Релиз Chrome 80: улучшения HTTPS, куки и новый Contact Picker API

4 февраля компания Google выпустила новую версию веб-браузера Chrome 80 для Windows, Mac, Linux, Android и iOS. Данный релиз повышает безопасность самого популярного в мире браузера за счет борьбы с межсайтовыми файлами куки. Получить новую версию можно с помощью встроенного средства обновления Chrome или загрузив установочный файл с нашего сайта.

Скачать Google Chrome 80

Аудитория Chrome превышает 1 миллиард пользователей. Это основная платформа, на которую должны обращать внимание разработчики. Изменения в Chrome, а также удаленные функции, часто влияют на вектор развития веба в целом. Например, в Chrome 80 разработчики отключили поддержку протокола FTP — пока только для обычных потребителей, сохранив функциональность для корпоративных пользователей.

Автообновление смешанного контента до HTTPS

Уже несколько последних лет Google активно уговаривает разработчиков отказаться от HTTP в пользу более безопасного HTTPS. Уже сейчас пользователи Chrome тратят более 90% времени на просмотр HTTPS-контента, но компания не собирается на этом останавливаться. В октябре прошлого года Google раскрыл свои планы на счет смешанного контента.

HTTPS является защищенной версией протокола HTTP и используется в Интернете для подключения пользователей к веб-сайтам. Защищенные соединения рассматриваются как необходимая мера для снижения риска инъекции вредоносного контента с целью прослушивания соединения, проведения MITM-атак или модификации данных. При использовании HTTPS данные хранятся в безопасности от третьих лиц, и пользователи могут быть уверены, что они взаимодействуют с целевым веб-сайтом.

В декабре прошлого года Chrome 79 получил новый параметр Небезопасный контент для разблокировки смешанных сценариев, фреймов и других типов контента, которые Chrome по умолчанию блокирует. Управлять данным параметром можно нажав на значок замка в адресной строке и выбрав опцию Настройки сайтов.

Chrome 80 получил возможность автоматического обновления смешанных аудио- и видеоресурсов в HTTPS-сайтах за счет преобразования URL-адресов в HTTPS без обращения к HTTP, если защищенный контент недоступен. Если ресурсы не загружаются через HTTPS, Chrome будет их блокировать по умолчанию. Смешанные изображения пока по-прежнему смогут загружаться, но они заставят Chrome пометить страницу как «Незащищенная» в омнибоксе.

В Chrome 81, выход которого запланирован на март, смешанные изображения будут автоматически обновляться до HTTPS. Если они не смогут загрузиться по HTTPS, то Chrome их заблокирует.

Основная задача Google — убедиться, что HTTPS-страницы в Chrome загружают только защищенные по HTTPS дочерние ресурсы. Если вы являетесь разработчиком и хотите оптимизировать отображение смешанного контента, то ознакомьтесь с политикой безопасности контента, сервисом Lighthouse и руководством по HTTPS.

Поддержка SameSite для cookie-файлов

В мае 2016 года в Chrome 51 был представлен атрибут SameSite, который позволял сайтам объявлять, должны ли cookie-файлы быть ограничены контекстом одного и того же сайта (first-party cookie). Тогда в компании надеялись, что данная мера позволит бороться с подделкой межсайтовых запросов (атаки CSRF).

В Chrome 80 введена новая система классификации cookie-файлов. Если значение SameSite не задано, то по умолчанию файлы куки будут обрабатываться с атрибутом SameSite=Lax. Сторонние куки будут доступны только, если задан атрибут SameSite=None; Secure. Данный атрибут указывает на то, что доступ к сторонним куки осуществляется через защищенные подключения. В Chrome 80 исключены следующие меры обратной совместимости:

• Отключено использование значения None для SameSite по умолчанию. Теперь по умолчанию применяется значение Lax, которое означает, что cookie-файлы доступны только сайтов из навигации верхнего уровня.
• Значение None больше нельзя применять в незащищенных контекстах: Chrome теперь требует, чтобы при использовании значения None обязательно указывался атрибут Secure. Данный атрибут требует, чтобы закрепляемые куки передавались только по защищенному протоколу, такому как HTTPS.

Стоит отметить, что внедрение новой системы классификации cookie-файлов в Chrome 80 запустится через две недели и только для «небольшой части пользователей, которая будет увеличиваться со временем». Межсайтовые файлы cookie, в которых отсутствуют необходимые настройки, будут эффективно заблокированы. Точная информация о внедрении функциональности будет доступна на специальной странице, посвященной SameSite.

Менее заметные уведомления

Chrome 80 пытается сделать нежелательные запросы разрешений менее раздражающими. Новая версия Chrome теперь будет иногда показывать менее заметные запросы показа уведомлений. Пользователи могут включить функцию «Не прерывать мою работу при запросе разрешения на показ уведомлений» в настройках браузера (Настройки > Дополнительные > Конфиденциальность и безопасность > Настройки сайта > Уведомления).

Также она будет автоматически активирована в двух случаях: для пользователей, которые обычно блокируют запросы показа уведомлений и на сайтах с очень низкой конверсией подписки. Позднее в 2020 году Google планирует представить дополнительные меры против «злоупотреблений сайтов, использующих веб-уведомления для показа рекламы, распространения вредоносных программ и для введения в заблуждение пользователей».

Новая функция «тихих» уведомлений доступна как для компьютеров, так и для мобильных устройств. Интересно, что при первой презентации новой функции будет показываться всплывающее диалоговое окно.

Google рекомендует разработчикам придерживаться рекомендованных правил для запроса разрешений у пользователей. В частности, компания сообщает:

Сайты, которые просят пользователей подписаться на веб-уведомления, обычно имеют высокие показатели отказов. Мы рекомендуем выждать некоторое время, чтобы пользователь четко понимал контекст ресурса и осознавал преимущества при получении оповещений перед запросом разрешения. Некоторые веб-сайты отображают предварительный запрос в контентной области перед показом основного запроса разрешения. Данный подход также не приветствуется, если он прерывает ознакомление с сайтом: сайты, которые запрашивают разрешение в контекстуально важные моменты, имеют более низкий показатель отказов и более высокий коэффициент конверсии.

Компания Google также опубликовала документацию по Permission UX.

Contacts Picker API и Content Indexing API

В сентябре 2019 года с релизом Chrome 77 компания Google представила программу Origin Trials. Origin Trials позволяет тестировать новые функции и предоставлять обратную связь по удобству использования, практичности и эффективности для сообщества веб-стандартов. Первой новой функцией стал Contact Picker API, который позволял пользователям обращаться к своему списку контактов и делиться отдельными данными выбранных записей с веб-сайтами. Chrome 80 поставляется с нативной поддержкой Contact Picker API. Тем не менее, в новой версии Chrome представлена новая функция Origin Trial, которая расширяет функциональность API. На данный момент с помощью метода ContactsManager.getProperties() можно обратиться только к названию контакта, адресу электронной почты и телефонному номеру. В новой экспериментальной функции добавлена поддержка почтового адреса (‘address’) и картинки (‘icon’).

Еще одной функцией Origin Trial стал Content Indexing API, который предоставляет метаданные о контенте, который был добавлен в кэш веб-приложения. API сохраняет URL-адреса HTML-документов, а также позволяет добавлять, выводить или удалять ресурсы. В то время как прогрессивные веб-приложения (PWAs) могут сохранять в кэше изображения, видео, статьи и другие ресурсы для офлайн-доступа с помощью Cache Storage API или IndexedDB, данный контент недоступен для просмотра. Теперь контент можно будет использовать даже при отсутствии активного подключения к Интернету.

Android и iOS

Chrome 80 для Android доступен для загрузки в Google Play. Список изменений:

• Менее заметные уведомления: пользователи будут видеть меньше запросов показа уведомлений с новой опцией.
• SameSite: по умолчанию cookie-файлы обрабатываются в контексте текущего ресурса.
• Защищенный контент: незащищенный аудио- и видеоконтент будет автоматически преобразовываться для использования защищенного протокола.

Chrome 80 для iOS доступен в App Store. В списке изменений всего один пункт:

• Когда вы вводите поисковый запрос в адресную строку, первые подсказки будут обрабатываться локально на устройстве, даже при использовании режима инкогнито.

Исправления безопасности

Chrome 80 получил 56 исправлений безопасности. Большинство из них были обнаружены независимыми исследователями. В рамках программы поощрения лица, обнаружившие проблемы, получили в общей сложности 48000 долларов. Пользователям Chrome рекомендуется обновиться как можно скорее, чтобы минимизировать риск эксплуатации обнаруженных уязвимостей.

Google выпускает новую версию Chrome каждые шесть недель. Релиз Chrome 81 запланирован на середину марта.