Chrome теперь скрывает IP-адреса через прокси Google. Добро пожаловать в эпоху корпоративных посредников

Компания Google представила новую стабильную версию браузера Chrome 140, одновременно вышел и свободный Chromium, который служит его основой. В отличие от Chromium, Chrome включает фирменные логотипы, DRM-модули для воспроизведения защищённого контента, систему автоматического обновления, встроенную изоляцию Sandbox, ключи для доступа к Google API и отправку RLZ-параметров при поиске. Для пользователей, которым требуется больше времени на переход, сохраняется параллельная ветка Extended Stable с восьминедельным циклом обновлений. Следующий релиз — Chrome 141 — намечен на 30 сентября.

Главный акцент в Chrome 140 сделан на усилении приватности . В режиме инкогнито теперь скрываются сведения об IP-адресах в сторонних контекстах, например в загруженных через iframe страницах. Для этого используется список Masked Domain List: если домен внесён в него, запросы направляются не напрямую, а через прокси Google, и сайт видит только его адрес. Дополнительно внедрён механизм Probabilistic Reveal Token, позволяющий сайтам получать случайную усечённую выборку реальных IP-адресов пользователей, но без привязки к конкретным действиям. Это работает через зашифрованные токены, часть которых содержит IP, а часть — нет; расшифровка возможна лишь спустя время и только с ключами Google. Такие данные могут применяться в антифрод-системах и при анализе качества трафика.

Продолжена работа по снижению возможности скрытой идентификации. В инкогнито появился режим Script Blocking, выборочно блокирующий доступ к JavaScript API, которые могут использоваться для отпечатков браузера . В частности, речь идёт о различиях при рендеринге Canvas. Блокировка активируется для стороннего кода с доменов из чёрного списка MDL, замеченных в подобных практиках.

На уровне графической подсистемы включён режим OverrideDefaultOzonePlatformHintToAuto, позволяющий автоматически переключаться на Wayland-бэкенд при его поддержке, без жёсткой привязки к X11. Среди новых функций — возможность автоматической смены скомпрометированных паролей. Если при входе на сайт используется пароль, обнаруженный в базах утечек, Chrome предложит заменить его. При согласии браузер сгенерирует стойкий вариант, заполнит форму на сайте и сохранит новые данные в менеджере паролей.

Для ускорения работы реализована оптимизация Default Search Engine Prewarming. Как только пользователь ставит курсор в адресную строку, браузер начинает подготавливать макет страницы результатов поиска и загружать необходимые ресурсы, что сокращает время отклика при вводе запроса. Эта функция пока включена не для всех. Автозаполнение форм расширено и теперь работает через AI-модель, анализирующую контекст на основе прошлых действий. Настройка «Autofill with AI» получила новое название «Enhanced autofill», увеличено количество стран и языков, а также поддержка новых типов данных.

Пользователи из США уже получили встроенного чат-бота Gemini, способного объяснять содержание страниц и отвечать на связанные вопросы. Доступно как текстовое, так и голосовое взаимодействие, при этом переключаться между вкладками не требуется. В дальнейшем планируется расширение функции на другие регионы. Для всех пользователей появилась возможность подключаться к совместным группам вкладок. Создавать такие группы пока можно только в тестовых каналах Beta, Dev и Canary, а присоединяться к ним разрешено и на стабильных сборках. Изменения в содержимом группы мгновенно синхронизируются на устройствах всех участников.

Изменилось оформление предупреждений при открытии сайтов без HTTPS, если в настройках задано требование только безопасных соединений. Теперь отображается диалоговое окно под адресной строкой, блокирующее загрузку незашифрованных данных до выбора действия пользователем. Для запросов пререндеринга и предварительной загрузки введён новый HTTP-заголовок Sec-Purpose, заменяющий ранее применяемый Purpose: prefetch. Последний помечен как устаревший, но пока сохраняется для совместимости.

В API ToggleEvent появилось свойство source, указывающее элемент, вызвавший событие. Например, при клике на кнопку с атрибутом popovertarget при открытии всплывающего окна событие ToggleEvent.source позволит определить, какой именно элемент button был нажат.

В CSS добавлены функции counter() и counters() в свойстве content, новое свойство caret-animation, расширенный набор параметров для анимаций и поддержка font-variation-settings в @font-face. Реализована типизированная арифметика в calc(), позволяющая использовать такие выражения, как calc(10em / 1px), где единицы измерения обрабатываются корректно. Для работы с массивами байтов в JavaScript введены методы Uint8Array.prototype.toBase64, Uint8Array.prototype.toHex, а также обратные функции Uint8Array.fromBase64 и Uint8Array.fromHex, обеспечивающие преобразование между байтовыми массивами и строковыми представлениями.

В DevTools появились средства с AI-поддержкой для анализа проблем производительности, а также эмуляция поведения заголовка Save-Data. В Chrome 140 устранены 6 уязвимостей, большинство найдено инструментами автоматизированного тестирования — AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических дыр, позволяющих выйти за пределы песочницы, не обнаружено. В рамках программы вознаграждений Google выплатила 4 премии на общую сумму 10 000 долларов. Три из них составили 5000, 4000 и 1000 долларов, а размер четвёртой пока не определён.