Google Chrome 79 поставляется с двумя основными функциями защиты паролем и массивной ошибкой на Android
На прошлой неделе Google объявил о выпуске Chrome 79. С его помощью поставщик браузеров представил пару новых функций, которые должны помочь пользователям получить более безопасную работу в Интернете, и пиарщики надеялись, что новые дополнения будут хорошо приняты. Однако вместо этого, в течение последней недели или около того, большая часть обсуждений, связанных с Chrome 79, вращалась вокруг довольно серьезной ошибки, которая вызывала немало головных болей не только у Google, но и у многих пользователей Android и разработчиков приложений. Прежде чем мы перейдем к этому, давайте поговорим о новых функциях безопасности Chrome.
Table of Contents
Chrome знает, используете ли вы взломанный пароль
Надо сказать, что первая новая функция на самом деле не такая уж новая. Google интегрировал его в расширение Password Checkup Chrome, появившееся ранее в этом году.
Проверка пароля звучит как не что иное, как прославленный измеритель надежности пароля, но на самом деле это немного больше. Идея состоит в том, что он проверяет каждый из паролей, которые вы используете, на соответствие взломанным учетным данным. Если он найдет совпадение, он предупредит вас об этом и посоветует вам сменить скомпрометированный пароль.
Это вряд ли новаторская идея. Некоторое время Трой Хант уже пользовался подобным сервисом, и даже Национальный институт стандартов и технологий США (NIST) заявил, что внедрение подобных предупреждений - хорошая идея, поскольку взломанный пароль, возможно, даже более опасен, чем простой. угадать один. Скорее всего, из-за этого Google решил интегрировать проверку прямо в браузер. Пользователям, которые обновились до последней версии Chrome, больше не нужно использовать расширение Google.
Очевидно, что некоторые люди могут иметь проблемы с конфиденциальностью. В конце концов, Google обещает, что сообщит вам, был ли ваш пароль взломан. Как это будет происходить, если он не видит ваш пароль? Ответ - «шифрование».
Когда Chrome 79 был запущен, Google сказал, что всякий раз, когда его команда безопасности обнаруживает учетные данные для входа, просочившиеся из онлайн-службы, она использует сложный процесс для создания «хешированных и зашифрованных» копий паролей, которые затем хранятся на его серверах. Тот же процесс хеширует и шифрует ваш пароль при его вводе, и результат проверяется по базе данных Google. Благодаря этому Google не может видеть ваш пароль в виде открытого текста, но он может сказать вам, был ли он утек в прошлом.
Хром на самом деле не держит факел пионера в этой конкретной области. Несколько месяцев назад Mozilla интегрировала API Troy Hunt в Firefox. Однако при почти 4 миллиардах скомпрометированных записей набор данных, по которому проверяются пароли пользователей Chrome, значительно больше. И в любом случае, приятно видеть, что создатель самого популярного в мире браузера пытается позаботиться о сетевой безопасности людей. Кстати, вторая функция, представленная Google в Chrome 79, также может оказаться весьма полезной.
Chrome получает улучшенную защиту от фишинга
В течение многих лет Chrome полагался на API безопасного просмотра Google, чтобы помечать фишинговые и опасные веб-сайты. Проще говоря, браузер будет проверять каждый URL-адрес, который вы посещаете, по списку известных фишинговых страниц, и если он считает, что вас собираются обмануть мошенники, он отобразит большое красное предупреждение. Новые URL-адреса постоянно добавляются в список безопасного просмотра фишинговых страниц, и Chrome загружает обновленную версию каждые полчаса. Исторически это помогало людям идти в ногу с мошенниками, но, как оказалось, этого уже недостаточно. Разработчики Chrome заметили, что недавно фишеры стали чаще менять домены и URL-адреса, а это означает, что довольно часто 30-минутная задержка может быть фатальной.
Чтобы бороться с этим, новая версия Chrome теперь предлагает более продвинутую защиту от фишинга почти в реальном времени, что должно привести к колоссальному увеличению на 30% предупреждений и значительно меньшему количеству фишинговых учетных данных. Если вы включите новую функцию, Google потребуется просмотреть URL-адреса, которые вы посещаете, но в нем говорится, что беспокоиться не о чем, потому что все данные будут анонимными.
Все это было хорошей новостью, и справедливо сказать, что, по крайней мере, некоторые пользователи с нетерпением ожидали выхода Chrome 79. Тем не менее, пользователи Android-устройств были немного удивлены.
Новая версия Chrome сломала немало приложений для Android
Вскоре после объявления об обновлении пользователи Android начали жаловаться, что что-то не так. Внезапно они обнаружили, что некоторые приложения на их устройствах были сброшены. Они были автоматически отключены от своих учетных записей, и их личные настройки были перезаписаны. Естественно, что люди сначала связались с разработчиками приложений, которые были совершенно ошеломлены этой проблемой, потому что она не была вызвана какими-либо изменениями, которые они сделали.
В конце концов, виновник был найден - это был недавно обновленный браузер Google. Все затронутые приложения работали поверх Android WebView - упрощенной версии Chrome, которая упрощает перенос функциональности веб-приложения, которое обычно просматривается через браузер, в отдельное приложение Android. Эти приложения хранят информацию, такую как кэшированные файлы и файлы cookie сеанса, и Chrome 79 изменил расположение этих данных. В результате приложения больше не могли находить старые настройки и файлы пользователей, и они возвращались в режим по умолчанию. Для некоторых приложений функциональность серьезно пострадала, и, что неудивительно, негативные отзывы появились довольно быстро.
Ошибка вызвала немного путаницы. Некоторые люди даже думали, что данные были безвозвратно утеряны. К счастью, команда разработчиков Chrome знала, что это не так, и ранее сегодня они объявили, что люди должны ожидать исправления очень скоро. Chrome 79.0.3945.93 отменяет изменения, вызвавшие ошибку, и после того, как люди обновляют свой браузер, их приложения должны снова начать работать, как и ожидалось. Разработчикам уязвимых приложений не нужно ничего делать.
На первый взгляд, по крайней мере, исправление ошибки не казалось слишком сложным. Однако патч занял у Google некоторое время, и ущерб, нанесенный разработчикам приложений, в частности, не был незначительным. Настолько, что ему удалось затмить новые функции проверки паролей и защиты от фишинга в Chrome 79. Здесь мы надеемся, что подобные инциденты будут меньше и дальше между ними в будущем.