ProHoster > Blog > internet nuus > Chrome 86

Chrome 86

Die volgende weergawe van Chrome 86 en die stabiele weergawe van Chromium is vrygestel.

Sleutelveranderinge in Chrome 86:

  • beskerming teen onveilige indiening van invoervorms op bladsye wat oor HTTPS gelaai is, maar data oor HTTP stuur.
  • Blokkering van onveilige aflaaie (http) van uitvoerbare lêers word aangevul deur die blokkering van onveilige aflaaie van argiewe (zip, iso, ens.) en vertoon waarskuwings vir onveilige aflaai van dokumente (docx, pdf, ens.). Dokumentblokkering en waarskuwings vir beelde, teks en medialêers word in die volgende weergawe verwag. Die blokkering word geïmplementeer omdat die aflaai van lêers sonder enkripsie gebruik kan word om kwaadwillige handelinge uit te voer deur die inhoud tydens MITM-aanvalle te vervang.
  • Die verstek konteks kieslys vertoon die opsie "Wys altyd volledige URL", wat voorheen vereis het dat die instellings op die about:flags-bladsy verander is om te aktiveer. Die volledige URL kan ook bekyk word deur op die adresbalk te dubbelklik. Laat ons u daaraan herinner dat vanaf Chrome 76, die adres by verstek begin vertoon het sonder die protokol en die www-subdomein. In Chrome 79 is die instelling om die ou gedrag terug te gee, verwyder, maar na gebruikers se ontevredenheid is 'n nuwe eksperimentele vlag in Chrome 83 bygevoeg wat 'n opsie by die kontekskieslys voeg om versteek en wys van die volledige URL in alle toestande te deaktiveer.
    Vir 'n klein persentasie gebruikers is 'n eksperiment van stapel gestuur om slegs die domein by verstek in die adresbalk te vertoon, sonder padelemente en navraagparameters. Byvoorbeeld, in plaas van "https://example.com/secure-google-sign-in/" "example.com" sal gewys word. Die voorgestelde modus sal na verwagting in een van die volgende vrystellings aan alle gebruikers gebring word. Om hierdie gedrag te deaktiveer, kan jy die opsie "Wys altyd volle URL" gebruik, en om die hele URL te sien, kan jy op die adresbalk klik. Die motief vir die verandering is die begeerte om gebruikers te beskerm teen uitvissing wat parameters in die URL manipuleer - aanvallers maak gebruik van gebruikers se onoplettendheid om die voorkoms te skep dat hulle 'n ander webwerf oopmaak en bedrieglike aksies pleeg (as sulke vervangings duidelik is vir 'n tegnies bekwame gebruiker , dan val onervare mense maklik vir sulke eenvoudige manipulasie).
  • Die inisiatief om FTP-ondersteuning te verwyder, is hernu. In Chrome 86 is FTP by verstek gedeaktiveer vir ongeveer 1% van gebruikers, en in Chrome 87 sal die omvang van die deaktivering tot 50% vergroot word, maar ondersteuning kan teruggebring word met die "--enable-ftp" of "- -enable-features=FtpProtocol" vlag. In Chrome 88 sal FTP-ondersteuning heeltemal gedeaktiveer wees.
  • In die weergawe vir Android, soortgelyk aan die weergawe vir rekenaarstelsels, implementeer die wagwoordbestuurder 'n kontrolering van gestoorde aanmeldings en wagwoorde teen 'n databasis van gekompromitteerde rekeninge, wat 'n waarskuwing vertoon as probleme opgespoor word of 'n poging aangewend word om onbenullige wagwoorde te gebruik. Die kontrole word uitgevoer teen 'n databasis wat meer as 4 miljard gekompromitteerde rekeninge dek wat in uitgelekte gebruikersdatabasisse verskyn het. Om privaatheid te handhaaf, word die hash-voorvoegsel aan die gebruiker se kant geverifieer, en die wagwoorde self en hul volledige hashes word nie ekstern versend nie.
  • Die "Veiligheidskontrole"-knoppie en die verbeterde beskermingsmodus teen gevaarlike werwe (Enhanced Safe Browsing) is ook na die Android-weergawe oorgeplaas. Die "Veiligheidskontrole"-knoppie wys 'n opsomming van moontlike sekuriteitkwessies, soos die gebruik van gekompromitteerde wagwoorde, die status van die nagaan van kwaadwillige werwe (Veiligblaai), die teenwoordigheid van gedeïnstalleerde opdaterings en die identifikasie van kwaadwillige byvoegings. Gevorderde beskermingsmodus aktiveer bykomende kontrole om teen uitvissing, kwaadwillige aktiwiteit en ander bedreigings op die web te beskerm, en sluit ook bykomende beskerming vir jou Google-rekening en Google-dienste (Gmail, Drive, ens.) in. As in die normale Veiligblaai-modus kontroles plaaslik uitgevoer word deur gebruik te maak van 'n databasis wat periodiek op die kliënt se stelsel gelaai word, dan word in Verbeterde Veiligblaai inligting oor bladsye en aflaaie intyds gestuur vir verifikasie aan die Google-kant, wat jou toelaat om vinnig te reageer op dreigemente onmiddellik nadat hulle geïdentifiseer is, sonder om te wag totdat die plaaslike swartlys bygewerk is.
  • Bygevoeg ondersteuning vir die aanwyser lêer ".well-known/change-password", waarmee webwerf-eienaars die adres van die webvorm vir die verandering van die wagwoord kan spesifiseer. As 'n gebruiker se eiebewyse gekompromitteer word, sal Chrome die gebruiker nou onmiddellik met 'n wagwoordveranderingsvorm vra, gebaseer op die inligting in hierdie lêer.
  • 'n Nuwe "Veiligheidswenk"-waarskuwing is geïmplementeer, wat vertoon word wanneer werwe oopgemaak word waarvan die domein baie soortgelyk is aan 'n ander webwerf en heuristiek toon dat daar 'n hoë waarskynlikheid van bedrog is (byvoorbeeld, goog0le.com word oopgemaak in plaas van google.com).

    * Ondersteuning vir die Terug-vorentoe-kas is geïmplementeer, wat onmiddellike navigasie bied wanneer die "Terug" en "Voorwaarts"-knoppies gebruik word of wanneer u deur vorige bladsye van die huidige webwerf navigeer. Die kas word geaktiveer met behulp van die chrome://flags/#back-forward-cache-instelling.

  • Optimaliseer SVE-hulpbronverbruik vir buite-omvang vensters. Chrome kyk of die blaaiervenster deur ander vensters oorvleuel word en verhoed dat pieksels in gebiede van oorvleueling geteken word. Hierdie optimalisering is vir 'n klein persentasie gebruikers in Chrome 84 en 85 geaktiveer en is nou oral geaktiveer. In vergelyking met vorige vrystellings, is 'n onverenigbaarheid met virtualiseringstelsels wat veroorsaak het dat leë wit bladsye verskyn ook opgelos.
  • Verhoogde hulpbronbesnoeiing vir agtergrondoortjies. Sulke oortjies kan nie meer meer as 1% van SVE-hulpbronne verbruik nie en kan nie meer as een keer per minuut geaktiveer word nie. Na vyf minute op die agtergrond, word oortjies gevries, met die uitsondering van oortjies wat multimedia-inhoud speel of opneem.
  • Werk het hervat om die User-Agent HTTP-opskrif te verenig. In die nuwe weergawe word ondersteuning vir die User-Agent Client Hints-meganisme, ontwikkel as 'n plaasvervanger vir User-Agent, vir alle gebruikers geaktiveer. Die nuwe meganisme behels die selektiewe terugstuur van data oor spesifieke blaaier- en stelselparameters (weergawe, platform, ens.) slegs na 'n versoek deur die bediener en gee gebruikers die geleentheid om selektief sulke inligting aan webwerf-eienaars te verskaf. Wanneer gebruikers-agent-kliëntwenke gebruik word, word die identifiseerder nie by verstek sonder 'n eksplisiete versoek versend nie, wat passiewe identifikasie onmoontlik maak (by verstek word slegs die blaaiernaam aangedui).
    Die aanduiding van die teenwoordigheid van 'n opdatering en die behoefte om die blaaier te herbegin om dit te installeer, is verander. In plaas van 'n gekleurde pyltjie, verskyn "Update" nou in die rekeningavatar-veld.
  • Werk is gedoen om die blaaier om te skakel om inklusiewe terminologie te gebruik. In beleidname is die woorde "witlys" en "swartlys" vervang met "toelaatlys" en "bloklys" (reeds bygevoegde beleide sal voortgaan om te werk, maar hulle sal 'n waarskuwing vertoon dat dit afgekeur word). In kode- en lêername is verwysings na "swartlys" vervang met "bloklys". Gebruikerssigbare verwysings na “swartlys” en “witlys” is aan die begin van 2019 vervang.
    Bygevoeg 'n eksperimentele vermoë om gestoorde wagwoorde te wysig, geaktiveer met die "chrome://flags/#edit-passwords-in-settings" vlag.
  • Die Native File System API is oorgedra na die kategorie van stabiele en publiek-beskikbare API, wat jou toelaat om webtoepassings te skep wat interaksie met lêers in die plaaslike lêerstelsel het. Die nuwe API kan byvoorbeeld in aanvraag wees in blaaiergebaseerde geïntegreerde ontwikkelingsomgewings, teks-, beeld- en videoredigeerders. Om lêers direk te kan skryf en lees of dialoogvensters te gebruik om lêers oop te maak en te stoor, asook om deur die inhoud van gidse te navigeer, vra die toepassing die gebruiker vir spesiale bevestiging.
  • Het 'n CSS-kieser ":focus-visible" bygevoeg, wat dieselfde heuristiek gebruik as wat die blaaier gebruik wanneer hy besluit of die fokusveranderingsaanwyser moet wys (wanneer fokus na 'n knoppie verskuif word deur sleutelbordkortpaaie te gebruik, verskyn die aanwyser, maar wanneer met die muis geklik word , dit doen nie). Die voorheen beskikbare CSS-kieser ":focus" beklemtoon altyd fokus. Boonop is die "Vinnigefokushoogtepunt"-opsie by die instellings gevoeg, wanneer dit geaktiveer is, sal 'n bykomende fokusaanwyser langs aktiewe elemente gewys word, wat sigbaar bly selfs al is stylelemente om fokus visueel uit te lig op die bladsy gedeaktiveer via CSS .
  • Verskeie nuwe API's is by die Origin Trials-modus gevoeg (eksperimentele kenmerke wat afsonderlike aktivering vereis). Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
  • WebHID API vir lae-vlak toegang tot HID toestelle (menslike koppelvlak toestelle, sleutelborde, muise, gamepads, touchpads), wat jou toelaat om die logika van werk met 'n HID toestel in JavaScript te implementeer om werk met skaars HID toestelle te organiseer sonder die teenwoordigheid van spesifieke drywers in die stelsel. Eerstens is die nuwe API daarop gemik om ondersteuning vir gamepads te bied.
  • Screen Information API, brei die Window Placement API uit om multi-skerm konfigurasies te ondersteun. Anders as window.screen, laat die nuwe API jou toe om die plasing van 'n venster in die algehele skermspasie van multimonitorstelsels te manipuleer, sonder om tot die huidige skerm beperk te word.
  • Metatag battery-besparings, waarmee die webwerf die blaaier kan inlig oor die behoefte om modusse te aktiveer om kragverbruik te verminder en SVE-lading te optimaliseer.
  • COOP Reporting API om potensiële oortredings van Cross-Origin-Embedder-Policy (COEP) en Cross-Origin-Opener-Policy (COOP) isolasiemodusse aan te meld, sonder om werklike beperkings toe te pas.
  • Die Credential Management API bied 'n nuwe tipe geloofsbriewe, PaymentCredential, wat addisionele bevestiging verskaf van die betalingstransaksie wat uitgevoer word. 'n Betroubare party, soos 'n bank, het die vermoë om 'n publieke sleutel, 'n PublicKeyCredential, te genereer wat deur die handelaar aangevra kan word vir bykomende veilige betalingbevestiging.
  • Die PointerEvents API vir die bepaling van die kantel van die stylus* het ondersteuning bygevoeg vir hoogtehoeke (die hoek tussen die stylus en die skerm) en asimuth (die hoek tussen die X-as en die projeksie van die stylus op die skerm), in plaas van die TiltX- en TiltY-hoeke (die hoeke tussen die vlak vanaf die stylus en een van die asse en die vlak vanaf die Y- en Z-asse). Ook bygevoeg omskakeling funksies tussen hoogte / azimut en TiltX / TiltY.
  • Het die enkodering van spasie in URL'e verander wanneer dit in protokolhanteerders bereken word - die navigator.registerProtocolHandler() metode vervang nou spasies met "%20" in plaas van "+", wat die gedrag met ander blaaiers soos Firefox verenig.
  • 'n Pseudo-element "::merker" is by CSS gevoeg, wat jou toelaat om die kleur, grootte, vorm en tipe nommers en kolletjies vir lyste in blokke aan te pas En .
  • Bygevoeg ondersteuning vir die Document-Policy HTTP-kopskrif, wat jou toelaat om reëls vir toegang tot dokumente te stel, soortgelyk aan die sandbox-isolasiemeganisme vir iframes, maar meer universeel. Byvoorbeeld, deur Document-Policy kan jy die gebruik van lae-gehalte beelde beperk, stadige JavaScript API's deaktiveer, reëls vir die laai van iframes, beelde en skrifte opstel, die algehele dokumentgrootte en verkeer beperk, metodes verbied wat lei tot bladsy-hertekening, en deaktiveer die Scroll-Na-Teks-funksie.
  • Om te element bygevoeg ondersteuning vir 'inline-grid', 'grid', 'inline-flex' en 'flex' parameters wat gestel is via die 'display' CSS eiendom.
  • Bygevoeg ParentNode.replaceChildren() metode om alle kinders van 'n ouer nodus te vervang met 'n ander DOM nodus. Voorheen kon jy 'n kombinasie van node.removeChild() en node.append() of node.innerHTML en node.append() gebruik om nodusse te vervang.
  • Die reeks URL-skemas wat met registerProtocolHandler() vervang kan word, is uitgebrei. Die lys skemas bevat die gedesentraliseerde protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns en ssb, wat jou toelaat om skakels na elemente te definieer, ongeag die webwerf of poort wat toegang tot die hulpbron bied.
  • Ondersteuning vir teks/html-formaat by die Asynchronous Clipboard API gevoeg vir die kopiëring en plak van HTML via die knipbord (gevaarlike HTML-konstrukte word skoongemaak wanneer u na die knipbord skryf en lees). Die verandering stel jou byvoorbeeld in staat om die invoeging en kopiëring van geformateerde teks met beelde en skakels in webredigeerders te organiseer.
  • WebRTC het die vermoë bygevoeg om sy eie datahanteerders te koppel, genoem by die enkodering of dekodering stadiums van WebRTC MediaStreamTrack. Hierdie vermoë kan byvoorbeeld gebruik word om ondersteuning by te voeg vir end-tot-end-enkripsie van data wat deur intermediêre bedieners versend word.
    In die V8 JavaScript-enjin is die implementering van Number.prototype.toString met 75% versnel. Bygevoeg .name-eienskap by asynchrone klasse met 'n leë waarde. Die Atomics.wake-metode is verwyder, wat op 'n tyd herdoop is na Atomics.notify om aan die ECMA-262-spesifikasie te voldoen. Die kode vir die fuzzing-toetsinstrument JS-Fuzzer is oop.
  • Die Liftoff-basislynsamesteller vir WebAssembly wat in die laaste vrystelling vrygestel is, bevat die vermoë om SIMD-vektorinstruksies te gebruik om berekeninge te bespoedig. Te oordeel aan die toetse, het optimalisering dit moontlik gemaak om sommige toetse met 2.8 keer te bespoedig. Nog 'n optimalisering het dit baie vinniger gemaak om ingevoerde JavaScript-funksies van WebAssembly af te roep.
  • Gereedskap vir webontwikkelaars is uitgebrei: Die Media-paneel het inligting bygevoeg oor die spelers wat gebruik word om video op die bladsy te speel, insluitend gebeurtenisdata, logs, eiendomswaardes en raamdekoderingsparameters (jy kan byvoorbeeld die oorsake van raam bepaal verlies en interaksieprobleme van JavaScript).
  • In die kontekskieslys van die Elemente-paneel is die vermoë om skermkiekies van die geselekteerde element te skep bygevoeg (jy kan byvoorbeeld 'n skermkiekie van die inhoudsopgawe of tabel skep).
  • In die webkonsole is die probleemwaarskuwingspaneel met 'n gewone boodskap vervang, en probleme met derdeparty-koekies word by verstek in die Kwessies-oortjie versteek en word met 'n spesiale merkblokkie geaktiveer.
  • In die Rendering-oortjie is 'n "Deaktiveer plaaslike lettertipes"-knoppie bygevoeg, wat jou toelaat om die afwesigheid van plaaslike lettertipes te simuleer, en in die Sensors-oortjie kan jy nou gebruikeronaktiwiteit simuleer (vir toepassings wat die Idle Detection API gebruik).
  • Die toepassingspaneel verskaf gedetailleerde inligting oor elke iframe, oop venster en opspring, insluitend inligting oor kruisoorsprong-isolasie met behulp van COEP en COOP.

Die implementering van die QUIC-protokol het begin om vervang te word deur die weergawe wat in die IETF-spesifikasie ontwikkel is, in plaas van die Google-weergawe van QUIC.
Benewens innovasies en foutoplossings, skakel die nuwe weergawe 35 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Een kwesbaarheid (CVE-2020-15967, toegang tot vrygestelde geheue in kode vir interaksie met Google Payments) word as krities gemerk, d.w.s. laat jou toe om alle vlakke van blaaierbeskerming te omseil en kode op die stelsel buite die sandbox-omgewing uit te voer. As deel van die program om kontantbelonings te betaal vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 27 toekennings ter waarde van $71500 betaal (een $15000-toekenning, drie $7500-toekennings, vyf $5000-toekennings, twee $3000-toekennings, een $200-toekenning en twee $500-toekennings). Die grootte van 13 belonings is nog nie bepaal nie.

Geneem vanaf Opennet.ru

Bron: linux.org.ru

Voeg 'n opmerking