LINUX.ORG.RU

Chrome 93

 , ,


0

0

Состоялся выпуск Google Chrome и Chromium 93.

Некоторые изменения:

  • В версию для Android добавлена панель, которая показывает недавнюю историю поиска.
  • Изменено оформление меню с информацией о странице.
  • Для пользователей аккаунта Google добавлена возможность сохранять информацию о платежах в своей учётной записи.
  • Теперь перед очисткой данных навигации в режиме инкогнито появляется диалог подтверждения операции.
  • В новой вкладке добавлен список самых востребованных документов из Google Drive.
  • В список запрещённых портов добавлены порты 989 и 990 с целью защиты от атаки ALPACA.

Источник: opennet.ru

>>> Подробности

В версию для Android добавлена панель, которая показывает недавнюю историю поиска

В новой вкладке добавлен список самых востребованных документов из Google Drive

Теперь перед очисткой данных навигации в режиме инкогнито появляется диалог подтверждения операции

Есть способы отключить?

Для пользователей аккаунта Google добавлена возможность сохранять информацию о платежах в своей учётной записи

Так было же, вроде

elfmaid ()
Ответ на: комментарий от hummer

Давно уже, и не только chrome (-ium): https://www-archive.mozilla.org/projects/netlib/portbanning https://src.chromium.org/viewvc/chrome/trunk/src/net/base/net_util.cc?view=markup#l68

Но вы, конечно же, умнее разработчиков google и точно знаете, как нужно!

anonymous ()
Ответ на: комментарий от anonymous

Зато ты на столько неумный, что не способен объяснить опасность открытости этих портов для браузера. Вот например, они блокируют 13-й порт, обычно используемый для синхронизации времени. Допустим, что завтра эту блокировку отменят. Приведи практический пример атаки, которую можно будет осуществить после этого.

hummer ()
Ответ на: комментарий от hummer

плагины-же наверное со всякими nextnextnext пользователи ставят, а они потом к тебе ломятся, но вообще решать за других людей и ограничивать их, это зашквар конечно непростительный, но это от вирусни всякой т.ч. норм

nanosecond ()
Ответ на: комментарий от nanosecond

Как можно ломиться в плагин? Речь идёт о закрытии портов на соединение наружу, а не на соединение извне. Давай дождёмся пока тот «умный» анонимус расскажет про способы атаки при попытке подключиться браузером на 13-й порт.

hummer ()
Ответ на: комментарий от hummer

пользователи в большем кол-ве запускают в баузере js и эти браузеры ломятся к тебе, дурик)
достаточно просто сайт популярный ломануть для этого

nanosecond ()
Последнее исправление: nanosecond (всего исправлений: 1)
Ответ на: комментарий от hummer

Группа исследователей из нескольких университетов Германии разработала новый метод MITM-атаки на HTTPS, дающий возможность извлечь Cookie с идентификаторами сеанса и другие конфиденциальные данные, а также добиться выполнения произвольного кода JavaScript в контексте другого сайта. Атака получила название ALPACA и может быть применена к TLS-серверам, реализующим разные протоколы прикладного уровня (HTTPS, FTPS, SMTP, IMAP, POP3), но использующим общие TLS-сертификаты.

Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа атакующий может перенаправить web-трафик на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат, и браузер пользователя будет считать, что установлено соединение с запрошенным HTTP-сервером. Так как протокол TLS универсален и не привязан к протоколам прикладного уровня, установка шифрованного соединения для всех сервисов идентична и ошибка отправки запроса не к тому сервису может быть определена только уже после установки шифрованного сеанса во время обработки команд отправленного запроса.

Полная альпака в общем.

opennet

Понаделали текстовых протоколов, в стиле жаваскрипта - «парсю что могу, а что не могу, сделаю вид, что меня не касается», а теперь уязвимости.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от Legioner

Понаделали текстовых протоколов, в стиле жаваскрипта - «парсю что могу, а что не могу, сделаю вид, что меня не касается», а теперь уязвимости.

Подождите, вот я ничего не понимаю в этой вебне и JS. Но разве нельзя в протокол включить схему формата запроса, и валидировать ее каждый раз на входе? Не прошел тест на валидность - до свидания. Для JSON же есть и стандартный формат схемы, и либы для валидации. Или речь о каких-то хитрых DSL с нетривиальной грамматикой?

seiken ★★★★★ ()
Ответ на: комментарий от hummer

Я в детали не вникал, но суть в том, что на этих портах часто висят небезопасные серверы, которые может как-то эксплуатировать. Как проснёшься - почитай ссылку в моём сообщении, я детали тоже не понял, но вряд ли порты просто так банить стали бы.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа атакующий может перенаправить web-трафик на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат, и браузер пользователя будет считать, что установлено соединение с запрошенным HTTP-сервером. Так как протокол TLS универсален и не привязан к протоколам прикладного уровня, установка шифрованного соединения для всех сервисов идентична и ошибка отправки запроса не к тому сервису может быть определена только уже после установки шифрованного сеанса во время обработки команд отправленного запроса.

От таких атак может помочь только предварительно установленные сертификаты в браузер.

Если сервер захватили, в нем все что угодно можно делать.

dicos ()
Ответ на: комментарий от Legioner

Там куда больше раздражало, что (на офтопике) ты вводишь адрес, нажимаешь Enter, и ничего не происходит. Приходилось нажимать второй раз. Это и стало последней каплей переходом на Идж.

anonymous ()
Ответ на: комментарий от Windows

Исходный код Edge открытый?

Сколько патчей заапстримил в Firefox? (или ты Chromium пользуешься? Ну тогда в Chromium?)

Если 0, то зачем тебе открытый код, если ты не помогаешь разрабатывать браузер, а просто им пользуешься?

fsb4000 ★★★★★ ()
Ответ на: комментарий от anonymous

Это абсурдное утверждение пока по конкретным пунктам с доказательной базой не показано обратное. У них кишки на 99.99999% одинаковые господи. Допускаю некие специфические патчи под виндой что-то там улучшающие, допустим, как с антивирусной проверкой юрл которая в виндовом антивире работает только с эджем официально (но гугл сейфсерч никто не отменял). Например, предзагрузка в оперативку при старте операционки = моментальный запуск пока хром «тормозит» при открытии. Есть мнение что в виндовс 11 проводник открывается моментальней по этой же причине. А еще в вин 11 поднято минимальное требование оперативки в 2-4 раза, что кагбе намекает.

По поводу кто жирный, а кто нет, та же история. Разница может быть в паре специфических строчек кода которые В НЕКОТОРЫХ условиях дают преимущество, все остальное абсолютно идентично амиго браузеру с вивальди яндексами.

anonymous ()
Ответ на: комментарий от fernandos

Это бесполезно объяснять, у человека 5 звезд, либо троль либо дурака включает. Что не всегда одно и то же. Некоторым людям нужны споры по нелепым доводам на ровном месте. Следующий его коммент «если код читают онли программисты которые его пишут, а аудиты внешние бывают и в закрытом ПО значит разницы никакой нет». Скриньте. Треду тыщу лет, кого искренне коррелянты свободности с прайваси и сефйти интересуют нагуглит.

anonymous ()
Ответ на: комментарий от fsb4000

зачем тебе открытый код, если ты не помогаешь разрабатывать браузер, а просто им пользуешься?

Тебя @pisqotron5000 покусал? Уже 100 раз разжёвывали этот вопрос.

Вообще, это эталонное 4.3. Я просто не хочу сразу за удалялку хвататься, вдруг ты действительно не понимаешь.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

вдруг ты действительно не понимаешь.

Конечно, большинство пользователей никогда ни в какой код смотреть не будут. И на линуксе также. Даже пользователи LFS и прочего лишь жмут

make

И никто не анализирует в миллионах строк кода всё поведение программы.

Максимум каким-нибудь Wireshark помоноторят сетевую активность приложения и всё. Это можно делать и с проприетарными программами.

Польза есть лишь для 0.1% пользователей которые находят в себе силы разобраться с какой-нибудь проблемой и заапстримить её решение.

Для 99.9% разницы между OpenSource и ClosedSource нет никакой.

fsb4000 ★★★★★ ()
Последнее исправление: fsb4000 (всего исправлений: 1)
Ответ на: комментарий от fsb4000

Польза есть лишь для 0.1% пользователей которые находят в себе силы разобраться с какой-нибудь проблемой и заапстримить её решение.

Этот процент и может быть решающим для пользователей. Патченный хромиум на vaapi задолго до официальности сего решения в хроме – этот процент решает. Мелочь, хромоги пишутся в основном двумя корпорациями напару, но для лэптопа на линуксе необходимость если нужна мобильность. И без открытых исходников еще бы 15 лет пришлось ждать. Или какая там разница с виндой по ускорению видео в браузерах уже накопилась.

Элементарная способность запускать программу на на чем-нибудь кроме вин\мак\лин под х86. Собери мне пожалуйста эдж под линухом на арме. Или под опенбсд на х86 хотя бы.

Для 99.9% разницы между OpenSource и ClosedSource нет никакой.

Да. И 0.1% на практике все меняет. Что за восхищение циферками абсолютистскими.

Причем здесь вообще пользователи и разбирательство с проблемами в своей массе? Пользователь пользуется, и обычно очень поверхностно, каким-нибудь эджем без юблока под виндой с кэнди краш сагой. Не понимаю что из этого должно следовать. Все должны перестать искать открытые альтернативы тому, чем пользуются? Звучит как выстрел себе в ногу в долгосрочной перспективе, хотя бы по примерам выше.

anonymous ()
Ответ на: комментарий от hummer

А что это ещё за запрещённые порты? Корпорация добра теперь ещё и порты цензурирует?

Переведешь сам. Мне лень.

These ports are used by the FTPS protocol, which has never been implemented in Chrome. However, FTPS servers can be attacked in a cross-protocol attack by malicious web pages using carefully-crafted HTTPS requests.

Тут подробности.

Odalist ★★★★★ ()
Ответ на: комментарий от hobbit

не хочу сразу за удалялку хвататься

Любишь её гладить, когда никто не видит? 😁

зачем тебе открытый код Уже 100 раз разжёвывали

Типа чтобы кто-то посмотрел что-то, чтобы тебе спокойнее спалось без бекдоров и телеметрии?

pisqotron5000 ()
Ответ на: комментарий от Windows

Доверия больше…

Я больше доверяю многомиллионным корпорациям. По крайней мере откровенную дичь они делать не будут, так как им есть что терять и их по судам затаскают.

Аноним который выложил что-то под GPL3/MIT/Apache2.0 ничем не рискует и толкает вирусню под этими лицензиями. Всякие npm, pip и прочие периодически находят вирусы и малвари среди открытых проектов. Но там хоть иногда кто-то проверяет. Приложения с десятками-сотнями тысяч пользователей никогда вообще не проходили аудит.

Хотя иррационально доверия к открытому больше, это да. Вот например для Windows XP было два живых браузера, открытый форк Palemoon: MyPal. И закрытый форк Chromium 86: 360 Extreme Browser. Я хоть и не открывал сорцы MyPal, но выбирал его если мне нужен был браузер для XP, а не китайский 360 Extreme Browser, хотя по возможностям он превосходит MyPal.

Плохо, что разработка MyPal завершилась: https://www.opennet.ru/opennews/art.shtml?num=55729

fsb4000 ★★★★★ ()
Ответ на: комментарий от fsb4000

был браузер для XP, а не китайский 360 Extreme Browser, хотя по возможностям он превосходит MyPal. Плохо, что разработка MyPal завершилась 03.09.21

Ну несмешно уже.

fornlr ★★★★★ ()