Эра корпоративных прокси: Chrome скрывает пользователей за серверами Google
Ваш браузер теперь сам меняет пароли, пока вы отдыхаете
Google представила стабильный релиз Chrome 140, вместе с которым обновился и проект Chromium, служащий основой для фирменного браузера. В отличие от Chromium, Chrome включает собственную систему автообновления, DRM-модули для воспроизведения защищённого контента, встроенную песочницу, ключи доступа к сервисам Google API, а также фирменные логотипы и дополнительные телеметрические параметры RLZ. Для тех, кто предпочитает более плавный цикл обновлений, сохранена параллельная версия Extended Stableс выпуском каждые восемь недель. Следующий релиз, Chrome 141, должен выйти 30 сентября.
Новые инструменты приватности
Главные изменения коснулись конфиденциальности. В режиме инкогнито теперь скрывается реальный IP-адрес пользователя в сторонних контекстах (например, во фреймах). Для этого применяется список Masked Domain List (MDL): если сайт находится в перечне, его запросы проходят через прокси-сервер Google, и ресурс видит только IP прокси.
Дополнительно внедрён механизм Probabilistic Reveal Token. Сайты могут получить лишь случайный набор усечённых IP-адресов, без возможности привязать их к конкретным действиям. Технология работает через зашифрованные токены: часть из них содержит IP, часть — пустые. Расшифровка возможна только спустя время и при участии Google. Эти данные планируется использовать в системах борьбы с мошенничеством и для оценки качества трафика.
В браузере также появился режим Script Blocking — он ограничивает выполнение JavaScript API, применяемых для цифровых отпечатков, например различий в отрисовке Canvas. Блокировка включается для сторонних доменов, внесённых в MDL.
Функции безопасности и удобства
В Chrome 140 появился инструмент, автоматически меняющий скомпрометированные пароли. Если пользователь входит на сайт с паролем, найденным в утечках, браузер предложит его обновить. Согласившись, человек получит сгенерированный стойкий пароль, который Chrome сохранит в менеджере.
Для повышения скорости отклика введена функция Default Search Engine Prewarming: когда пользователь ставит курсор в адресную строку, браузер заранее подгружает структуру страницы поиска. Ещё одно новшество — расширенное автозаполнение, теперь оно работает на базе AI-модели и получило название Enhanced autofill. Поддерживается больше языков, стран и типов данных.
Жители США уже получили встроенного чат-бота Gemini, умеющего объяснять содержимое страниц и отвечать на вопросы в текстовом и голосовом режиме. Функция планируется к глобальному расширению. Кроме того, появилась возможность подключаться к совместным группам вкладок: пока создавать их можно только в тестовых версиях (Beta, Dev, Canary), а подключаться — и в стабильной сборке.
Интерфейс и разработка
Теперь при попытке открыть сайт без HTTPS, если в настройках задано требование безопасных соединений, под адресной строкой появляется блокирующее диалоговое окно. Для предварительных загрузок введён новый заголовок Sec-Purpose, пришедший на смену устаревшему Purpose: prefetch.
В API ToggleEvent добавлено свойство source, которое показывает элемент, вызвавший событие. В CSS реализованы новые возможности: функции counter() и counters() в свойстве content, свойство caret-animation, поддержка font-variation-settings в @font-face, а также типизированная арифметика в calc().
В JavaScript теперь доступны методы для работы с байтовыми массивами: Uint8Array.prototype.toBase64, toHex и обратные функции fromBase64, fromHex. Это облегчает преобразование данных между бинарными и строковыми форматами.
Для разработчиков и специалистов по безопасности
В DevTools появились AI-инструменты для анализа производительности и эмуляция заголовка Save-Data. В релизе устранено шесть уязвимостей, большинство из которых выявлены автоматическими средствами — AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических дыр, позволяющих обойти песочницу, найдено не было.
Google выплатила вознаграждения исследователям безопасности: в общей сложности 10 тысяч долларов за четыре отчёта. Наибольшие премии составили 5000, 4000 и 1000 долларов, сумма четвёртой пока не раскрыта.