Релиз web-браузера Chrome 67

30 мая 2018 года

Компания Google представила релиз web-браузера Chrome 67. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 67:

• Упрощён доступ к установленным дополнениям - в боковое меню раздела настройки параметров браузера добавлена отдельная ссылка на список дополнений;
• В качестве эксперимента реализована опция (режим "Refresh" в "chrome://flags#top-chrome-md"), позволяющая оценить новый модернизированный интерфейс пользователя, оформленный в стиле Material Design и оптимизированный для устройств с сенсорными экранами (увеличенные отступы, скруглённое поле адресной строки, новая кнопка "+" для открытия вкладок, изменена расцветка панелей и полей ввода);
• Добавлена функция записи всех сохранённых паролей в текстовый файл в формате CSV для последующего импорта в другие менеджеры паролей. Функция доступна в настройках (в меню "Saved Passwords" добавлен пункт

"Export passwords...");

• Оптимизировано отображение большого числа вкладок - в случае нехватки места на кнопке вместо скрытия пиктограммы сайта и отображения первой буквы заголовка теперь всегда показывается пиктограмма, даже если для её показа необходимо масштабирование;
• Добавлена экспериментальная возможность (включается при запуске браузера с опцией"--enable-features=EnableCastLocalMedia") по трансляции произвольных звуковых и видео файлов на внешние устройства с поддержкой Google Cast. Для передачи следует выбрать в меню пункт "Cast...", выбрать устройство для передачи ("Cast to") и указать передаваемый файл ("Cast file");
• В версии для Android оптимизировано отображение в адресной строке длинных URL и обеспечено автоматическое скрытие типовых частей URL, таких как "https", "http" и "www";
• На платформе macOS через контекстное меню предоставлен быстрый доступ к интерфейсу выбора Emoji;
• Расширены возможности версии Chrome для iOS: улучшена обработка ссылок на iTunes, предложен новый менеджер загрузок с поддержкой продолжения загрузки в фоне;
• Реализован API Generic Sensor, позволяющий web-приложениям получить доступ к различным датчикам, имеющимся на мобильном устройстве. В основе нового API лежит класс Sensor, поверх которого реализованы специфичные для разных типов датчиков классы:
• Accelerometer можно использовать для координации просмотра 3D-видео через перемещение устройства в пространстве;
• Gyroscope даёт возможность манипулировать положением устройства в играх, наподобие настольного лабиринта;
• OrientationSensor позволяет оценивать изменение ориентации устройства, комбинируя показания от акселерометра и гироскопа (если в игре лабиринт гироскоп позволяет направлять движение в двумерном пространстве, то OrientationSensor даёт возможность использовать поворот устройства, чтобы повернуть за угол);
• Motion Sensors - предлагает набор классов для оценки характера и изменения направления движения. В дополнение к акселерометру и гироскопу, позволяет учитывать

данные от магнитометра, например, для создания виртуального компаса.

• Добавлен "Origin Trial" для API WebXR Device, позволяющий получить доступ к

компонентам для создания виртуальной и дополненной реальности и унифицировать работу с различными классами устройств, от стационарных шлемов виртуальной реальности, подобных Oculus Rift, HTC Vive и Windows Mixed Reality, до решений на базе мобильных устройств, таких как Google Daydream View и Samsung Gear VR. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.

Из приложений, в которых может быть применим новый API упоминаются программы для просмотра видео в режиме 360°, системы визуализации трёхмерного пространства, создание виртуальных кинотеатров для презентации видео, проведение экспериментов по созданию 3D-интерфейсов магазинов и галерей;

• В JavaScript предложен новый числовой тип BigInt, позволяющий хранить целые числа произвольного размера, для которых недостаточно типа Numbers (например, идентификаторы и значения точного времени раньше приходилось хранить в виде строк);
• В API Credential Management добавлен новый тип учётных данных PublicKeyCredential, который дополнил ранее доступные типы PasswordCredential и FederatedCredential возможностью проведения аутентификации с использованием закрытого и открытого ключа. Из аутентификаторов поддерживается USB-токен U2F/CTAP 1;
• Прекращена поддержка HTTP-заголовка Public-Key-Pins (ручные привязки пока сохранены), позволяющего сайтам определять привязки открытых ключей с использованием механизма PKP (Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency, которая предусматривает возможность отмены ошибочных привязок;
• В JavaScript-движке V8 продолжено усовершенствование средств для защиты от выполнения не заслуживающего доверия кода и блокирования атак по сторонним каналам, таким как Spectre. В частности, расширено число пользователей которым для тестирования предлагается режим строгой изоляции сайта (chrome://flags#enable-site-per-process), предоставляющий дополнительную защиту от атак благодаря тому, что страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox;
• В DOM предоставлена возможность добавления собственных HTML-элементов, расширяющих функциональность существующих HTML-тегов (например, для тега button можно добавить анимацию);
• В API Streams добавлен класс TransformStream для создания и передачи данных в форме потока (pipe) между ReadableStream и WritableStream. В качестве примера использования TransformStream приводится организация перекодирования текста ответа на запрос;
• В число обрабатываемых событий мыши помимо mousedown, auxclick и mouseup добавлены события для кнопок вперёд и назад, которые имеются в моделях мышей с 5 и более кнопками;
• Поддержка AppCache (технология для организации работы web-приложения в offline-режиме) переведена в разряд устаревших, удаление запланировано на выпуск Chrome 69. В качестве причины называется желание избавиться от одного из векторов для совершения атак, связанных с межсайтовым скриптингом.

Кроме нововведений и исправления ошибок в новой версии устранены 34 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity (Архивная копия от 28 октября 2020 на Wayback Machine), LibFuzzer (Архивная копия от 28 октября 2020 на Wayback Machine) и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 32.5 тысячи долларов США (две премии по $5000, по одной премии в $4500, $3000, $1500 и $1000, пять премий $2000 и пять премий $500). Размер 8 вознаграждений пока не определён.