Компания Google приняла решение прекратить автоматическое воспроизведение видео со звуком в браузере Chrome. Если ранее автоматическое воспроизведение блокировалось для фоновых вкладок, то начиная с Chrome 64 будут блокироваться и видеовставки на текущей вкладке, при условии что в них по умолчанию не отключен звук. Подобное изменение принято как реакция на злоупотребление некоторых сайтов в отношении автоматически показываемой видеорекламы со звуком, которая создаёт неудобства и отвлекает пользователя в процессе просмотра страниц. Изменение также унифицирует поведение мобильной и настольной версий Chrome. Кроме того, в состав ноябрьского выпуска Chrome 63 будет включена новая опция, которая позволит полностью блокировать звук для конкретных сайтов. Выбор пользователя будет запоминаться и сохраняться между сеансами, позволяя выбирать какие сайты могут выводить звук, а какие это запрещено. Начиная с выпуска Chrome 64, который ожидается в январе 2018 года, автоматическое воспроизведение мультимедийного кон
Разработчики проекта Chromium сообщили о решении помечать обращение к ресурсам по протоколу FTP как небезопасное соединение. Изменение будет доведено до пользователей в релизе Chrome 63, намеченном на декабрь. По статистике Google число обращений по FTP оценивается на уровне 0.0026% от общего числа начальных запросов. При этом протокол FTP рассматривается как уступающий HTTP по уровню защиты, так как у HTTP есть возможность применения HSTS (HTTP Strict Transport Security) для автоматизации проброса на HTTPS. Администраторам FTP ресурсов рекомендуется последовать примеру kernel.org и перевести серверы загрузки на применение HTTPS.
Компания Google представила релиз web-браузера Chrome 61. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 61: Поддержка модулей JavaScript, предоставляющих средства для определения зависимостей и загрузки только необходимых для работы компонентов. Для определения модулей используется тег "script" с флагом "type=module". Предоставляемая браузером поддержка модулей позволяет без привлечения дополнительных сборочных этапов организовать загрузку зависимостей, параллельно от основного контента, использовать расширенные методы кэширования, отсеивать дубликаты, обеспечивать корректный порядок выполнения скриптов; Добавлен API Web Share
В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё за шестью дополнениями к Chrome - Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме, злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который
Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей. По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. В настоящее время злоумышленники уже опубликовали новую версию Web Developer 0.4.9, в которую встроили блок для подстановки своей рекламы на просматриваемые пользователем сайты. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Версия с вредоносным кодом распространялась в течение нескольких часов, после чего инженеры Google отреагировали на сообщения о проблеме и вернули
В очередном выпуске Chrome Canary, нестабильной сборке, которая послужит основой для формирования релиза Chrome 62, появился встроенный блокировщик рекламы. Блокировщик пока доступен только для платформы Android. Появление блокировщика в стабильных выпусках запланировано на начало 2018 года. Встроенный блокировщик рассматривается как разумная альтернатива агрессивным блокировщикам рекламы, которые блокируют не только навязчивые рекламные блоки, но и добросовестные рекламные сети, что наносит ущерб как рекламной индустрии, так и владельцам сайтов. Встроенный блокировщик нацелен на борьбу с рекламными блоками, мешающими восприятию содержимого и не соответствующими критериям, выработанным Коалицией по улучшению рекламы. Среди недопустимых блоков выделяются: Перекрывающие контент всплывающие окна; Видеореклама, автоматически воспроизводимая со звуком; Реклама со счётчиком секунд до закрытия, отображаемая до загрузки контента; Очень большие закреплённые блоки (970x250 или 580x400), которые сохраняют
Разработчики браузерного дополнения Copyfish предупредили о потере контроля за учётной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль за дополнением и выпустили новую версию, в которую встроили вредоносный код, осуществляющий подстановку навязчивых рекламных блоков и всплывающих окон на сайты. Copyfish насчитывает около 40 тысяч установок и представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR), использующей облачный сервис ocr.space на базе OCR-библиотек Microsoft. Ранее поставщики Adware практиковали покупку дополнений у авторов, которым надоело заниматься своим проектом. Но на примере Copyfish видно, что теперь они перешли к захвату дополнений через проведение фишинг-атак. В частности, разработчики Copyfish получили поддельное письмо от имени службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае не исправления которых
Компания Google приняла решение прекратить доверие к сертификатам удостоверяющего центра Symantec в браузерах Chrome и Chromium в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок. В настоящее время Mozilla также рассматривает вопрос утраты доверия к Symantec, но решение ещё не принято. Напомним, что Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров. Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и дань пользователям время обновить свои сертификаты разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты. Первый этап прекращения доверия запланирован на выпуск
Компания Google представила релиз web-браузера Chrome 60. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 60: Реализована возможность использования формата кодирования видео VP9 в медиаконтейнерах MP4 (ISO BMFF). Поддержка MP4 потребовала реализации нового строкового формата для определения параметров кодека VP9, который теперь доступен и в различных мультимедийных Web API; Добавлен Paint Timing API, позволяющий отследить время различных стадий отрисовки страницы. При помощи данного API можно выявить узкие места загрузки страницы и проблемные моменты, например, ситуации когда посетителю уже видна ссылка или форма ввода, но из-за
Компания Google предупредила, что начиная с выпуска Chrome 61, который ожидается в середине сентября, будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году). В Chrome 57 частично уже было прекращено доверие к старым сертификатом, для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь белый список будет убран и блокировка будет повсеместной. Что касается Mozilla, то начиная с Firefox 51 введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена. Напомним, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а