Разработчики Google представили Chrome 79. Создатели браузера добавили несколько функций, реализованных в сторонних расширениях, укрепили поддержку HTTPS и устранили более 50 уязвимостей.

Контроль скомпрометированных паролей

Список новых возможностей Chrome включает уведомления о возможной компрометации учетных данных вроде тех, которые ранее появились в Firefox. Для пользователей Chrome эта функция была доступна только после установки сторонних расширений. Теперь она по умолчанию есть в официальной сборке браузера и включается после входа в аккаунт Google.

Как рассказали разработчики, компания отслеживает взломы веб-ресурсов, сохраняя на своих серверах хешированные и зашифрованные копии скомпрометированных логинов и паролей. Когда пользователь авторизуется на каком-либо сайте, браузер отправляет его учетные данные для сверки. При обнаружении совпадений пользователю порекомендуют сменить кодовую комбинацию.

Разработчики подчеркнули, что информация пересылается в защищенном виде, так что никто, даже работники Google, не сможет прочитать пользовательский пароль. Кроме того, для снижения сетевой нагрузки браузер отправляет на сервер лишь небольшой фрагмент учетных данных.

Отслеживание нежелательных сайтов в Chrome 79

Браузер также получил улучшенный вариант API Safe Browsing, который защищает пользователей от вредоносных сайтов. Эта функция появилась еще в 2007 году, когда эксперты Google стали блокировать переходы по URL, замеченным в фишинговых атаках или распространении вредоносного и нежелательного ПО.

Прежде чем открыть какую-либо страницу, браузер ищет адрес в белом списке, который хранится локально на пользовательском компьютере. Если сайт отсутствует в этом перечне, программа отправляет серверу Google запрос на проверку по черному списку.

До недавнего времени эти реестры обновлялись раз в полчаса. Поскольку злоумышленники научились атаковать пользователей в пределах этого окна, сканирование вредоносных сайтов теперь будет работать в реальном времени. Для запуска Safe Browsing необходимо включить в Chrome синхронизацию сервисов Google. По оценкам разработчиков, это на 30% повышает уровень безопасности пользователей.

Создатели Chrome также улучшили функцию Predictive Phishing, которая помогает избежать фишинговых уловок. Если раньше она защищала только аккаунты Google, то теперь распространяется на все учетные данные в базе Chrome. Кроме того, разработчики отключили необходимость синхронизации браузера с серверами Google.

Блокирование скрытого HTTP-контента

В продолжение инициатив Google по продвижению HTTPS Chrome начинает блокировать незащищенный контент на страницах, которые загружаются через безопасное соединение. На данный момент это файлы куки, iframe- и JavaScript-компоненты. В следующей версии Chrome, выпуск которой намечен на январь 2020 года, список пополнят аудио и видео; позднее к ним добавятся и изображения.

Как ранее поясняли разработчики, многие веб-администраторы до сих пор загружают некоторые элементы страницы по протоколу HTTP, используя HTTPS только для основного домена. Чтобы у пользователей не появлялось ложное ощущение безопасности, в этих случаях Chrome показывает предупреждение о незащищенном соединении и блокирует смешанный контент. Это ограничение можно снять, кликнув по иконке замка в адресной строке.

Уязвимости и ошибки кода в Chrome 79

Обновленный Chrome также избавился от 51 уязвимости, за которые компания Google уже заплатила экспертам $80 тысяч. Судя по данным на странице релиза, эта сумма будет расти.

Две закрытые уязвимости получили высшую оценку угрозы — критическую. Обе ошибки позволяют злоумышленнику выполнить сторонний код:

Список багов также включает восемь уязвимостей с высокой степенью угрозы и 18 — со средней.

Категории: Главное, Кибероборона, Уязвимости