WebAuthn és új szenzor API-val jön a Chrome 67

Végre a Chrome-ba is megérkezett a jelszó nélküli beléptetés, a böngésző frissen kiadott, 67-es verziója már a WebAuthn támogatással érkezik, amelynek hála az online szolgáltatásokban a jelszavak biometrikus azonosítással avagy épp USB-kulccsal is helyettesíthetők.

A WebAuthn bevezetésével a cég fontos lemaradást hoz be, a Firefoxban már megtalálható megoldással ugyanis megállíthatók a Google szerint ma a legnagyobb online biztonsági problémát jelentő phishing támadások. Tavaly az összes online fiókfeltörés 81 százalékáért feleltek ellopott, vagy gyenge jelszavak - erre a problémára a legtöbb szolgáltatás válasza a kétfaktoros azonosítás, ez sem jelent ugyanakkor teljes védelmet a phishing módszerek ellen. A Web Authentication API néven is emlegetett WebAuthn a létező Credential Management API-t egészíti ki egy új azonosítótípussal, amellyel a jelszavakat - vagy épp a beléptetés második lépcsőjét - külső autentikációs eszközökre cseréli. Ez lehet valamilyen biometrikus azonosító, például ujjlenyomat, de akár USB, Bluetooth vagy NFC token is.

A Chrome 67 persze más újdonságokat is hoz, mint például a Generic Sensor API támogatása, amellyel a különböző eszközök szenzoradatai már a böngésző, illetve azon keresztül a webappok számára is egyszerűen hozzáférhetővé válnak, akárcsak a natív alkalmazások esetében. A Chrome 67 jelenleg a Google szerint a gyorsulásmérőket, giroszkópokat, orientációérzékelőket, és mozgásérzékelőket támogatja. Ez egyebek mellett a webes VR és AR alkalmazások fejlesztőinek kedvezhet.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A frissítéssel nem csak a Chrome böngésző, de a keresőóriástól megismert Chrome OS is kap új funkciókat: a Chrome OS 67-en már elérhetők az asztali progresszív webalkalmazások, amelyek a telepítést követően saját ablakban nyílnak meg és épp úgy viselkednek mint a hagyományos appok. A Google ígérete szerint az önálló ablakban futtatható, asztali PWA-k Chrome alapokon a későbbiekben Windows és macOS rendszerekre is megérkeznek majd. Előbbi platformtól persze már most sem idegen ez a megoldás, a Microsoft már saját alkalmazásboltjában is szép számmal tett közzé PWA-kat, ezzel még saját UWP platformját is háttérbe szorítva.

A biztonsági javítások ebből a körből sem maradtak ki, a Google összesen 34 sérülékenységet foltozott be, melyekből kilenc súlyos, tizenkét közepesen súlyos és három alacsony kockázati besorolást kapott. A hibák zömét, mint egy 24-et külső biztonsági szakértők jeleztek a vállalat felé. Említést érdemel továbbá a HPKP (HTTP Public Key Pinning) szabvány kivezetése is. A megoldás lényege az volt, hogy az egyes weboldalaknak lehetőséget adott egy kijelölt időtartamra megjegyezni, hogy egy-egy webszerverhez melyik nyilvános titkosítási kulcsok tartoznak, így más kulcsokat pedig figyelmen kívül hagyhattak. A módszer a hamis tanúsítványokat használó beékelődéses támadásokat volt hivatott kiszűrni, végül azonban nem terjedt el elég széles körben, és a Google is a támogatás leépítése mellett döntött, kezdve a legfrissebb Chrome-mal. A böngésző legújabb verziója már letölthető, a változások részleteiről a Google blogján is beszámolt.