройка "chrome://flags#encrypted-client-hello".
- Включена поддержка аппаратного ускорения декодирования видео в формате H.265 (HEVC).
- Активирована пятая стадия урезания информации в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform, реализуемая с целью сокращения информации, которая может использоваться для пассивной идентификации пользователя. В Chrome 107 в строке User-Agent сокращена информация о платформе и процессоре для пользователей настольных систем, а также заморожено содержимое JavaScript-параметра navigator.platform. Изменение заметно только в версиях для платформы Windows, для которой конкретная версия платформы заменена на "Windows NT 10.0". В Linux содержимое платформы в User-Agent не изменилось.
- Ранее составляющие версию браузера цифры MINOR.BUILD.PATCH были заменены на 0.0.0. В дальнейшем в заголовке планируется оставить только сведения о названии браузера, значительной версии браузера, платформе и типе устройства (мобильный телефон, ПК, планшет). Для получения дополнительных данных, таких как точная версия и расширенные данные о платформе, необходимо использовать API User Agent Client Hints. Для сайтов, которым информации недостаточно и которые ещё не готовы перейти на User Agent Client Hints, до мая 2023 года предоставлена возможность возвращения полного User-Agent.
- В версии для Android прекращена поддержка платформы Android 6.0, для работы браузера теперь требуется как минимум версия Android 7.0.
- Изменено оформление интерфейса для отслеживания состояния загрузок. Вместо нижней строки с данными о ходе загрузки в панель с адресной строкой добавлен индикатор, при клике на который показывается прогресс загрузки файлов и история со списком уже загруженных файлов. В отличие от нижней панели, кнопка постоянно показывается на панели и позволяет быстро обратиться к истории загрузок. Обновленный интерфейс пока предложен по умолчанию только части пользователей и будет распространён на всех в случае отсутствия проблем.
- Для пользователей настольных систем предоставлена возможность импорта паролей, сохранённых в файле в формате CSV. Ранее пароли из файла в браузер можно было перенести только через сервис passwords.google.com, а теперь это можно сделать и через встроенный в браузер менеджер паролей (Google Password Manager).
- После создания пользователем профиля обеспечен вывод приглашения, предлагающего включить синхронизацию и перейти к настройкам, через которые можно изменить имя профиля и выбрать цветовую тему.
- В версии для платформы Android предложен обновленный интерфейс для выбора мультимедийных файлов для загрузки фотографий и видео (вместо собственной реализации задействован штатный интерфейс Android Media Picker).
- Обеспечен автоматический отзыв разрешения на вывод уведомлений для сайтов, уличённых в отправке мешающих пользователю уведомлений и сообщений. Более того, для подобных сайтов приостановлен вывод запросов на получение полномочий для отправки уведомлений.
- В API Screen Capture добавлены свойства, связанные с совместным доступом к экрану - selfBrowserSurface (позволяет исключить текущую вкладку при вызове getDisplayMedia()), surfaceSwitching (позволяет скрыть кнопку для переключения вкладок) и displaySurface (даёт возможность ограничить предоставление совместного доступа вкладкой, окном или экраном).
- В API Performance добавлено свойство renderBlockingStatus для определения ресурсов, из-за которых отрисовка страницы приостановлена до завершения их загрузки.
- В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько дополнительных API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
- Декларативный API PendingBeacon, позволяющий управлять отправкой на сервер данных, не требующих ответа (beacon). Обновленный API позволяет делегировать отправку подобных данных браузеру, без необходимости вызова операций отправки в определённое время, например, для организации передачи телеметрии после закрытия пользователем страницы.
- В HTTP-заголовок Permissions-Policy (Feature Policy), применяемый для делегирования полномочий и включения расширенных возможностей, добавлена поддержка значения "unload", при помощи которого можно отключить обработчики события "unload" на странице.
- В тег <form> добавлена поддержка атрибута "rel", который позволяет применять к навигации через web-формы параметр "rel=noreferrer" для отключения передачи заголовка Referer или "rel=noopener" для отключения выставления свойства Window.opener и запрета доступа к контексту из которого был выполнен переход.
- В CSS Grid добавлена поддержка интерполяции свойств grid-template-columns и grid-template-rows для организации плавного перехода между разными состояниями сетки.
- Внесены изменения в инструменты для web-разработчиков. Добавлена возможность настройки горячих клавиш. Оптимизировано инспектирование памяти объектов приложений C/C++, преобразованных в формат WebAssembly.
Кроме изменений и исправления ошибок в данной версии устранено 14 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 57 тысяч долларов США (по одной премии в $20000, $17000 и $7000, две премии $3000, три премии $2000 и одна премия $1000). Размер одного вознаграждения пока не определён[11].
Отключение поддержки Windows 7
25 октября 2022 года стало известно о том, что Google готовится прекратить поддержку операционной системы Windows 7 в своем браузере Chrome. Подробнее здесь.
Внедрение технологии Passkeys
Google объявил о внедрении технологии Passkeys – стандарта аутентификации последнего поколения, в Android и Chrome. Об этом стало известно 13 октября 2022 года. По словам экспертов, эта технология должна надежно защитить пользователей от фишинговых и хакерских атак, так как Passkeys нельзя перехватить и/или использовать повторно.
Данный стандарт аутентификации был разработан альянсом FIDO при поддержке Apple и Microsoft. Его задача – заменить логины и пароли цифровыми ключами, а также упростить пользователям жизнь, избавив их от необходимости запоминать учетные данные.
Чтобы использовать Passkeys, достаточно просто подтвердить информацию об учетной записи, после чего можно входить в различные онлайн сервисы по биометрии или ключа доступа, хранящегося на устройстве.
Одним из самых жирных плюсов данного стандарта аутентификации является то, что его можно использовать для авторизации на другом устройстве. Например, со смартфона на Android можно войти на веб-сайт в Safari на iOS или MacOS, если он поддерживает Passkeys.
Еще одним плюсом технологии является ее безопасность. Согласно заявлениям Google, все сгенерированные ключи доступа надежно хранятся в облаке и синхронизируются в нем с помощью Google Password Manager, что поможет предотвратить потерю доступа к сайтам и сервисам в случае потери основного устройства.
Также в заявлении было сказано, что разработчики могут начать интегрировать Passkeys на своих сайтах, используя API WebAuthn. К слову об API: уже в 2022 году Google также выпустит API для нативных Android-приложений, чтобы они могли использовать новую технологию[12].
Обнаружение утечки паролей из полей с предпросмотром скрытого ввода
В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor. Об этом стало известно 18 сентября 2022 года.
Оказалось, что текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные, в том числе из полей, содержащих имена пользователей, адреса, email, паспортные данные и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом "<input type=password>". Например, проблема приводит к отправке на сервер googleapis.com паролей в случае включения опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook (признана экстремистской организацией и запрещена в России), Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.
В AWS и LastPass проблема уже оперативно решена через добавление параметра "spellcheck=false" в тег "input". Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция "Languages/Spell check/Enhanced spell check" или "Языки/Проверка правописания/Расширенная проверка", по умолчанию расширенная проверка отключена).
Chrome 105
1 сентября 2022 года стало известно о том, что компания Google представила релиз web-браузера Chrome 105. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 106 запланирован на 27 сентября 2022 года.
Как сообщалось, основные изменения в Chrome 105 коснулись следующего:
- Прекращена поддержка специализированных web-приложений Chrome Apps, на смену которым пришли обособленные web-приложения на базе технологии Progressive Web Apps (PWA) и стандартных Web API. Изначально Google объявил о намерении отказаться от Chrome Apps ещё 2016 году и планировал прекратить их поддержку до 2018 года, но потом отложил данный план. В Chrome 105 при попытке установки приложений Chrome Apps будет выводиться предупреждение о прекращении их поддержки, но сами приложения продолжат запускаться. В Chrome 109 возможность выполнения Chrome Apps будет отключена.
- Обеспечена дополнительная изоляция процесса "renderer", отвечающего за отрисовку. Данный процесс теперь выполняется в дополнительном контейнере (App Container), реализованном поверх существующей системы sandbox-изоляции. В случае эксплуатации уязвимости в коде отрисовки добавленные ограничения не позволят атакующему получить доступ к сети, благодаря запрету обращения к связанным с сетевыми возможностями системным вызовам.
- Реализовано собственное унифицированное хранилище корневых сертификатов удостоверяющих центров (Chrome Root Store). Обновленное хранилище пока не включено по умолчанию и до окончания внедрения сертификаты продолжать проверяться с использованием специфичного для каждой операционной системы хранилища. Тестируемое решение напоминает подход компании Mozilla, которая поддерживает отдельное независимое хранилище корневых сертификатов для Firefox, используемое в качестве первого звена для проверки цепочки доверия сертификатов при открытии сайтов по HTTPS.
- Началась подготовка к прекращению поддержки API Web SQL, который не стандартизирован, почти не используется и требует переработки для соответствия современным требованиям к безопасности. В Chrome 105 запрещено обращение к Web SQL из кода, загруженного без использования HTTPS, а также добавлен вывод в DevTools предупреждения об устаревании технологии. В 2023 году API Web SQL планируют удалить. Для разработчиков, которым необходима подобная функциональность, будет подготовлена замена на базе WebAssembly.
- В Chrome sync прекращена поддержка синхронизации с Chrome 73 и более ранними выпусками.
- Для платформ macOS и Windows активирован встроенный просмотрщик сертификатов, который заменил вызов интерфейса предоставляемого операционной системой. Раньше встроенный просмотрщик использовался только в сборках для Linux и ChromeOS.
- В версию для платформы Android добавлены настройки для управления API "Topics & Interest Group", продвигаемого в рамках инициативы Privacy Sandbox и позволяющего определять категории интересов пользователя и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей. В прошлом выпуске подобные настройки были добавлены в версии для Linux, ChromeOS, macOS и Windows.
- При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализован сбор телеметрии об установленных дополнениях, обращении к API и соединении с внешними сайтами. Указанные данные используются на серверах Google для выявления вредоносной активности и нарушения правил браузерными дополнениями.
- Переведена в категорию устаревших и будет блокирована в выпуске Chrome 106 возможность использования не-ASCII символов в доменах, указываемых в заголовке Cookie (для IDN-доменов следует указывать домены в формате punycode). Изменение приведёт браузер в соответствие с требованиями RFC 6265bis и поведением, реализованным в Firefox.
- Предложен API Custom Highlight, предназначенный для произвольного изменения стиля выделенных областей текста и позволяющий не ограничиваться предоставляемым браузером фиксированным стилем для выделенных областей (::selection, ::inactive-selection) и подсветки синтаксических ошибок (::spelling-error, ::grammar-error). В первом варианте API предоставлена поддержка изменения цвета текста и фона при помощи псевдоэлементов color и background-color, но в дальнейшем будут добавлены и другие возможности настройки стиля.
- В качестве примера задач, которые можно решить при помощи обновленного API, упоминается добавление в web-фреймворки, предоставляющие инструменты для редактирования текста, собственных механизмов выделения текста, разного выделения при одновременном совместном редактировании несколькими пользователями, поиска в виртуализированных документах и пометки ошибок при проверке правописания. Если раньше, для создания нестандартного выделения требовались усложнённые манипуляции с деревом DOM, то API Custom Highlight предоставляет готовые операции для добавления и удаления подсветки, не влияющие на структуру DOM и применяющие стили в привязке к объектам Range.
- В CSS добавлен запрос "@container", позволяющий формировать стиль элементов в зависимости от размера родительского элемента. "@container" напоминает запросы "@media", но применяется в привязке не к размеру всей видимой области, а к размеру блока (контейнера), в который помещён элемент, что позволяет задавать для дочерних элементов собственную логику выбора стиля, независящую от того, в каком именно месте на странице размещён элемент.
- Добавлен CSS-псевдокласс ":has()" для проверки с учётом наличия дочернего элемента в родительском. Например, "p:has(span)" охватывает элементы
, внутри которых имеется элемент .
- Добавлен API HTML Sanitizer, позволяющий вырезать из содержимого элементы, влияющие на отображение и исполнение при выводе через метод setHTML(). API может быть полезен для чистки поступающих извне данных на предмет вырезания из них HTML-тегов, которые могут использоваться для совершения XSS-атак.
- Предоставлена возможность использования API Streams (ReadableStream) для отправки fetch-запросов до того как загрузится тело ответа, т.е. можно начать отправку данных не дожидаясь завершения генерации страницы.
- Для устанавливаемых обособленных web-приложений (PWA, Progressive Web App) предоставлена возможность изменения оформления области заголовка окна при помощи компонентов Window Controls Overlay, расширяющих экранную область web-приложения на всё окно и позволяющих придать web-приложению вид обычного настольного приложения. Web-приложение может управлять отрисовкой и обработкой ввода во всём окне, за исключением наложенного блока со штатными кнопками управления окном (закрытие, сворачивание, развёртывание).
- Стабилизирована возможность доступа к Media Source Extensions из выделенных worker-ов (в контексте DedicatedWorker), что можно использовать, например, для оптимизации производительности буферизированного воспроизведения мультимедийных данных через создание объекта MediaSource в отдельном worker-е и трансляцию результатов его работы в HTMLMediaElement в основном потоке.
- В API Client Hints, который развивается для замены заголовка User-Agent и позволяет выборочно отдавать данные о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером, добавлена поддержка свойства Sec-CH-Viewport-Heigh, позволяющего получить сведения о высоте видимой области. Изменён формат разметки для задания в теге "meta" параметров Client Hints для внешних ресурсов.
- Добавлена возможность создания глобальных обработчиков событий onbeforeinput (document.documentElement.onbeforeinput), при помощи которых web-приложения могут переопределить поведение при редактировании текста в блоках <input>, <textarea> и других элементах с установленным атрибутом "contenteditable", на стадии до изменения браузером содержимого элемента и дерева DOM.
- Расширены возможности API Navigation, позволяющего web-приложениям перехватывать операции навигации в окне, инициировать переход и анализировать историю действий с приложением. Добавлены дополнительные методы intercept() для перехвата перехода и scroll() для прокрутки в заданную позицию.
- Добавлен статический метод Response.json(), позволяющий формировать тело ответа на основе данных с типом JSON.
- Внесены изменения в инструменты для web-разработчиков. В отладчике при срабатывании точки останова разрешено редактирование верхней в стеке функций, без прерывания отладочного сеанса. В панели Recorder, при помощи которой можно записывать, воспроизводить и анализировать действия пользователя на странице, реализована поддержка точек останова, пошагового воспроизведения и записи событий наведения мыши.
- В панели анализа производительности добавлены метрики LCP (Largest Contentful Paint) для выявления задержек при отрисовке крупных (заметных пользователю) элементов в видимой области, таких как изображения, видео и блочные элементы. В панели Elements реализована пометка верхних слоёв, выводимых поверх другого содержимого, специальным значком. Для WebAssembly предоставлена возможность загрузки отладочных данных в формате DWARF.
Кроме нововведений и исправления ошибок в данной версии устранены 24 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (CVE-2022-3038) присвоен критический уровень опасности, который подразумевает возможность обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали по данной уязвимости пока не разглашаются, известно только, что она вызвана обращением к освобождённому блоку памяти (use-after-free) в Network Service. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 60500 долларов США (одна премия $10000, одна премия $9000, одна премия $7500, одна премия $7000, две премии $5000, четыре премии $3000, две премии $2000 и одна премия $1000). Размер семи вознаграждений пока не определён[13].
Прекращение поддержки технологии Server Push в Chrome 106
Компания Google предупредила об отключении поддержки технологии Server Push в выпуске Chrome 106, намеченном на 27 сентября. Об этом стало известно 20 августа 2022 года. Изменение также затронет и другие браузеры, основанные на кодовой базе Chromium. Технология Server Push определена в стандартах HTTP/2 и HTTP/3, и позволяет серверу отправить ресурсы клиенту, не дожидаясь их явного запроса. Предполагается, что таким образом сервер может ускорить загрузку страницы, так как необходимые для отрисовки страницы файлы CSS, скрипты и изображения к моменту запроса клиентом окажутся уже переданными на его сторону.
В качестве причины прекращения поддержки упоминается излишнее усложнение реализации технологии при наличии более простых и не менее эффективных альтернатив, таких как тег <link rel="preload">, на основании которого браузер может запросить ресурс не дожидаясь его использования на странице. C одной стороны, preload по сравнению с Server Push приводит к лишнему обмену пакетами (RTT), но с другой стороны позволяет избежать отправки ресурсов, которые уже имеются в браузерном кэше. В целом отличия в задержках при использовании Server Push и preload отмечены как несущественные.
Для инициирования упреждающей загрузки на стороне сервера предлагается использовать код HTTP-ответа 103, который позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице CSS и JavaScript). Получив информацию о подобных ресурсах браузер может приступить к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
Кроме оптимизации загрузки ресурсов механизм Server Push также мог применяться для потоковой передачи данных от сервера клиенту, но для этих целей консорциум W3C развивает протокол WebTransport. Канал связи в WebTransport организуется поверх HTTP/3 с использованием в качестве транспорта протокола QUIC. WebTransport предлагает такие расширенные возможности, как организация передачи в несколько потоков, однонаправленные потоки, доставка без учёта порядка отправки пакетов (out-of-order), надёжный и ненадёжный режимы доставки.
По статистике Google, технология Server Push не получила должного распространения. Несмотря на то, что Server Push присутствует в спецификации HTTP/3, на практике многие серверные и клиентские программные продукты, включая браузер Chrome, изначально не реализовали его. В 2021 году около 1.25% сайтов, работающих по HTTP/2, использовали Server Push. В 2022 году данный показатель снизился до 0.7%[14].
Исправление пятой 0-day уязвимости
16 августа 2022 года Google выпустил набор исправлений для Chrome, устраняющий опасную уязвимость нулевого дня. Отслеживаемая под идентификатором CVE-2022-2856, брешь в защите связана с недостаточной проверкой вводимых данных в Intents. Уязвимость была обнаружена специалистами Google Threat Analysis Group Эшли Шен и Кристиан Реселл, которые сообщили о ней 19 июля 2022 года.
Google не разглашает никаких технических подробностей об уязвимости, чтобы не спровоцировать еще большую волну атак на пользователей. Однако, ИТ-компания признал, что эксплойт для CVE-2022-2856 существует в дикой природе.
Кроме 0-day, последнее обновление устранило 10 других брешей в защите браузера, большая часть которых возникает из-за уязвимости Use-After-Free, связанной с некорректным использованием динамической памяти в процессе работы компонентов FedCM, SwiftShader, ANGLE и Blink. Еще Google устранила возможность переполнения буфера в Downloads.
Эксперты рекомендуют пользователям обновить Google Chrome до версии 104.0.5112.101 (для macOS и Linux) или 104.0.5112.102/101 (для Windows). Пользователям браузеров на базе Chromium (Microsoft Edge, Brave, Opera и Vivaldi) тоже рекомендуется применить исправления по мере их появления[15].
Chrome 104
3 августа 2022 года стало известно о том, что компания Google представила релиз web-браузера Chrome 104. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 105 запланирован на 30 августа 2022 года.
Как сообщалось, основные изменения в Chrome 104 включают следующее:
- Введено предельное время существование Cookie - все Cookie будут автоматически удаляться после 400 дней существования, даже если выставленное через атрибуты Expires и Max-Age время устаревания превышает 400 дней (для таких Cookie время жизни будет урезано до 400 дней). Созданные до введения ограничения Cookie сохранят своё время жизни, даже если оно превышает 400 дней, но будут ограничены в случае обновления. Изменение отражает обновленные требования, отмеченные в черновике спецификации.
- Включена блокировка обращений из iframe к URL, ссылающихся на локальную файловую систему ("filesystem://").
- Для ускорения загрузки страницы добавлена оптимизация, обеспечивающая установку соединения к целевому хосту в момент нажатия на ссылку, не дожидаясь отпускания кнопки или убирания пальца с сенсорного экрана.
- Добавлены настройки для управления API "Topics & Interest Group", продвигаемого в рамках инициативы Privacy Sandbox и позволяющего определять категории интересов пользователя и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей. Кроме того, добавлены показываемые один раз информационные диалоги, поясняющие пользователю суть технологии и предлагающие активировать её поддержку в настойках.
- Увеличены пороговые значения для ограничения вложенных вызовов таймеров setTimeout и setInterval, запущенных с указанием интервала менее 4 мс ("setTimeout(..., <4ms)"). Суммарный лимит на подобные вызовы увеличен с 5 до 100, что позволяет агрессивно не урезать единичные вызовы, но при этом не допускать злоупотреблений, способных повлиять на производительность браузера.
- Включена отправка на сервер основного сайта запроса подтверждения полномочий CORS (Cross-Origin Resource Sharing) с заголовком "Access-Control-Request-Private-Network: true", в случае обращения со страницы к субресурсу во внутренней сети (192.168.x.x, 10.x.x.x, 172.16-31.x.x) или к localhost (127.x.x.x). При подтверждении операции в ответ на данный запрос сервер должен вернуть заголовок "Access-Control-Allow-Private-Network: true". В версии Chrome 104 результат подтверждения пока не влияет на обработку запроса - в случае отсутствия подтверждения в web-консоли отображается предупреждение, но сам запрос субресурса не блокируется. Включение блокировки при отсутствии подтверждения от сервера ожидается не раньше, чем в выпуске Chrome 107. Для включения блокировки в более ранних выпусках можно активировать настройку "chrome://flags/#private-network-access-respect-preflight-results". Подтверждение полномочий сервером введено для усиления защиты от атак, связанных с обращением к ресурсам в локальной сети или на компьютере пользователя (localhost) из скриптов, загружаемых при открытии сайта. Подобные запросы используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Для защиты от подобных атак в случае обращения к любым субресурсам во внутренней сети, браузер будет отправлять явный запрос полномочия загрузки этих субресурсов.
- Добавлен механизм Region Capture, позволяющий обрезать лишние содержимое из видео, формируемого на основе захвата экрана. Например, при помощи API getDisplayMedia web-приложение может организовать передачу видео с содержимым вкладки, а Region Capture позволяет вырезать часть содержимого, включающего элементы управления видеоконференцией.
- Добавлена поддержка определённого в спецификации Media Queries Level 4 синтаксиса медиазапросов, определяющих минимальный и максимальный размер видимой области (viewport). Данный синтаксис позволяет использовать обычные математические операторы сравнения и логические операторы, такие как "not", "or" и "and". Например, вместо "@media (min-width: 400px) { … }" теперь можно указывать "@media (width >= 400px) { … }".
- В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько дополнительных API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
- Добавлено CSS-свойство "focusgroup" для оптимизации навигации по элементам при помощи стрелок управления курсором на клавиатуре.
- В API Secure Payment Confirmation предоставлена возможность отключения пользователем хранилища параметров кредитных карт. Для вывода диалога, позволяющего отказаться от сохранения параметров кредитных карт, в конструкторе PaymentRequest() предусмотрен флаг "showOptOut: true".
- Добавлен API Shared Element Transitions, позволяющий организовать плавный переход между разными представлениями содержимого в одностраничных web-приложениях.
- Стабилизирована поддержка спекулятивных правил (Speculation rules), позволяющих авторам сайтов передать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц.
- Стабилизирован механизм упаковки субресурсов в пакеты в формате Web Bundle, позволяющий оптимизировать эффективность загрузки большого числа сопутствующих файлов (CSS-стили, JavaScript, изображения, iframe). В отличие от пакетов в формате Webpack, формат Web Bundle обладает следующими достоинствами: в HTTP-кэше оседает не сам пакет, а его составные части; компиляция и выполнение JavaScript начинается не дожидаясь полной загрузки пакета; допускается включение дополнительных ресурсов, таких как CSS и изображения, которые в webpack должны были кодироваться в форме JavaScript-строк.
- Добавлено CSS-свойство object-view-box, позволяющее определить часть изображения, которая будет выведена в области вместо заданного элемента, что можно использовать, например, для добавления обрамления или тени.
- Добавлен API Fullscreen Capability Delegation, позволяющий одному объекту Window передать другому объекту Window право вызова requestFullscreen().
- Добавлен API Fullscreen Companion Window, позволяющий разместить полноэкранное содержимое и всплывающие окна на другом экране после получения подтверждения от пользователя.
- В CSS-свойство overflow-clip-margin добавлен атрибут visual-box, определяющий с какого места следует начинать обрезку контента, вышедшего за границу области (может принимать значения content-box, padding-box и border-box).
- В API Async Clipboard добавлена возможность определения специализированных форматов для передаваемых через буфер обмена данных, отличных от текста, изображений и текста с разметкой.
- В WebGL предоставлена поддержка указания цветового пространства для буфера отрисовки и преобразования при импорте из текстуры.
- Прекращена поддержка платформ OS X 10.11 и macOS 10.12.
- Прекращена поддержка API U2F (Cryptotoken), который ранее объявлен устаревшим и отключён по умолчанию. На смену API U2F пришёл API Web Authentication.
- Внесены изменения в инструменты для web-разработчиков. В отладчике добавлена возможность перезапуска кода с начала функции, после срабатывания точки останова где-то в теле функции. Добавлена поддержка разработки дополнений для панели Recorder. В панель для анализа производительности добавлена поддержка визуализации меток, выставленных в web-приложении через вызов метода performance.measure(). Оптимизированы рекомендации при автодополнении свойств объектов JavaScript. При автодополнении CSS-переменных обеспечен предпросмотр значений, не связанных с цветами.
Кроме нововведений и исправления ошибок в данной версии устранено 27 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 22 премии на сумму 84 тысячи долларов США (одна премия $15000, одна премия $10000, одна премия $8000, одна премия $7000, четыре премии $5000, одна премия $4000, три премии $3000, четыре премии $2000 и три премии $1000). Размер одного вознаграждения пока не определён[16].
Исправление 0-day уязвимости
В свежем обновлении компания Google исправила опасную 0-day уязвимость в Chrome. Отслеживаемая под идентификатором CVE-2022-2294, уязвимость связана с переполнением кучи в компоненте WebRTC (Web Real-Time Communications). Об этом стало известно 5 июля 2022 года.
1 июля 2022 года 0-day была обнаружена Яном Вожтесеком, специалистом команды Avast Threat Intelligence. Google не стала раскрывать технические подробности, касающиеся уязвимости, чтобы предотвратить ее дальнейшее использование. Скорее всего компания хочет, чтобы сначала большая часть пользователей установила обновление.
CVE-2022-2294 стала четвертой 0-day уязвимостью, исправленной в браузере Chrome. До нее специалистам удалось устранить CVE-2022-0609 , CVE-2022-1096 и CVE-2022-1364 .
Эксперты настоятельно рекомендуют пользователям обновить браузер до версии 103.0.5060.114 на всех доступных платформах. Пользователям браузеров на базе Chromium, также рекомендуется установить обновления по мере их появления[17].
Добавление модуля безопасности для предприятий
Google анонсировала дополнительные модули безопасности в Chrome и Chrome OS для предприятий. Об этом стало известно 27 мая 2022 года.
Компания хочет помочь специалистам по кибербезопасности предприятий лучше управлять нужными инструментами.
Компания считает, что это позволит ИТ-командам повысить безопасность сотрудников, работающих в браузере Chrome и на устройствах с Chrome OS.
Набор модулей доступен на платформе Chrome Enterprise Connectors Framework, позволяющей интегрировать Chrome и Chrome OS с продуктами Netskope, Okta, BlackBerry, Samsung, VMware, Splunk, CrowdStrike и Palo Alto Networks. Не все из них доступны сразу, но Google говорит, что скоро все они появятся.
По словам компании, модули Netskope оптимизируют доступ пользователей к важным данным, модули BlackBerry и Samsung облегчат ИТ-командам управление устройствами с Chrome OS на борту, а Splunk позволит максимально быстро получать важную информацию о потенциально опасных событиях.
Помимо всего этого была добавлена функция – Chrome OS Data Controls, которая поможет организациям предотвратить утечку данных с помощью создания набора правил, срабатывающих при определенных действиях (копирование и вставка, захват экрана или печать)[18].
Появление функции автоматической замены взломанных паролей
В версии Google Chrome на Android появилась функция, которая позволяет системе автоматически менять взломанные пароли от аккаунтов. Об этом стало известно 5 мая 2022 года. Подробнее здесь.
Chrome 101
27 апреля 2022 года стало известно о том, что компания Google представила релиз web-браузера Chrome 101. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель, в которой сформировано обновление для прошлого выпуска Chrome 100. Следующий выпуск Chrome 102 запланирован на 24 мая 2022 года.
Как сообщалось, основные изменения в Chrome 101 включают следующее:
- Добавлена функция Side Search, дающая возможность просмотреть результаты поиска в боковой панели одновременно с просмотром другой страницы (в одном окне одновременно можно видеть, как содержимое страницы, так и результат обращения к поисковой системе). После перехода на какой-то сайт со страницы с результатами поиска в Google перед полем ввода в адресной строке появляется пиктограмма с буквой "G", при клике на которую открывается боковая панель с результатами ранее предпринятого поиска. По умолчанию функция включена не на всех системах, для включения можно использовать настройку "chrome://flags/#side-search".
- В адресной строке Omnibox реализована упреждающая отрисовка (prerendering) содержимого рекомендаций, предлагаемых по мере ввода. Ранее для ускорения перехода из адресной строки наиболее вероятные для перехода рекомендации подгружались не дожидаясь клика пользователя, используя вызов Prefetch. Теперь, помимо загрузки, они ещё и отрисовываются в буфере (в том числе выполняются скрипты и формируется дерево DOM), что позволяет обеспечить отображение рекомендаций после клика. Для управления упреждающей отрисовкой предложены настройки "chrome://flags/#enable-prerender2", "chrome://flags/#omnibox-trigger-for-prerender2" и "chrome://flags/#search-suggestion-for-prerender2".
- Началось урезание информации в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform. На данном этапе составляющие версию браузера цифры MINOR.BUILD.PATCH заменены на 0.0.0 (изменение будет доводиться до пользователей постепенно). Далее в заголовке будут оставлены только сведения о названии браузера, значительной версии браузера, платформе и типе устройства (мобильный телефон, ПК, планшет). Для получения дополнительных данных, таких как точная версия и расширенные данные о платформе, необходимо использовать API User Agent Client Hints. Для сайтов, которым информации недостаточно и которые ещё не готовы перейти на User Agent Client Hints, до мая 2023 года предоставлена возможность возвращения полного User-Agent.
- Изменено поведение функции setTimeout при передаче нулевого аргумента, определяющего задержку вызова. Начиная с Chrome 101 при указании "setTimeout(..., 0)" код будет вызываться сразу, без задержки в 1мс, как того требует спецификация. Для повторных вложенных вызовов setTimeout применяется задержка в 4 мс.
- В версии для платформы Android реализована поддержка запроса полномочий на вывод уведомлений (в Android 13 для отображения уведомлений приложение должно иметь полномочие "POST_NOTIFICATIONS", без которого отправка уведомлений будет блокироваться). При запуске Chrome в окружении Android 13 браузер теперь будет выводить запрос получения полномочий на вывод уведомлений.
- Удалена возможность использования API WebSQL в сторонних скриптах. По умолчанию блокировка WebSQL в скриптах, загруженных не с текущего сайта, была включена в Chrome 97, но была оставлена опция для отключения данного поведения. В Chrome 101 эта опция удалена. В дальнейшем планируется постепенно полностью прекратить поддержку WebSQL, независимо от контекста использования. Вместо WebSQL рекомендуется использовать API Web Storage и Indexed Database. Обработчик WebSQL основан на коде SQLite и мог использоваться злоумышленниками для эксплуатации уязвимостей в SQLite.
- Удалены имена политик для предприятий (chrome://policy), содержащие неинклюзивные термины. Начиная с Chrome 86 для указанных политик предложены замены, в которых используется инклюзивная терминология. Проведена чистка таких терминов, как "whitelist", "blacklist", "native" и "master". Например, политика URLBlacklist переименована в URLBlocklist, AutoplayWhitelist в AutoplayAllowlist, а NativePrinters в Printers.
- В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) пока только в сборках для платформы Android началось тестирование API Federated Credential Management (FedCM), позволяющего создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
- Стабилизирован и предложен всем желающим механизм Priority Hints, позволяющий задать важность того или иного загружаемого ресурса через указание дополнительного атрибута "importance" в тегах, таких как iframe, img и link. Атрибут может принимать значения "auto" и "low", and "high", которые влияют на порядок загрузки браузером внешних ресурсов.
- Добавлено свойство AudioContext.outputLatency, через которое можно узнать сведения о прогнозируемой задержке перед выводом звука (задержка между запросом звука и началом обработки полученных данных устройством вывода звука).
- Добавлено CSS-свойство font-palette и правило @font-palette-values, позволяющие выбрать палитру из цветного шрифта или определить собственную палитру. Например, указанная возможности может использоваться для приведения цветных символьных шрифтов или emoji к цвету оформления содержимого или для включения тёмного или светлого режима для шрифта.
- Добавлена CSS-функция hwb(), предоставляющая альтернативный метод указания цветов sRGB в формате HWB (Hue, Whiteness, Blackness), похожем на формат HSL (Hue, Saturation, Lightness), но более простом для человеческого восприятия.
- В методе window.open() указание свойства popup в строке windowFeatures, без присвоения значения (т.е. когда просто указан popup, а не popup=true) теперь обрабатывается как включение открытия миниатюрного всплывающего окна (аналог "popup=true") вместо присвоения по умолчанию значения "false", что было нелогично и вводило разработчиков в заблуждение.
- В API MediaCapabilities, предоставляющем информацию о возможностях устройства и браузера по декодированию мультимедийного контента (поддерживаемые кодеки, профили, битрейты и разрешения), добавлена поддержка потоков WebRTC.
- Предложена третья версия API Secure Payment Confirmation, предоставляющего инструменты для дополнительного подтверждения совершаемой платёжной операции. В данной версии добавлена поддержка идентификаторов, требующих ввода данных, определения пиктограммы для индикации сбоя проверки, а также опционального свойства payeeName.
- В API USBDevice добавлен метод forget() для отзыва ранее предоставленных пользователем полномочий для доступа к USB-устройству. Кроме того, экземпляры USBConfiguration, USBInterface, USBAlternateInterface и USBEndpoint теперь равны при строгом сравнении ("===", указывают на один объект), если они возвращены для одного и того же объекта USBDevice.
- Внесены изменения в инструменты для web-разработчиков. Предоставлена возможность импорта и экспорта в формате JSON записанных действий пользователя (пример). В web-консоли и интерфейсе просмотра кода оптимизированы вычисление и отображение приватных свойств. Добавлена поддержка работы с цветовой моделью HWB. В панели CSS добавлена возможность просмотра каскадных слоёв, задаваемых при помощи правила @layer.
Кроме этого устранено 30 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявленоРелиз Chrome 101.
Chrome 100.0.4896.127 с устранением 0-day уязвимости
Компания Google сформировала обновление Chrome 100.0.4896.127 для Windows, Mac и Linux, в котором исправлена серьёзная уязвимость (CVE-2022-1364), уже применяемая злоумышленниками для совершения атак (0-day). Об этом стало известно 15 апреля 2022 года. Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8, позволяющей обработать объект с некорректным типом, что, например, даёт возможность сформировать 64-разрядный указатель на основе комбинации из двух разных 32-разрядных значений для организации доступа к всему адресному пространству процесса. Пользователям рекомендуется не дожидаться автоматической доставки обновления, а проверить его наличие и инициировать установку через меню "Chrome > Справка > О Google Chrome"[19].
Chrome 100
30 марта 2022 года стало известно, что американская корпорация Google обновила свой браузер Chrome до версии 100. Это первый веб-обозреватель в истории интернета, доросший до версии с трехзначным номером.
Это является угрозой для стабильной работы Всемирной паутины, и связано с тем, что далеко не все сайты готовы к трехзначным версиям браузеров. Многие из них будут определять Chrome 100 как Chrome 10, который вышел еще 11 лет назад, в марте 2011 г. Его поддержка давно прекращена, и сайты могут попросту не открываться и выдавать сообщение о необходимости обновления ПО.
Основные изменения
Несмотря на исторический релиз, крупных нововведений в Chrome 100 нет. Основной упор сделан на безопасность - Google исправила 28 уязвимостей в своем браузере. Подавляющее большинство из них оказались незначительными, и лишь девять были признаны критическими.
Одно из значимых изменений – это логотип, который стал заметно более плоским, но при этом более ярким.
К релизу версии 100 Google встроила в Chrome API, упрощающий работу браузера на конфигурациях с несколькими мониторами. Например, это может быть лэптоп, подключенный к внешнему экрану с большим разрешением и другими пропорциями. Данный API позволяет адаптировать под несколько мониторов не только сам браузер, но и веб-приложения, запускаемые в нем.
В то же время на одну функцию в Chrome 100 стало меньше. Google лишила его мобильную версию опции экономии трафика. Для россиян это была бы весьма полезная функция, если в стране исчезнут тарифы на сотовую связь с безлимитным мобильным интернетом. Также Google решила отключить экономию трафика и в предыдущих версиях браузера.
Индексы версий
До версии 100 Chrome дорос за 13,5 лет - первая его стабильная сборка с индексом 1.0 вышла в декабре 2008 года. Именно Google стала инициатором гонки версий. До прихода Google на рынок браузеров разработчики других обозревателей с очередным релизом своего продукта меняли лишь цифры после первой точки в индексе версии. Первую цифру в номере версии они увеличивали на единицу лишь с выходом достаточно значимого обновления. Google выбрала иной путь - Chrome 2 вышел в мае 2009, Chrome 3 появился еще через пять месяцев. В итоге к началу 2010 года Google обновила свой браузер до версии 4. В дальнейшем следующие номерные версии Chrome нередко выходили по нескольку раз в месяц, что в итоге привело к релизу Chrome 50 в апреле 2016 года, то есть спустя 7,5 года с момента появления Chrome 1. На следующие 50 версий Google потребовалось еще шесть лет без одного месяца.
В дальнейшем в гонку включились и другие браузеры. Первым это сделал Firefox, а немного позже – Opera. Последний держался до последнего, пока разработчики не отказались от собственного движка в пользу универсального Blink.
Авторы классического Opera в январе 2015 года создали браузер Vivaldi. Он в гонке не участвует – к концу марта 2022 года его актуальная версия имела индекс 5.2.
Firefox 100
Проблема с некорректной работой сайтов в браузерах с трехзначным индексом версии усугубится, по утверждению источника, в мае 2022 года. На этот месяц запланирован релиз Firefox 100.
В данном случае от пользователей мало что зависит. Научить сайты правильно «читать» версию обозревателя должны именно их владельцы.
Пользователи же могут просто отключить автоматическое обновление Firefox и Chrome и работать в имеющихся у них версиях. На стабильности отображения сайтов это никак не отразится в перспективе ближайших нескольких месяцев.
Существует и более радикальный вариант - можно сменить браузер на любой из существующих, чья версия далека до 100. Помимо упомянутого Vivaldi это может быть та же Opera, которая 23 марта 2022 года обновилась до версии 85. А у компании Apple есть собственный браузер Safari, в феврале 2022 года получивший версию 15.3. В то же время Edge компании Microsoft в данном случае является не лучшей альтернативой Chrome, поскольку 17 марта 2022 года для него вышел апдейт до версии 99.
На конец марта 2022 года Chrome занимает 62,78% мирового рынка браузеров (статистика StatCounter за февраль 2022 года). В России его доля составляет 54,98% против 16,08% у отечественного «Яндекс.Браузера». Последний в марте 2022 года обновился до версии 22. что тоже вполне позволяет использовать его как альтернативу Chrome 100.[20]
Google исправила уязвимость 0-day в Chrome
28 марта 2022 года стало известно, что компания Google исправила уязвимость 0-day в Chrome.
Google призывает пользователей Windows, macOS и Linux срочно обновить браузер Chrome до версии 99.0.4844.84. Причина - обнаружение уязвимости, которая уже эксплуатируется в хакерских атаках.
Компания не раскрывает подробности об уязвимости, чтобы дать пользователям время на установку обновлений. По этой же причине пока не сообщается, затрагивает ли она сторонние библиотеки, использующиеся в других проектах. Известно лишь, что проблема представляет собой несоответствие вводимых типов данных (Type Confusion) в движке V8, и ей присвоен идентификатор CVE-2022-1096. Анонимный исследователь уведомил о ней Google 23 марта 2022 года.
V8 - JavaScript-движок в Chrome, также использующийся в Node.js. Затрагивает ли уязвимость Node.js, пока не сообщается.
Сразу после Google компания Microsoft выпустила собственное уведомление безопасности, согласно которому эта же уязвимость также была исправлена в версии Edge 99.0.1150.55.
На днях стало известно об эксплуатации еще одной уязвимости нулевого дня в Chrome (CVE-2022-0609) двумя группировками, поддерживаемыми правительством Северной Кореи.[21]
Фишинговый инструмент, который позволяет проводить атаки «браузер-в-браузере» для кражи логинов и паролей
23 марта 2022 года сало известно о том, что эксперт по безопасности известный под ником mr.dox, опубликовал на GitHub код фишингового инструмента, который позволяет создавать фальшивые окна браузера Chrome. Его назначение - перехватывать реквизиты доступа (логин и пароль) к онлайн-ресурсам. Подробнее здесь.
Chrome 99
2 марта 2022 года компания Google представила релиз web-браузера Chrome 99. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 100 запланирован на 29 марта 2022 года.
По информации компании, в Chrome для Android включено использование механизма Certificate Transparency, обеспечивающего ведение независимого публичного лога всех выданных и отозванных сертификатов. Публичный лог даёт возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, и позволит сразу отслеживать любые попытки скрытого создания поддельных записей. Сертификаты, которые не отражены в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки. Ранее указанный механизм был включён только для настольной версии и для небольшого процента пользователей Android. Из-за наличия большого числа жалоб отключён ранее предложенный в тестовом режиме механизм Private Network Access, нацеленный на усиление защиты от атак, связанных с обращением к ресурсам в локальной сети или на компьютере пользователя (localhost) из скриптов, загружаемых при открытии сайта. Для защиты от подобных атак в случае обращения к любым субресурсам во внутренней сети, предложено отправлять явный запрос полномочия загрузки подобных субресурсов. По словам представителей компании, Google пересмотрит реализацию с учётом полученных отзывов и в одном из будущих выпусков предложит оптимизированный вариант. Возвращена возможность удаления предлагаемых по умолчанию поисковых систем.
Начиная с Chrome 97 в конфигураторе в секции "Управление поисковыми системами" была прекращена возможность удаления элементов из списка поисковых систем по умолчанию (Google, Bing, Yahoo) и редактирования параметров поисковой системы, что вызвано недовольство многих пользователей.
На платформе Windows предоставлена возможность удаления самодостаточных web-приложений (PWA, Progressive Web App) через системные настройки или панель управления по аналогии с удалением Windows-приложений.
Проводится финальное тестирование возможного нарушения работы сайтов после достижения браузером версии, состоящей из трёх цифр вместо двух (в своё время после выпуска Chrome 10 в библиотеках разбора User-Agent всплыло много проблем). При активации опции "chrome://flags#force-major-version-to-100" в заголовке User-Agent начинает выдаваться версия 100. В CSS реализована поддержка каскадных слоёв, задаваемых при помощи правила @layer и импортируемых через CSS-правило @import, используя функцию layer(). CSS-правила внутри одного каскадного слоя каскадируются вместе, оптимизируя управлением всем каскадом, предоставляя гибкие возможности по изменению порядка следования слоёв и позволяя более явно управлять CSS-файлами, предотвращая возникновение конфликтов. Каскадные слои удобно применять для тем оформления, определения стилей элементов по умолчанию и выноса оформления компонентов во внешние библиотеки. В класс HTMLInputElement добавлен метод showPicker(), позволяющий отобразить готовые диалоги для заполнения типовых значений в полях <input> с типами "date", "month", "week", "time", "datetime-local", "color" и "file", а также для полей поддерживающих автозаполнение (autofill) и выбор по списку (datalist). Например, можно показать интерфейс в форме календаря для выбора даты или палитру для ввода цвета.
В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) реализована возможность включения тёмного режима оформления для web-приложений. Цвета и фон для тёмной темы выбираются при помощи поля color_scheme_dark в файле с манифестом web-приложения. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта. Стабилизирован и предложен всем желающим API Handwriting Recognition, позволяющий использовать сервисы распознавания рукописного ввода, предоставляемые операционной системой.
Для устанавливаемых обособленных web-приложений (PWA, Progressive Web App) стабилизирован компонент Window Controls Overlay, расширяющий экранную область приложения на всё окно, включая область заголовка, на который накладываются штатные кнопки управления окном (закрытие, минимизация, максимизация). Web-приложение может управлять отрисовкой и обработкой ввода во всём окне, за исключением наложенного блока с кнопками управления окном. В CSS-функции calc() разрешено указание значений "infinity", "-infinity" и "NaN" или выражений, приводящих к подобным значениям, например, 'calc(1/0)'.
В CSS-свойство color-scheme, дающее возможность определить в каких цветовых схемах может быть корректно показан элемент ("light", "dark", "day mode" и "night mode"), добавлен параметр "only", позволяющий исключить принудительное изменение цветовой схемы для отдельных HTML-элементов. Например, если указать "div { color-scheme: only light }", то для элемента div будет использоваться только светлая тема, даже если в браузере будет принудительно включено тёмное оформление. Для изменения значений свойства document.adoptedStyleSheets теперь могут применяться операции push() и pop() вместо полного переназначения свойства. Например, "document.adoptedStyleSheets.push(newSheet);".
В реализацию интерфейса CanvasRenderingContext2D добавлена поддержка событий ContextLost и ContextRestored, метода reset(), опции "willReadFrequently", CSS-модификаторов текста, примитива отрисовки roundRect и конических градиентов. Оптимизирована поддержка SVG-фильтров. Избавлены от префикса "-webkit-" свойства "text-emphasis", "text-emphasis-color", "text-emphasis-position" и "text-emphasis-style".Для страниц, открытых без HTTPS запрещено обращение к API Battery Status, позволяющего получить сведения о заряде аккумулятора.
В методе navigator.getGamepads() обеспечен вывод массива объектов Gamepad вместо GamepadList. GamepadList больше не поддерживается в Chrome, что соответствует требованию стандарта и поведению движков Gecko и Webkit. API WebCodecs приведён к соответствию со спецификацией. В частности, изменены метод EncodedVideoChunkOutputCallback() и конструктор VideoFrame(). В JavaScript-движке V8 в API Intl.Locale добавлены свойства calendars, collations, hourCycles, numberingSystems, timeZones, textInfo и weekInfo, выводящие информацию о поддерживаемых календарях, часовых поясах и параметрах времени и текста.
Внесены изменения в инструменты для web-разработчиков. В сетевой панели предоставлена возможность замедления WebSocket-запросов для отладки работы в условиях медленного сетевого соединения. Во вкладку "Application" добавлена панель для отслеживания отчётов, сгенерированных через API Reporting. В панели Recorder перед воспроизведением записанной команды реализована поддержка ожидания до того, как элемент станет видимым или доступным для клика. Изменена эмуляция тёмной темы оформления. Оптимизировано управление панелями с сенсорных экранов. В web-консоли добавлена поддержка escape-последовательностей для выделения текста цветом, добавлена поддержка масок подстановки %s, %d, %i и %f, оптимизирована работа фильтров сообщений.
Кроме нововведений и исправления ошибок в данной версии устранено 28 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 96 тысяч долларов США (одна премия $15000, две премии $10000, шесть премий $7000, две премии $5000, две премии $3000 и по одной премии в $2000 и $1000[22].
Разрешение пользователям добавлять примечания к паролям
26 февраля 2022 года стало известно, что Google уже перешла к тестированию очередной полезной функции: теперь пользователи смогут добавлять свои примечания к сохраненным в браузере паролям. Это позволит ввести в поле для примечания любой дополнительный текст. Обычно важный для учетной записи или тот, который никак не удается запомнить.
Если говорить конкретнее, то каждый пользователь сможет отредактировать уже существующий пароль, добавив полезную для себя информацию. Предположительно это могут быть адреса от электронной почты, контрольные ответы на вопросы и любые другие данные, необходимые для упрощения входа в систему.
Польза у представленной функции важна для людей, которые с трудом запоминают подобные вещи. Однако все неоднозначно, ведь открытым остается вопрос безопасности. Так, пользователь рискует быть уязвимым для вредоносных программ кражи данных.
При этом, захватив список паролей Chrome, мошенники не смогут обмануть многофакторную аутентификацию, настроенную пользователями в личных учетных записях. При сохранении резервных кодов MFA и прочей личной информации риск возрастает.
Это важный аспект, на который компании Google стоит обратить свое внимание.[23]
2021
Запрет блокировщикам рекламы работать в браузере
Перевод браузера Chrome на платформу для разработчиков Manifest V3 повлечет за собой прекращение работы блокировщиков рекламы. Об этом стало известно 1 октября 2021 года.
С января 2023 г. в браузере будут поддерживаться только расширения Manifest V3, в результате чего, уверены некоторые разработчики, сильно затруднится создание надстроек, и их функции будут существенно ограничены. По сути, расширения станут не более чем игрушками, а блокировщики рекламы потеряют в эффективности.
Разработчики расширений uBlock Origin, uMatrix и NoScript говорят, что тех фильтров, которые разрешает использовать интерфейс, не хватит на сборку даже простейшего программного обеспечения. Это означает, что теперь реклама в Google будет неизбежна. Возможность блокировки объявлений сохранят только для корпоративных клиентов.[24]
Анонс даты прекращения поддержки Manifest V2
Google объявил о том, что дополнения для ее фирменного браузера Chrome, разработанные в соответствии со спецификацией Manifest V2, перестанут работать в январе 2023 г. Об этом стало известно 28 сентября 2021 года.
Таким образом, в Chrome останется поддержка исключительно следующей, третьей версии платформы для расширений Manifest V3. Данное изменение может усложнить разработку под Chrome, считают некоторые из авторов расширений.
Согласно сообщению, опубликованному в корпоративном блоге Дэвида Ли (David Li), менеджера по продукту Google, который отвечает за развитие платформы и магазина расширений Chrome, Manifest V3 является более безопасным и производительным, а также обеспечивает лучшую конфиденциальность в сравнении с предшественником.
Это эволюция платформы расширений, учитывающая как меняющийся веб-ландшафт, так и будущее браузерных расширений, – отметил представитель Google. |
Ли также уточнил, что магазин Chrome Web Store прекратит принимать дополнения, использующие API Manifest V2, начиная с 17 января 2022 г. Однако уже присутствующие в нем расширения по-прежнему смогут получать обновления. В начале 2023 г. Chrome для частных пользователей утратит возможность запускать V2-расширения, корпоративные пользователи получат чуть больше времени на адаптацию – для них поддержка «устаревшего» Manifest V2 прекратится в июне 2023 г.
В январе 2019 г. стало известно о том, что интернет-гигант ведет работу над следующей версией с обновеленными возможностями и ограничениями – Manifest V3. С выходом Chrome 88 в январе 2021 г. браузер обзавелся полноценной поддержкой третьей версии «манифеста». С того момента V2- и V3-расширения получили возможность сосуществовать. В Google обещают продолжить развитие Manifest V3 и со временем добавить в нее новые возможности, востребованные сообществом разработчиков дополнений[25].
Chrome 89 со списком для чтения и поиском вкладок
Google выпустил браузер Chrome 89 с дополнительными функциями, в том числе и заимствованными из Microsoft Edge и Apple Safari. Распространение обновления началось и пользователи Windows 10 уже получили его. Об этом стало известно 3 марта 2021 года.
Изменения в Chrome 89 касаются, по большей части, взаимодействия пользователя с браузером и направлены на упрощение и улучшение пользования им. Определенные функции найдут в браузере и разработчики. Однако установить данную версию смогут не все, с этой версии браузер перестанет поддерживать старые процессоры Intel и AMD.
В итоге тем, кто до сих пор работает на ПК или ноутбуке старше 15 лет, придется и дальше пользоваться Chrome 88 или искать альтернативный обозреватель.
Одно из изменений в Chrome 89 – это альтернатива для классической функции закладок, предназначенная для страниц, которые пользователь хочет прочесть позже. Теперь ему не обязательно добавлять их в закладки и после прочтения удалять их оттуда – для таких сайтов в браузере появился так называемый «Список для чтения» или Reading list.
Этот список доступен по нажатию пиктограммы с изображением звездочки в адресной строке – в предыдущих версиях она отвечала за добавление сайтов в закладки, теперь же возможностей у нее стало больше. По сути, «список для чтения» представляет собой многократно упрощенный менеджер закладок – пользователь может добавлять в него страницы и удалять их, а сам он разбит на два раздела – «прочитанное» и «непрочитанное». Эту функцию Google позаимствовала из Apple Safari и из Microsoft Edge, который с 2019 г. работает на Chromium.
Данная функция по неизвестным причинам доступна не всем пользователям. Даже после обновления до версии 89 «список для чтения» в Chrome по умолчанию отключен. Это изменение пока считается экспериментальным, и активировать его нужно через флаг Reading list (chrome://flags/#read-later – вводить в строке браузера).
В Chrome 89 разработчики добавили возможность кастомизации пользовательских профилей. Для каждого из аккаунтов в браузере теперь можно выбрать свою цветовую схему, что позволяет быстро определить, какой из профилей используется в данный момент времени.
Изменился и сам интерфейс работы с учетными записями, став более интуитивным. Это свойство на начало марта 2021 года недоступно мобильным пользователям – оно реализовано исключительно в настольной версии браузера.
Еще одна функция в Chrome – это поиск вкладок, доступный по нажатию пиктограммы со стрелочкой в вернем правом углу окна браузера. Это выпадающий список всех открытых страниц во всех открытых окнах Chrome, в котором по умолчанию отображается пять вкладок, плюс есть строка поиска.
Эта строка нужна для нахождения нужных вкладок по ключевым словам. Функция пригодится тем, у кого в браузере регулярно открыты десятки вкладок, и им приходится тратить много времени для поиска нужной среди них. Как и в случае со списком для чтения, поиск вкладок следует активировать через флаги (chrome://flags/#enable-tab-search).
Браузер Chrome 89 больше не поддерживает настольные и мобильные процессоры без инструкций Streaming SIMD Extensions 3 или SSE3. Это совсем старые Celeron, Pentium 4, а также, Athlon 64 FX, обычный Athlon 64, Opteron и Sempron со степпингами ниже E3 и E4[26].
2020
Обновление браузера - увеличение скорости работы, сокращение нагрузки на процессор
18 ноября 2020 года Google выпустила обновленный браузер Chrome, который, как заявили в компании, получил самый большой прирост производительности за последние годы благодаря множеству внутренних улучшений.
По словам разработчиков, Chrome теперь запускается на 25% быстрее, а скорость загрузки интернет-страниц увеличилась на 7%, при этом программа расходует меньше энергии и оперативной памяти устройства, чем прежде.
Директор по продукту Chrome Мэтт Уодделл (Matt Waddell) утверждает, что Chrome в новой версии отдает приоритет активным вкладкам вместо тех, которые открыты, но не используются. Благодаря этому нагрузка на центральный процессор сокращена на величину до 5 раз и устройства смогут работать дольше — согласно собственным данным Google, рост автономной работы оборудования достигает 1,25 часа относительно использования предыдущих версий браузера на той же технике.
Кроме того, в Google заявляют, что страницы в версии браузера для Android стали загружаться практически мгновенно. Среди других нововведений — пользователи смогут не только закреплять или группировать вкладки, но и воспользоваться поиском. Пользователи смогут увидеть список открытых вкладок, независимо от того, в каком окне находится, и быстро найти необходимое.
Адресная строка стала более полезной благодаря функции Chrome Actions — «более быстрому способу выполнить действие всего несколькими нажатиями клавиш», говорится в сообщении Google.
Оптимизация производительности произошла в том числе за счет таймеров JavaScript. В какой-то момент в Google выяснили, что подобные таймеры используют более 40% ресурсов в фоновых вкладках. Поэтому разработчики решили будить JavaScript-таймеры раз в минуту для осуществления определённых функций.[27]
Google исправила еще две уязвимости нулевого дня в Chrome
12 ноября 2020 года стало известно о том, что компания Google исправила еще две активно эксплуатирующиеся хакерами уязвимости в Chrome, ставшие четвертой и пятой уязвимостями нулевого дня в браузере за последние несколько недель. Проблемы были исправлены в версии Chrome 86.0.4240.198 для Windows, Mac и Linux, которую пользователи получат в ближайшие несколько дней/недель.
Как пояснялось, в отличие от трех предыдущих уязвимостей нулевого дня, уязвимости CVE-2020-16013 и CVE-2020-16017 были обнаружены не специалистами Google Project Zero, а анонимными исследователями. Google известно о существовании эксплоитов для них, но больше информации она не предоставляет до тех пор, пока все пользователи не получат исправленную версию браузера.
CVE-2020-16013: некорректная реализация движка V8 для рендеринга JavaScript; Google была уведомлена о проблеме 9 ноября 2020 года.
CVE-2020-16017: уязвимость повреждения памяти после высвобождения в функции изоляции сайтов; Google была уведомлена о ней 7 ноября 2020 года.
Примечательно, что исправленная уязвимость нулевого дня в Chrome ( CVE-2020-16009 ) также существует из-за некорректной реализации движка V8 и позволяет удаленно выполнить код. Связаны ли обе проблемы между собой, на нрябрь 2020 года момент неясно.
За последнее время Google сообщила о целом ряде активно эксплуатирующихся хакерами уязвимостей не только в Chrome , но также в Windows , iOS и macOS . Хотя некоторые из них были объединены в одну цепочку эксплоитов, компания пока не раскрывает ни использующие их киберпреступные группировки, ни жертв. Во избежание возможных кибератак пользователям рекомендуется установить обновления[28].
Google создаст для Chrome собственное хранилище корневых сертификатов
2 ноября 2020 года стало известно, что компания Google планирует внести существенное изменение в архитектуру своего браузера Chrome и создать для него собственное хранилище корневых сертификатов. Это хранилище представляет собой список корневых сертификатов, используемых операционной системой и приложением для проверки подлинности ПО в процессе инсталляции.
Браузеры, в том числе Chrome, используют список корневых сертификатов для проверки подлинности HTTPS-соединения. Они выясняют, присутствует ли корневой сертификат, с помощью которого был сгенерирован TLS-сертификат сайта, в локальном хранилище корневых сертификатов.
С момента своего запуска в 2009 году и по сей день Chrome использует хранилище корневых сертификатов установленной на компьютере операционной системы. К примеру, Chrome на Windows-ПК сверяет TLS-сертификаты сайтов с программой корневых сертификатов (Trusted Root Program) Microsoft, а Chrome на macOS полагается на программу корневых сертификатов Apple и т.д.
Однако вскоре все может измениться, поскольку Google намерена создать для Chrome собственное хранилище корневых сертификатов Chrome Root Program, в которое войдут все версии Chrome для всех платформ, за исключением iOS. Программа пока еще находится на самой ранней стадии, и даты перехода браузера на использование собственного списка сертификатов еще не назначены.
Пока что Google только опубликовала правила для удостоверяющих центров (УЦ), выпускающих TLS-сертификаты для сайтов. Компания призывает УЦ ознакомиться и следовать правилам, если они хотят быть включенными в Chrome Root Program. [29]
Google исправила уязвимость нулевого дня в Chrome
20 октября 2020 года стало известно, что компания Google выпустила обновленную версию своего браузера Chrome 86.0.4240.111, в которой была исправлена активно эксплуатируемая киберпреступниками уязвимость нулевого дня. Уязвимость повреждения памяти ( CVE-2020-15999 ) присутствует в библиотеке рендеринга шрифтов FreeType, включенную в стандартные дистрибутивы Chrome.
Атаки с эксплуатацией данной уязвимости были обнаружены одним из исследователей команды Google Project Zero. По словам ее руководителя Бена Хоукса (Ben Hawkes), киберпреступники используют баг в библиотеке FreeType для атак на пользователей Chrome. Однако он рекомендует производителям других приложений, где используется FreeType, также выпустить исправления на случай, если хакеры решат переключиться на них.
Патч для уязвимости реализован в версии FreeType 2.10.4, вышедшей 20 октября 2020 года.
Google пока не раскрывает подробности об уязвимости, чтобы не давать подсказок киберпреступникам. Как правило, компания не публикует подробности об уязвимостях в своих продуктах в течение месяцев, давая пользователям достаточно времени на их исправление.
Тем не менее, поскольку патч для уязвимости виден в исходном коде FreeType (библиотека является проектом с открытым исходным кодом), злоумышленники могут осуществить реверс-инжиниринг и в течение нескольких недель или даже дней разработать эксплоит.
За последние двенадцать месяцев это уже третья уязвимость нулевого дня в Chrome, активно эксплуатирующаяся хакерами. Первая ( CVE-2019-13720 ) была исправлена в октябре 2019 года, а вторая ( CVE-2020-6418 ) – в феврале 2020 года[30].
Google тестирует отображение доменных имен в адресной строке вместо URL
Функция будет протестирована в предстоящем релизе Chrome 86. Google рассчитывает, что это изменение поможет защитить пользователей от мошенничества и фишинговых атак с использованием вводящих в заблуждение URL-адресов.
Доменные имена и URL-адреса являются одной из основных форм веб-безопасности, которая позволяет пользователям быстро узнать, на каком сайте они находятся. Однако, они могут быть использованы для введения в заблуждение. Хакеры и мошенники часто создают фальшивые веб-сайты, которые выглядят правдоподобно. Для этого они используют URL с опечатками (twittter.com), поддомены(yourbank.sign-in.info) или домены с дефисами (secure-gmail.com). Ничего не подозревающие пользователи заходят на такой URL и выдают свои данные мошенникам.
Браузер Safari, показывает в адресной строке только доменное имя. Такое отображение выглядит ясней и упрощает выявление мошеннических сайтов. Если пользователь привык видеть facebook.com в адресной строке и в какой-то момент браузер вдруг отобразит facebook.com.money.biz.scam.inc это насторожит пользователя.
Google сообщает, что новая функция будет показана случайному подмножеству пользователей в версии Chrome 86. Компания хочет убедиться, что это изменение поможет пользователям понять, что они посещают вредоносный сайт, и защищает их от фишинга и атак при помощи социальной инженерии. Если это действительно окажется так, то в будущем эта функция станет постоянной.
Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода. Об этом стало известно 12 августа 2020 года.
Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле 2020 года версии Chrome 84 проблема уже исправлена.
CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.
Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".
Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.
Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман[31].
Из-за брака в Chrome пользователи 32 млн раз скачали шпионские расширения из каталога Google
В середине июня 2020 года исследователи из Awake Security обнаружили, что из-за брака в Chrome пользователи 32 млн раз скачали шпионские расширения из каталога Google. Исследователи немедленно предупредили компанию Google, которая удалила более 70 вредоносных надстроек из своего официального Интернет-магазина.
Большинство шпионских программ рекламировались как расширения, защищающие пользователей от сомнительных веб-сайтов, однако вместо этого они скачивали историю просмотров и учетные данные. Это была самая масштабная вредоносная кампания, поразившая Chrome. Google отказался обсуждать масштаб ущерба и причины, по которым шпионское ПО попало в интернет-магазин.
Кто стоял за распространением вредоносного ПО, до сих пор неясно. Аналитики Awake сообщили, что разработчики предоставили ложную контактную информацию. Все расширения были разработаны таким образом, чтобы избежать обнаружения антивирусными программами или ПО, которое оценивает репутацию веб-доменов.
Все найденные исследователями подозрительные домены, более 15 000, были приобретены у небольшого регистратора в Израиле, Galcomm, формально известного как CommuniGal Communication. Владелец Galcomm считает, что его компания здесь ни при чем. Интернет-корпорация, которая осуществляет надзор за регистраторами, заявила, что за все годы работы на Galcomm поступила очень мало жалоб, и ни одна из них не касалась вредоносного ПО.
Разработчики вирусов давно используют Google Chrome Store в качестве канала распространения. В 2018 году Google обещала повысить безопасность магазина, но в феврале 2020 года независимый исследователь Джамиля Кая (Jamila Kaya) и Cisco Systems Duo Security раскрыли аналогичную кампанию по распространению вредоносного ПО Chrome, в ходе которой были украдены данные примерно 1,7 млн пользователей.[32]
Сайты по-прежнему могут детектировать режим «инкогнито» в Chrome
4 июня 2020 года стало известно, что сайты по-прежнему могут детектировать режим «инкогнито» в Chrome. В августе 2019 года Google пообещала исправить проблему, но до сих пор этого не сделала. Несмотря на все предпринимаемые в 2019 году усилия Google, сайты по-прежнему могут определять, используется ли в Chrome режим «инкогнито».
Некоторые сайты блокируют свой контент для пользователей, включивших в браузере режим «инкогнито», и на это есть ряд причин. К примеру, многие используют данный режим для свободного доступа к платному контенту и обхода различных фильтров и ограничителей. Кроме того, на начало июня 2020 года режим «инкогнито» обладает агрессивными антитрекинговыми функциями, блокирующими сайтам возможность отслеживать активность пользователей и монетизировать свой трафик. Все вышеописанное отрицательно сказывается на доходах сайтов, поэтому в последние годы большую популярность завоевали скрипты, позволяющие узнать, включен ли в браузере режим «инкогнито».
В начале 2019 года Google решила реализовать в своем браузере защиту от подобных скриптов. В выпущенном в июле 2019 года Chrome 76 появился механизм, блокирующий сайтам возможность использовать FileSystem API для обнаружения режима «инкогнито». До Chrome 76 в режиме «инкогнито» FileSystem API не был доступен. Сайты запрашивали этот API, и, если он не был доступен, определяли, что используется анонимный режим.
Для решения проблемы Google сделала FileSystem API доступным во всех режимах. Однако загвоздка заключается в том, что он стал доступным не полностью. Производитель установил жесткое ограничение на объем памяти, доступный для окон в режиме «инкогнито» (до 120 МБ). Спустя всего неделю программисты поняли, что к чему, и создали скрипт, исследующий FileSystem API на предмет доступного для сайта объема памяти и тем самым позволяющий косвенно определить, используется ли анонимный режим.
В августе 2019 года Google пообещала исправить проблему и заблокировать возможность выявления режима «инкогнито». Тем не менее, прошло девять месяцев, но компания так и не выполнила свое обещание. Как в Chrome, так и в других браузерах на базе Chromium (в том числе в Edge, Opera, Vivaldi и Brave), по-прежнему можно определить, включен ли анонимный режим. Более того, разработчики добавили в свои скрипты поддержку Firefox и Safari[33].
Пользователи Chrome подали в суд на Google за сбор данных в режиме «Инкогнито»
К Google и Alphabet подали коллективный иск о взыскании ущерба в размере 5 миллиардов долларов из-за слежки за пользователями браузера Chrome в режиме «Инкогнито». Об этом сообщает в июне 2020 года издание Vice со ссылкой на материалы дела[34].
Сообщается, что Google использовала инструменты для сбора данных, такие как Google Analytics и Google Ad Manager, несмотря на отсутствие сохранения поисковой истории в режиме «Инкогнито». Перечисленные инструменты позволяли компании собирать информацию о предпочтениях пользователей.
Истцами выступили американцы Часом Браун, Мария Нгуен и Уильям Байетт. Они сослались в иске на федеральный закон о прослушке. По их словам, Google вводит пользователей в заблуждение утверждением о возможности выбора, какими данными они могут поделиться, а какими нет.
С 1 июня 2016 года приватным режимом браузера Chrome воспользовались «миллионы» пользователей, считают истцы. Они требуют возместить ущерб в размере не менее 5000 долларов на человека, из этого требования складывается общая исковая сумма в размере 5 миллиардов долларов.
Представитель Google Хосе Кастанеда сообщил[35], что браузер или устройство не сохраняют пользовательские данные в режиме «Инкогнито». По его словам, собирать данные об активности могут посещаемые сайты в течение сессии.
В Chrome 80 отключена функция передачи статистики от электронных курсов
В феврале 2020 года компания Google выпустила обновленную версию браузера Chrome 80. Данная версия больше не передает системам дистанционного обучения (СДО) статистику от электронных курсов. Сбои замечены в стандартах AICC, xAPI и SCORM. Разработчики СДО iSpring Learn уже обновили формат передачи данных и рассказали, как решить проблему с прохождением курсов в обновленной версии Chrome. Об этом 6 февраля 2020 года сообщила компания ISpring Solutions.
Google сделал данную версию Chrome быстрее и удобнее для пользователей. В частности, теперь вкладка браузера исчезает сразу после закрытия. Раньше это проходило с задержкой, пишут на официальном сайте. Чтобы вкладки закрывались мгновенно, компания отказалась от синхронной передачи данных — технологии, на которой завязаны многие электронные курсы формата SCORM, xAPI и AICC.
Ранее, при прохождении онлайн-курса в окне Chrome 79, по каждому пользователю накапливалась статистика: сколько слайдов изучено, какие ошибки допущены в тесте и т.д. В завершении курса пользователь закрывает вкладку браузера. В старой версии Chrome эта вкладка оставалась открытой еще несколько секунд, пока все данные по курсу уходили в СДО.
Отказ Google от синхронной передачи данных привел к невозможности отправить статистику в системы дистанционного обучения. Это означает, что если вы проходите онлайн-тест в Chrome 80, его результаты могут не попасть в систему обучения, а статистика прохождения не будет доступна куратору курса. Ранее Google на официальном сайте сообщил о возможности подобных сбоев. В СДО iSpring Learn мы заранее изменили способ передачи данных. Система работает стабильно даже в обновленной версии браузера, отмечает директор по продукту компании iSpring Слава Усков
|
Что делать пользователям других СДО? Все зависит от формата курса и системы дистанционного обучения. Стандарт SCORM отправляет информацию по старинке — через синхронную передачу. С форматами курсов xAPI и AICC всё по-другому: передачу информации СДО можно настраивать.
Если большинство ваших курсов в формате SCORM, есть три способа получать статистику: попросить разработчиков вашей СДО изменить способ передачи данных. Некоторые компании-разработчики СДО обещают решить этот вопрос в течение февраля 2020 года. Или пойти альтернативными путями: не обновлять Google Chrome до последней версии, либо попросить пользователей проходить курсы с других браузеров.
2019
Symantec Endpoint Protection 14 вызывает сбой в работе Chrome 78
25 октября 2019 года стало известно что антивирусное программное обеспечение Symantec Endpoint Protection (SEP) 14 вызывает сбой в работе браузера Google Chrome 78, выпущенного, 22 октября 2019 года. Согласно жалобам на Reddit, форумах поддержки Google и комментариям в официальном блоге Google Chrome, SEP 14 аварийно завершает работу браузера Chrome 78 c сообщением об ошибке.
По словам пострадавших, невозможно использовать Chrome 78, так как браузер отказывается загружать любые web-страницы. Подавляющее большинство жалоб поступает из корпоративных сред, где установки SEP более распространены.
Компания Symantec признала в сообщении на официальном сайте наличие проблемы. По словам Symantec, данные проблемы затрагивают только пользователей SEP 14, установленного на компьютерах с ОС Windows 10 RS1, Windows Server 2012 и Windows Server 2016. Проблема исправлена в SEP версии 14.2.
Проблема также затрагивает Microsoft Edge (на базе движка Chromium), но поскольку данная версия официально не выпущена, проблема не коснулась значительного количества пользователей.
По словам Symantec, проблема связана с функцией проверки целостности кода Microsoft, которую Google использует для защиты Chrome. В качестве временного решения Symantec рекомендует пользователям внести браузер в список исключений антивируса или отключить защиту целостности кода в настройках Chrome. Тем не менее, поскольку предложенные меры подвергают браузер риску различных атак, пользователям стоит временно отказаться от использования Chrome, пока проблема не будет решена[36].
Появление функции изоляции сайтов в Chrome 77 для Android
21 октября 2019 года корпорация Google представила функцию изоляции сайтов для браузера Chrome для Android. Функция призвана защитить данные пользователей сайтов от перехвата вредоносными ресурсами.
Chrome в целом и Chrome для Android в частности часто подвергаются критике за потребление большого количества ресурсов по сравнению с другими браузерами. К сожалению, после очередного обновления Chrome для Android станет потреблять еще больше ресурсов – такова плата за функцию безопасности «Изоляция сайта» (Site Isolation).
Google начала рассылать своим пользователям версию Chrome 77 для Android на прошлой неделе. Помимо исправлений для 52 уязвимостей, браузер получил защиту от кибератак с использованием межсайтовых данных. Функция «Изоляция сайта» позволяет Chrome изолировать сайт от других сайтов, тем самым блокируя вредоносным ресурсам возможность осуществления атак.
В десктопной версии Chrome «Изоляция сайта» работает непрерывно, независимо от посещаемых сайтов. В случае с Android постоянная активность функции оказывала бы слишком большую нагрузку на систему, поэтому она будет включаться только при посещении сайтов, требующих авторизации с помощью пароля.
К примеру, когда пользователь заходит на сайт интернет-магазина через Chrome на своем Android-устройстве и вводит учетные данные, браузер автоматически включает «Изоляцию сайта» для защиты конфиденциальных данных от возможного перехвата другими сайтами. При следующих посещениях этого интернет-магазина функция также будет включаться автоматически. Сайты, не требующие авторизации, будут по-прежнему связаны с другими сайтами.
«Изоляция сайта» делает Chrome для Android более ресурсоемким – увеличивает потребление памяти на 3-5%. В будущем Google оптимизирует функцию, но пока что для ее работы требуются дополнительные ресурсы.
Функция «Изоляция сайта» доступна на всех Android-устройствах с как минимум 2 ГБ ОЗУ и версией браузера Chrome 77.[37]
Изменения в Chrome 79 приведут в итоге к полной блокировке загрузки контента по HTTP
Начиная с 2010 года, корпорация Google изменит свое отношение к сайтам, полностью не перешедшим на HTTPS и продолжающим загружать некоторые ресурсы страниц (например, видео, аудио, изображения и скрипты) по HTTP. Начиная с версии Chrome 79, в браузер постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке «смешанного контента» (загружаемые сайтами ресурсы по HTTPS и по HTTP - прим. TAdviser) по умолчанию. Уже в Chrome 80 «смешанные» аудио и видео будут автоматически обновляться до HTTPS. В случае невозможности загрузки контента по HTTPS, он будет блокироваться. В Chrome 81 этот подход будет также применяться к «смешанным» изображениям. Подробнее здесь.
Включение протокола DNS-over-HTTPS в Chrome 78
13 сентября 2019 года стало известно, что разработчики проекта Chromium из компании Google объявили о планах экспериментальной обкатки протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в сборке браузера Chrome под номером 78, стабильный релиз которого ожидается 22 октября 2019 года.
Протокол DNS-over-HTTPS обеспечивает обработку запросов на получение информации о домене сайта (DNS) через криптографически защищенный протокол HTTPS. В отличие от Mozilla, планирующей постепенный ввод поддержки DNS-over-HTTPS для части пользователей в США с единственным CDN-партнером Cloudflare, эксперимент Google изначально носит более масштабный характер. На старте проекта разработчики браузера Chrome объявили о поддержке со стороны сразу шести CDN-провайдеров, внедривших DNS-over-HTTPS на своей стороне. В анонсе проекта Chromium также упоминается, что проект будет доступен «для небольшой части пользователей Chrome», однако не упоминаются какие-либо географические ограничения эксперимента, что потенциально дает возможность участия в нем жителям разных стран, считают в CNews.
Ключевая идея эксперимента с внедрением протокола «DNS поверх HTTPS», по словам разработчиков Google, заключается в увеличении безопасности и конфиденциальности пользователей в Сети. Так, например, при подключении по общедоступной сети Wi-Fi протокол DoH не позволяет другим пользователям Wi-Fi определять посещаемые другими пользователями веб-сайты, а также предотвращает взлом ПК с помощью DNS-спуфинга («отравление кэша DNS») или фарминга (скрытного перенаправления на ложный IP-адрес).
В своей публикации в блоге Google Кенджи Бахе (Kenji Baheux), менеджер по продуктам Chrome, назвал это движением в сторону «повышения безопасности использования интернета».
На практике одновременное внедрение поддержки протокола DNS-over-HTTPS в браузере и на стороне означает дальнейшую бесполезность систем фильтрации трафика для блокировки «нежелательных» интернет-сайтов — по крайней мере, для тех сайтов, которые размещают хостинг у таких CDN-провайдеров.
По данным разработчиков Google, на старте эксперимента с внедрением протокола «DNS поверх HTTPS» в следующую версию браузера Chrome примут участие, как минимум, шесть CDN-провайдеров, внедривших на своей стороне поддержку DoH в свою службу DNS – это Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS, Quad9 и, собственно, сама Google. К моменту запуска проекта список партнеров потенциально может быть расширен, отмечают авторы проекта.
Служба обработки DNS-запросов при этом остается той же – изменится только протокол обращения, который будет защищен шифрованием. В результате, заверяют в Google, все элементы управления контентом DNS-провайдера, в том числе, активированные системы родительского контроля, останутся активными.
На стадии эксперимента предполагается, что при обращении к сайту браузер Chrome 78 будет проверять, входит ли DNS-провайдер пользователя в список DoH-совместимых CDN-партнеров, и затем обновит поддержку DoH от этого партнера. В случае, если DNS-провайдер не найден в списке поддерживаемых, Chrome продолжит работать в режиме без активации DoH.
Таким образом, в перспективе любые попытки фильтровать трафик и блокировать сайты по доменному имени будут успешны лишь для тех интернет-ресурсов, которые размещают свои ресурсы у хостинг-провайдеров с «устаревшими» платформами – то есть, без поддержки «DNS поверх HTTPS».
В рамках эксперимента разработчики Google планируют, главным образом, проверить качество реализации поддержки DoH в браузере Chrome, а также оценить влияние на скорость обмена данными.
Эксперимент будет проводиться на всех платформах, поддерживающих Chrome, кроме Linux и iOS. Так, пользователям мобильных устройств под управлением ОС Android 9 и выше для поддержки DoH в Chrome можно указать поставщика DNS-over-TLS в настройках частного DNS. В случае невозможности поддержки DoH настройки просто «откатятся» к стандартным настройкам частного DNS.
В случае сбоя работы протокола DoH или слишком медленного соединения при его использовании, настройки браузера Chrome также вернутся к стандартной настройке служб DNS-провайдера. От участия в эксперименте при использовании Chrome версии 78 также можно отказаться, отключив флажок в настройках браузера.
Разработчики проекта Chromium также отметили, что из эксперимента с обкаткой DoH исключено множество вариантов развертывания браузера, включая версии корпоративных и образовательных клиентов. В частности, о специфических политиках поддержки DoH для компаний будет рассказано позже, в корпоративном блоге Chrome Enterprise.[38]
План по полному прекращению поддержки протокола FTP
16 августа 2019 года компания Google обнародовала свой план по полному прекращению поддержки интернет-протокола File Transfer Protocol (FTP) в Chrome и Chromium. Окончательный отказ от некогда востребованного протокола передачи файлов будет происходить постепенно, в несколько этапов, и первый из них начнется с момента релиза Chrome 80.
Выпуск Chrome 80 Google наметила на I квартала 2020 г. В этой версии поддержка FTP будет отключена по умолчанию, но разработчики добавят флаг DisableFTP, позволяющий вернуть поддержку этого протокола.
Полное удаление частей исходного кода браузера, отвечающих за работу с FTP, Google планирует выполнить в Chrome 82. Дата выпуска этого обновления на 16 августа 2019 г. установлена не была.
Отказ Google от поддержки FTP в Chrome продиктован двумя основными факторами. Для начала, сам по себе этот протокол небезопасен по причине отсутствия шифрования передаваемой информации, что могут использовать в своих целях киберпреступники. Второй фактор – околонулевой уровень востребованности данной технологии: по данным Google, протоколом пользуются лишь 0,1% пользователей. Из второго фактора следует нежелание Google реализовывать в Chrome и Chromium поддержку более современного протокола – FTPS (FPS over SSL, по аналогии с HTTPS), дополненного поддержкой шифрования трафика.
Работа с FTP-протоколом будет исключена из всех браузеров, основанных на Chromium, после выхода соответствующих их обновлений. К их числу относятся, в частности, разработанный по образу и подобию классической Opera 12.x Vivaldi и обновленный Microsoft Edge, «переехавший» с собственного движка EdgeHTML на Chromium в 2019 г.
Помимо этого, от FTP откажется и Firefox, и если разработчики Chrome впервые задумались об этом в 2014 г., то девелоперы из Mozilla начали обсуждать вопрос о переходе хотя бы на FTPS еще в 2001 г. Компания Apple сделала это раньше всех, лишив свою мобильную платформу iOS умения работать с FTP[39].
В Chrome 76 отключена возможность для сайтов детектировать режим «инкогнито»
1 августа 2019 года стало известно, что в финальной сборке Chrome 76 запрещена блокировка режима «инкогнито».
Раньше определять, включил ли пользователь режим «инкогнито», сайты могли с помощью FileSystem API. Эта нестандартная функция браузера позволяет интернет-ресурсам хранить файлы локально и до недавнего времени отключалась при активированном режим «инкогнито». Просто проверив, включен ли FileSystem API, сайты определяли, используется ли режим «инкогнито».
Благодаря возможности детектировать режим «инкогнито» новостные сайты могли блокировать его, чтобы не позволить пользователям бесплатно читать платные материалы. Теперь же в Chrome 76 возможность детектировать анонимный режим отсутствует, и сайты лишились возможности фильтровать «халявщиков».
Сайты, желающие предотвратить обход счетчиков, могут уменьшить количество бесплатных статей, доступных для чтения без авторизации, ввести бесплатную регистрацию для просмотра любого контента или усилить свои ограничительные механизмы, - говорится в блоге Google. |
Помимо прочего, Google сделала еще один шаг в сторону отказа от Flash. Отныне пользователям придется разрешать использование этой технологии отдельно для каждого сайта. Полностью отказаться от Flash в пользу HTML5 компания планирует к 2020 году[40].
Android-троян помогает злоумышленникам подписывать пользователей на рекламные уведомления
14 июня 2019 года компания «Доктор Веб» сообщила, что её специалисты обнаружили троянца Android.FakeApp.174, который загружает в Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Они приходят даже если браузер закрыт и могут быть ошибочно приняты за системные. Такие уведомления не только мешают работе с Android-устройствами, но и способны привести к краже денег и конфиденциальной информации. Подробнее здесь.
Переход Chrome на Manifest v3 нарушит работу блокировщиков рекламы только для рядовых пользователей
30 мая 2019 года корпорация Google объявила о том, что предстоящие изменения в веб-браузере Chrome, которые значительно снизят эффективность сторонних блокировщиков рекламы, коснутся лишь рядовых пользователей. Корпоративные клиенты компании по-прежнему сохранят возможность блокирования нежелательного контента.
Изменения, которые могут нарушить работу средств устранения рекламы, связаны с будущим переходом на платформу для разработчиков расширений Chrome.
Платформа, которую используют дополнения для Chrome, Manifest v2, была запущена в 2012 г. В январе 2019 г. стало известно о том, что Google ведет работу над следующей версией платформы с новой функциональностью – Manifest v3.
Предстоящий переход на Manifest v3 спровоцировал шквал критики в адрес компании со стороны разработчиков средств блокировки рекламы и родительского контроля, которые в случае запуска платформы не смогут гарантировать прежнюю функциональность своих продуктов.
Manifest определяет возможности и ресурсы, доступные дополнениям в Chrome. Третья версия платформы накладывает ограничения на использование программного интерфейса webRequest API, который позволяет браузерным дополнениям перехватывать сетевые запросы, благодаря чему можно добиться их блокировки, модификации или перенаправления. Именно webRequest API применяется в большинстве известных блокировщиков.
Вместо webRequest API разработчики расширений в случае принятия обновленного манифеста будут вынуждены применять declarativeNetRequest API. Этот интерфейс в отличие от webRequest возлагает задачу по обработке сетевых запросов непосредственно на Chrome, что позволяет не допускать выполнения расширениями нежелательных действий от имени пользователя.
Среди недостатков declarativeNetRequest специалисты отмечают ограничения в части максимального числа подключаемых фильтров 30 тыс. записей, что негативно сказывается на эффективности блокировки. Помимо этого, этот declarativeNetRequest не позволяет разработчику использовать собственные алгоритмы фильтрации, а также организовать блокировку больших мультимедийных элементов или останавливать выполнение Javascript-кода через подстановку директив Content-Security-Policy (CSP).
По данным, опубликованным представителем Google в официальной группе, посвященной обсуждению Manifest v3, возможность использования расширений, работающих с webRequest API, сохранится за корпоративными клиентами Google.
Как отметили в CNews, блокировщики рекламы лишают веб-сайты части дохода, поэтому данную категорию программ недолюбливают многие компании, в том числе и Google, которому собственный сервис контекстной рекламы Google Ads приносит львиную долю доходов. Нежелание терять прибыль логично, и это не первый случай, когда корпорация пытается решить данную проблему путем противодействия блокировщикам рекламы.[41]
Закрыта критическая 0Day-уязвимость, позволявшая удаленно выполнить код в системе
6 марта 2019 года стало известно, что компания Google выпустила обновление, устраняющее критическую уязвимость (CVE-2019-5786) в браузере Chrome, которая уже активно эксплуатируется злоумышленниками. Проблема, позволяющая удаленно выполнить код на системе, затрагивает версии интернет-обозревателя для всех основных десктопных платформ - Microsoft Windows, Apple macOS и Linux.
Инженеры компании пока не раскрывают подробности об уязвимости. Известно лишь, что она представляет собой уязвимость использования после освобождения в компоненте FileReader. Дополнительную информацию специалисты пообещали опубликовать чуть позже, когда большая часть пользователей установит обновление.
Доступ к подробностям об уязвимости и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установят обновление. Ограничения останутся в силе, если баг затрагивает стороннюю библиотеку, используемую и другими проектами, но еще не исправлен. |
Устраняющий уязвимость патч включен в состав стабильного обновления Chrome 72.0.3626.121 для Windows, Mac и Linux, которое пользователи уже могли получить или получат в ближайшие дни[42].
Функция для борьбы с тайпсквоттингом и омографическими атаками
29 января 2019 года корпорация Google анонсировала функцию браузера Chrome, предупреждающую пользователей о том, что они пытаются зайти на мошеннический сайт, который выглядит, как настоящий.
Google работает над данной функцией уже некоторое время и намерена использовать ее для борьбы с тайпсквоттингом и омографическими атаками.
Тайпсквоттинг – вид мошенничества, когда злоумышленники регистрируют доменные имена, близкие по написанию с адресами популярных сайтов и отличающиеся от них одной-двумя буквами. Предполагается, что пользователь ошибется в написании настоящего названия и вместо нужного ему сайта попадет на поддельный, очень на него похожий. В свою очередь, омографическая атака предполагает регистрацию доменного имени, похожего на популярный сайт, однако вместо некоторых букв латиницы в нем используются похожие символы из других алфавитов.
С выхода Chrome Canary 70 инженеры Google тестируют функцию «Navigation suggestions for lookalike URLs» («Предложения по навигации для похожих URL-адресов»). Пользователи Chrome Canary, платформы для тестирования дополнительных функций браузера, могут включить функцию, пройдя по адресу chrome://flags/#enable-lookalike-url-navigation-suggestions.
После включения функции под адресной строкой в браузере будет появляться выпадающая панель, спрашивающая, действительно ли пользователь имел в виду тот адрес, который написал, ведь он похож на настоящий и может быть мошенническим.
Дата официального релиза функции на февраль 2019 года неизвестна[43].
Chrome прекратит показывать рекламу, не соответствующую Better Ads Standards
11 января 2019 года корпорация Google сообщила о том, что Chrome прекратит показывать рекламные объявления, не соответствующие стандартам. При принятии решения о блокировке рекламных объявлений разработчик руководствуется рекомендациями документа Better Ads Standards. Эти стандарты были разработаны организацией Coalition for Better Ads — отраслевым объединением, которое стремится улучшить качество онлайн-рекламы. Подробнее здесь.
2018
Выпуск Chrome версии 71 с системой блокировки агрессивной рекламы
В декабре 2018 года компания Google выпустила Chrome версии 71, в которую была добавлена система блокировки агрессивной или вводящей пользователей в заблуждение рекламы. Также в данной версии браузера ужесточили систему установки дополнений. Теперь их стало возможно ставить только из официального магазина Chrome Web Store. Кроме того, была доработана система блокировки звука на страницах с рекламными роликами.[44]
Chrome отправляет Google контент любой интернет-страницы
22 ноября 2018 года стало известно, пользователь Reddit, использующий псевдоним u/lioploum, обратил внимание на то, что Chrome отправляет Google контент любой интернет-страницы, открытой через браузер, а также содержимое электронных писем, даже если они отправлены через защищенный почтовый сервис ProtonMail.
U/lioploum заметил нечто странное, когда отправил своей супруге на редактирование длинное письмо (по роду деятельности он писатель) через сервис ProtonMail. Когда супруга поинтересовалась, почему в тексте так много английских слов и ужасно построены предложения, пользователь понял, что это совершенно не то письмо, которое он отправлял. В папке «Отправленные» письмо осталось без изменений, однако при открытии в браузере Chrome выглядело так, будто его перевели с французского языка на английский и обратно на французский. При этом на iOS-устройстве текст письма отображался в нормальном виде.
Пользователю удалось решить проблему, отключив опцию автоматического перевода сайта на иностранный язык.
Но вывод пугает: это значит, что содержимое любой web-страницы, открытой через Google Chrome отправляется Google. Любое электронное письмо, даже в ProtonMail, отправляется Google даже если, в данном случае, перевод не должен был производиться (перевод был отключен и для французского, и для английского сайтов, поэтому не было причин предполагать, что письмо в ProtonMail будет переведено). Единственное решение: не используйте Chrome. U/lioploum
|
Как пояснили представители ProtonMail, проблема не имеет отношения к почтовому сервису, а связана исключительно с браузером Chrome[45].
Google Chrome перестанет работать на ОС Android 4.1–4.3
8 октября 2018 года стало известно, что скоро все мобильные устройства под управлением операционной системы Android версий ранее 4.4 (4.1–4.3) будут лишены поддержки одного из браузеров платформы, Google Chrome.
Как сообщил Томми Найквист (Tommy Nyquist), старший инженер-разработчик Google, очередное обновление API Chrome приведет к тому, что самой «старой» версией Android, поддерживающей браузер, станет 4.4 (KitKat). В нынешней версии браузер Chrome также поддерживается устройствами под управлением Android 4.1-4.3 (Jelly Bean).
Перспективы поддержки различных версий Android
По данным разработчиков на начало октября 2018 г. операционная система Android версий 4.1-4.3 все еще актуальна как минимум для 3,5% пользователей мобильных гаджетов во всем мире. За всю историю Android было активировано более 2 млрд Android-устройств, при этом пользовательская аудитория сервисов Google Maps, YouTube, Chrome, Gmail, Search и Google Play ежедневно превышает 1 млрд.
Таким образом, даже по самым скромным оценкам, поддержки мобильного браузера Chrome будут лишены более 35 млн пользователи Android-устройств с версией ОС 4.1-4.3.
Подавляющее число пользователей Android-устройств работают с версией ОС от Android 5.1 и выше, при этом положительную динамику прироста показывают версии Android 7.1 Nougat, 8.0 Oreo и Android 8.1 Oreo. С учетом ОС Android 9 Pie популярность старых версий будет снижаться еще быстрее. Большинство мобильных приложений под ОС Android выпускаются в версиях под Android 5.0 и выше, обновления под Android 4.1-4.3 выходят все реже и реже.
При отсутствии дальнейшей поддержки браузера Chrome с платформой Jelly Bean в целом можно попрощаться[46].
Функция автоматической авторизации в системе Sync
24 сентября 2018 года стало известно, что в интернет-браузере Google Chrome начиная с 69 версии, выпущенной 5 сентября 2018 г., появилась функция автоматической авторизации пользователей в системе Sync, согласие на которую у пользователя не запрашивается.
То есть, в результате авторизации в Sync данные о закладках пользователя и истории посещений страниц в Google Chrome будут попадать на сервера Google.
Пояснения Google
Пользователи расценили нововведение как нарушение их приватности, посчитав, что Google таким образом просто желает точнее соотнести историю посещения страниц с конкретным устройством. Однако компания утверждает, что автоматическая авторизация в том виде, в каком она появилась в Chrome 69, не приводит к синхронизации данных браузера с серверами, если пользователь сам не подтвердит это действие.
Согласно позиции компании, автоматическая авторизация служит целям безопасности. Она особенно актуальна на устройствах совместного использования — таким образом предотвращаются ситуации, когда данные из браузера одного пользователя записываются в аккаунт другого.
Несмотря на пояснения компании, недовольство пользователей не рассеялось, поскольку Google не только не спросила их согласия на автоматическую авторизацию, но и нигде никаким образом не упомянула о новшестве[47].
Разработчики Chrome планируют отказаться от URL
4 сентября 2018 года браузеру Chrome от компании Google исполнилось 10 лет. За это время он успел внести целый ряд существенных изменений в работу Сети, начиная от популяризации автоматических обновлений и заканчивая агрессивным продвижением HTTPS . Теперь команда Chrome решилась на самый радикальный шаг – отказаться от URL[48].
URL представляют собой привычные адреса сайтов, с которыми мы сталкиваемся каждый день. Они избавляют пользователей от необходимости иметь дело со сложными протоколами маршрутизации при запросе какого-либо сайта. Однако с течением времени прочитать и понять адрес в адресной строке браузера становится все труднее. По мере расширения функционала Сети URL превратились либо в неразборчивые, бесконечно длинные строки со множеством сторонних компонентов, либо наоборот, в укороченные ссылки из нескольких непонятных символов.
На мобильных устройствах и вовсе нет места для отображения URL-адреса целиком, благодаря чему киберпреступникам открываются большие возможности. Они могут подделывать сайты организаций, реализовывать фишинговые схемы, запускать мошеннические сервисы и пр., и все только потому, что пользователи не могут увидеть на своем смартфоне полный адрес посещаемого сайта.
Команда Chrome решила изменить текущее положение дел и сделать так, чтобы пользователи в точности знали, какой сайт посещают и можно ли ему доверять, сообщает издание Wired. Правда, на данном этапе инженеры Google не готовы представить какие-либо альтернативы URL. Сейчас они заняты изучением того, как люди используют URL, с целью разработать достойную замену. В чем будет заключаться альтернативное решение, пока не знает никто, так как в Google сейчас ведется активное обсуждение данного вопроса.
Уязвимость в Chrome позволяет проникнуть в домашнюю сеть Wi-Fi
Исследователи компании SureCloud обнаружили уязвимость в Chrome[49], позволяющую злоумышленникам проникнуть в домашнюю сеть Wi-Fi и похитить конфиденциальные данные. Атака занимает меньше минуты, а защититься от нее не поможет даже самый надежный пароль[50].
Для осуществления атаки хакер должен находиться в радиусе действия домашней сети Wi-Fi в то время, как атакуемое устройство (смартфон, планшет или ноутбук) активно ее использует. Для взлома злоумышленник может использовать известный сниффер Karma.
В ходе атаки на экране устройства жертвы появится страница, похожая на панель управления маршрутизатором. Chrome и другие браузеры, базирующиеся на открытом исходном коде Chromium, предлагают сохранить учетные данные администратора маршрутизатора и для удобства пользователя вводят их автоматически.
Поскольку большинство домашних маршрутизаторов для выполнения задач используют незашифрованное соединение, исследователям SureCloud удалось с помощью процесса автозаполнения похитить учетные данные администратора маршрутизатора и получить пароль доступа к сети Wi-Fi, при этом от жертвы требовался лишь один клик.
Исследователи сообщили о своей находке Google, однако компания заявила, что функционал браузера работает как положено, и она не будет ничего исправлять.
Chrome Web Store стал единственным источником дополнений
Google внесла правки в правила пользования интернет-магазином браузера Chrome, в соответствии с которыми пользователи браузера больше не смогут устанавливать расширения и приложения из посторонних источников. Компания объясняет необходимость подобных изменений заботой о безопасности пользователей[51].
Ранее разработчики имели возможность с помощью специальных инструкций поместить на свой сайт кнопку, по нажатию на которую появлялось всплывающее окно с предложением установить расширение без перехода в официальный магазин браузера. Данная возможность, названная «inline-установкой» (Inline Installation), появилась в Chrome версии 15 в 2011 г.
С 12 июня 2018 г. запрещена Inline-установка новых расширений. Отныне пользователи при попытке установить что-либо подобным способом будут автоматически перенаправляться на страницу официального магазина Chrome. К 12 сентября 2018 г. и выходу Chrome версии 71 планируется отключить эту возможность для всех расширений.
Возможность внедрения установщика на собственный сайт была предусмотрена для удобства продвижения расширений. Ведь для того, чтобы обнаружить недавно опубликованный продукт, рядовому пользователю пришлось бы перейти в официальный магазин и перебрать огромную массу различных вариантов, прежде чем он наткнулся бы на то, что ему действительно необходимо.
Inline-установка позволяла разработчику проработать и воплотить в жизнь стратегию продвижения нового продукта самостоятельно, а конечному пользователю – начать применять этот продукт при помощи нажатия на единственную кнопку.
В то же самое время, разработчики вредоносного ПО никогда не сидят без дела и постоянно придумывают новые способы обмана доверчивых пользователей. Так, на протяжении последних нескольких лет мошенниками активно использовалась техника создания поддельных сайтов или рекламных объявлений, вводящих пользователя в заблуждение и заставляющих перейти по ссылке для установки сомнительного дополнения.
Например, на веб-странице, имитирующей онлайн-кинотеатр, могло появиться уведомление о том, что текущая версия Flash-плеера пользователя устарела, и ее необходимо срочно обновить, если пользователь хочет посмотреть фильм. Ссылка, разумеется, вела вовсе не на дистрибутив новой версии Flash-плеера, а на расширение, опубликованное злоумышленником.
В Google Chrome 67 появилась функция авторизации без пароля
Компания Google выпустила[52] стабильную версию браузера Chrome 67 для Windows, Mac и Linux, в которой исправлены 34 уязвимости, а также добавлена поддержка стандарта WebAuthn, позволяющего авторизоваться на большинстве сайтов без использования пароля[53].
WebAuthn представляет собой новый стандарт web-аутентификации, который позволяет проходить авторизацию на сайтах, используя уникальные данные, такие как USB-ключи или отпечатки пальцев.
Chrome 67 также улучшена изоляция между вкладками. Данное нововведение позволяет, в числе прочего, предотвратить эксплуатацию уязвимости Spectre , затрагивающую большинство современных процессоров.
Помимо этого, в браузере были исправлены девять серьезных уязвимостей. Наиболее опасной является проблема доступа к памяти за пределами поля (CVE-2018-6130) в Web Real Time Communication (WebRTC). Google также исправила уязвимость переполнения буфера в куче в графической библиотеке с открытым исходным кодом Skia (CVE-2018-6126).
Сканирование файлов в Windows
В начале апреля 2018 года стало известно о том, что Chrome сканирует почти все файлы в Windows. В Google поясняют, что технология лишь проверяют систему на вирусы и не собирает данные.
Активное обсуждение того, что Chrome папки пользователей Windows, началось с подачи эксперта в области кибербезопасности Келли Шортридж (Kelly Shortridge). Она обнаружила, что браузер проверил все папки ее компьютера, включая «Документы». Шортридж заявила, что сильно удивилась присутствию функции в Chrome, о которой она даже не подозревала.
Меня действительно шокировало то, что Google настолько спокойно разворачивает эту функцию, не публикуя более подробную подтверждающую документацию, для того, чтобы ослабить возможные спекуляции на эту тему, — заявила она. |
Корень проблемы кроется в инструменте Chrome Cleanup Tool, использующем наработки антивирусной компании ESET. Эта утилита, которая стала частью обновления Chrome в 2017 году, сканирует компьютер на предмет вредоносных программ, которые могут атаковать Chrome.
В случае обнаружения подозрительных элементов браузер отправляет метаданные проблемного файла в Google, после чего запрашивается разрешение на удаление подозрительного файла. При этом пользователи могут отказаться от отправки информации в Google, убрав галочку напротив строки «Report details to Google» в окне (см. скриншот ниже), которое всплывает, когда выявлена угроза и пользователей спрашивают о ее устранении.
Глава отдела информационной безопасности Google Джастин Шух (Justin Schuh) в своем Twitter-блоге пояснил, что данная утилита запускается только один раз в неделю и использует обычные пользовательские привилегии, не собирая информацию пользователей, а только проверяя ее на вирусы.
Единственная цель утилиты состоит в том, чтобы обнаружить и удалить нежелательное программное обеспечение, которое сможет манипулировать Chrome, — заверил Шух.[54] |
Блокировка расширений для майнинга
В начале апреля 2018 года Google объявила о блокировке предназначенных для Chrome расширений для майнинга криптовалют, которые резко увеличивают нагрузку на компьютерные процессоры.
Начиная со 2 апреля, новые майнинговые расширения в цифровом магазине Chrome Web Store появляться не будут. Ранее такие дополнения для браузера были доступны только при условии открытого и понятного уведомления пользователей о том, что расширение будет использовать ресурсы устройства для добычи криптовалюты, пояснили в Google.
Однако большинство разработчиков таких приложений игнорировали требования Google, поэтому эти расширения не проходили проверку Chrome Web Store или удалялись из каталога по причине нарушений правил.
Речь идет о скрытом майнинге или так называемом криптоджекинге, когда ресурсы компьютера задействуются для добычи криптовалют без ведома пользователя.
В Google сообщили, что криптоджекингом занимались 90% расширений, которые специализировались на майнинге, и лишь авторы 10% программ открыто и доходчиво сообщали о том, чем занимаются их разработки, и какие последствия могут быть для пользователей. Последние зачастую соглашаются на майнинг при помощи собственных устройств в обмен на доступ к какому-нибудь контенту.
Google перестала включать в Chrome Web Store любые расширения, чья основная функциональность связана с майнингом криптовалюты. Те подобные дополнения для браузера, которые ранее попали в каталог, будут удалены в конце июля 2018 года. Свои действия Google объяснила желанием, чтобы «пользователи Chrome могли и дальше получать преимущества расширений, не подвергая себя скрытым рискам».
Нововведения не касается расширений, чья функциональность так или иначе связана с блокчейн-технологиями, но не занимающихся майнингом.[55]
2017
Планы по внедрению защиты от скрытого майнинга
24 октября 2017 года компания Google сообщила о планах внедрения в браузер Chrome средств контроля аномальной активности на веб-страницах, которую создают майнинг-скрипты, и переводить такие страницы в режим пониженного потребления ресурсов процессора[56].
Бороться с нежелательным явлением скрытого майнинга, когда те или иные сайты используют специальные сценарии с целью заработка на пользователях, можно двумя основными способами:
- установить соответствующее расширение для браузера,
- отключить в настройках браузера выполнение JavaScript.
Предполагается, что Google упростит жизнь пользователям Chrome, интегрируя соответствующий защитный механизм непосредственно в браузер.
На 25 октября 2017 года метод еще обсуждается и не получил официального одобрения руководства Google. И пока не существует возможности полной блокировки скриптов, поскольку разработчики ПО модифицируют код майнеров для ее обхода.
В сентябре 2017 года в коде расширения SafeBrowse (версия 3.2.25) для браузера Google Chrome обнаружен сценарий JavaScript, заставлявший браузер пользователя майнить криптовалюту. Странное поведение расширения не осталось незамеченным, поскольку нагрузка на центральный процессор возрастала, что значительно влияло на производительность «инфицированного» компьютера.
Выпуск Chrome Cleanup
Антивирусная компания Eset 17 октября 2017 года объявила о сотрудничестве с Google и представила утилиту Chrome Cleanup, предназначенную для защиты веб-браузера Google Chrome.
Решение распознает потенциальные угрозы и предупреждает пользователя об их обнаружении. В свою очередь, браузер позволяет удалить программу, которая не соответствует правилам Google в отношении нежелательного ПО.
Утилита Chrome Cleanup интегрирована в Chrome и действует в фоновом режиме, не отвлекая пользователя и не препятствуя его работе. Удалив потенциально опасный софт, утилита проинформирует о завершении процесса очистки.
По информации Eset, Chrome Cleanup входит в состав последней версии Google Chrome. Утилита доступна всем пользователям веб-браузера, работающим с ОС Windows.
Доступность поиска от «Яндекса» и Mail.ru
3 августа стало известно о расширении компанией Google вариантов поиска по умолчанию в браузере Chrome на устройствах с ОС Android. Теперь, помимо самого Google, доступны поисковые системы «Яндекс» и Mail.ru. Запрос выдается при установке, но решение можно затем изменить в настройках. Таким образом, Google фактически выполняет ключевой пункт мирового соглашения с Федеральной антимонопольной службой: предоставить возможность продвижения альтернативным поисковикам.[57]
Окно выбора поисковой системы в Google Chrome на Android пока доступно лишь 1% российских пользователей. Однако к сентябрю 2017 года Chrome обновится практически у всех. Такая же возможность выбора поисковой системы существует в Google Chrome для iPhone и iPad.
Мировое соглашение между российским регулятором и американским ИТ-гигантом было достигнуто в апреле 2017 года после 2-летнего спора по поводу злоупотребления Google доминирующим положением на рынке магазинов приложений для Android. Стороны пришли к компромиссу: ФАС не стала требовать от Google «отвязать» предустановку Google Play от других приложений корпорации, со своей стороны, ИТ-гигант согласился не предустанавливать свои приложения для Android на эксклюзивной основе, не мешать предустановке приложений конкурентов, а также не создавать экономических стимулов для контрагентов, которые могли бы подтолкнуть тех к использованию поисковиков Google по умолчанию на безальтернативной основе.
Chrome "без экрана"
13 апреля 2017 года Google сообщила о включении в версии 59 браузера Chrome возможности запуска на устройствах без монитора. Режим «без экрана» уже доступен разработчикам и назван headless.
С помощью Chrome на серверах можно будет выполнять задачи автоматизированного тестирования, когда требуется загрузка веб-страниц, извлечение метаданных, создание изображений или PDF с содержимым страницы и т.п[58].
Ранее для запуска Chrome на серверах приходилось пользоваться эмулятором дисплея. Теперь в этом нет необходимости. Помимо ОС Linux режим «без экрана» будет адаптирован для Windows и Mac OS.
Ожидается, что в браузере появятся и другие изменения. В марте 2017 года разработчики Chrome заявили о намерении запретить всплывающие окна-уведомления на JavaScript, поскольку они создают «слишком много возможностей для злоупотреблений».
Диалоговые окна являются модальными – движок JavaScript останавливается до получения отклика пользователя, что при злонамеренном использовании ведет к блокировке всего браузера. Для борьбы с ними Google планирует в ближайшей перспективе изменить обработку JavaScript, сделав функции alert(), confirm() и prompt() немодальными. Это реализовано в браузере Safari, где всплывающее JavaScript-окно исчезает при переходе пользователя на другую вкладку.
В январе 2017 года разработчики Google лишили пользователей Chrome возможности отключить DRM-защиту, которая не дает смотреть или копировать аудио и видео, защищенное авторскими правами. Изменения внесены в актуальную версию 57.
В Chrome 56 или более ранних версиях браузера пользователи могут загрузить страницу chrome://plugins, позволяющую включать или отключать плагины, активировать режим «запускать всегда». Так можно отключить плагины, которые невозможно сделать неактивными через опцию настроек. В последующих версиях браузера плагины по умолчанию будут активными. Избавляться от них возможно физически удаляя папку с плагином с жесткого диска.
Недоверие к сертификатам безопасности Symantec
В конце марта 2017 года разработчики браузера Google Chrome раскритиковали производителя защитного ПО Symantec за некорректную практику выпуска сертификатов безопасности для веб-сайтов, заявив попутно, что Symantec теряет доверие Google. [59]
С 19 января разработчики Google Chrome расследуют несколько случаев некорректной валидации сертификатов со стороны Symantec Corporation. Объяснения, полученные со стороны Symantec, показывают постоянный рост количества случаев некорректного выпуска сертификатов; по мере того, как команда Google Chrome задавала новые вопросы, 127 некорректно выданных сертификатов превратились как минимум в 30 тысяч..., — говорится в публикации разработчиков Google Chrome. [60] |
По их данным, Symantec предоставила доступ к своим инструментам для выпуска сертификатов безопасности как минимум четырем сторонним организациям и не контролировала в надлежащей мере их действия. Когда стало очевидно, что эти организации не следовали стандартам безопасности, Symantec предпочла не публиковать эту информацию, хотя была обязана это сделать.
Эти проблемы, равно как и отсутствие надлежащего контроля, наблюдались в течение нескольких лет; об их существовании можно было без труда узнать из открытых источников или из данных, опубликованных Symantec, отметили в Google.
В Google предложили следующие меры по исправлению ситуации:
- Сокращение срока, в течение которого новые сертификаты безопасности, выпущенные Symantec, считаются действительными, - до девяти месяцев или даже меньше. Это позволит снизить риски для пользователей Google Chrome, в случае если снова будут происходить некорректные выпуски сертификатов.
- Постепенное снижение степени доверия к текущим сертификатам Symantec, в ближайших релизах Google Chrome, что заставит произвести переоценку и перевыпуск сертификатов.
- Отзыв статуса Расширенного Подтверждения (Extended Validation) у сертификатов, выпущенных Symantec, до тех пор, пока сообщество не восстановит доверие к политике и практике Symantec, но на срок не менее одного года.
В Chrome включили защиту авторских прав на аудио- и видеоматериалы
30 января 2017 года СМИ стало известно, что Google лишила пользователей браузера Chrome возможности отключить DRM-защиту, которая не дает просматривать или копировать аудио и видео, защищенное авторскими правами.
Изменения в браузер Chrome начали действовать с версии 57. Они удалят из него возможность пользовательского управления рядом плагинов, в том числе отвечающими за DRM (digitalrightsmanagement — управление цифровыми авторскими правами). Это программные средства, которые ограничивают или затрудняют просмотр и копирование аудио- и видеофайлов, защищенных копирайтом [61].
в Chrome 56 или более ранних версиях браузера пользователи могут загрузить страницу chrome://plugins, позволяющую включать или отключать плагины, а также активировать режим «запускать всегда». Кроме действий, на этой странице браузера можно посмотреть версию плагина и место его расположения на локальном диске. Функция полезна тем, что при ее посредстве можно отключить плагины, которые невозможно сделать неактивными через опцию настроек. Допустим, Flash или PDF Viewer можно отключить через настройки. Widevine, плагин поддержки EME API, который предназначен для работы с техническими средствами защиты авторских средств — DRM и позволяет правообладателю запретить копирование аудио-видеоконтента через HTML5, можно отключить только через chrome://plugins. Мартин Бринкманн (Martin Brinkmann), немецкий журналист-обозреватель издания Ghacks |
Это относится и к другим плагинам, которые могут появиться в Chrome в будущем. Таким образом, пользователи Chrome 57, как и браузера с открытым исходным кодом Chromium, такой возможности лишены.
Единственное решение проблемы, по мнению журналиста - физическое удаление папки с плагином с жесткого диска — C:\Program Files (x86)\Google\Chrome\Application\[Chrome Version]\WidevineCdm\. Однако папка появится снова при следующем обновлении браузера.
Google лишил пользователя контроля за плагинами, и это достойно критики, поскольку ничего дружественного по отношению к пользователю здесь нет. Будем надеяться, что другие разработчики браузеров не последуют этому примеру. Мартин Бринкманн (Martin Brinkmann) |
2016
Chrome 52
20 июля 2016 года компания Google представила релиз браузера Chrome 52. Одновременно стало известно о готовности и доступности стабильного выпуска свободного проекта Chromium - основы Chrome[62].
Основные изменения в версии Chrome 52
- Представлено CSS-свойство contain, предотвращающее отображение дочерних элементов за границами блока родительского элемента. Применение contain ускоряет рендеринг, гарантируя, что дочерние элементы не выходят за границы родительского блока и достаточно перерисовать только область родительского элемента без применение ресурсоёмких эвристических методов определения изменившихся областей на странице;
- Добавлен API PerformanceObserver, предоставляющий простой и быстрый метод сбора данных о состоянии ресурсов во время работы пользователя с web-приложением, позволяющих выявить проблемы с производительностью и регрессивные изменения, проявляющиеся во время реальных рабочих сеансов. Вместо периодического получения обновлённых данных, новый API позволяет сайту определить какие метрики нужно передавать и браузер передаст запрошенную статистику после появления необходимых данных;
- В Service workers добавлена поддержка потоковой обработки HTML-документа, при которой страница отрисовывается по мере загрузки, не дожидаясь получения всего документа. При помощи Streams API сайт может сформировать объект Response через передачу ReadableStream в конструктор Response;
Service worker page load with streams and without, (2016)
- Добавлена поддержка открытого стандарта VAPID для идентификации сервера, обеспечивающего работу сервиса push-уведомлений;
- Обеспечена приостановка анимации во время показа модальных диалоговых окон;
- Поддержка альтернативных сервисов HTTP, позволяющих сайту определить дополнительные источники (origin), которые можно использовать для доступа страницы к ресурсам и балансировки нагрузки;
- Добавлен метод ImageBitmapOptions, позволяющий определить конфигурацию создания ImageBitmap;
- Обеспечена возможность высвобождения памяти, используемой для ImageBitmap, через вызов ImageBitmap.close();
- Добавлены CSS-свойства font-variant-caps и font-variant-numeric для отображения мелких заглавных букв и различных стилей написания цифр;
- В таблицах стилей обеспечена возможность определения степени прозрачности для цветов при помощи дополнительных 8- или 4-битовых шестнадцатеричных значений (#RRGGBBAA или #RGBA, например "background: #ffff0077;", где 77 - степень прозрачности), вместо более длинного синтаксиса rgba();
- Решена проблема с выводом всплывающих окон в процессе прокрутки жестом на сенсорном экране из-за срабатывания обработчика на iframe-вставках;
- Добавлена поддержка экспериментального CSS-свойства "-webkit-appearance:none", отключающего отрисовку по умолчанию индикатора для HTML5-элемента meter, что упрощает применение собственных стилей CSS;
- В Content Security Policy добавлено выражение unsafe-dynamic, позволяющее использовать белые списки допустимых источников скриптов;
- При помощи Fetch API сайты теперь могут программно определять правила обработки Referrer для текущего запроса;
- В CanvasRenderingContext2D добавлен атрибут filter, позволяющий применять эффекты к выводимым через canvas примитивам;
- В PannerNode и AudioListener добавлена поддержка методов для организации плавного перехода от одного источника звука к другому;
- Добавлен атрибут HTMLMediaElement.srcObject, упрощающий связывание MediaStream с элементами audio и video;
- Представлена экспериментальная возможность отключения автоматической очистки связанного с сайтом брузерного хранилища (persistent-storage), если сайт занесён в закладки;
- Возможность привязки нескольких WebVTT в блоке управления мультимедийным контентом, что позволяет организовать выбор субтитров или примечаний на нескольких языках;
- Прекращена поддержка метода requestAutocomplete(), который не реализован в других браузерах и невостребован web-разработчиками. Вместо requestAutocomplete предлагается использовать Payment Request API;
- Убрана возможность использования параметра X-Frame-Option через тег meta.
- Кроме нововведений и исправления ошибок, в новой версии устранено 48 уязвимостей, многие из которых выявлены в результате автоматизированного тестирования инструментами AddressSanitizer и MemorySanitizer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. Точная сумма, которая будет выплачена в рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей, для текущего релиза пока окончательно не определена, но уже известно, что рекордное единоразовое вознагражение в $15000 получит исследователь под псевдонимом Pinkie Pie, выявивший уязвимость (CVE-2016-1706), позволяющую обойти sandbox-изоляцию в PPAPI.
Chrome 50
14 апреля 2016 года стало известно о выпуске юбилейной версии браузера компании Google - Chrome 50[63].
Компания сообщила об исправлении 20 багов, связанных с безопасностью, из которых 8 стали известны благодаря сторонним исследователям, остальные обнаружены сотрудниками проекта Chromium. Две уязвимости получили высокий приоритет, пять средний.
Закрыты уязвимости в компоненте расширений (CVE-2016-1655), связанная с загрузкой в Android уязвимость (CVE-2016-1656), потенциальный баг с доступом вредоносных расширений к персональной информации (CVE-2016-1658), уязвимость адресной строки (CVE-2016-1657).
Улучшены уведомления. Теперь в них есть дата появления и можно выполнять некоторые действия. Push API позволит отображать зашифрованные данные, уведомления могут быть со звуком, вибрацией или полностью бесшумные. На сервер будут отправляться данные о том, закрыл ли пользователь уведомление и активировал ли функцию отклонения уведомлений на всех своих устройствах с аккаунтом Google.
Версия доступна для систем Linux, Mac OS X и Windows. Прекращена поддержка Windows XP, Vista и всех версий Mac OS X до Mavericks. О дате релиза версии для Android и iOS не сообщается.
Защита от квантового взлома
7 июля 2016 года корпорация Google сообщила об интеграции защиты от квантового взлома в браузер Chrome.
По словам разработчиков, это перспективная разработка на будущее - квантовых компьютеров, которыми могут воспользоваться хакеры, пока нет, но вскоре они станут частью нашего мира [64].
Используемые в Chrome алгоритмы и методы интернет-шифрования противостоят современным хакерам. Но против квантовых компьютеров они бессильны, и значит нужно создать более совершенный способ защиты данных. Для этого компания создала алгоритм New Hope, который шифрует веб-сайты, но при помощи особого, постквантового ключа.
Как заявила корпорация, этот алгоритм устойчив ко всем способам взлома, существующим на июль 2016 года. Его тестирование происходит в бета-версиях Google Chrome в режиме шифрования данных, передаваемых между браузером и серверами Google.
Релиз Chrome 49
3 марта 2016 года компания Google представила релиз браузера Chrome 49[65].
Основные изменения в релизе Chrome 49:
- Прекращено формирование сборок для 32-разрядных систем Linux и прекращена поддержка платформ Ubuntu 12.04, Debian 7 (wheezy), Windows XP, Windows Vista, OS X 10.6, 10.7 и 10.8. Начиная с Chrome 49 Linux-сборки будут формироваться только для 64-разрядных систем. Возможность сборки кодовой базы Chromium для 32-разрядных систем оставлена, что позволит дистрибутивам продолжить выпуск актуальных 32-разрядных пакетов с Chromium. Поддержка 32-разрядных архитектур x86 и ARM в кодовой базе Chromium будет сохранена как минимум в течение пяти лет. Всем пользователям 32-разрядных Linux-систем рекомендуется перейти на использование Chromium. Пользователям Ubuntu 12.04 и Debian 7 рекомендуется обновить свои системы до выпусков Ubuntu 14.04 и Debian 8.
- Поддержка определения собственных свойств CSS (CSS custom properties) путем использования переменных, содержащих часто используемые параметры CSS. Переменные позволяют упростить поддержание большого числа одинаковых значений в различных файлах CSS, например, типовых цветов, которые упоминаются во многих местах страницы. Задание подобных параметров через переменные существенно упрощает изменение их значений - вместо повсеместной правки отдельных элементов во множестве файлов, достаточно изменить лишь присвоение базового значения переменной. Для ссылки на переменную в CSS предлагается использовать функцию var(), допускаются математические выражения над переменными. Пример:
:root {
--main-color: #06c;
--margins: 2;
--margins-double: (var(--margins) * 2);
}
#foo h1 { color: var(--main-color);
}
- Представлен Background Sync API для выполнения операций фоновой синхронизации в service worker, решающих проблему c потерей изменений в случае закрытия страницы до окончания передачи локальных изменений на сервер (например, почтовый клиент может потерять находящиеся в очереди сообщения, если пользователь закроет страницу сразу после их отправки). В случае пропадания сетевого соединения, Background Sync позволяет отложить выполнение операции синхронизации до момента появления доступности сети, даже если страница досрочно закрыта пользователем;
- Расширена поддержка стандарта ECMAScript 2015, степень охвата элементов которого в JavaScript-движке V8 оценивается в 91%. В новом выпуске добавлена поддержка деструктуризации данных в массивах и объектах, определения используемых в функции аргументов по умолчанию (например, "function multiply(a, b = 1)"). В объектах Proxy и Reflect API добавлена возможность изменения поведения при поиске и назначении элементов. Реализована возможность использования блочных конструкций, таких как class и let, вне режима strict;
- Элемент "keygen", который использовался для генерации или передачи ключей через HTML-формы, переводится в разряд устаревших. Так как он не отвечает современным требованиям безопасности (сертификат передаётся в MIME-блоке application/x-x509-user-cert и может быть подменён), поле keygen будет по умолчанию возвращать пустое значение, а сертификат из application/x-x509-user-cert не будет загружаться и устанавливаться по умолчанию;
- Возможность использования MediaRecorder API для записи звука и видео без привязки к каким-либо плагинам (перед началом записи пользователю выводится окно с предложением подтвердить операцию);
В инструменты для разработчиков добавлены средства отслеживания процесса загрузки шрифтов, указанных через свойство CSS font-display;
- Реализована возможность на стороне сайта выявлять каким именно клиентом service worker инициирован запрос на извлечение данных (передаётся атрибут FetchEvent.clientID);
- Поддержка плавной анимации прокрутки, выполняемой с использованием дискретных устройств, таких как колесо мыши;
- Добавлены дополнительные средства предотвращения модификации защищённых cookie при доступе не через HTTPS. Для идентификации secure cookies можно использовать специальный префикс "__Secure-";
- В Remote Playback API добавлено свойство disableRemotePlayback, позволяющее запретить удалённое воспроизведение контента через устройство Google Cast;
- Увеличена точность определения времени наступления события (Event.timeStamp теперь имеет тип DOMHighResTimeStamp вместо DOMTimeStamp), что позволяет более точно контролировать операции прокрутки и движения указателя;
- Добавлен URLSearchParams API, предоставляющий программный интерфейс для манипуляции параметрами в строке запроса (блок, идущий после "?" в URL);
- В WebAudio добавлена поддержка фильтров IIR, операций OfflineAudioContext.suspend()/resume() и обработчиков Promise в DecodeAudioData;
- Возможность использования service worker для открытия нового URL в окне через вызов WindowClient.navigate();
- Возможность отследить на стороне сайта включения режима экономии трафика через установку заголовка Save-Data;
Кроме нововведений и исправления ошибок, в версии устранено 26 уязвимостей. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено.
2015
Скрытое расширение браузера Chromium слушает
23 июня 2015 года стало известно о фактах использования компанией Google скрытого расширения прослушивающего звуковой фон около персонального компьютера. Пользователи открытого браузера Chromium и основанного на нем Google Chrome утверждают - это расширение работает всегда, даже если функция голосового управления в браузере выключена[66].
Компания Google скрытно устанавливала на компьютеры интернет-пользователей расширение, предназначенное для контроля звукового фона и поиска в нем фразы «Ok, Google!». Независимо друг от друга об этом заявили несколько пользователей браузера Chromium версии 43 и созданного на его основе Google Chrome на операционных системах Debian Linux и Apple OS X. Они сообщили об этом на баг-трекерах Debian и Chromium.
Скриншот окна расширения браузера, 2014
Chromium — проект Google по созданию браузера с открытым исходным кодом. Поисковая компания — один из основных контрибьютров проекта. На основе Chromium корпорация выпускает браузер под собственным брендом — Google Chrome.
«После того как я обновил Chromium до 43 версии, я заметил, что при первом выходе в интернет приложение начинает фоновую загрузку расширения Chrome Hotword Shared Module, содержащего бинарный файл без исходного кода. Возможности отменить эту загрузку я не нашел», — сообщил на баг-трекере Debian пользователь Yoshihito, первый обнаруживший проблему.
На его компьютере установлена операционная система Debian Linux.
Вскоре начали появляться сообщения от других участников проекта. Один из пользователей компьютера с операционной системой Apple OS X, что смог воспроизвести проблему в Google Chrome:
- сначала нужно загрузить Chrome версии 43.x, затем отключить интернет и установить браузер
- после этого включить интернет
- и можно наблюдать скрытую установку расширения в системной папке.
Пользователь отметил, что Chrome не спросил у него разрешения на загрузку и никаким образом не уведомил о ней. Кроме того, расширение не отображается в списке расширений, как это должно быть.
Сообщество возмутил тот факт, что расширение представляет собой бинарный файл и не сопровождается исходным кодом, как это принято в любых открытых проектах, к которым относится и Chromium. Это противоречит общественному договору Debian, который запрещает дистрибуцию программного обеспечения без открытого исходного кода. Участники сообщества недоумевают, как это расширение было допущено участниками проекта и призывают ужесточить правила контроля приложений.
Google отреагировала сообщением на баг-трекере Chromium. Представитель компании заверил, что Chrome Hotword Shared Module по умолчанию выключен и не работает до поры, пока пользователь не включит функцию распознавания команды «Оk, Google!» в настройках браузера.
В компании заявили, что не несут ответственность за состав программного обеспечения, дистрибуцией которого занимается сообщество Debian.
«Наша основная задача — подготовка кода. Если кто-то (например, сообщество Debian) занимается распространением браузера, это его ответственность — соблюдать собственные правила», — сказали в компании.
«Что касается Chrome, то это закрытое приложение, в отличие от Chromium. И оно может включать любые проприетарные компоненты, необходимые для реализации базовой функциональности браузера», — добавили в Google.
Что касается отсутствия Chrome Hotword Shared Module в списке расширений, это потому, что оно реализует базовую функциональность (распознавание фразы «Оk, Google!»), поэтому компания приняла решение не показывать его.
Во избежание нарастания конфликта Google устранила проблему в одном из последующих обновлений Chromium 43.x.
Рикард Фальквинге (Rick Falkvinge), предприниматель из Швеции, основатель Шведской пиратской партии, написал в своем блоге, что в действительности расширение начинает прослушивать звуковой фон сразу после установки, вне зависимости от того, включена ли функция в браузере или нет. Он заявил, что это подтверждается состоянием микрофона во время работы браузера. Активация функции в браузере, лишь команда программе - реагировать на звуковые колебания. Фальквинге полагает, что компания может запросто прослушивать разговоры и отсылать их на любой удаленный сервер.
В Chrome исправили 43 ошибки и сделали еще одну
27 июля 2015 года стало известно о выпуске корпорацией Google очередной версии браузера Chrome для Windows, Mac OS и Linux[67].
В ней исправлены 43 уязвимости, многие из которых оцениваются как критические и потенциально могли использоваться для организации кибератак. Однако, как сообщили СМИ, версия Chrome содержит изъян.
Руководствуясь благими намерениями, разработчики браузера заложили в эту версию функционал, отдающий предпочтение защищенным HTTPS-соединениям. При этом браузер пытается обнаружить HTTPS-страницы на сайтах, где их нет. В итоге некоторые сайты отображаются некорректно, либо страницы не открываются совсем. Прежде всего, это относится к сайтам, созданным на платформе Wordpress, но не только.
Компания Google подтвердила свою информированность о допущенной ошибке и обещала постараться исправить ее в ближайшее время.
2013
Google меняет движок рендеринга для браузера Chrome с WebKit на Blink
В начале 2013 года компания приняла решение по изменению направления своих работ, связанных с созданием веб-движков: поисковый гигант собирается делать собственное WebKit-ответвление под названием Blink, которое будет в целом подобно WebKit, но также будет иметь и несколько ключевых отличий.
Отмечается, что WebKit является гибким и производительным инструментом рендеринга и базируется на многопроцессной архитектуре. Но фактически в Chrome используется видоизмененный вариант WebKit. В результате, разработчики Google вынуждены вносить как собственные изменения в движок, так и портировать изменения сторонних разработчиков, что вынуждает программистов Google дополнительно вносить свои улучшения в общий канал разработки WebKit. Компания поясняет, что портирование таких изменений отнимает слишком много ресурсов, и чтобы избежать лишних трудозатрат, а также упростить процедуру рендеринга для Chrome, было решено разделить WebKit на два проекта.
На первом этапе планируется сфокусироваться на внутренней архитектуре и удалении примерно 4,5 млн. строк лишнего кода WebKit с целью его упрощения. Предполагается, что со временем это приведет к повышению стабильности и меньшему числу ошибок. При этом разработчики Blink намерены сотрудничать с разработчиками других движков для обеспечения совместимости и следования единым стандартам.
По словам представителей Google, для разработчиков создание собственного движка Blink означает появление возможности для ускорения работы их веб-приложений, размещения новых программ, предназначенных для исполнения в `песочнице`, а также потенциально более высокую безопасность браузера в целом.
Практически одновременно с информацией о том, что Google переводит свой браузер на новый движок рендеринга, о своём решении подключиться к проекту заявила компания Opera Software. По словам ее представителей, вместо WebKit в будущих версиях настольных и мобильных браузеров Opera будет использоваться Blink. Ранее Opera объявила о том, что, начиная с 2013 года, большинство новых версий ее браузера для смартфонов и компьютеров будут разрабатываться с применением технологий WebKit и Chromium вместо используемого сейчас движка Presto.
Chrome 26
Компания Google обновила в апреле 2013 года свой веб-браузер Chrome для платформы Android. Новая версия получила функции синхронизации паролей и автозаполнения форм — как у настольной версии. Chrome для Android поддерживает синхронизацию данных с настольным браузером, позволяет работать с неограниченным числом вкладок, имеет режим `Инкогнито`.
Помимо этого разработчики браузера улучшили стабильность его работы и исправили ошибку, которая при переходах на некоторые ссылки приводила на страницу с пустым содержимым.
Дополнительно сообщается, что в браузер внедрена поддержка экспериментальной функции WebRTC. Чтобы воспользоваться ею, пользователю необходимо разрешить веб-сайтам использовать камеру и изменять настройки звука.
Chrome 25
Google выпустила в феврале 2013 года 25-ю браузера Chrome для Windows, Mac и Linux. И если в версии Chrome 24, которая была выпущена в начале января, компания сфокусировалась на повышении стабильности, то версия 25 несет ряд важных нововведений.
Среди них - поддержка распознавания голоса посредством интерфейса программирования (API) Web Speech. Web Speech API позволяет разработчикам интегрировать распознавание голоса в веб-приложения. Компания Google начала поддерживать эту функциональность с платформы Android и с новой версией браузера переместилась к настольным ПК.
В бета-версию Chrome 25, выпущенную 14 января 2013 года, была добавлена поддержка WebRTC API. Этот интерфейс позволяет создавать приложения для видеозвонков и обмена файлами в режиме реального времени между пользователями, которые используют совместимые браузеры. Chrome 25 стал первым браузером, в котором поддержка WebRTC API была полностью реализована. Частичная реализация есть в Firefox 18. Посмотреть демонстрацию можно по этой ссылке. Никакого дополнительного ПО устанавливать не нужно.
Наконец, в новой версии Chrome компания Google полностью отказалась от расширений, скачиваемых за пределами официального магазина Chrome Web Store, выполнив обещание, которое дала в декабре 2012 года.
Если у пользователя были установлены расширения не из Chrome Web Store, после обновления до Chrome 25 все они будут отключены, о чем пользователь будет уведомлен. Каждое из скрытых дополнений можно будет активировать повторно с помощью диалогового окна.
Многие сторонние разработчики злоупотребляли возможностью устанавливать расширения в Chrome без ведома и разрешения пользователя. В новой версии такую возможность было решено полностью исключить, сказали в Google.
Несмотря на то, что скрытые расширения могут угрожать безопасности пользователя, в причинах безопасность не фигурирует. В Google утверждают, что скрытые расширения могут оказывать негативное влияние на функциональность и производительность браузера. Однако есть у данного шага и обратная сторона.
Chrome 23
Версия веб-браузера Google Chrome 23 для платформы Windows позволяет на 25% продлить время автономной работы ноутбуков в режиме воспроизведения видео через интернет. Это стало возможным благодаря внедрению функции декодирования видео с помощью графического ускорителя ноутбука, задача на который была переложена с центрального процессора. Тест был проведен на ноутбуке Lenovo T400 с операционной системой Windows 7 при воспроизведении видео в формате 1080p со скоростью 30 к/с. Помимо этого, была улучшена безопасность браузера, в том числе появилась поддержка стандарта Do Not Track - он запрещает сайтам отслеживать ресурсы, которые пользователь посещает. С появлением поддержки в Chrome теперь этот стандарт поддерживается всеми пятью самыми популярными браузерами. Поддержка Do Not Track появилась в Chrome 23 для всех платформ, включая Linux и Mac.
2012: Chrome 18
28 марта 2012 года Google представила 18-ю по счету стабильную версию своего браузера Chrome. Предыдущую компания выпустила всего семь недель назад – 8 февраля. Возможно, к такому достаточно жесткому темпу Google подталкивает ближайший конкурент в лице Mozilla, который обновляет версии браузеров по четко установленному графику с промежутком в шесть недель.
Разработчики Chrome 18 устранили девять уязвимостей, три из которых Google считает серьезными, пять – средней степени опасности, и одну не представляющей особой опасности. Примечательно, что инженеры Google самостоятельно выявили только три уязвимости, об остальных сообщили независимые исследователи и получили в качестве премии $4 тыс. Всего за 2012 год поисковый гигант успел выплатить сторонним тестерам и разработчикам свыше $210 тыс. Эта сумма включает вознаграждения за призовые места в рамках проводимых конкурсов по защите данных и ИТ-безопасности.
Приложение обзавелось поддержкой функций аппаратного ускорения на платформах Windows и Mac с совместимыми графическими процессорами. Речь идет о повышении производительности рендеринга Canvas 2D – графических элементов из состава HTML5, и расширении поддержки стандарта WebGL 3D на ПК с морально устаревшими элементной базой и драйверами. Это должно положительным образом сказаться на быстродействии различного рода веб-приложений и, в первую очередь, игр.
В состав Google Chrome 18 входит Adobe Flash Player 11.2, в котором разработчики тоже нашли и иустранили две критические уязвимости. Ключевым отличием последней версии Flash Player является встроенный механизм установки обновлений в фоновом режиме, однако в связке с Chrome он не работает – браузер использует собственную службу отслеживания появления патчей. Кстати, Chrome остается единственным браузером с предустановленным флэш-проигрывателем.
2011
Chrome 11 с голосовым вводом
27 апреля 2011 г. компания Google объявила о выпуске новой версии своего браузера Chrome 11 для Windows, Mac и Linux. Интересно, что это первый релиз Chrome в котором использован новый «плоский» логотип браузера. Первая информация о предстоящей смене привычного лого Chrome просочилась в Сеть в начале марта 2011 г.
Всего в новой версии Chrome 11 было сделано более 3,7 тыс. изменений. Основной новой функцией стала возможность голосового ввода. «Голосовой ввод через HTML является одной из многих новых веб-технологий в нашем браузере, которые помогают использовать голосовые возможности инновационных и полезных веб-приложений, таких как Google Translate», - отметил Джош Эстелл (Josh Estelle), программный инженер Google.
В браузере появились два важных нововведения, которые позволят управлять веб-сервисами голосом - в частности поиском, и обрабатывать 3D - изображения. Добавление HTML5 speech input API стало результатом сотрудничества с HTML5 Speech Incubator Group. Это нововведение позволит браузеру Chrome распознавать голосовой ввод, что может быть использовано при работе с различными веб-сервисами. GPU-accelerated 3D CSS позволит веб-дизайнерам добавлять на сайт элементы в трехмерном виде. Как понятно из названия, новая версия Chrome также умеет обрабатывать 3D CSS с помощью графического ускорителя, что снимает часть нагрузки с центрального процессора.
Обновление до Chrome 11 произошло через шесть недель после релиза предыдущей стабильной версии Chrome 10. Начиная с лета 2010, Google старается выпускать новые версии Chrome примерно каждые шесть недель, внося в каждый релиз небольшое количество различных изменений.
По словам представителей интернет-гиганта, в этот раз компания выплатила рекордную сумму в размере $16,5 тыс. в качестве вознаграждения исследователям, которые и сообщили о большинстве обнаруженных ошибок и уязвимостей. Это выше предыдущего самого большого платежа на несколько сотен долларов.
Вознаграждение в $16,5 тыс. от Google поделили между одиннадцатью исследователями, которые обнаружили 17 из 27 исправленных в новой версии Chrome уязвимостей. Как говорится в сообщении представителей команды создателей браузера, $4 тыс. получил Сергей Глазунов, постоянный участник сообщества исследователей Chrome. Еще $4 тыс. выплатили независимому исследователю под ником kuzzcc.
Всего в 2010 году интернет-гигант потратил на выплаты добровольным исследователям ошибок в Chrome уже более $77 тыс. Среди пяти крупнейших разработчиков браузеров только Google и Mozilla платят деньги независимым специалистам за такую работу.
Обновление, официальный релиз которого состоялся 27 апреля, исправляет 18 уязвимостей с рейтингом опасности «высокий» - второй по опасности по шкале Google. Также разработчики браузера Chrome исправили 6 уязвимостей с рейтингом «средний» и 3 - с низким уровнем опасности. В общей сложности при выпуске Chrome 11 было исправлено сразу 27 уязвимостей.
Критических уязвимостей, которые считаются наиболее опасными и позволяют злоумышленникам обойти специальную «песочницу» Chrome, в этот раз обнаружено не было. Всего в 2010 году представители Google исправили три критические уязвимости, сообщает ComputerWorld.
Пять из исправленных уязвимостей были идентифицированы как ошибки «старых ярлыков» - этот термин обозначает недостатки в коде выделения памяти приложения. Как отмечают эксперты, в течение последних четырех месяцев разработчики Chrome исправили целый ряд таких ошибок в браузере.
Остальные исправленные уязвимости могли быть использованы хакерами для подмены содержимого адресной строки - этот способ обычно используется для атак фишерами и злоумышленниками, которые крадут личные данные пользователей. Кроме того, с помощью подмены содержимого адресной строки можно заразить браузер с помощью вредоносных SVG-файлов.
Chrome 10
- Разработчики Chrome выпустили новые версии браузера – 10 beta для обычных пользователей и 11 dev для тех, кто знакомится с новейшими возможностями заранее или ведет разработку приложений, ориентированных на работу с браузером Chrome. Первая бета-версия браузера Google Chrome 10 показала в тесте скорости работы подсистемы JavaScript V8 результат, на 64% превышающий результат версии Chrome 9. Однако в другом популярном тесте скорости — SunSpider — Chrome 10 оказался лишь на десятую долю процента быстрее предшественника. Тесты проводили сотрудники Computerworld на версии браузера для Windows 7.[68]
Инженерам Google уже приходилось объяснять, почему проверка Chrome в тесте V8 (тоже разработанном в Google) дает результаты, заметно отличающиеся от теста SunSpider, являющегося частью WebKit – движка с открытым кодом, на котором базируется и сам Chrome. Дело в том, утверждают они, что при разработке подсистемы JavaScript в Chrome (она носит название Crankshaft) все силы были брошены на оптимизацию самых часто выполняемых операций. В отличие от реальных приложений, ряд тестов SunSpider занимает считанные миллисекунды, и Crankshaft не успевает показать преимущество.
В Chrome 10 реализовано также аппаратное ускорение видео, синхронизация паролей между копиями Chrome на разных машинах и автоматическое отключение устаревших версий расширений. Аналогичная функция есть в браузере Firefox.
- 8 марта 2011 г. представители Google анонсировали выход стабильной версии Chrome 10. Новый релиз браузера доступен пользователям операционных систем Windows, Mac и Linux.
Ключевым улучшением программы является увеличение производительности при работе с JavaScript, которая достигается благодаря использованию новой версии движка браузера V8 под кодовым названием Crankshaft. Она позволила оптимизировать обработку скриптов JavaScript, ускорив ее на 66% по сравнению с Chrome 9.
Кроме того, в браузере обновился интерфейс настроек - теперь он открывается во вкладке (тогда как ранее раздел открывался в виде диалогового окна поверх вкладок). По словам разработчиков, с помощью нового интерфейса проще настраивать функционал браузера и находить нужные пользователю возможности. В настройки была добавлена поисковая строка, облегчающая для пользователя поиск интересующих его функций.
Среди других улучшений - возможность синхронизации паролей для доступа к сайтам на нескольких компьютерах и возможность шифрования паролей с помощью единой секретной фразы. Также технология Adobe Flash в системах Windows теперь будет исполняться браузером в специальной «песочнице», что позволяет улучшить защиту от вредоносных веб-сайтов.
Всего, по словам представителей Google, в Chrome 10 было исправлено около 100 ошибок по сравнению с предыдущей версией. В движке Chrome 10 Webkit устранены 23 уязвимости, из которых 15 имели высокую степень опасности, 3 - среднюю и еще 5 - низкую.
- В марте 2011 года на российских телеканалах началась кампания по продвижению браузера Google Chrome. По информации CNews, это первый опыт рекламы браузера по телевидению.
Кампания проходит под слоганом «Быстрее, чем вы думаете». Прокатываемый в ее рамках 30-секундный рекламный ролик иллюстрирует идею высокой производительности браузера Google Chrome и намекает на возможности «мгновенного» контекстного поиска Google Instant, при котором поисковая выдача происходила без перезагрузки страницы по мере набора запроса.
Chrome 9
3 февраля 2011 г. Google выпустила девятую версию веб-браузера Google Chrome. Основными нововведениями стали поддержка технологии WebGL и функция Chrome Instant.
Chrome Instant - то же самое, что и «Живой поиск в Google», Google Instant. Ранее эта функция, позволяющая видеть результаты поиска до окончания ввода запроса, была добавлена к поисковому серверу Google. Теперь она работает при вводе запроса в адресную строку браузера.
Google пообещала выплатить $20 тыс. участнику ежегодного хакерского соревнования Pwn2Own, который сможет взломать Google Chrome. Мероприятие пройдет в следующем месяце в Ванкувере. Как отмечает The Register, в 2010 г. Chrome стал единственным браузером, взломать который участникам конкурса не удалось.
2010
Chrome 8
Представлена в декабре 2010 г. В новую версию вошло 800 исправлений и улучшений, повышена общая стабильность браузера. Кроме того, приложение получило встроенный ридер PDF-файлов, запускаемый как изолированный процесс. Это избавляет от необходимости использовать отдельные приложения для просмотра соответствующих файлов, таких как Adobe Reader.
В Google Chrome 8 (полный номер последней стабильной версии - 8.0.552.215) закрыто 13 уязвимостей, четыре из которых оценены как важные, пять - существенные и еще четыре - как несущественные. Также появилась поддержка магазина приложений Chrome Web Store, который планируется запустить в течение нескольких месяцев.
Chrome Web Store главным образом создается как дополнение к предназначенной для нетбуков операционной системе Chrome OS. В компании полагают, что с его помощью пользователи смогут устанавливать в облачную систему приложения, написанные базе современных веб-стандартов.
Chrome 7
В августе 2010 года было объявлено о включении в Chrome 7 поддержки графического ускорения вывода страниц. Речь идет как о поддержке двухмерных объектов, так и о трехмерном содержимом. Кроме того, ожидается реализация поддержки API OpenGL и Direct3D, что позволит добиться корректной работы в различных операционных системах. Как известно, Google Chrome работает не только в среде Windows, но и под Mac и Linux.
В настоящее время большинство объектов web–страницы с информацией обрабатывается на центральном процессоре и передается на графический чип только для сведения воедино. Поэтому выигрыш во времени отображения пока будет заметен только на очень сложных страницах, применяющих самые современные технологии.
Тест Accuvant назвал Chrome самым безопасным
Исследователи фирмы Accuvant, занимающейся проблемами сетевой безопасности, выпустили отчет, в котором назвали браузер Google Chrome самым безопасным. Другие эксперты предполагают, что это заказной отчет, который должен дискредитировать репутацию Mozilla Firefox. Google эти предположения опровергает.
О том, что Google заплатила за исследование, заявила другая компания, NSS Labs. «Это оплаченный вендором документ, и в таких случаях производители, как правило, оборачивают методологию в свою пользу, что и произошло в данном конкретном случае», - отметил технологический директор NSS Labs Викрам Пхатак (Vikram Phatak).
Когда NSS Labs напомнили, что она сама проводила финансируемые исследования на рынке браузеров в прошлом., которые оплачивала Microsoft, Пхатак сказал, что это «причина, по которой мы больше не занимаемся подобной деятельностью».
Назвав выполненное Accuvant тестирование «перекошенным в пользу Chrome», Пхатак аргументировал это тем, что в ходе исследования были проигнорированы некоторые ключевые функции безопасности Firefox.
Пхатак и Рик Мой (Rick Moy), президент NSS Labs, считают, что Google реализует продуманную компанию по дискредитации репутации Firefox. Например, она не обновила поисковый контракт между Google и Mozilla, а также в последнее время усилила эффективность Chrome в плане блокировки malware.
Хотя Mozilla заявила, что вела «активные переговоры» с Google о продлении контракта, пока официально компания не заявила, был ли он в итоге подписан, а предыдущий договор между сторонами истёк в прошлом месяце. Доходы Mozilla от этого сотрудничества составили 84% от выручки в размере $123 млн в 2010 году.
Об усилении эффективности Chrome свидетельствуют исследования NSS Labs, причем эффективность браузера поднялась в пять раз за короткий период времени с 22 ноября по 2 декабря.
Chrome, как Firefox и Apple Safari, для блокировки нежелательных сайтов и документов используют сервис Google Safe Browsing. И в то время как за 11-дневный период результативность таких блокировок у Chrome выросла с 8% до 40%, Firefox и Safari потеряли по 2% по этому показателю. В NSS Labs предполагают, что Google сделала это преднамеренно.
Вместе с тем в Accuvant отрицают, что Google каким бы то ни было образом повлияла на результаты их исследования. Исследователи говорят, что они разработали совершенно новые методики оценки безопасности браузеров, все эти методики можно изучить в открытом доступе. Так что они уверены, что с точки зрения безопасности Chrome занимает первое место среди браузеров, на втором и третьем месте - IE и Firefox соответственно. Google также отрицает все обвинения NSS Labs, назвав выводы этой фирмы «неточными».
Chrome 6
В сентябре 2010 года Chrome 6 помещен в Google Stable Channel — систему обновления программного обеспечения, готового к рабочему применению. Разработчики Google начинают пользоваться механизмами аппаратного ускорения. Раковски обещает, что скоро результаты увидят конечные пользователи.
Методы аппаратного ускорения браузера предполагают перенос некоторых задач, особенно касающихся интенсивной работы с графикой (например, воспроизведения видео или обработки сложных трехмерных объектов), с центрального процессора ПК на графический. На сегодня аппаратное ускорение используется только в экспериментальных сборках Chromium — версии браузера Google с открытым кодом. Однако со временем в компании собираются перенести новую функцию и в Chrome, сперва в экспериментальные сборки, а затем в бета- и стабильные версии. Аппаратное ускорение появится как в Windows-, так и в Mac-версии браузера, но на каждой из этих платформ оно будет реализовано по-разному.
В Chrome 6 несколько переработан пользовательский интерфейс: пиктограмма закладок находится справа от адресной строки, а другие стали меньше размером. У Chrome теперь всего одно меню (а не два, как раньше), содержащее все операции, кроме базовых команд управления браузером, таких как «назад», «вперед» и «перезагрузить страницу».
Еще одна особенность Chrome 6 — улучшенный механизм синхронизации, который теперь автоматически заполняет поля и синхронизирует расширения между копиями браузера, установленными на различных компьютерах. Раньше он обеспечивал только синхронизацию закладок, паролей, установок и тем оформления.
В Google собираются ускорить темпы обновления браузера и начнут выпускать их примерно каждые шесть недель. При таких темпах Chrome будет обновляться гораздо чаще, чем его соперники. Firefox, например, выпустил всего одно крупное обновление в 2009 году, а на 2010 год были запланированы два. Internet Explorer же выходит и того реже — раз в два года.
В Chrome 6 закрыты 16 уязвимостей безопаности, восемь из которых имеют высокий рейтинг, четыре — средний и четыре — низкий. Ни у одной нет статуса «критической», указывающего на самый высокий уровень опасности.
Chrome удалось достичь цели, поставленной год назад: к сентябрю 2010 года планировалось захватить 5% рынка, а к сентябрю 2011-го — 10%. По данным Net Applications, в августе доля Chrome уже составляла 7,5%.
Chrome 5.0
В июле 2010 года разработчики Google выпустили очередную порцию заплаток для браузера Chrome, обновив приложение до версии 5.0.375.86.
В новой редакции интернет-обозревателя специалисты устранили пять уязвимостей, трем из которых был присвоен статус критических. Программисты исправили недоработки в коде, приводившие к повреждению областей памяти обработчика страниц, ликвидировали брешь в отвечающем за работу адресной строки браузера компоненте omnibox, закрыли дыру в механизме аутентификации при помощи сертификатов, а также устранили проблему, теоретически позволяющую организовывать XSS-атаки (Cross-Site Scripting) с целью кражи паролей или персональных данных о пользователях.
Пятая линейка Chrome, напомним, была представлена в конце мая 2010 года. От прежних версий программу отличают усовершенствованный движок рендеринга веб-страниц, расширенные функции синхронизации, входящий в состав приложения плагин Adobe Flash, возможность использования расширений в режиме "Инкогнито", новые опции автоматического перевода страниц и претерпевшие изменения менеджеры закладок и расширений. Также в списке новшеств фигурируют поддержка геолокации, WebSockets, механизм drag-and-drop, функции кеширования приложений и модуль, запоминающий настройки масштаба страниц для каждого домена.
2009: Chrome 3.0
Браузер выпущен в сентябре 2009 года. По словам разработчиков, Chrome 3.0 на 25% быстрее справляется с JavaScript по сравнению с Chrome 2, который вышел в мае 2009, и на 150% быстрее первой версии Chrome. Изменился внешний вид страницы при открытии новой вкладки – в этом плане он стал больше походить на Safari и Opera, в частности, исчезла колонка справа, а уменьшенные изображения страниц переместились к центру. Появилась возможность менять изображения местами, а также прикалывать булавкой скриншоты тех веб-сайтов, которые необходимо запомнить. Если популярность посещаемых пользователем сайтов изменится, приколотые ссылки останутся на своем месте. Наконец, теперь у пользователя появилось больше возможностей по настройке этой страницы.
Улучшено выпадающее меню при вводе адреса, названия веб-сайта или поискового запроса. Напротив ссылок в выпадающем меню появились миниатюрные иконки, облегчающие выбор нужной опции.
Появилась поддержка HTML5 и тега video, в частности. Данный тег позволяет вставлять в код страницы видео так же просто, как изображение. Chrome 3.0 позволяет использовать темы оформления. Пока их немного, но в будущем разработчик обещает исправить ситуацию.
Интернет-браузер Chrome от компании Google грозит в скором времени перерасти в полноценную операционную систему и на равных биться за потребителя и с W7, и с Мас OS. А пока «Хром» позиционирует себя как самый скоростной браузер — по этому поводу его производитель снял ролик, из которого мы узнаем, что все-таки быстрее: «Хром» или картофелина, «Хром» или звуковая волна, «Хром» или молния («Хром» и молния! :)). Тесты сделаны интересно и с выдумкой (иначе бы я и не советовал). Все этапы соревнования представлены и в замедленном виде, чтобы было понятно: все честно и без обмана.
2008: Google Chrome
Google Chrome — Браузер, который разрабатывается компанией Google и использует движок WebKit. Впервые дистрибутив Google Chrome появился в Интернете в сентябре 2008 г. Программа завоевала долю в 1% рынка менее чем через сутки после этого. Chrome не приносит Google, получившей в 2008 году $22 млрд дохода, никакой выручки. Это стратегический, а не коммерческий продукт компании.
Примечания
- ↑ Google Chrome впервые обогнал Firefox по популярности
- ↑ Выпуск web-браузера Chrome 128
- ↑ Google Agrees to Delete Web Browsing Data as It Settles ‘Incognito’ Lawsuit
- ↑ Google agrees to settle Chrome incognito mode class action lawsuit
- ↑ Релиз Chrome 120
- ↑ Релиз Chrome 116
- ↑ Релиз Chrome 115
- ↑ Релиз Chrome 111
- ↑ Релиз Chrome 109 с поддержкой MathML
- ↑ Релиз Chrome 108
- ↑ Релиз Chrome 107
- ↑ Судный день паролей наступил: на платформах Chrome и Android появилась функция беспарольной авторизации
- ↑ Релиз Chrome 105
- ↑ В Chrome 106 будет прекращена поддержка технологии Server Push
- ↑ Google исправила пятую 0-day уязвимость в Chrome
- ↑ Релиз Chrome 104
- ↑ [1]
- ↑ Google анонсировала новые модули безопасности в Chrome и Chrome OS для предприятий
- ↑ Обновление Chrome 100.0.4896.127 с устранением 0-day уязвимости
- ↑ Выпущен браузер Chrome 100, способный сломать весь интернет
- ↑ Google срочно исправила уязвимость 0-day в Chrome
- ↑ Релиз Chrome 99
- ↑ Google Chrome разрешит пользователям добавлять примечания к паролям
- ↑ Google запретит блокировщикам рекламы работать в браузере Chrome
- ↑ Блокировщикам рекламы запрещают работать в браузере Chrome
- ↑ Вышло масштабное обновление Chrome со множеством изменений. На старых ПК оно не работает
- ↑ A faster Chrome, for everything you need to get done
- ↑ Google исправила еще две уязвимости нулевого дня в Chrome
- ↑ Google создаст для Chrome собственное хранилище корневых сертификатов
- ↑ Google исправила уязвимость нулевого дня в Chrome
- ↑ Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
- ↑ Exclusive: Massive spying on users of Google's Chrome shows new security weakness
- ↑ Сайты по-прежнему могут детектировать режим «инкогнито» в Chrome
- ↑ Пользователи Chrome подали в суд на Google за сбор данных в режиме «Инкогнито»
- ↑ Suit Claims Google’s Tracking Violates Federal Wiretap Law
- ↑ Антивирус Symantec вызывает сбой в работе Chrome 78
- ↑ В Chrome для Android появилась функция изоляции сайтов
- ↑ Chrome научился обходить все блокировки Роскомнадзора лучше, чем Firefox
- ↑ Google начала «убивать» протокол FTP
- ↑ В Chrome 76 отключена возможность для сайтов детектировать режим «инкогнито»
- ↑ Google описал стратегию войны с блокировкой рекламы в Chrome
- ↑ В Google Chrome обнаружена критическая 0Day-уязвимость
- ↑ В Chrome появится механизм защиты от тайпсквоттинга и омографических атак
- ↑ Google описал стратегию войны с блокировкой рекламы в Chrome
- ↑ Chrome уличили в отправке содержимого почты ProtonMail на серверы Google
- ↑ Google Chrome перестанет работать на ОС Android 4.1–4.3
- ↑ В Google Chrome появилась функция автоматической авторизации в системе Sync
- ↑ Разработчики Chrome планируют отказаться от URL
- ↑ SureCloud
- ↑ Уязвимость в Chrome позволяет проникнуть в домашнюю сеть Wi-Fi
- ↑ Google окончательно запретила устанавливать сторонние расширения в браузер Chrome
- ↑ New in Chrome 67
- ↑ В Google Chrome 67 появилась функция авторизации без пароля
- ↑ Chrome Is Scanning Files on Your Computer, and People Are Freaking Out
- ↑ Protecting users from extension cryptojacking
- ↑ Google Chrome получит защиту от скрытого майнинга криптовалют
- ↑ Google прогнулся: В Chrome для Android появился поиск «Яндекса»
- ↑ Браузер Chrome научился работать на устройствах без экрана
- ↑ pGoogle slaps Symantec for sloppy certs, slow show of SNAFUs
- ↑ Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates
- ↑ В браузере Chrome появилась неотключаемая защита от пиратства
- ↑ Выпуск web-браузера Chrome 52
- ↑ Google представила браузер Chrome 50
- ↑ Google защитил браузер Chrome от квантовых хакеров
- ↑ Релиз web-браузера Chrome 49, прекративший поддержку 32-разрядных систем Linux
- ↑ Браузер Google Chrome устанавливает секретное расширение для прослушки
- ↑ Chrome исправил ошибки – и сделал новую
- ↑ [2]
Примечания
- ↑ Google Chrome впервые обогнал Firefox по популярности
- ↑ Выпуск web-браузера Chrome 128
- ↑ Google Agrees to Delete Web Browsing Data as It Settles ‘Incognito’ Lawsuit
- ↑ Google agrees to settle Chrome incognito mode class action lawsuit
- ↑ Релиз Chrome 120
- ↑ Релиз Chrome 116
- ↑ Релиз Chrome 115
- ↑ Релиз Chrome 111
- ↑ Релиз Chrome 109 с поддержкой MathML
- ↑ Релиз Chrome 108
- ↑ Релиз Chrome 107
- ↑ Судный день паролей наступил: на платформах Chrome и Android появилась функция беспарольной авторизации
- ↑ Релиз Chrome 105
- ↑ В Chrome 106 будет прекращена поддержка технологии Server Push
- ↑ Google исправила пятую 0-day уязвимость в Chrome
- ↑ Релиз Chrome 104
- ↑ [1]
- ↑ Google анонсировала новые модули безопасности в Chrome и Chrome OS для предприятий
- ↑ Обновление Chrome 100.0.4896.127 с устранением 0-day уязвимости
- ↑ Выпущен браузер Chrome 100, способный сломать весь интернет
- ↑ Google срочно исправила уязвимость 0-day в Chrome
- ↑ Релиз Chrome 99
- ↑ Google Chrome разрешит пользователям добавлять примечания к паролям
- ↑ Google запретит блокировщикам рекламы работать в браузере Chrome
- ↑ Блокировщикам рекламы запрещают работать в браузере Chrome
- ↑ Вышло масштабное обновление Chrome со множеством изменений. На старых ПК оно не работает
- ↑ A faster Chrome, for everything you need to get done
- ↑ Google исправила еще две уязвимости нулевого дня в Chrome
- ↑ Google создаст для Chrome собственное хранилище корневых сертификатов
- ↑ Google исправила уязвимость нулевого дня в Chrome
- ↑ Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
- ↑ Exclusive: Massive spying on users of Google's Chrome shows new security weakness
- ↑ Сайты по-прежнему могут детектировать режим «инкогнито» в Chrome
- ↑ Пользователи Chrome подали в суд на Google за сбор данных в режиме «Инкогнито»
- ↑ Suit Claims Google’s Tracking Violates Federal Wiretap Law
- ↑ Антивирус Symantec вызывает сбой в работе Chrome 78
- ↑ В Chrome для Android появилась функция изоляции сайтов
- ↑ Chrome научился обходить все блокировки Роскомнадзора лучше, чем Firefox
- ↑ Google начала «убивать» протокол FTP
- ↑ В Chrome 76 отключена возможность для сайтов детектировать режим «инкогнито»
- ↑ Google описал стратегию войны с блокировкой рекламы в Chrome
- ↑ В Google Chrome обнаружена критическая 0Day-уязвимость
- ↑ В Chrome появится механизм защиты от тайпсквоттинга и омографических атак
- ↑ Google описал стратегию войны с блокировкой рекламы в Chrome
- ↑ Chrome уличили в отправке содержимого почты ProtonMail на серверы Google
- ↑ Google Chrome перестанет работать на ОС Android 4.1–4.3
- ↑ В Google Chrome появилась функция автоматической авторизации в системе Sync
- ↑ Разработчики Chrome планируют отказаться от URL
- ↑ SureCloud
- ↑ Уязвимость в Chrome позволяет проникнуть в домашнюю сеть Wi-Fi
- ↑ Google окончательно запретила устанавливать сторонние расширения в браузер Chrome
- ↑ New in Chrome 67
- ↑ В Google Chrome 67 появилась функция авторизации без пароля
- ↑ Chrome Is Scanning Files on Your Computer, and People Are Freaking Out
- ↑ Protecting users from extension cryptojacking
- ↑ Google Chrome получит защиту от скрытого майнинга криптовалют
- ↑ Google прогнулся: В Chrome для Android появился поиск «Яндекса»
- ↑ Браузер Chrome научился работать на устройствах без экрана
- ↑ pGoogle slaps Symantec for sloppy certs, slow show of SNAFUs
- ↑ Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates
- ↑ В браузере Chrome появилась неотключаемая защита от пиратства
- ↑ Выпуск web-браузера Chrome 52
- ↑ Google представила браузер Chrome 50
- ↑ Google защитил браузер Chrome от квантовых хакеров
- ↑ Релиз web-браузера Chrome 49, прекративший поддержку 32-разрядных систем Linux
- ↑ Браузер Google Chrome устанавливает секретное расширение для прослушки
- ↑ Chrome исправил ошибки – и сделал новую
- ↑ [2]
Название решения | Разработчик | Количество проектов | Технологии |
---|---|---|---|
Нихром | Rambler&Co | 0 |