Курс на безопасность в Chrome 150

Дата6 июл. 2026 г.
Читать4 мин
Курс на безопасность в Chrome 150
Современный браузер перестал быть просто инструментом для просмотра страниц, превратившись в сложную операционную среду с собственными протоколами безопасности. Свежий релиз Google Chrome 150 демонстрирует стратегический сдвиг компании в сторону тотального контроля над расширениями и внедрения постквантовых стандартов защиты. Это обновление не просто исправляет сотни уязвимостей, но и закладывает фундамент для новой эпохи взаимодействия пользователя с вебом. В центре внимания оказываются борьба с блокировщиками рекламы и подготовка к грядущему ускорению циклов разработки.

Выпуск 150-й версии Chrome стал масштабным ответом на актуальные угрозы кибербезопасности: разработчики устранили 433 уязвимости, из которых более сорока классифицированы как опасные или критические. Однако за техническими правками скрывается более глубокая трансформация экосистемы. Одним из самых резонансных изменений стал окончательный отказ от поддержки флага kExtensionManifestV2Disabled. Это фактически закрывает лазейку для установки расширений старого стандарта Manifest V2, которые позволяли полноценно функционировать продвинутым блокировщикам рекламы, таким как uBlock Origin. Google последовательно переводит веб-индустрию на Manifest V3, что дает браузеру больше контроля над тем, как сторонние дополнения фильтруют контент.

Параллельно с этим происходит пересмотр механизмов синхронизации и приватности. Интерфейс привязки к учетной записи Google стал более лаконичным, объединяя вход в систему и синхронизацию данных в единый процесс. Примечательно, что данные для автозаполнения теперь хранятся исключительно локально и больше не перемещаются между устройствами, что подчеркивает стремление к изоляции чувствительной пользовательской информации.

В области сетевой безопасности внедряется концепция «HTTPS-First». Для пользователей с активированным режимом расширенной защиты браузер теперь автоматически перенаправляет HTTP-запросы на защищенный протокол HTTPS. Чтобы избежать полной потери доступности старых ресурсов, реализован механизм отката: если сайт не поддерживает шифрование или имеет проблемы с сертификатами, Chrome вернется к обычному HTTP, предварительно предупредив пользователя. В ближайших обновлениях этот режим станет стандартом для всех публичных сайтов, за исключением внутренних корпоративных сетей.

Техническая глубина обновления затрагивает и низкоуровневые механизмы исполнения кода. Обработчики Web Worker, создаваемые через URI-схемы «data:», теперь полностью изолированы от родительской страницы. Это критически важный шаг для предотвращения XSS-атак, при которых злоумышленники могли использовать динамически созданных воркеров для кражи Cookie или доступа к локальным хранилищам домена.

Кроме того, Google внедрила защиту от изощренных атак по сторонним каналам, использующих лимиты TCP-соединений прокси-серверов. Ранее атакующие могли манипулировать количеством открытых сокетов, чтобы определить, посещал ли пользователь определенный сайт (анализируя скорость отдачи ресурса из кэша). Теперь лимит соединений варьируется случайным образом, что делает подобные методы анализа бесполезными. Аналогичная логика защиты применена и к SVG-фильтрам: теперь запрещено их использование в изолированных или кросс-доменных iframe-блоках, что блокирует атаки класса Clickjacking и специфические GPU-эксплойты.

Взгляд в будущее реализован через поддержку алгоритма ML-DSA (CRYSTALS-Dilithium) в протоколе TLS. Это внедрение постквантовой криптографии гарантирует, что цифровые подписи останутся стойкими даже перед лицом будущих квантовых компьютеров, способных мгновенно взламывать классические методы шифрования. Для мобильных пользователей на Android добавлена поддержка стандарта FIDO Alliance Credential Exchange, позволяющая безопасно переносить пароли и биометрические данные между разными менеджерами паролей с использованием сквозного шифрования.

Разработчики также получили новые инструменты для работы с AI-агентами через протокол WebMCP, а возможности редактирования CSS расширились за счет поддержки правил @container и @function непосредственно в панели стилей. Гибкость PWA-приложений увеличилась благодаря возможности бесшовного переноса на новый поддомен без необходимости ручной переустановки со стороны пользователя.

Завершает общую картину стратегическое решение Google об ускорении темпов развития. Начиная с сентября 2026 года, цикл выпуска обновлений сократится с четырех до двух недель. Этот переход на более динамичный график позволит быстрее внедрять исправления и новые функции, превращая Chrome в максимально адаптивный инструмент, способный мгновенно реагировать на изменения современного веба.

Тала знает • Использование материалов сайта разрешено исключительно при условии размещения активной, прямой и открытой для поисковых систем гиперссылки на первоисточник. Ссылка должна быть кликабельной и располагаться непосредственно в теле публикации — до или после заимствованного текста. Любое копирование, воспроизведение или цитирование контента без соблюдения этого условия рассматривается как нарушение авторских прав.