Google во вторник выпустила обновление для своего браузера Chrome с множеством новых функций, которые сильно влияют на безопасность.
Chrome 79.0.3945.79 содержит 51 исправление безопасности. Он предлагает улучшенную защиту паролем по сравнению с более ранними версиями, защиту от фишинга в реальном времени и средства прогнозирования фишинга.
Пятьдесят одно исправление безопасности имеет высокий уровень по сравнению с предыдущими выпусками Chrome, и это показывает, что Google распознает проблемы и предпринял шаги по их устранению, отметил Джеймс МакКуигган, адвокат осведомленности о безопасности в KnowBe4.
Пользователи с несколькими профилями Chrome увидят новое визуальное представление используемого профиля, чтобы они могли сохранить свои пароли в правильном профиле. Это не меняет их текущие настройки синхронизации.
Меню профиля облегчает переключение и четко показывает, вошел ли пользователь в Chrome.
В Chrome 79 также имеется «зависание» вкладок, которое уменьшает расход ресурсов процессора и оперативной памяти, а также экономит заряд батареи и может кэшировать истории «Назад» и «Вперед» для ускорения загрузки сайтов.
Новые функции для разработчиков включают маскируемые значки, Web XR, испытания нового источника и Wake Lock.
Chrome 79 будет выпущен для Windows, Mac и Linux в течение следующих нескольких недель.
Содержание статьи
Безопасность — это ключевое слово
Чтобы обеспечить безопасность в сети, @googlechrome теперь будет предупреждать, что ваши имя пользователя и пароль были скомпрометированы при вводе их на веб-сайт. Мы также улучшаем защиту от фишинга для настольных компьютеров в режиме реального времени, чтобы предупредить вас о посещении вредоносных сайтов. https://t.co/XuStf4sKQP
— Сундар Пичаи (@sundarpichai) 10 декабря 2019 г.
Когда пользователи вводят свои учетные данные на веб-сайте, Chrome 79 выдает предупреждение если они были украдены. Это эволюция проверки пароля в учетных записях пользователей Google, которой можно управлять в настройках Chrome.
Браузер предлагает защиту от фишинга в реальном времени на рабочих столах пользователей, а также расширенную защиту от фишинга, которая предупреждает пользователей Chrome, когда они вводят пароль своей учетной записи Google в подозрительный сайт фишинга, даже если они не включили синхронизацию.
Предсказательная защита от фишинга работает для всех паролей, хранящихся в диспетчере паролей Chrome.
«Некоторые коммерческие платные программы управления паролями имеют встроенные функции мониторинга паролей», — сказал Маккуигган в интервью TechNewsWorld. «Google предоставляет это бесплатно своим конечным пользователям, если они хотят хранить свои пароли вместе с ними».
Такие функции, как прогнозирующий фишинг, "являются сегодня столовыми ставками", отметила Лиз Миллер, главный аналитик в Constellation Research.
«Google широко использовался в течение более двух лет, почти со времени последнего обновления NIST 800-171 в 2017 году, для множества случаев несоответствия — от ограничений попыток входа в систему до повторного использования пароля или стандартов сложности», — сказал Миллер TechNewsWorld. , «Значит, они играют в догонялки».
Судя по ответам, в этом объявлении есть много недоразумений. Когда на ЛЮБОМ сайте происходит взлом электронной почты / пароля, утечка учетных данных добавляется в существующие публичные базы данных взлома. То, что Google делает здесь, является чистым выигрышем для пользователей (и, кстати, рекомендуется NIST). 1/2 https://t.co/kHOFAFVVOb
— Кенн Уайт (@kennwhite) 11 декабря 2019 г.
Кроме того, теперь NIST требует проверки новых паролей на основе общих или известных списков, которые могут включают пароли от взломанных сайтов, таких как Эшли Мэдисон, сайтов социальных сетей, таких как LinkedIn, и дампов.
Предоставление потребителям возможности выяснить, была ли их личная информация скомпрометирована утечкой данных, — это возможность, которую Mozilla уже давно предлагает со своим монитором Firefox.
Реальная проблема
Более серьезная проблема заключается в том, что в то время как Google играл в догонялки, «области, такие как квант, развивались и развивались», — отметил Миллер из Constellation.
Являются ли стандарты, которые когда-то считались достаточно перспективными, «когда реальность квантового взлома шифрования ощущается совсем близко?» она задавалась вопросом.
«Речь идет не только о паролях, но и о защите данных», — сказал Стив Уилсон, главный аналитик Constellation Research.
«Если бы браузеры имели доступ к физическим чипам в вычислительной платформе и встроенным ключам, то мы могли бы начать цифровую подпись всех рутинных транзакций электронной коммерции, чтобы предотвратить мошенничество с отсутствующими карточками и кражу личных данных», — сказал он TechNewsWorld. «Сосредоточение внимания на паролях само по себе фактически ограничивает видимость более серьезной проблемы подлинности».
Далее, проверка паролей в операционной системе не обязательно является хорошей идеей, отметил Уилсон.
«Некоторые сайты не нуждаются или не заслуживают хороших паролей», объяснил он. «На самом деле для меня загадка, почему так много глупых маленьких медиа-сайтов заставляют вас вообще использовать пароль. Если сайту действительно не нужно знать, кто вы, то почему бы не использовать фальшивое имя, фальшивую дату рождения?» и «пароль» в качестве пароля? »
Использование« игрушечных »бесплатных адресов электронной почты в качестве идентификаторов — это« хороший способ защитить вашу конфиденциальность », сказал Уилсон,« но если браузер вдруг начнет заставлять людей используйте серьезные пароли для каждой учетной записи, тогда это создает новый тип проблем. Это усугубляет усталость паролей и ставит под угрозу заботу, которую люди вкладывают в свои дорогостоящие учетные записи ».
Те Squishy Humans
«Технология может остановить множество попыток [phishing]но преступники развивают свои типы атак», — заметил Маккуигган из KnowBe4. «Технология — это только часть среды, защищающая от фишинга; человеческий брандмауэр — это другое».
Новые функции Chrome 79 будут эффективны только в том случае, если пользователь выбирает соблюдение и определение приоритетов безопасности, сказал Миллер из Constellation. .
«Сколько раз люди игнорируют просроченное предупреждение SSL и выбирают« дополнительные настройки »и в любом случае заходят на сайт? Мы можем делать любое количество обновлений, исправлений и улучшений, чтобы попытаться доставить всех рыб в воду безопасности». ," она сказала. «Вопрос в том, можем ли мы заставить их пить?» 
