Релиз web-браузера Chrome 67

Компания Google представила релиз web-браузера Chrome 67. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 67:

  • Упрощён доступ к установленным дополнениям — в боковое меню раздела настройки параметров браузера добавлена отдельная сылка на список дополнений; 0_1527665470.png
  • В качестве эксперимента реализована опция (режим «Refresh» в «chrome://flags#top-chrome-md»), позволяющая оценить новый модернизированный интерфейс пользователя, оформленный в стиле Material Design и оптимизированный для устройств с сенсорными экранами (увеличенные отступы, скруглённое поле адресной строки, новая кнопка »+» для открытия вкладок, изменена расцветка панелей и полей ввода); 0_1527666093.png
  • Добавлена функция записи всех сохранённых паролей в текстовый файл в формате CSV для последующего импорта в другие менеджеры паролей. Функция доступна в настройках (в меню «Saved Passwords» добавлен пункт «Export passwords…»); 0_1527667107.png
  • Оптимизировано отображение большого числа вкладок — в случае нехватки места на кнопке вместо скрытия пиктограммы сайта и отображения первой буквы заголовка теперь всегда показывается пиктограмма, даже если для её показа необходимо масштабирование; 0_1527667564.png
  • Добавлена экспериментальная возможность (включается при запуске браузера с опцией»--enable-features=EnableCastLocalMedia») по трансляции произвольных звуковых и видео файлов на внешние устройства с поддержкой Google Cast. Для передачи следует выбрать в меню пункт «Cast…», выбрать устройство для передачи («Cast to») и указать передаваемый файл («Cast file»); 0_1527666917.png
  • В версии для Android оптимизировано отображение в адресной строке длинных URL и обеспечено автоматическое скрытие типовых частей URL, таких как «https», «http» и «www»; 0_1527665679.png
  • На платформе macOS через контекстное меню предоставлен быстрый доступ к интерфейсу выбрра Emoji; 0_1527665311.png
  • Расширены возможности версии Chrome для iOS: улучшена обработка ссылок на iTunes, предложен новый менеджер загрузок с поддержкой продолжения загрузки в фоне; 0_1527665635.png
  • Реализован API Generic Sensor, позволяющий web-приложениям получить доступ к различным датчикам, имеющимся на мобильном устройстве. В основе нового API лежит класс Sensor, поверх которого реализованы специфичные для разных типов датчиков классы:
    • Accelerometer можно использовать для координации просмотра 3D-видео через перемещение устройства в пространстве;
    • Gyroscope даёт возможность манипулировать положением устройства в играх, наподобие настольного лабиринта;
    • OrientationSensor позволяет оценивать изменение ориентации устройства, комбинируя показания от акселерометра и гироскопа (если в игре лабиринт гироскоп позволяет направлять движение в двумерном пространстве, то OrientationSensor даёт возможность использовать поворот устройства, чтобы повернуть за угол);
    • Motion Sensors — предлагает набор классов для оценки характера и изменения направления движния, в дополнение к акселерометру и гироскопу, позволяет учитывать данные от магнитометра, например, для создания виртуального компаса.
  • Добавлен «Origin Trial» для API WebXR Device, позволяющий получить доступ к компонентам для создания виртуальной и дополненной реальности для унификации работы с различными классами устройств, от стационарных шлемов виртуальной реальности, подобных Oculus Rift, HTC Vive и Windows Mixed Reality, до решений на базе мобильных устройств, таких как Google Daydream View и Samsung Gear VR. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время.

    Из приложений, в которых может быть применим новый API упоминаются программы для просмотра видео в режиме 360°, системы визуализации трёхмерного пространства, создание виртуальных кинотеатров для презентации видео, проведение экспериментов по созданию 3D-интерфейсов магазинов и галерей;

    0_1527672069.png
  • В JavaScript предложен новый числовой тип BitInt, позволяющий хранить целые числа произвольного размера, для которых недостаточно типа Numbers (например, идентификаторы и значения точного времени раньше приходилось хранить в виде строк);
  • В API Credential Management добавлен новый тип учётных данных PublicKeyCredential, который дополнил ранее доступные типы PasswordCredential и FederatedCredential возможностью проведения аутентификации с использованием пары из закрытого и открытого ключа. Из аутентификаторов поддерживается USB-токен U2F/CTAP 1;
  • Прекращена поддержка HTTP-заголовка Public-Key-Pins (ручные привязки пока сохранены), позволяющего сайтам определять привязки открытых ключей с использованием механизма PKP (Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency, которая предусматривает возможность отмены ошибочных привязок;
  • В JavaScript-движке V8 продолжено усовершенствование средств для защиты от выполнения не заслуживающего доверия кода и блокирования атак по сторонним каналам, таким как Spectre. В частности, расширена категория пользователей которым для тестирования предлагается режим строгой изоляции сайта, предоставляющий дополнительную защиту от атак благодаря тому, что страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox;

Кроме нововведений и исправления ошибок в новой версии устранены 34 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 32.5 тысячи долларов США (две премии по $5000, по одной премии в $4500, $3000, $1500 и $1000, пять премий $2000 и пять премий $500). Размер 8 вознаграждений пока не определён.

© OpenNet