Google Chrome

[vladimir1949]

Chrome предложит пользователям из Европы выбрать поисковую систему
10.12.2023 [23:31]

Пользователи десктопной версии браузера Google Chrome из Евросоюза и Европейской экономической зоны в скором времени увидят сообщение «выберите поисковую систему», что позволит им легко сменить поисковик, используемый по умолчанию. По данным источника, это сообщение будет выводиться при запуске обозревателя в начале следующего года, а уже сейчас оно появилось в Android-версии приложения.

При запуске Chrome перед пользователем появляется окно с предложением выбрать поисковую систему по умолчанию, причём на выбор даётся большое количество вариантов. Помимо поисковика самой Google, здесь можно увидеть Microsoft Bing, DuckDuckGo и «Яндекс», а также менее популярные поисковики Brave, Yep и Qwant. Отмечается, что список доступных вариантов может варьироваться в зависимости от того, какие поисковики пользуются популярностью в той или иной стране.

«В соответствии с законодательством вашего региона Chrome просит вас выбрать поисковую систему по умолчанию. Эти поисковые системы популярны в вашем регионе и отображаются в случайном порядке. Поисковая система по умолчанию позволяет выполнять поиск в интернете и поддерживает такие функции Chrome, как поиск из адресной строки и поиск по изображениям на веб-страницах. Функция может быть недоступна, если ваш поисковик её не поддерживает. Вы можете изменить поисковую систему в любое время в настройках Chrome», — говорится в сообщении Google.

В выводимом пользователям списке не выделяется поисковик, который уже используется по умолчанию. Пользователям нужно сделать выбор в соответствии со своими предпочтениями и подтвердить его. В дальнейшем поисковик можно сменить в настройках приложения.

[vladimir1949]

Проверка безопасности паролей теперь будет постоянно работать в Google Chrome
22.12.2023 [15:07]

Встроенная в браузер Google Chrome функция проверки безопасности паролей Safety Check, предусматривающая сканирование интернета на предмет компрометации одного из паролей, теперь будет «автоматически работать в фоновом режиме» настольной версии программы, сообщила Google в блоге.

Непрерывная проверка паролей на безопасность поможет оперативно уведомлять пользователей о необходимости их смены. Функция Safety Check также предусматривает отслеживание установленных в браузере неблагонадёжных расширений и разрешений, выданных неблагонадёжным сайтам. Уведомления будут выводиться в меню настроек — щелчок по уведомлению приведёт на страницу с рекомендациями в отношении безопасности. У сайтов, которые пользователь давно не посещал, разрешения будут отзываться автоматически.

Работа с группами вкладок теперь станет кроссплатформенной: можно будет сохранять их и открывать на разных устройствах — Google пообещала сделать эту функцию общедоступной «в ближайшие недели». А в начале следующего года браузер Chrome получит некоторые функции на основе представленной недавно ИИ-модели Gemini, правда, никаких подробностей на этот счёт компания не привела.

[vladimir1949]

Выпуск web-браузера Chrome 121 (Видео)
24.01.2024 14:45

Компания Google опубликовала релиз web-браузера Chrome 121. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 122 запланирован на 20 февраля.

Основные изменения в Chrome 121:

► Показать

Добавлено несколько экспериментальных возможностей, использующих машинное обучение, которые на начальном этапе будут доступны пользователям сборок для Windows и macOS из США. Для включения в конфигураторе добавлена секция "Experimental AI".

Режим умной группировки вкладок (Tab Organizer), позволяющий автоматически объединять в группы открытые вкладки схожей тематики, а также предлагающий для новых групп подходящие имена и emoji. Например, при наличии нескольких открытых вкладок c информацией, связанной с путешествиями и покупками в интернет-магазинах, новая возможность позволит без ручного разбора вынести данные страницы в соответствующие группы. Группировка вызывается через меню управления вкладками или опцию "Organize Similar Tabs" в контекстном меню вкладки.

Генератор тем оформления, позволяющий на основе заданного пользователем текстового описания на естественном языке персонализировать оформление браузера. Например, можно описать желаемые тематику, настроение, стиль и цвет, после чего браузер сам сформирует соответствующую тему оформления. Интерфейс для генерации тем можно вызвать через кнопку "Create with AI" на странице "Customize Chrome/Change theme".

Интерактивный помощник, позволяющий сгенерировать текст на заданную пользователем тему. Например, при помощи новой функции можно подготовить многословный и вежливый запрос или комментарий, задав простейший текстовый шаблон. Помощник вызывается через кнопку "Help me write" в контекстном меню, показываемом для полей в формах ввода.

Для 1% пользователей браузера отключена поддержка сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Отключение сторонних Cookie планируют постепенно расширять и в 3 квартале 2024 года довести до 100%. Для отключения не дожидаясь внешних изменений предусмотрена настройка "chrome://flags/#test-third-party-cookie-phaseout".

При включении стандартной защиты браузера (Safe Browsing > Standard protection) реализована проверка безопасности загрузки зашифрованных архивов. После загрузки архива браузер запрашивает у пользователя пароль для расшифровки архива, вычисляет хэши от содержащихся в архиве файлов и передаёт хэши на серверы Google для проверки на наличие вредоносных компонентов.

Для части пользователей в качестве эксперимента изменено поведение при переходе по ссылкам, связанным с установленными PWA-приложениями. После нажатия на ссылку у таких пользователей будет сразу открыт обособленный интерфейс приложений или показан список приложений, поддерживающих тип содержимого в ссылке. В зависимости от результатов эксперимента будет принято решение о переводе в Chrome 123 всех пользователей на новое поведение или оставление старого метода обработки, при котором ссылка открывается в обычной вкладке, но в адресной строке показывается кнопка для перехода к обособленному приложению. Для тестирования нового поведения предложена настройка "chrome://flags/#enable-user-link-capturing-pwa".

Из заголовка боковой панели убрана пиктограмма активации панели, вместо которой предлагается использовать функции закрепления элементов из основной панели и вызов возможностей боковой панели из главного меню.

Включён Deprecation trial для тестирования предстоящего игнорирования обработчиков событий "unload", которые не позволяют эффективно использовать кэш перехода (BFCache - Back-forward cache), обеспечивающий мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Поведение стационарного Chrome будет приближено к мобильным браузерам, которые в большинстве случаев не генерируют событие "unload", отдавая приоритет кэшированию переходов.

В версии для платформы Android на устройствах с Android 12+ и GPU Qualcomm или ARM включена по умолчанию поддержка API WebGPU, который предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU, таких как рендеринг и вычисления, а также позволяет использовать язык шейдров.

В CSS реализовано наследование свойств псевдоклассов подсветки элементов, таких как "::selection" и "::highlight", в привязке к псевдоэлементам родительского элемента.



В CSS-свойстве font-palette, позволяющем выбрать палитру для отрисовки цветного шрифта, реализована поддержка анимации. Анимация может использоваться для плавного перехода от одной палитры к другой в цветных шрифтах.

Добавлена поддержка CSS-свойств "scrollbar-color" и "scrollbar-width" для настройки цвета и ширины полосы прокрутки.
В CSS добавлены псевдо-элементы "::spelling-error" и "::grammar-error" для настройки цветового оформления и декорирования индикации синтаксических и грамматических ошибок.

Реализована возможность использования выражения supports() для импортирования стилей и слоёв CSS после выполнения определённых условий.

В CSS добавлена поддержка масок в SVG, позволяющих скрывать части содержимого путём наложения изображения по определённым точкам. Для настройки масок можно использовать свойства mask, mask-mode, mask-composite, mask-position и mask-repeat. Также для SVG допускается загрузка масок с внешних серверов, например, " mask: url(masks.svg#star)".

Расширена поддержка спекулятивных правил (API Speculation rules), позволяющих авторам сайтов передать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц. В новой версии предоставлена возможность передачи правил через HTTP-заголовок Speculation-Rules и добавлена поддержка расширенного синтаксиса ("document rules"), позволяющего браузеру определить список URL для спекулятивной загрузки из элементов <a> на странице.

Добавлен экспериментальный (origin trial) API Element Capture, позволяющий при захвате видео сузить охват до отдельных частей DOM и элементов. Например, в приложениях для проведения видеоконференций новый API позволяет встроить в iframe сторонние приложения и обеспечить передачу видео с содержимым этого iframe другим участникам.

В API Document Picture-in-Picture для использования методов resizeBy() и resizeTo() теперь требуется подтверждение пользователя.

Добавлена возможность использования метода showPicker с элементами <select> для программного вызова предоставляемой браузером реализации выпадающего меню.

В API Media Capabilities в decodingInfo() добавлены новые поля hdrMetadataType, colorGamut и transferFunction, которые можно использовать для определения поддержки HDR.

В TLS включена поддержка механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), использующего гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. X25519Kyber768 представляет собой комбинацию из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.

Внесены улучшения в инструменты для web-разработчиков. В панели Elements добавлена поддержка CSS-правил "@font-palette-values". Улучшена поддержка source map. Улучшено отслеживания интерактивных операций в панели для оценки производительности. В панели Sources реализованы метки для наглядного представления отступов.

Кроме нововведений и исправления ошибок в новой версии устранено 17 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 11 премий на сумму 31 тысячу долларов США (по одной премии в $11000, $9000, $6000 и $2000, и три премии $1000). Размер 4 вознаграждений пока не определён. Наибольшее вознаграждение, размером 11 тысяч долларов, присуждено за выявление обращения к уже освобождённой памяти (Use-after-free) в реализации API WebAudio.

[vladimir1949]

Gemini AI теперь доступен в Google Chrome для создания эффективного контента

Пользуясь функцией AI Writer, пользователи могут просто щёлкнуть правой кнопкой мыши по любому текстовому полю и быстро получить подсказки и готовые фразы для составления текста

Google Chrome получил новую функцию — генератор письма с искусственным интеллектом. По своей сути этот инструмент на базе Gemini, он представляет собой функцию «Помоги мне написать», встроенную в Gmail, но расширенную на всю сеть и основанную на одной из последних моделей Gemini AI от Google. Компания впервые анонсировала этот инструмент в январе, и он остаётся на «экспериментальной» стадии.

Для активации этой функции, нужно зайти в меню настроек Chrome и найти страницу «Экспериментальный ИИ». Оттуда можно включить эту функцию, а также новый автоматический органайзер вкладок Google. На данный момент AI Writer доступен только на английском языке в Windows, Mac и Linux.

► Показать

Для использования функции нужно щёлкуть правой кнопкой мыши по любому текстовому полю и выбрать в контекстном меню «Помоги мне написать». Можно использовать функцию чтобы создать новый контент, либо Gemini может переписать существующий текст.

Функционал в основном предназначен для небольшого объёма, как электронные письма или запросы в службу поддержки, а более для большего объёма модель может не оказать особой помощи.



Одна из отличных особенностей заключается в том, что инструмент будет учитывать сайт, на котором находится пользователь. «Инструмент будет понимать контекст веб-страницы, на которой вы находитесь, и предлагать релевантный контент. Например, если вы пишете обзор кроссовок, то Chrome “достанет” со страницы продукта ключевые функции, и сделает текст более ценным для потенциальных покупателей», — пишет технический директор Google Адриана Портер Фелт.

Как и в случае с функцией «Помоги мне написать» в Gmail, длину и сталь результатов достаточно легко изменять.

Текст, содержимое и URL-адрес страницы, на которой используется функция, будут отправлены в Google в соответствии с существующей политикой конфиденциальности. Google отмечает, что информация «используется для улучшения этой функции, которая включает в себя исследование генеративных моделей и технологии машинного обучения», что включает в себя процесс проверки с участием людей.

[vladimir1949]

Ваши любимые сайты становятся приложениями! Chrome 124 позволяет отказаться от браузера (почти)
10 марта 2024 г.

Помните приложения Chrome — удобные ярлыки для доступа к вашим любимым веб-сайтам, похожие на приложения, которые ушли в прошлое в 2023 году? Progressive Web Apps (PWA). PWA — это веб-приложения, которые стирают грань между веб-сайтами и собственными приложениями, предлагая возможности, аналогичные приложениям, без необходимости загружать что-либо из магазина приложений. Теперь Chrome Canary делает PWA еще дальше, позволяя вам установить любой веб-сайт в качестве настольного приложения!
Теперь одним щелчком мыши по значку приложения можно запустить веб-сайт в отдельном окне.

► Показать

Это означает, что вы можете взять любой веб-сайт, который вы регулярно посещаете, и превратить его в специальное приложение на своем рабочем столе. Больше не нужно искать его на вкладках браузера — достаточно одного щелчка по значку приложения, и веб-сайт откроется в отдельном окне и будет готов к использованию.

Раньше для включения функциональности PWA требовалось работать с флагами. Но в последнем обновлении Canary в меню «Сохранить и поделиться» появилась новая опция «Установить страницу как приложение…». При нажатии на нее создается специальное окно приложения для веб-сайта. Существующие PWA, такие как YouTube, даже отображают свое имя («Установить YouTube») в меню.

Чтобы попробовать это, установите Chrome Canary и включите эти флаги:

chrome://flags/#web-app-universal-install
chrome://flags/#shortcuts-not-apps

Эта функция в настоящее время присутствует в Chrome Canary (ранняя версия Chrome 124). Стабильная версия Chrome (122) ориентирована на инструменты искусственного интеллекта и чтения вслух для Android . Предстоящая стабильная версия (Chrome 123) включает встроенную программу чтения PDF-файлов для Android, медиаплеер в стиле Android для настольных компьютеров и улучшенный общий доступ к группам вкладок.

[vladimir1949]

Выпуск web-браузера Chrome 123 (Видео)

Компания Google опубликовала релиз web-браузера Chrome 123. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 124 запланирован на 16 апреля.

Основные изменения в Chrome 123:

► Показать

На странице, показываемой при открытии новой вкладки, предложена новая секция, в которой отображаются ссылки из вкладок, недавно открытых на других устройствах, привязанных к одной учётной записи в Google.



Добавлена поддержка кодирования контента при помощи алгоритма сжатия Zstandard (zstd), помимо ранее поддерживаемых алгоритмов gzip, brotli и deflate.

Удалена реализация свободного видеокодека Theora, созданного организацией Xiph.org Foundation на основе кодека VP3 и поддерживаемого в Firefox и Chrome c 2009 года, но не поддерживаемый в Chrome для Android и в браузерах на базе WebKit, таких как Safari. В качестве причины прекращения поддержки Theora упоминаются опасения, что в реализации Theora, в которой имеется достаточно сложная логика разбора бинарных данных и декодирования потоков, могут присутствовать уязвимости, похожие на недавние критические проблемы с кодировщиком VP8. По мнению разработчиков из-за участившихся 0-day атак на медиакодеки, связанные с безопасностью риски перекрывают уровень востребованности кодека Theora, который почти не используется на практике, но остаётся значительной целью для потенциальных атак.

Продолжено постепенное наращивание процента пользователей, для которых отключена поддержка сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Отключение сторонних Cookie планируют постепенно расширять и в 3 квартале 2024 года довести до 100%. Для отключения, не дожидаясь внешних изменений, предусмотрена настройка "chrome://flags/#test-third-party-cookie-phaseout".

Для небольшого процента пользователей из США включена поддержка возможностей, использующих машинное обучение - режима умной группировки вкладок, генератора тем оформления и интерактивного помощника, о которых было рассказано в анонсе выпуска Chrome 121. Для систем с централизованным управлением конфигурацией, администратор может включить AI-инструменты на уровне политик, без необходимости включения экспериментального режима.

В сервисе синхронизации настроек, истории и закладок (Chrome Sync) прекращена поддержка выпусков до версии Chrome 82.

При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализована отправка в Google сведений с информацией о выводе сайтами запросов расширенных полномочий (подобные страницы проверяются по внешней базе вредоносного содержимого и в случае совпадения пользователю сразу показывается предупреждение). Также включена отправка телеметрии об отмене пользователем предупреждений, показываемых перед открытием страниц, занесённых Google в чёрный список.

Google опубликовал статью с пояснением методов, используемых для проверки безопасности открываемых пользователем страниц по базе вредоносного содержимого, размещённой на внешнем сервере. Для сохранения конфиденциальности при проверке открываемых пользователем URL на сторону Google передаются не полные хэши от URL, а лишь префикс с первыми 4 байтами хэша. На сервере данный префикс проверяется в базе вредоносных страниц и в случае наличия совпадения список соответствующих префиксу полных хэшей возвращается в браузер пользователя, на стороне которого уже осуществляется финальная сверка с полным 32-байтовым хэшем URL. Для исключения сопоставления запроса с IP-адресом пользователя префикс хэша вначале направляется на промежуточный прокси, который от своего имени передаёт запрос на сервер системы Safe Browsing.



Реализован вывод предупреждений в консоли инструментов для web-разработчика при отправке страницей запроса во внутреннюю сеть (192.168.x.x, 10.x.x.x и т.п.), если подобные запросы выполнены вне безопасного контекста и не прошли упреждающую проверку. Перед фактической отправкой инициированного сайтом запроса к ресурсу во внутренней сети, браузер вначале отправит упреждающий тестовый запрос и проверит, возвращён ли сервером HTTP-заголовок "Access-Control-Allow-Private-Network: true", разрешающий доступ к интранет сети. Если доступ не разрешён имеет место попытка нецелевого обращения к внутреннему сервису, что может быть свидетельством попытки осуществления атаки через браузер на ресурсы в локальной сети (например, атакующий может подставить в iframe запрос к web-интерфейсу домашнего маршрутизатора, типа "<iframe href="https://admin:[email protected]/set_dns?server1=1.2.3.4"></iframe>"). В выпуске Chrome 130 предупреждение планируют заменить на вывод ошибки и блокировать не прошедшие проверку запросы.

В Chrome для Android и iOS добавлена возможность продолжения просмотра сайтов, ранее открытых на других устройствах, прикреплённых к той же учётной записи в Google.

В Chrome для Android изменён метод хранения локальных паролей, которые не синхронизируются с другими устройствами. Ранее локальные пароли хранились в профиле Chrome, а теперь будут перенесены в хранилище паролей, предоставляемое сервисами Google Play, которое уже используется для хранения пароля к учётной записи в Google. В Chrome 123 новый режим хранения задействован для пользователей без локальных паролей, а в версии Chrome 124 будет применён к пользователям с локальными паролями.

Добавлен API для статической маршрутизации ServiceWorker-ов (Service Worker Static Routing), который позволяет исключить выполнение JavaScript и перехваты ServiceWorker-ами при запросе ресурсов, соответствующих заданным условиям. Иными словами, API позволяет определить, как следует загружать определённые ресурсы и отключить вызов ServiceWorker-а для ресурсов, которые можно извлечь из кэша или загрузить напрямую. В качестве признаков для принятия решения могут использоваться шаблоны URL, методы запроса, тип контента (document, embed, font, video и т.п.) и статус выполнения ("running", "not-running"). Например, для отправки post-запроса с данными web-формы напрямую, без вызова ServiceWorker-а, можно указать:

addEventListener('install', (event) => {
event.addRoutes({
condition: {
urlPattern: "/form/*",
requestMethod: "post"
},
source: "network"
});
});

В CSS добавлена функция light-dark() для адаптации цветовой схемы к настройкам светлого или тёмного режима. В функции можно указать два значения, которые будут выбраны в зависимости от светлого или тёмного режима. Например "background-color: light-dark(lime, green);".



Добавлен API Long Animation Frames для диагностики отзывчивости интерфейса сайта и выявления узких мест при отрисовке.
В медиазапрос "display-mode" добавлена поддержка значения "picture-in-picture", позволяющего создавать CSS-правила, применимые только при показе web-приложения в режиме "картинка в картинке".

@media all and (display-mode: picture-in-picture) {
body {
margin: 0;
}
h1 {
font-size: 0.8em;
}
}

В CSS-свойстве "align-content" реализована возможность работы с блочными контейнерами и ячейками таблиц. Например "display: block", "display: list-item", "display: table-cell" теперь могут быть выровнены при помощи "align-content".

Добавлено CSS-свойство "field-sizing", позволяющее сделать размер элементов формы зависимым от их содержимого, например, для автоматического увеличения размера текстового поля по мере ввода данных.

В JavaScript-интерфейс NavigationActivation добавлен параметр navigation.activation, который отражает состояние активации документа (например, можно определить, что документ восстановлен из кэша после нажатия кнопок навигации "вперёд" или "назад"). Параметр может использоваться для настройки содержимого страницы в зависимости от того, от куда на неё попал пользователь, например, может показываться другая анимация, если пользователь пришёл с домашней страницы.

Внесены улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 12 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 7 премий на сумму 22 тысячи долларов США (по одной премии в $10000, $4000, $3000 и $1000, и две премии $2000). Размер одного вознаграждения пока не определён.

[vladimir1949]

Выпуск web-браузера Chrome 124
18.04.2024 13:48

Компания Google опубликовала релиз web-браузера Chrome 124. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 125 запланирован на 14 мая.

Основные изменения в Chrome 124:

► Показать

В версии для платформы Android в менеджере закладок появилась поддержка сохранения закладок и списков отложенного чтения на серверах Google в привязке к учётной записи пользователя.

В Chrome для Android задействован новый метод хранения локальных паролей, которые не синхронизируются с другими устройствами. Ранее локальные пароли хранились в профиле Chrome, а теперь будут размещены в хранилище паролей, предоставляемом сервисами Google Play, которое уже используется для хранения пароля к учётной записи в Google.

В сборках для Windows, macOS и Linux в TLS включена по умолчанию поддержка механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), использующего гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. X25519Kyber768 представляет собой комбинацию из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.

При отрисовке текста библиотекой Skia учтены заданные в Windows настройки контраста и цвета для технологии сглаживания текста ClearType, позволяющей заметно повысить качество отображения шрифтов на жидкокристаллических мониторах. В сборках для Linux заметно изменились шрифты, используемые в интерфейсе.



Предоставлена возможность установки любой web-страницы в виде самодостаточного PWA-приложения (Progressive Web Apps), даже если эта страница не соответствует критериям PWA.

В соответствии с требованиями европейского закона DMA (Digital Markets Act) обеспечен вывод диалога для выбора поисковой системы, которая будет использоваться по умолчанию. На выбор предлагаются поисковые системы, доступные в разделе настроек "chrome://settings/search". Поисковые системы в списке отображаются в случайном порядке. В Chrome 120 данный диалог был протестирован на 1% пользователей, а теперь активирован для всех.



Реализован вывод пользователю запроса предоставления полномочий при обращении web-приложения к API Web MIDI, позволяющем взаимодействовать с подключёнными к компьютеру музыкальными устройствами с интерфейсом MIDI. Ранее запросы полномочий выводились только при отправке или получении SysEx-сообщений, а теперь будут выводиться при любом обращении к API Web MIDI. В качестве причины изменения упоминаются ситуации, когда случайные web-страницы захватывают эксклюзивное управление MIDI-контроллером, блокируя возможность работы с ним других приложений. Также отмечаются проблемы, связанные с безопасностью, так как API Web MIDI позволяет полностью управлять MIDI-устройством, вплоть до установки своих прошивок.

Полностью прекращена поддержка API Web SQL, который не стандартизирован, почти не используется и требует переработки для соответствия современным требованиям к безопасности. Web SQL был отключён по умолчанию начиная с Chrome 119, но была предусмотрена настройка для его возвращения. Теперь данная настройка удалена. Для разработчиков, которым необходима подобная функциональность, предлагается использовать вариант библиотеки SQLite, скомпилированной в представление WebAssembly.

Добавлена возможность управления направлением написания текста, отображаемого вертикально в элементах web-форм (select, meter, progress, button, textarea и input) при выборе вертикальной ориентации через CSS-свойство writing-mode. Для вывода текста сверху-вниз теперь можно использовать свойство элемента форм "ltr", а снизу-вверх - "rtl".

В API User-Agent Client Hints, развиваемом в качестве замены заголовка User-Agent, добавлена поддержка параметра Sec-CH-UA-Form-Factors, через который клиент может информировать сервер о форм-факторе устройства пользователя (Desktop, Automotive, Mobile, XR, EInk и Watch). User-Agent Client Hints позволяет организовать выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером. Пользователь, в свою очередь, может определить какую информацию можно предоставить владельцам сайтов. При использовании User-Agent Client Hints идентификатор браузера не передаётся без явного запроса, а по умолчанию указываются лишь базовые параметры, что затрудняет проведение пассивной идентификации.

Добавлена возможность управления клонированием отдельных корней в Shadow DOM, осуществляемым такими командами, как cloneNode(). Возможность клонирования корневых веток DOM включается при помощи параметра clonable ("attachShadow({clonable:true})") или атрибута "shadowrootclonable" (<template shadowrootmode=open shadowrootclonable>).



Добавлены новые методы setHTMLUnsafe() и parseHTMLUnsafe() для использования синтаксиса Shadow DOM из JavaScript. Методы setHTMLUnsafe() и parseHTMLUnsafe() по аналогии с innerHTML и DOMParser.parseFromString() позволяют подставить в элемент или разобрать содержимое в формате HTML, но отличаются поддержкой обработки элементов template c атрибутом shadowrootmode.

Добавлена поддержка API WebSocket Stream, позволяющего передавать данные между браузером и сервером в потоковом режиме без применения полинга (polling), что оптимально для организации передачи и приёма постоянно поступающих данных, например, в реализации чата.


const wss = new WebSocketStream(WSS_URL);
const {readable, writable} = await wss.opened;
const reader = readable.getReader();
const writer = writable.getWriter();

while (true) {
const {value, done} = await reader.read();
if (done) {
break;
}
const result = await process(value);
await writer.write(result);
}

Расширены возможности API View Transitions, упрощающего создание переходных анимационных эффектов между разными состояниями DOM (например, плавный переход от одного изображения к другому). В новой версии добавлена поддержка события "pageswap", генерируемого для объекта "window", когда при навигации связанный с ним объект "document" заменяется на новый. Также добавлено свойство "render-blocking", позволяющее заблокировать отрисовку документа до завершения разбора важного контента.

Добавлен параметр disallowReturnToOpener, передаваемый при вызове метода requestWindow, который позволяет убрать кнопку "назад" в окне, открытом в режиме "картинка в картинке", для запрета возвращения к вкладке, из которой было открыто окно.

Добавлена возможность присвоения атрибуту CSSImportRule.styleSheet значения NULL для индикации отсутствия привязанной таблицы стилей. Добавлен атрибут CSSKeyframesRule.length, указывающий на число индексируемых свойств.

Для редактируемых полей реализован атрибут "writingsuggestions" для управления включением показа рекомендаций во время ввода.

В API WebGPU добавлена поддержка ServiceWorker и SharedWorker.

Добавлена поддержка HTTP-заголовка "Priority", через который можно передать сведения о приоритете обработки запроса (RFC 9218) на стадии первого обращения к ресурсу.

Внесены улучшения в инструменты для web-разработчиков. Добавлена новая панель Autofill для инспектирования информации, используемой при автоматическом заполнении форм.



В панели инспектирования CSS-стилей улучшена поддержка вложенных стилей. В панели измерения производительности предоставлена возможность скрытия лишних функций и связанных с ними дочерних вызовов для снижения уровня шума на графике. В панель отладки анимации добавлена поддержка анимации, привязанной к прокрутке контента (Scroll-driven Animation). В панели инспектирования сети реализована возможность задания параметров потери пакетов и размера сетевой очереди для проверки работы WebRTC-приложений в условиях возникновения сетевых проблем.



Кроме нововведений и исправления ошибок в новой версии устранено 22 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премий на сумму 65 тысяч долларов США (по одной премии в $20000, $10000, $7000 и $2000, по три премии в $5000 и $3000, две премии $1000). Размер одного вознаграждения пока не определён.

[Aleksandr58]

Chrome укрепился как самый популярный браузер в мире на компьютерах и смартфонах
02.05.2024
Согласно данным StatCounter, в апреле 2024 года в рейтинге популярности интернет-обозревателей существенных изменений не произошло. На ПК лидером остаётся Google Chrome, за которым с большим отрывом следуют Microsoft Edge и Apple Safari. На мобильных устройствах первенство также за Chrome, на втором месте Safari, а третью строчку рейтинга занимает Samsung Internet.

Доля Google на ПК выросла в апреле на 0,17 процентных пункта до 65,94 %. На мобильных устройствах обозреватель от Google лидирует с долей 65,68 %, увеличив её на 0,39 п.п. Несмотря на столь убедительное преимущество, компания не собирается почивать на лаврах — недавно появилась информация о скором выходе версии Chrome для следующего поколения компьютеров с искусственным интеллектом под управлением Windows 11, построенных на архитектуре Arm.

► Показать

Microsoft Edge в апреле занял 12,82 % рынка настольных компьютеров, поднявшись на 0,12 п.п. Этот показатель оказался немного ниже, чем максимальная за всю историю доля в 12,96 %, которую обозреватель смог получить на ПК в конце 2023 года. Мобильная версия Edge не может похвастаться подобными успехами и занимает лишь девятое место в рейтинге с долей всего 0,39 %. Несмотря на спорную тактику принудительного внедрения Edge пользователям Windows, Microsoft заслуживает похвалы за действительное улучшение своего обозревателя с помощью новых функций на базе искусственного интеллекта.

Третье место среди обозревателей для ПК занимает Apple Safari с долей 8,44 %. Несмотря на падение на 0,19 п. п., Safari по-прежнему заметно опережает Firefox, который используют 6,67 % пользователей. В рейтинге мобильных обозревателей Safari закрепился на втором месте с рыночной долей в 23,75 %, а бронза — у Samsung Internet с долей 4,33 %.

Осведомлённые источники сообщают, что Mozilla собирается сместить фокус со своего легендарного обозревателя с открытым исходным кодом и сосредоточить усилия на сервисах искусственного интеллекта. Подобное изменение политики может поставить крест на будущем единственного независимого веб-обозревателя.

[vladimir1949]

Google исправила активную 0-day уязвимость CVE-2024-4671 в Chrome

Google исправила серьезную уязвимость CVE-2024-4671 типа 0-day в Chrome, активно эксплуатируемую хакерами. Экстренное обновление безопасности устраняет уязвимость, связанную с неправильным использованием освобожденной памяти,

Google недавно выпустила экстренное обновление безопасности для своего веб-браузера Chrome. Это обновление предназначено для устранения уязвимости типа 0-day, которая активно эксплуатируется злоумышленниками.

Пользователям Google Chrome рекомендуется немедленно обновить браузер для защиты своих данных.

p>Чтобы проверить версию Google Chrome, перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help. Если обновление доступно, то браузер автоматически скачает и установит свежую версию. Для завершения установки обновления потребуется перезапуск браузера.

После установки обновления в Chrome должна отображаться одна из следующих версий:

► Показать

Chrome для Windows или Mac: 124.0.6367.201 или 124.0.6367.202
Chrome для Linux: 124.0.6367.201
Chrome Extended для Windows или Mac: 124.0.6367.201
Похоже, что Chrome на Android не затронут этой уязвимостью, так как Google не выпустила обновление для этой платформы и не делала соответствующих объявлений на блоге релизов.

Что известно о 0-day уязвимости CVE-2024-4671 в Chrome

Google раскрыла немного информации о данной уязвимости на официальном сайте выпусков Chrome.

Контекст CVE-2024-4671:

Дата сообщения: Уязвимость была официально зарегистрирована 7 мая 2024 года.
Статус: Она активно эксплуатировалась на момент обнаружения, что подчёркивает её серьёзность и необходимость немедленного реагирования.
Уровень риска: Уязвимость получила высокий уровень риска из-за потенциала удалённого выполнения кода и простоты её эксплуатации.

Уязвимость CVE-2024-4671 в Google Chrome является серьёзной проблемой безопасности, классифицированной как "использование после освобождения памяти" (use-after-free) в компоненте, связанном с визуализацией (Visuals). Это означает, что после освобождения памяти, которая ранее была выделена для каких-то данных или объектов, некорректная программа продолжает использовать указатели на эту уже освобождённую память. Это может привести к повреждению данных, сбою программы или, что более опасно, к выполнению произвольного кода.

При эксплуатации такой уязвимости злоумышленник может манипулировать данными в освобождённой памяти, подставляя свой код или данные, что потенциально позволяет ему выполнить произвольный код с привилегиями браузера. Это может быть использовано для установки вредоносного ПО, кражи данных или других манипуляций на заражённой системе.

Другие веб-браузеры на базе Chromium также подвержены этой проблеме. Это означает, что такие браузеры, как Microsoft Edge, Vivaldi, Brave и Opera, остаются уязвимыми до выпуска обновлений.

Ожидается, что обновления для этих браузеров появятся в ближайшие часы и дни.

Обновлять браузеры стоит регулярно, а при наличии информации о критических уязвимостях — немедленно.

[Aleksandr58]

Старые расширения для Chrome перестанут работать уже 3 июня
31.05.2024
С 3 июня Google приступит к реализации своего плана по отключению расширений для Chrome формата Manifest V2, что может повлиять на работу блокировщиков рекламы. Первыми изменения заметят пользователи предварительных версий браузера.

► Показать

Отключение расширений Chrome, созданных с использованием фреймворка Manifest V2, начнётся 3 июня и на начальном этапе затронет пользователей бета-версий браузера, в том числе на каналах Dev и Canary. «Если у пользователей всё ещё установлены расширения Manifest V2, некоторые из них начнут видеть предупреждающий баннер при посещении страницы управления расширениями, — chrome://extensions — информирующий их, что некоторые (Manifest V2) установленные ими расширения скоро перестанут поддерживаться», — сообщила Google в блоге Chromium.

Для пользователей стабильной версии Chrome отключение расширений старого образца будет происходить «постепенно в ближайшие месяцы», чтобы «завершить переход к началу следующего года». Разработчик стремится подтолкнуть всех пользователей к альтернативным и более актуальным расширениям, созданным на фреймворке Manifest V3 — он, по словам компании, является более безопасным и конфиденциальным. Google потратила несколько лет, чтобы подтолкнуть сообщество отказаться от Manifest V2. Хотя Manifest V3 и предназначен для защиты пользователей от агрессивного сбора данных, фреймворк нового образца подвергается критике из-за своих требований, которые могут нарушить работу блокировщиков рекламы.

С такой постановкой вопроса Google не согласна, ведь «более 85 % активно поддерживаемых расширений в Chrome Web Store используют Manifest V3, а все самые популярные расширения для фильтрации контента располагают доступными версиями Manifest V3 — пользователи могут выбирать между AdBlock, Adblock Plus, uBlock Origin и AdGuard», отмечается в блоге компании. Это действительно так: уже выпущено расширение uBlock Origin Lite на основе Manifest V3, но 37 млн пользователей по-прежнему пользуются версией расширения на основе Manifest V2.

Новая версия фреймворка, впрочем, в отдельных случаях действительно грозит снизить эффективность блокировщиков рекламы. «На текущий момент наши списки фильтров обновляются автоматически — часто несколько раз в день. Так что если вы увидите рекламу, которой удалось обойти фильтр блокировки, она, как правило, сразу же удаляется благодаря этим обновлениям. Manifest V3 сделал так, что мы больше не сможем производить эти типы обновлений таким же образом», — предупреждают в Adblock. Но разработчик уже нашёл способ обойти это через «обновления списка дифференциальных фильтров» и надеется, что пользователи разницы не заметят.

Чтобы ещё сильнее подтолкнуть пользователей и разработчиков к Manifest V3, Google также планирует удалить метку «Рекомендованные» из расширений на основе Manifest V2 в магазине Chrome. Разработчики смогут поддерживать расширения старого образца до июня 2025 года.