Хакер #305. Многошаговые SQL-инъекции
Инженеры Google представили Chrome 87, новая версия браузера уже доступна для пользователей Windows, Mac, Linux, Chrome OS, Android и iOS.
Разработчики утверждают, что Chrome стал производительнее и «легче». Так, за счет ограничения JavaScript-таймеров и ряда других изменений использование ЦП снизилось в 5 раз, а время автономной работы увеличилось на 1,25 часа. Google заявляет, что теперь Chrome «запускается на 25% быстрее и на 7% быстрее загружает страницы, при этом используя меньше памяти».
Также в новой версии была устранена уязвимость перед атакой NAT Slipstream, о которой в конце октября текущего года рассказал известный ИБ-исследователь Сэми Камкар (Samy Kamkar). Описанный специалистом метод позволяет обходить брандмауэры и подключаться к внутренним сетям, по сути, превращая Chrome в прокси для злоумышленников. Для реализации такой атаки понадобится лишь обманом заманить пользователя на вредоносный сайт.
Нужно сказать, что Chrome 87 стал первым браузером, защищенным NAT Slipstream. Защита реализована посредством блокировки портов 5060 и 5061, которые используются для обхода брандмауэров и network address translation (NAT). Разработчики Safari и Firefox пока лишь работают над созданием исправлений.
Еще одним важным изменением в Chrome 87 стало прекращение поддержки FTP. Напомню, что разработчики Google говорят об отказе от FTP с 2014 года, так как протокол используется очень немногими пользователями браузера (0.1-0.2%). В 2018 году компания впервые объявила о планах отказаться от FTP официально, а прошлым летом инженеры Google уже начали претворять эти планы в жизнь.
Планировалось, что поддержка FTP будет отключена по умолчанию с релизом Chrome 81, а после выхода версии 82 из кода окончательно удалят все следы протокола. Отказ от FTP хотели провести постепенно. К примеру, какое-то время браузер будет загружать списков каталогов FTP, но не будет отображать сами файлы (вместо этого будет загружать их).
Однако планам Google помешала пандемия коронавируса, и весной 2020 года отказ от FTP в стабильном релизе был отложен, а поддержку FTP даже временно включили обратно.
Так как тогда прекращение поддержки FTP отложили на осень, в прошлом месяце, с релизом Chrome 86, FTP-ссылки перестали поддерживаться для 1% пользовательской базы Chrome. Теперь же, с выходом Chrome 87, разработчики отключили поддержку FTP для половины пользовательской базы Chrome.
Полное отключение этой функциональности запланировано на следующий год (скорое всего, это произойдет в январе 2021 года, когда выйдет Chrome 88). Пока же пользователи, которым по-прежнему нужна поддержка FTP, могут включить ее с помощью chrome://flags/#enable-ftp.
Стоит сказать, что в начале этого года разработчики Mozilla уже отказались от поддержки протокола FTP в Firefox , и запланированные изменения претворили в жизнь уже в июне, с релизом Firefox 77.