Вышел Chrome 127, попросит вас указать пароли для зашифрованных архивов, которые вы загружаете

Google Chrome 127 доступен в стабильном канале. Выпуск был сосредоточен на безопасности. Он улучшает режим Ingonito, включая HTTPS-First по умолчанию. Google также начинает убивать Manifest V2 в духе Manifest V3, поскольку последний не дружелюбен к блокировщикам рекламы. Наконец, есть некоторые изменения в безопасном просмотре. Прежде всего, браузер теперь будет запрашивать пароль для зашифрованных архивов. Если вы укажете его, Chrome отправит содержимое в Google для проверки файлов на безопасность. Кроме того, улучшенная защита теперь включает дополнительную телеметрию, которая проверяет некоторые страницы по списку блокировки.

Что нового в Chrome 127

Режим инкогнито

Режим инкогнито теперь идет с включенным по умолчанию “HTTPS-First”, который автоматически перенаправляет HTTP-запросы на HTTPS. Для обеспечения работы с сайтами, не поддерживающими HTTPS, он имеет резервный вариант HTTP, если запрос не может быть выполнен через HTTPS (например, из-за проблем с сертификатом). При попытке открыть сайт через HTTP он показывает специальное предупреждение.

Улучшения безопасного просмотра

Включение улучшенной защиты браузера (Безопасный просмотр > Улучшенная защита) отправляет дополнительные данные в Google о посещаемых вами страницах, которые используют API для вибрации или полного управления мышью и клавиатурой. Если страница находится в списке блокировки, вы увидите предупреждение, и эти отмеченные API не будут работать.

Загрузка обработки

Режим расширенной защиты в браузере (Безопасный просмотр > Расширенная защита) теперь суммирует улучшения в сканировании загружаемых файлов. Он позволяет отправлять исполняемые файлы и подозрительные архивы в Google для проверки на вирусы и вредоносное ПО. При загрузке зашифрованных архивов (.zip, .7z, .rar) браузер запрашивает пароль для расшифровки для сканирования. Пользователи могут отказаться или предоставить пароль, после чего архив с паролем будет отправлен в Google для сканирования. В стандартном режиме безопасного просмотра также появляется запрос на ввод пароля, но в Google отправляются только метаданные и хэши, а не содержимое архива.

Автоматический полноэкранный режим

Была введена новая опция «Автоматический полноэкранный режим» (находится по адресу chrome://settings/content/automaticFullScreen), позволяющая сайтам переходить в полноэкранный режим с помощью метода Element.requestFullscreen() без необходимости одобрения пользователя. Она также сохраняет подсказки браузера видимыми в полноэкранном режиме. По умолчанию эта функция отключена, но ее можно активировать для определенных сайтов и приложений. При использовании с API управления окнами и настройками всплывающих окон (chrome://settings/content/popups) она упрощает такие операции, как запуск полноэкранных всплывающих окон на втором мониторе, отображение контента на нескольких экранах или перемещение полноэкранных представлений между дисплеями.

Корневое хранилище сертификатов

Встроенное хранилище Root Store в Chrome больше не будет доверять сертификатам Entrust. Это связано с несколькими нарушениями правил, такими как несоблюдение сроков реагирования на проблемы с сертификатами, задержки в отзыве сертификатов, неверные сообщения об инцидентах и ​​несоблюдение правил выдачи сертификатов EV TLS, которые проверяют право собственности на домен. Chrome будет отмечать сертификаты TLS Entrust, выпущенные после 31 октября 2024 года, как ненадежные. Сертификаты, выпущенные до этой даты, останутся доверенными.

Манифест V2 устаревания

Chrome 127 начал отключение Manifest V2. Манифест определяет, какие надстройки могут использовать API WebExtensions. В настоящее время только некоторые тестовые сборки Chrome отключают надстройки с помощью Manifest V2. Полный переход на Manifest V3 ожидается к июню 2025 года. Manifest V3 критикуют за удаление основных API, необходимых блокировщикам рекламы. Стоит отметить, что основные надстройки уже имеют версии, совместимые с новой версией Manifest.

Другие изменения

• Представлена ​​предварительная версия спецификации Private Network Access. Она ограничивает загрузку ресурсов с общедоступных веб-сайтов, ссылающихся на хосты в частной сети (например, 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8). В настоящее время такие загрузки разрешены только при посещении страницы через защищенное соединение (HTTPS). Планируется в конечном итоге ужесточить контроль, чтобы предотвратить неограниченный доступ к внутренним подсетям интрасети с общедоступных сайтов. Этот шаг направлен на предотвращение атак типа CSRF, которые нацелены на внутренние устройства, такие как маршрутизаторы, точки доступа, принтеры и корпоративные веб-интерфейсы, которые принимают только локальные сетевые запросы.
• Во время «испытаний Origin» есть экспериментальная функция блокировки доступа к IP 0.0.0.0. Это связано с тем, что в системах Linux и macOS этот IP может быть использован для обхода блокировки IP 127.0.0.1, который является localhost.

Chrome для Android

• Версия Android отличается оптимизированным процессом подключения к учетной записи Google и синхронизации данных, таких как пароли и закладки. Синхронизация теперь является частью процесса входа в учетную запись и больше не является отдельной настройкой.
• В версии Android представлен обновленный интерфейс управления паролями. Пользователи, подключенные к своей учетной записи Google, но не включившие синхронизацию, теперь могут сохранять и использовать пароли, привязанные к своей учетной записи Google.

В последнем выпуске также устранены 24 проблемы безопасности. Они были в основном обнаружены с помощью автоматизированных инструментов, таких как AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Пять уязвимостей отмечены как высокорисковые, хотя ни одна из них не является достаточно критической, чтобы обойти все защитные меры браузера и запустить код вне песочницы. Программа вознаграждения за уязвимости Google выплатила 16 вознаграждений за этот выпуск на общую сумму 47,5 тыс. долларов США, при этом индивидуальные вознаграждения варьируются от 500 до 11 000 долларов США. Стоимость шести вознаграждений все еще не определена.

Существующие пользователи браузера получат его автоматически. Другие могут загрузить его вручную с Официальный веб-сайт.

Если вам понравилась эта статья, пожалуйста, поделитесь ею с помощью кнопок ниже. Это не займет у вас многого, но поможет нам расти. Спасибо за вашу поддержку!