Рубрика «chrome» - 11

Песочница Chrome нарушает три патента, Google будет платить роялти - 1
Иллюстрация из патента Чиоффи и Розмана, которые изобрели песочницу в браузере

Федеральный суд Восточного Техаса постановил, что компания Google нарушила три патента на программное обеспечение для защиты от вредоносных программ — так называемой «песочницы» — и присудил выплатить $20 млн в качестве компенсации ущерба изобретателю этой системы и семье его партнёра. В дальнейшем Google будет платить роялти за использование песочницы в Chrome.

По словам адвоката истца из юридической компании Vasquez Benisek & Lindgren LLP, штраф $20 млн покрывает последние четыре года, когда Google незаконно использовала изобретение, а роялти рассчитаны на ближайшие девять лет, пока будут действовать патенты. Исходя из ставки $5 млн в год, изобретатели могут рассчитывать ещё на $45 млн. В общей сложности изобретение песочницы принесёт предприимчивым инженерам и их семьям $65 млн.
Читать полностью »

Возникла необходимость текстового поиска по видео на ютубе, готового решения не нашел (может быть оно и есть), решил сам смастерить.

image

Читать полностью »

DRM-плагин полностью интегрировали в Chrome 57: он никак не отключается в настройках - 1
Настроек chrome://plugins в браузере Chrome 57 не будет

В новой версии Chrome 57 ожидается несколько изменений. Возможно, в этой версии реализуют подавление активности в фоновых вкладках, которое должно существенно повысить производительность и снизить энергопотребление браузера. Другая «оптимизация» от Google вызывает гораздо больше вопросов. В только что вышедшей версии Chrome 56 плагины Widevine CDM, NaCL и другие автоматически активируются каждый раз после перезапуска браузера (даже если их вручную отключить). А в бета-версии Chrome 57 привычную страницу chrome://plugins для включения/отключения плагинов вообще удалили как ненужную!
Читать полностью »

Улучшения Chrome и Firefox ускорили перезагрузку страниц на 28-50% - 1
Традиционная модель валидации ресурсов

Разработчики из Google вчера объявили о результатах совместного с Facebook и Mozilla проекта оптимизации браузера по образцу Firefox. После оптимизации значительно ускорилась повторная загрузка страниц в мобильной и десктопной версиях Chrome. По данным Google, в последней версии Chrome перезагрузка страниц ускоряется в среднем на 28%.

Обычно при перезагрузке страницы браузер осуществляет валидацию: отправляет сотни сетевых запросов только для проверки, что картинки и все остальные ресурсы в кэше всё ещё остаются действительными и их можно использовать повторно. Такой механизм перезагрузки страниц существовал без изменений много лет, несмотря на все изменения в сайтах и технологиях веб-разработки. Для маленьких элементов скорость выполнения этого запроса с получением ответа 304 HTTP примерно соответствует скорости обычного запроса с загрузкой элемента веб-страницы.

Пришло время улучшить браузеры и сайты.
Читать полностью »

Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DR: Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов.

Что такое HSTS?

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические

Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статические

Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузер (Firefox, Safari и IE 11+Edge) и любой желающий может отправить заявку на добавление после соответствующей настройки. Веб-сервер также должен отдавать заголовок со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Читать полностью »

Google Chrome перестал доверять сертификатам WoSign и StartCom - 1

Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.

Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.

Читать полностью »

Chrome 57 будет активно подавлять работу фоновых вкладок - 1

Ближайшие изменения в браузере Chrome вряд ли порадуют разработчиков Slack, Discord и других программ, которые работают во вкладках браузера. В бета-версии Chrome 56 реализован новый механизм оптимизации таймеров для фоновых вкладок.

На первый взгляд, инициатива разработчиков выглядит хорошим делом. В сентябрьском плане внедрения (Intent to Implement) объясняются причины, которые сподвигли разработчиков на такое решение.

Главная причина — некоторые плохо спроектированные приложения (например, скрипты аналитики и javascript-реклама) потребляют много ресурсов CPU, хотя находятся в фоновом режиме. Это негативно отражается на производительности браузера и потребляет энергию аккумулятора на мобильных устройствах. Такая обработка активности в фоновых вкладках совершенно ни к чему. Идея состоит в том, чтобы установить максимальный лимит вычислительных ресурсов, которые можно дать фоновому приложению.
Читать полностью »

image

Мы продолжаем цикл статей о механизмах защиты браузеров от эксплойтов:

Давайте заглянем под капот браузера Chrome и выясним, что есть в его анти-эксплоит арсенале.

Читать полностью »

Фишинг через автозаполнение в Chrome (демо) - 1

Давно известно, что функция автозаполнения в браузере — отличный вектор атаки. Браузер с легкостью отдает любому желающему сохраненную информацию для заполнения в форм, даже если этих форм не видно. А среди сохраненной информации в профиле автозаполнения могут быть и конфиденциальные данные. Например, домашний адрес пользователя или даже данные банковской карточки. Человек не всегда хочет делиться такой информацией, вводя просто адрес электронной почты в каком-нибудь списке рассылки. А придется поделиться, если у него браузер Chrome (в Firefox фичу обещают реализовать в ближайшее время, но пока не работает).
Читать полностью »

Обещания Google начали сбываться — теперь сайты https помечаются как надёжные - 1
(Разница между HTTPS и HTTP к которой идет Google)

Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.

Сейчас начался первый этап — пометка сайтов с https как безопасные.

Что там будет дальше?
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js