ต่อจากข่าว Chrome ยกเลิกบังคับใช้คุกกี้ SameSite ชั่วคราว ป้องกันเว็บพังในช่วง COVID-19 เมื่อเดือนเมษายน

ล่าสุดกูเกิลประกาศแล้วว่า Chrome จะกลับมาบังคับ SameSite Cookie อีกครั้งในวันที่ 14 กรกฎาคม ซึ่งเป็นวันออก Chrome 84 รุ่นเสถียร แต่นโยบายจะบังคับใช้กับ Chrome 80 ขึ้นไปด้วย

โครงการ Google Chrome ออกรายงานวิเคราะห์ช่องโหว่ความร้ายแรงสูงถึงความร้ายแรงวิกฤติจำนวน 912 รายการ พบว่าในจำนวนนี้เป็นช่องโหว่หน่วยความจำถึง 70% แบ่งเป็นช่องโหว่ใช้หน่วยความจำหลังคืนค่าให้ระบบ (use-after-free) ถึง 36.1% และช่องโหว่หน่วยความจำอื่นๆ อีก 32.9% ทำให้ทีมงานเตรียมวางโครงการใหญ่เพื่อขจัดปัญหาในระยะยาว

Chrome ที่มีการจดจำบัตรเครดิตผู้ใช้งานเอาไว้ให้ เพื่อความง่ายเวลาต้องกรอกข้อมูลบัตรเครดิต จะใช้การยืนยันตัวตนความเป็นเจ้าของบัตรเครดิตด้วยการให้กรอกเลข CVC 3 หลักข้างหลังบัตร ล่าสุด Chrome รองรับการใช้ Windows Hello เพื่อยืนยันตัวตนแทนการกรอก CVC แล้ว

ฟีเจอร์นี้อาจจะไม่ใช่ฟีเจอร์ใหม่ เพราะมีคนโพสต์ในฟอรัม Google Support ตั้งแต่เดือนมีนาคม ขณะที่ผมลองเช็ค Chrome ของตัวเองก็พบว่ามีฟีเจอร์นี้แล้ว โดยสามารถเข้าไปเปิดได้ที่ Settings > Payment Methods และเลือกเปิด Windows Hello

ที่มา - XDA

กูเกิลออก Chrome 83 โดยข้าม Chrome 82 ตามที่เคยประกาศไว้ (จาก 81 มาเป็น 83 เลย) เวอร์ชันนี้มีของใหม่เป็นจำนวนมาก โดยเน้นที่ฟีเจอร์ด้านความปลอดภัยและความเป็นส่วนตัว

หมายเหตุ: ฟีเจอร์หลายตัวจะทยอยเปิดให้ใช้งาน ผมลองอัพเดต Chrome เป็นเวอร์ชัน 83 แล้วก็พบว่ายังไม่ได้ฟีเจอร์เกือบทั้งหมดที่ประกาศไว้

Chrome ประกาศแผนการแบนโฆษณาที่กินทรัพยากรสูง (resource-heavy ads) ที่ส่งผลต่อประสบการณ์ใช้งานเบราว์เซอร์

เงื่อนไขของโฆษณาที่กินทรัพยากรสูง จะต้องเข้าข่ายข้อใดข้อหนึ่ง

• ใช้ปริมาณข้อมูลผ่านเครือข่ายเกิน 4MB
• ใช้เวลาซีพียูเกิน 15 วินาที ในช่วงเวลาทุก 30 วินาที
• ใช้เวลาซีพียูเกิน 60 วินาที

Chrome ยกตัวอย่างโฆษณากลุ่มนี้คือ โฆษณาที่แอบฝั่งสคริปต์ขุดคริปโต หรือโฆษณาที่เขียนโปรแกรมมาไม่ดี ไม่ได้ปรับแต่งทรัพยากรให้เหมาะสม เมื่อถึงขีดจำกัดที่ Chrome ตั้งไว้ โฆษณากลุ่มนี้จะถูกบล็อค กลายเป็นช่องว่างๆ ที่เขียนว่า "Ad removed" แทน

Chrome ประกาศฟีเจอร์ใหม่ชื่อว่า tab groups จัดกลุ่มแท็บโดยสามารถตั้งชื่อและกำหนดสีให้แต่ละกลุ่มได้ หลังจากทดสอบในวงจำกัดมาแล้วหลายเดือน

ระหว่างการทดสอบกูเกิลพบว่าผู้ใช้มักตั้งชื่อกลุ่มตามหัวข้อการใช้งาน, ความรีบด่วนของงาน (ทันที, สัปดาห์นี้, ทำทีหลัง), ตามสถานะงาน (เริ่มแล้ว, กำลังทำ, ติดตามผล) โดยกูเกิลแนะนำว่าสามารถใช้อีโมจิเป็นชื่อกลุ่มก็ได้เหมือนกัน

tab group รองรับ Chrome บนวินโดวส์, แมค, ลินุกซ์, และ Chrome OS โดยตอนนี้เปิดใช้งานในเ Chrome Beta แล้ว และจะเข้าเวอร์ชั่นเสถียรในสัปดาห์หน้า

ที่มา - Google Blog

Chromebook ถือเป็นฮาร์ดแวร์สายกูเกิลที่มีระยะเวลาซัพพอร์ตยาวนานกว่า Android มาก (บางรุ่นคือมีระยะเวลาซัพพอร์ตนานถึง 8 ปี) แต่ไม่ว่าระยะซัพพอร์ตนานแค่ไหน สุดท้ายแล้วก็มีจุดสิ้นสุดอยู่ดี

ดูเหมือนว่ากูเกิลไม่ได้พอใจแค่นั้น เพราะมีคนไปค้นเจอโค้ดของ "LaCrOS" โครงการที่แยกส่วนเว็บเบราว์เซอร์ Chrome ออกจากระบบปฏิบัติการ Chrome OS เพื่อให้สามารถอัพเดตเฉพาะตัว Chrome ต่อไปได้ แม้ว่า Chrome OS จะหมดระยะซัพพอร์ตแล้วก็ตาม

การอัพเดตเอนจิน Chrome ให้ทันสมัย รองรับฟีเจอร์เว็บใหม่ๆ เป็นประเด็นสำคัญไม่น้อย ก่อนหน้านี้ Chromecast ก็เคยมีประเด็นเรื่องการอัพเดตเวอร์ชัน Chrome เช่นกัน

กูเกิลกลับมาปล่อย Chrome 81 ตามที่ประกาศไว้ และเป็นเวอร์ชั่นก่อนข้ามเวอร์ชั่น 82 ไปเดือนพฤษภาคมนี้ โดยมีฟีเจอร์หลัก 3 รายการ ได้แก่

• WebXR Hit testing: รองรับการวางวัตถุเสมือนให้ติดกับวัตถุในโลกจริง
• App icon badging: แสดงจำนวนการแจ้งเตือนในแอปว่ามีข้อความรออ่านจำนวนเท่าใด
• Web NFC: มี API จริงให้ทดลองใช้งานครั้งแรก นักพัฒนาสามารถอ่านแท็ก NFC จากในเว็บได้ด้วยโค้ดเพียงไม่กี่บรรทัด

เวอร์ชั่นนี้ Pete LePage เจ้าหน้าที่ Developer Advocate ของ Chrome ยังต้องบรรยายสาธิตฟีเจอร์ใหม่ๆ จากที่บ้านของเขาในนิวยอร์กอีกด้วย

ทีมพัฒนา Chrome เสนอการทดสอบ UI แบบใหม่สำหรับส่วนเสริมของเบราว์เซอร์ (extension) โดยระบุเหตุผลว่าเป็นการแสดงให้ผู้ใช้เห็นชัดเจนขึ้นว่าส่วนเสริมใดเข้าถึงข้อมูลอะไรบ้าง อย่างไรก็ดีหน้าจอที่เสนอมาระบุถึงกระบวนการติดตั้งส่วนเสริมว่าไอคอนที่มุมขวาบนนั้นจะถูกซ่อนทันทีหลังจากติดตั้ง และผู้ใช้ต้องกด pin กลับมาเองอีกครั้งเพื่อแสดงไอคอน

นักพัฒนาที่มาตอบโพสข้อเสนอนี้ไม่พอใจนัก โดยหลายความเห็นระบุว่ากูเกิลผูกเรื่องการปกป้องความเป็นส่วนตัวผู้ใช้เข้ากับการแสดงไอคอนที่จะทำให้ส่วนเสริมถูกเรียกใช้งานยากขึ้นทั้งๆ ที่ผู้ใช้เป็นติดตั้งเองแต่แรก

โครงการ Chromium ประกาศปรับดีไซน์ของ "ฟอร์ม" บนหน้าเว็บ (ปุ่ม ตัวเลือก แถบเลื่อน ฯลฯ) ที่เดิมสไตล์ต่างกันคนละทิศทาง ให้ดูเป็นไปในแนวทางเดียวกันมากขึ้น

โครงการนี้เป็นความร่วมมือระหว่างทีม Google Chrome และ Microsoft Edge มาช่วยกันออกแบบ โดยตั้งใจให้ดีไซน์ใหม่เป็นสากลมากขึ้น ใช้ได้กับทุกระบบปฏิบัติการ มีความแบนราบ (flat) ตามสมัยนิยม ลดการไล่สี (gradient) จากโลกยุคก่อนลงมา

Chrome ออกเวอร์ชัน 80 เมื่อเดือนกุมภาพันธ์ที่ผ่านมา โดยจุดสำคัญอย่างหนึ่งคือเตรียมพร้อมบังคับใช้ค่า SameSite สำหรับคุกกี้ และจะทยอยเปิดใช้ฟีเจอร์นี้ให้ผู้ใช้ทีละกลุ่ม

ล่าสุด Chrome ประกาศหยุดบังคับใช้ค่าคุกกี้ SameSite ชั่วคราว โดยทางทีมพัฒนาให้เหตุผลว่าเนื่องจากสถานการณ์ COVID-19 เพื่อป้องกันเหตุการณ์เว็บไซต์ไม่เสถียร

จากที่กูเกิลประกาศว่า Chrome หยุดออกเวอร์ชันใหม่ชั่วคราว เพราะทีมต้องปรับตารางทำงานจากปัญหาไวรัส

ล่าสุดทีมงาน Chrome กลับมาทำงานตามปกติแล้ว โดยปรับรอบการออกรุ่นใหม่ เพื่อชดเชยเวลาที่เสียไป

กูเกิลประกาศพักการอัพเดตเวอร์ชันใหญ่ของ Chrome และ Chrome OS ชั่วคราว หลังพนักงานในทีมต้องปรับตารางการทำงานกันใหม่จากสถานการณ์ไวรัสระบาด

ปกติแล้ว Chrome/Chrome OS มีรอบการอัพเดตเวอร์ชันใหญ่ทุก 6 สัปดาห์ ตอนนี้กูเกิลจะหยุดพักการอัพเดตตามรอบอย่างไม่มีกำหนด เพื่อควบคุมคุณภาพของ Chrome ให้มีเสถียรภาพสูงสุด แทนการพัฒนาฟีเจอร์ใหม่ที่อาจควบคุมคุณภาพไม่ได้ ส่วนการอัพเดตย่อยแก้บั๊กและความปลอดภัยจะยังดำเนินไปตามปกติ (แปลว่า Chrome รุ่นเสถียรจะหยุดที่เวอร์ชัน 80 ไปสักพักใหญ่ๆ มีอัพเดตแพตช์ของ Chrome 80 บ้าง)

ที่มา - Chromium

กูเกิลออกอัพเดต Chrome 80.0.3987.122 เป็นการอุดช่องโหว่นอกรอบอัพเดตปกติ ให้กับ Chrome 80 ที่ออกรุ่นเสถียรเมื่อต้นเดือน

ช่องโหว่รอบนี้มี 3 ตัว มีความสำคัญระดับ High โดยช่องโหว่หนึ่งตัว (CVE-2020-6418) ที่เกี่ยวกับหน่วยความจำของเอนจิน V8 พบรายงานการโจมตีผ่านช่องโหว่นี้แล้ว

ผู้ใช้งาน Chrome บนเดสก์ท็อปทุกแพลตฟอร์มควรกดอัพเดตกันทันที

ที่มา - Chrome Releases, ZDNet

Microsoft Edge ตัวใหม่พลัง Chromium สามารถติดตั้งส่วนขยายของ Chrome จาก Chrome Web Store ได้ตรงๆ (โดยเปิดใช้ฟีเจอร์นี้ก่อนในหน้า Extensions ของ Edge) ซึ่งเป็นหนึ่งในกลยุทธ์ของไมโครซอฟท์เพื่อแก้ปัญหาเรื่องความเข้ากันได้ของ Edge กับส่วนขยายต่างๆ

ล่าสุดวันนี้ หากเราเข้าหน้าเว็บ Chrome Web Store ด้วย Edge จะเห็นข้อความแจ้งเตือนจากกูเกิล แนะนำให้ใช้ Chrome แทนเพื่อความปลอดภัยของส่วนขยายที่ดีกว่า โดยไม่ได้ระบุรายละเอียดเพิ่มเติมจากนี้

เว็บไซต์ ExtremeTech มองว่าการติดตั้งส่วนขยายจาก Chrome Web Store สามารถอัพเดตเวอร์ชันล่าสุดได้เมื่อใช้ Chrome เท่านั้น เพราะการติดตั้งบน Edge จะมองว่าเป็นการทำ sideloading แบบกลายๆ (คือไม่ใช่ช่องทางอย่างเป็นทางการ)

กูเกิลร่วมมือกับ Duo Security บริษัทความปลอดภัยในเครือ Cisco และ Jamila Kaya นักวิจัยด้านความปลอดภัยอิสระ ค้นพบและถอดส่วนขยายของ Chrome ที่ไม่ปลอดภัยออกจาก Chrome Web Store ประมาณ 500 ตัว

Duo Security มีตัวสแกน Chrome ชื่อว่า CXRcavator เพื่อตรวจสอบความปลอดภัยของส่วนขยาย เครื่องมือนี้ตรวจพบว่ามีส่วนขยายประมาณ 70 ตัวที่มีฟังก์ชันเหมือนๆ กัน สร้างมาจากขบวนการอาชญากรรมไซเบอร์ทีมเดียวกัน ใช้เทคนิคคุกกี้แบบเดียวกับโฆษณา (malvertising) หลุดรอดขึ้นไปบน Chrome Web Store ส่งผลกระทบต่อผู้ใช้ 1.7 ล้านราย

หลังจากที่กูเกิลได้เพิ่ม DuckDuckGo เข้ามาเป็นเสิร์ชเอนจินทางเลือกใน Chrome ไปเมื่อปีที่แล้ว มาปีนี้ทางบริษัทก็ได้เริ่มอัพเดตตัวเลือกเสิร์ชเอนจินที่มีใช้งานแบบเงียบๆ อีกครั้ง โดยครั้งนี้เป็นคราวของ Ecosia เสิร์ชเอนจินที่มีเป้าหมายในการสร้างรายได้เพื่อจุดประสงค์ที่ต่างจากเจ้าอื่นๆ ซึ่งนั่นก็คือการฟื้นฟูป่าทั่วโลก

โดยกำไรจากการโฆษณาผ่านเสิร์ชเอนจินที่ทาง Ecosia ได้ จะถูกนำไปบริจาคเพื่อสนับสนุนการปลูกต้นไม้ผ่านองค์กรท้องถิ่นที่เป็นพันธมิตรซึ่งทำกิจกรรมฟื้นฟูป่าเสื่อมโทรมที่กระจายตัวอยู่ทั่วโลก ปัจจุบัน Ecosia ได้ให้เงินทุนเพื่อสนับสนุนการปลูกต้นไม้ไปแล้วถึง 80 กว่าล้านต้น

Chrome ประกาศแผนการบล็อคไม่ให้ดาวน์โหลดไฟล์ผ่าน HTTP แบบไม่เข้ารหัส โดยจะเริ่มจาก Chrome 82 ที่ออกช่วงเดือนเมษายน 2020

ปัจจุบัน Chrome ยอมให้เราเข้าเว็บที่เป็น HTTPS แล้วดาวน์โหลดบางไฟล์ผ่านโปรโตคอล HTTP (mixed content download) ซึ่งกูเกิลมองว่าไฟล์อาจถูกยัดไส้เป็นมัลแวร์ หรือโดนดักข้อมูลระหว่างทางได้ (เช่น ดาวน์โหลดไฟล์สรุปข้อมูลการเงินจากเว็บไซต์ธนาคาร)

Chrome 82 จะเริ่มแจ้งเตือนผู้ใช้หากดาวน์โหลดไฟล์ .exe ผ่านโปรโตคอล HTTP ที่ไม่ปลอดภัย จากนั้นจะค่อยๆ ยกระดับการแจ้งเตือนไปยังไฟล์ชนิดอื่นๆ เช่น .zip, .pdf, .doc, .png จนถึง Chrome 86 จะบล็อคการดาวน์โหลดไฟล์ทุกประเภทผ่าน HTTP (ดูตารางประกอบ)

Chrome เริ่มบล็อคโฆษณา "ที่น่ารำคาญ" มาตั้งแต่ช่วงต้นปี 2018 โดยอ้างอิงนิยามของกลุ่ม Coalition for Better Ads ที่กูเกิลร่วมกับเฟซบุ๊กก่อตั้งในปี 2016 เพื่อตอบโต้ซอฟต์แวร์บล็อคโฆษณา

ล่าสุดกลุ่ม Coalition for Better Ads ขยายผลเรื่องโฆษณาที่น่ารำคาญมายังวิดีโอ โดยนิยามโฆษณาวิดีโอที่ผู้ใช้ไม่ชอบ 3 รูปแบบ จากการสำรวจความเห็นของผู้ใช้ 45,000 คนใน 8 ประเทศ

Yoav Weiss วิศวกรทีมงาน Google Chrome โพสข้อเสนอสเปค HTTP header ตัวใหม่ที่ชื่อว่า UA-CH (User Agent Client Hint) สำหรับใช้งานแทนที่สตริง User-Agent ทุกวันนี้ที่แสดงข้อมูลผู้ใช้จำนวนมาก ทั้งเวอร์ชั่นย่อยเบราว์เซอร์และระบบปฎิบัติการจนเว็บไซต์สามารถติดตามผู้ใช้ได้อย่างแม่นยำ โดยใน UA-CH เว็บไซต์จะต้องขออนุญาตอ่านข้อมูลเบราว์เซอร์เป็นกรณีไป ไม่เช่นนั้นจะได้เพียงชื่อเบราว์เซอร์และเวอร์ชั่นหลักของเบราว์เซอร์เท่านั้น

อย่างไรก็ดี ขณะที่กระทู้กำลังพูดคุยเรื่องเสปค ก็มีผู้ถามว่าถ้ากูเกิลสนใจความเป็นส่วนตัว ทำไมจึงยังเติม HTTP header ที่ชื่อว่า x-client-data ที่เป็นเลขสุ่มระบุตัวตนผู้ใช้ได้อย่างแม่นยำ และทำงานเฉพาะโดเมนของกูเกิลอยู่

Google ออกอัพเดต Chrome 80 โดยรอบอัพเดตครั้งนี้มีการเปลี่ยนแปลงครั้งสำคัญคือเรื่องคุกกี้ตามที่แจ้งไว้ตั้งแต่กลางปีที่แล้ว

การเปลี่ยนแปลงในฝั่งนักพัฒนา คือตัวคุกกี้ที่สร้างขึ้นมาจะต้องระบุค่า SameSite เอาไว้ด้วย ถ้าไม่ระบุค่านี้ Chrome จะเซ็ทค่าเริ่มต้นเป็น SameSite=Lax โดยอัตโนมัติ ซึ่งค่านี้เป็นค่าที่ปลอดภัยแต่อาจส่งผลต่อเซอร์วิสบางอย่างบนเว็บที่ต้องใช้ระบบติดตามข้ามไซต์ (cross-site tracking)

Mozilla และ Google ในฐานะสองผู้พัฒนาเว็บเบราว์เซอร์รายใหญ่ แบนส่วนขยาย (extension) จำนวนมากที่อาจสร้างปัญหาให้ผู้ใช้

Mozilla แบนส่วนขยายของ Firefox ไปเกือบ 200 ตัวด้วยเหตุผลต่างกันไป แต่ส่วนขยายจำนวน 129 ตัวมาจากบริษัทเดียวกันชื่อ 2Ring ที่มีพฤติกรรมดาวน์โหลดโค้ดจากเซิร์ฟเวอร์อื่นมารันอีกที ซึ่งขัดกับนโยบายของ Mozilla

ส่วนทีมงาน Chrome ประกาศว่าพบส่วนขยาย (แบบเสียเงิน) จำนวนมากที่มีพฤติกรรมละเมิดผู้ใช้งาน จนต้องปิดรับการส่งส่วนขยายแบบเสียเงินขึ้น Chrome Web Store ชั่วคราว เพื่อหาโซลูชันที่ดีกว่าในระยะยาว แต่ก็ไม่ได้ให้รายละเอียดมากนักว่ามีส่วนขยายใดบ้างที่เข้าข่าย

ไมโครซอฟท์มีเวอร์ชันย่อยของ Office 365 ที่เรียกว่า ProPlus ซึ่งคิดเงินตามจำนวนผู้ใช้งาน และผู้ใช้งานแต่ละคนสามารถติดตั้งโปรแกรม Office ได้สูงสุด 5 เครื่อง เหมาะสำหรับองค์กรที่ผู้ใช้หนึ่งคนมีอุปกรณ์หลายชิ้น

ล่าสุดไมโครซอฟท์ประกาศว่าตัวติดตั้งของ Office 365 ProPlus จะเปลี่ยนเครื่องมือค้นหาของ Chrome ในเครื่องเดียวกัน จาก Google Search มาเป็น Bing ให้ด้วย ด้วยเหตุผลว่าผู้ใช้จะสามารถใช้งาน Microsoft Search ระบบค้นหาเอกสารภายในองค์กร ผ่านช่องทางของ Bing ได้

เว็บไซต์ VentureBeat ทดสอบเบนช์มาร์ค วัดประสิทธิภาพของเว็บเบราว์เซอร์ 4 ตัวคือ Chrome, Firefox, Edge (ตัวใหม่) และ Brave

การทดสอบใช้ Surface Laptop ที่ติดตั้ง Windows 10 Pro ใหม่, ติดตั้งเบราว์เซอร์ทั้ง 4 ตัวที่เป็นเวอร์ชันล่าสุด แล้วรันเบนช์มาร์คชื่อดัง เช่น SunSpider, Octane, Kraken ฯลฯ รวมทั้งหมด 8 ตัว ผลคือ

เว็บเบราว์เซอร์ทุกวันนี้มักอาศัย cookie เพื่อติดตามตัวผู้ใช้ โดย cookie เป็นส่วนประกอบสำคัญที่ทำให้เว็บสามารถให้บริการที่ต้องล็อกอินล่วงหน้าได้ แต่ขณะเดียวกันความสามารถในการติดตามตัวผู้ใช้นี้ก็มีปัญหาการติดตามตัวผู้ใช้เกินความจำเป็น ล่าสุดกูเกิลประกาศว่ามีแผนจะยกเลิกการรองรับ cookie นอกเว็บปัจจุบัน หรือ third-party cookie ออกทั้งหมดภายในสองปีข้างหน้า