Google 安全博客宣布，2018 年 7 月发布的 Chrome 68 将标记 HTTP 网站为不安全。HTTPS 加密的流量能防止监听和中间人劫持。Google 称过去一年 HTTPS 的普及已经取得了很大进展： 在 Android 和 Windows 上超过 68% 的 Chrome 流量是加密的；在 Chrome OS 和 Mac 上超过 78% 的 Chrome 流量是加密的；100 个最流行网站 81 个默认启用了 HTTPS。Google 还向开发者释出工具帮助识别网站加载的资源哪些仍然是使用 HTTP。

Google Chrome 将从 2 月 15 日起默认屏蔽被认为不符合 Better Ads 标准的广告。但它的广告屏蔽究竟是如何工作的？Daniel Aleksandersen 分析了 Chromium 的源代码，解释了广告屏蔽器的工作原理。Chrome 是通过 Google Safe Browsing 来实现广告屏蔽的，它扩展了 Safe Browsing 的服务，包含了一种新型的威胁叫 BETTER_ADS，不符合 Better Ads 标准的广告将被标记为此类的威胁，然后浏览器根据用户设置采取行动。浏览器默认启用广告屏蔽，用户可选择关闭（内容设置——广告）。Safe Browsing 被包括 Mozilla Firefox 和 Safari 在内的浏览器使用，但这种新型威胁尚未提供给 Safe Browsing API。Chrome 将会定期下载屏蔽规则，规则由两组广告屏蔽列表构成：EasyList(广告)和 EasyPrivacy (跟踪)。EasyList 和 EasyPrivacy 被 uBlock Origin 和 AdBlock Plus 等流行广告屏蔽工具使用，而 Google 的广告屏蔽能力将能媲美这些工具。Chrome 将包含完整的 EasyList 和 EasyPrivacy 列表，其中包括了对 Google 自己的广告平台 AdSense 与 DoubleClick 以及自己的跟踪分析服务 Google Analytics 的屏蔽。

未来版本的 Google Chrome 将支持延迟加载，一种推迟加载图像和内框（iframe）的机制。该功能将首先提供给 Chrome for Android，如果测试按计划进行，Google 不排除将该功能提供给桌面版用户。该功能被称为 Blink LazyLoad，将在浏览器内实现延迟加载机制。在默认情况下，浏览器将加载整个网页。如果页面比较大，加载时间将会延长。启用延迟加载后，Google 工程师报告页面加载速度提升了 18% 到 35%，Chrome 团队已经向其他浏览器开发商通知了它的计划，但还没有一家计划实现类似的功能。

Google 向 Windows、Mac 和 Linux 平台释出了 Chrome 64 稳定版。主要新特性包括了新的 API，新的 CSS 属性，新的 JavaScript 功能等，以及修复了 53 个漏洞，其中包括削弱基于 Web 的 Spectre 漏洞利用。Chrome 64 还改进了广告屏蔽功能，以及允许用户对自动播放视频的网站永久性静音，要给网站静音，用户需要点击地址栏最左侧的显示网站信息，点击声音选择关闭声音，然后当用户再次访问该网站时候它将不再会有声音，直至用户解除屏蔽为止。

作为市场占有率最高的浏览器，Chrome 被频繁发现恶意扩展。现在有安全研究人员报告发现了在安装之后很难删除的恶意扩展。被称为“Tiempo en colombia en vivo”的恶意应用会防止用户访问扩展安装列表，方法是将 chrome://extensions/ 的请求重定向到 chrome://apps/?r=extensions。Malwarebytes 安全研究人员 Pieter Arntz 尝试了禁用 JavaScript 以及禁用所有扩展等方法都无法移除该扩展，他建议用户使用免费版的 Malwarebytes 自动移除该扩展。Arntz 是在 12 月 29 日通知了 Google，但反应通常迅速的搜索巨人直到 19 天后才 Chrome Store 移除该扩展。

Chrome 如今是市场占有率最高的浏览器，和以前的 IE 6 统治浏览器市场的情况类似，互联网上也出现了大量专为 Chrome 优化的网站，而 Google 也采用了很多受争议的方法来推广它的浏览器，阻止或限制竞争对手的浏览器访问它的服务。因此 Chrome 被指为是新时代的 IE 6。一位微软开发者在一则已经删除的 Twitter 帖子中认为，Google 阻止竞争对手的行为不是意外，而更像是一种策略。Google 通过它最受欢迎的搜索引擎来推广 Chrome，如果你使用非 Chrome 浏览器访问 Google.com，Google 会多次弹出提示来鼓励用户下载 Chrome，有时候它会在页面的中心区域展示 Chrome 下载广告。微软也使用类似的策略来说服 Windows 10 用户继续使用 Edge。通过推动 Chrome-only 服务，Google 正在忽略它曾经拥抱的开放原则。

Google 开发者博客宣布，最大的互联网广告公司将从 2 月 15 日起在最流行的浏览器上启用广告屏蔽功能。随着广告屏蔽工具的流行，搜索巨人的应对之策是通过提供广告屏蔽服务来对抗广告屏蔽，因为这将能让它更好的控制广告屏蔽流程。绝大多数广告屏蔽工具屏蔽了几乎所有广告，而 Google 只屏蔽它认为不能接受的广告。通过它制定的规则，Google 可以屏蔽掉任何不符合规则的广告竞争对手。成员包括 Google 和 Facebook 的广告商联盟 Coalition for Better Ads 制定的不可接受广告包括自动播放的有声广告，带有倒计时的插播式广告等。 Google 的广告屏蔽规则是只要网站上刊登了一个不可接受的广告，那么整个网站的广告都会被屏蔽，如果网站在 30 天内不整改的话。

Google 在微软的 Windows Store 发布了一个 Chrome 安装程序应用（已经移除），让 Windows 10 用户在安装该应用之后下载 Chrome 浏览器。Chrome 本身并没有发布在微软的应用商店。微软随后以违反应用商店政策为由将其下架。软件巨人说它欢迎 Google 在遵守商店政策的条件下构建 Microsoft Store 浏览器应用。Google 向微软应用商店上架 Chrome 应用可能是为了应对微软 Windows 10 S 操作系统的限制，Windows 10 S 限制非应用商店之外的应用下载和安装。但 Windows 10 S 的使用率并不高，所以 Google 没有什么动机开发一个专门的版本以满足微软应用商店的要求。微软要求所有商店应用都必须使用 Edge 的渲染引擎，而 Chrome 的渲染引擎是 Blink。

Chrome 63 引入了多个针对企业级市场的安全增强，但代价是使用更多内存，因此没有默认启用。Chrome 的多进程沙盒模式可以在一个标签崩溃之后其它标签不受影响，浏览器默认是一个标签使用一个进程，但如果网页之间共享内容，它们也会共享一个进程，而如果进程数太多，浏览器还会在现有进程打开不相关的网页。Chrome 63 引入了网站隔离的新安全功能，消除共享进程，确保不同网站在不同的进程上。该功能是可选启用，它会导致内存占用增加 15 到 20%。 Chrome 以吃内存著称。

Google 宣布将屏蔽向浏览器注入代码的第三方软件，理由是这些软件影响了 Chrome 的稳定性，会导致浏览器崩溃。第三方软件如杀毒软件通常会向运行的浏览器进程注入代码来检查流量，恶意程序也会采用类似的策略去窃取用户登录凭证等信息。Google 的统计显示，被注入代码的浏览器有 15% 的几率更可能崩溃。所以 Google 宣布将分阶段屏蔽注入代码的软件：2018 年 4 月发布的 Chrome 66 将在浏览器崩溃后警告用户，引导更新或移除注入代码的软件；2018 年 7 月发布的 Chrome 68 将屏蔽向浏览器进程注入代码的第三方软件，如果屏蔽导致浏览器无法启动，Chrome 将重启并允许注入，同时弹出警告引导用户移除软件；2019 年 1 月发布的 Chrome 72 将彻底屏蔽代码注入。

Firefox 57 或者叫 Firefox Quantum 给用户带来了可感知的性能提升，但它与市场占有最高的 Chrome 相比究竟谁更快，哪个内存占用更低？Laptop Mag 用 WebXPRT 2015 测试了 Firefox 和 Chrome。测试平均进行了五轮，去掉了最低分和最高分，最终 Firefox 得分 491，而 Chrome 460 分。Firefox 赢了测试，但它并没有在所有测试项都超过 Chrome：JetStream 1.1 测试，Firefox Quantum 以 183.1 分超过 Google Chrome 的 178.4；Octane 2.0 测试，Chrome 以 35,622 略超 Firefox 的 35,148；启动时间 Firefox 以平均 0.287 秒超过了 Chrome 的 0.302 秒，但用户可能感受不到其中的区别；如果标签页数量不多，Chrome 的内存占用低于 Firefox，但如果标签页达到或超过 30 个，Firefox 低于 Chrome，但没有 Mozilla 宣称的高。

一名微软工程师用该公司开发的 Microsoft Edge 浏览器演示如何将应用、数据和工作负荷迁移到 Microsoft Azure 云服务上，但演示过程中浏览器停止响应。为了避免发生同样的问题，他没有重新用 Edge 再进行一次演示，而是通过必应搜索，直接下载和安装了 Google Chrome，然后在 Chrome 上演示迁移（YouTube，发生在第 37 分钟）。整个过程中观众大笑不已。微软默认浏览器的最佳用途是下载其它浏览器。

Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来，用户仍然可以递交反对意见。根据调查，在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%，到 2017 年 8 月，部署率只提高到 0.4%。

浏览器是人们日常使用最频繁的桌面软件，它的安全性对用户至关重要。Chrome 是市场份额最高的桌面浏览器，它利用沙盒及隔离技术阻止恶意代码入侵浏览器。微软的安全团队检查了 Chrome，发现了一个安全漏洞能允许在浏览器上执行恶意代码。漏洞存在于 Chrome 的 Javascript 引擎中，微软已经通知了 Google，漏洞在上个月已经修复，微软还得到了 Google 的 7500 美元赏金。微软称，它的 Edge 浏览器不存在类似的安全漏洞。

越来越多的网站利用访问者的浏览器运行挖矿脚本，这一情况正促使 Chrome 工程师考虑反制方法，他们讨论了创建黑名单，在浏览器这一层次屏蔽挖矿代码，但这一提议被认为不切实际，被认为留给扩展做更好。Chrome 工程师 Ojan Vafai 的提议是跟踪标签的 CPU 使用率。他认为如果一个网站在 YY 秒内的 CPU 使用率超过 XX%，那么浏览器可以将该网页设为“节电模式”，积极的限制任务运行，并弹出通知允许用户选择关闭节电模式。当节电模式标签转入后台，浏览器将完全限制任务的运行。他认为可以通过测量来确定 XX 和 YY 的值， 可以从 100% CPU 使用率和 60 秒开始。

Chrome 62 发布，修复了 35 个安全问题，也引入了多个新特性，其中包括：支持 OpenType 可变字体，改进网页加载字体所需的时间；所有包含输入框的 HTTP 页面将被标记为不安全，而在隐身模式下所有 HTTP 页面将被标记为不安全。Google 此举旨在加速 HTTPS 的普及，减少中间人攻击等安全问题。其它特性包括支持 Payment Request API，WebVR Origin Trial 等。

Google Chrome 现在加入了基本杀毒软件功能，使用了杀毒软件公司 ESET 的扫描引擎。被称为 Chrome Cleanup 的功能目前只提供给 Windows 用户。Chrome Cleanup 最初以 Software Removal Tool 的名字出现，能在探测到用户“不想要的程序”时警告用户并提供方便的方法移除，在整合了 ESET 引擎之后 Chrome Cleanup 现在能探测和移除更多“不想要的程序”。Google 称它将在未来几天向用户推送这项功能。

德国 IT 安全机构 X41 D-Sec 的研究人员分析了（PDF） Google Chrome、Microsoft Edge 和 Internet Explorer 在企业使用场景下的安全性，发现 Chrome 最能抵御攻击。这项研究得到了 Google 的资助，但研究人员声称搜索巨人并没有干预其研究。这项研究没有测试 Firefox、Safari 和 Opera 等浏览器。研究人员发现，IE 因为其弱沙盒而安全性较差，Edge 因为使用了更强的沙盒技术不存在遗留的技术而更能抵御利用，Chrome 因严锁组件和职责分隔而最能抵御攻击，但它支持更多的现代 Web 技术而增加了攻击面。

从明年一月开始，Google Chrome 将不再自动播放有声内容，Chrome 将只会自动播放没有声音的媒体或用户明显表达兴趣的内容。上个月，Chrome 团队透露了一项新功能，让用户永久性给个别网站静音，浏览器会记住你上一次选择静音的网站，你再次访问时静音会自动启用。这项功能将在 Chrome 63 中引入，而 Chrome 64 将把这项控制提升到新的高度：浏览器将只会自动播放用户想要播放的媒体内容。网站静音功能将于今年 9 月引入到 Chrome 63 beta 中，10 月份随正式版提供给所有用户，新的自动播放策略将于 12 月引入到 Chrome 64 beta，明年 1 月提供给所有用户。

Chrome 不久之后将把 FTP 网站标记为不安全。Chrome 安全团队成员 Mike West 在安全开发者邮件列表上称，他们原计划并没有考虑将 FTP 服务标记为不安全，但因为 FTP 的安全性比 HTTP 还差，虽然 FTP 的全球流量只有 0.0026%，考虑到它对用户的风险，将它标记为不安全似无不妥。今年早些时候，Linux 内核官网 kernel.org 和 Debian 分布宣布关闭 FTP 服务器，但主要原因不是安全，而是因为 FTP 低效。