Google webblaaier vrystelling ... Terselfdertyd stabiele vrystelling van 'n gratis projek , wat die basis van Chrome is. Chrome-blaaier die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, die vermoë om 'n Flash-module op aanvraag af te laai, modules vir die speel van beskermde video-inhoud (DRM), 'n outomatiese opdateringstelsel en transmissie tydens soektog . Die volgende weergawe van Chrome 87 is geskeduleer vir 17 November.
:
- Bygevoeg beskerming teen onveilige indiening van invoervorms op bladsye wat via HTTPS gelaai is, maar data via HTTP stuur, wat die bedreiging van data-onderskepping en bedrog tydens MITM-aanvalle skep. Beskerming kom neer op drie veranderinge:
- Outo-invul van enige gemengde invoervorms is gedeaktiveer, soortgelyk aan hoe outo-invul van stawingvorms op bladsye wat via HTTP oopgemaak is vir 'n geruime tyd gedeaktiveer is. As voorheen 'n teken vir deaktivering 'n bladsy met 'n vorm via HTTPS of HTTP oopgemaak het, word die gebruik van enkripsie nou ook in ag geneem wanneer data na die vormhanteerder gestuur word. Die wagwoordbestuurder vir gemengde vorme van stawing is nie gedeaktiveer nie, aangesien die risiko van die gebruik van 'n onveilige wagwoord en die hergebruik van wagwoorde op verskillende werwe swaarder weeg as die risiko van potensiële verkeersonderskepping.
- Wanneer begin om in gemengde vorms in te voer, word 'n waarskuwing vertoon wat die gebruiker inlig dat die voltooide data via 'n ongeënkripteerde kommunikasiekanaal gestuur word.
- Wanneer jy probeer om 'n gemengde vorm in te dien, word 'n aparte bladsy vertoon wat jou in kennis stel van die potensiële risiko van die oordrag van data oor 'n ongeënkripteerde kommunikasiekanaal. In vorige weergawes is 'n hangslot-aanwyser in die adresbalk gebruik om gemengde vorms aan te dui, maar hierdie merk was nie duidelik vir gebruikers nie en het nie die betrokke risiko's effektief weerspieël nie.
- Blokkeer (sonder enkripsie) van uitvoerbare lêers word aangevul deur onveilige laai van argiewe (zip, iso, ens.) te blokkeer en waarskuwings vir onveilige laai te vertoon
dokumente (docx, pdf, ens.). Dokumentblokkering en waarskuwings vir beelde, teks en medialêers word in die volgende weergawe verwag. Die blokkering word geïmplementeer omdat die aflaai van lêers sonder enkripsie gebruik kan word om kwaadwillige handelinge uit te voer deur die inhoud tydens MITM-aanvalle te vervang. - Die verstek konteks kieslys vertoon die opsie "Wys altyd volledige URL", wat voorheen vereis het dat die instellings op die about:flags-bladsy verander is om te aktiveer. Die volledige URL kan ook bekyk word deur op die adresbalk te dubbelklik. Laat ons onthou dat vanaf By verstek het die adres begin vertoon word sonder 'n protokol en die www-subdomein. IN die instelling om die ou gedrag terug te keer is verwyder, maar na die gebruiker ontevredenheid met 'n Nuwe eksperimentele vlag is bygevoeg wat 'n opsie by die kontekskieslys voeg om versteek en wys van die volledige URL in enige toestande te deaktiveer.
- Bekendgestel vir 'n klein persentasie gebruikers op By verstek bevat die adresbalk slegs die domein, sonder padelemente en navraagparameters. Byvoorbeeld, in plaas van "https://example.com/secure-google-sign-in/" sal dit "example.com" wys. Die voorgestelde modus sal na verwagting in een van die volgende vrystellings aan alle gebruikers gebring word. Om hierdie gedrag te deaktiveer, kan jy die opsie "Wys altyd volle URL" gebruik, en om die hele URL te sien, kan jy op die adresbalk klik. Die motief vir die verandering is die begeerte om gebruikers te beskerm teen uitvissing wat parameters in die URL manipuleer - aanvallers maak gebruik van gebruikers se onoplettendheid om die voorkoms te skep dat hulle 'n ander webwerf oopmaak en bedrieglike aksies pleeg (as sulke vervangings duidelik is vir 'n tegnies bekwame gebruiker , dan val onervare mense maklik vir sulke eenvoudige manipulasie).
- Hervat om FTP-ondersteuning te verwyder. In Chrome 86 is FTP by verstek gedeaktiveer vir ongeveer 1% van gebruikers, en in Chrome 87 sal die omvang van die deaktivering tot 50% vergroot word, maar ondersteuning kan teruggebring word met die "--enable-ftp" of "- -enable-features=FtpProtocol" vlag. In Chrome 88 sal FTP-ondersteuning heeltemal gedeaktiveer wees.
- In die weergawe vir Android, soortgelyk aan die weergawe vir rekenaarstelsels, implementeer die wagwoordbestuurder 'n kontrolering van gestoorde aanmeldings en wagwoorde teen 'n databasis van gekompromitteerde rekeninge, wat 'n waarskuwing vertoon as probleme opgespoor word of 'n poging aangewend word om onbenullige wagwoorde te gebruik. Die kontrole word uitgevoer teen 'n databasis wat meer as 4 miljard gekompromitteerde rekeninge dek wat in uitgelekte gebruikersdatabasisse verskyn het. Om privaatheid te handhaaf Die hash-voorvoegsel word aan die gebruiker se kant geverifieer, en die wagwoorde self en hul volledige hashes word nie ekstern versend nie.
- Ook beskikbaar in Android-weergawe die "Veiligheidskontrole"-knoppie en die verbeterde beskermingsmodus teen gevaarlike werwe (Verbeterde veilige blaai). Die "Veiligheidskontrole"-knoppie wys 'n opsomming van moontlike sekuriteitkwessies, soos die gebruik van gekompromitteerde wagwoorde, die status van die nagaan van kwaadwillige werwe (Veiligblaai), die teenwoordigheid van gedeïnstalleerde opdaterings en die identifikasie van kwaadwillige byvoegings. Gevorderde beskermingsmodus aktiveer bykomende kontrole om teen uitvissing, kwaadwillige aktiwiteit en ander bedreigings op die web te beskerm, en sluit ook bykomende beskerming vir jou Google-rekening en Google-dienste (Gmail, Drive, ens.) in. As in die normale Veiligblaai-modus kontroles plaaslik uitgevoer word deur gebruik te maak van 'n databasis wat periodiek op die kliënt se stelsel gelaai word, dan word in Verbeterde Veiligblaai inligting oor bladsye en aflaaie intyds gestuur vir verifikasie aan die Google-kant, wat jou toelaat om vinnig te reageer op dreigemente onmiddellik nadat hulle geïdentifiseer is, sonder om te wag totdat die plaaslike swartlys bygewerk is.
- ondersteuning vir die “.well-known/change-password”-aanwyserlêer, waarmee webwerf-eienaars die adres van 'n webvorm vir die verandering van 'n wagwoord kan spesifiseer. As 'n gebruiker se eiebewyse gekompromitteer word, sal Chrome die gebruiker nou onmiddellik met 'n wagwoordveranderingsvorm vra, gebaseer op die inligting in hierdie lêer.
- 'n Nuwe "Veiligheidswenk"-waarskuwing is geïmplementeer, wat vertoon word wanneer werwe oopgemaak word waarvan die domein baie soortgelyk is aan 'n ander webwerf en heuristiek toon dat daar 'n hoë waarskynlikheid van bedrog is (byvoorbeeld, goog0le.com word oopgemaak in plaas van google.com).
- ondersteuning vir die Terug-vorentoe-kas, wat onmiddellike navigasie bied wanneer die "Terug" en "Voorwaarts"-knoppies gebruik word of wanneer u deur vorige bladsye van die huidige webwerf navigeer. Die kas word geaktiveer met behulp van die chrome://flags/#back-forward-cache-instelling.
- Optimalisering van SVE-hulpbronverbruik deur Windows is uitgevoer
buite omvang. Chrome kyk of die blaaiervenster deur ander vensters oorvleuel word en verhoed dat pieksels in gebiede van oorvleueling geteken word. Hierdie optimalisering is vir 'n klein persentasie gebruikers in Chrome 84 en 85 geaktiveer en is nou oral geaktiveer. In vergelyking met vorige vrystellings, is 'n onverenigbaarheid met virtualiseringstelsels wat veroorsaak het dat leë wit bladsye verskyn ook opgelos. - Verhoogde hulpbronbesnoeiing vir agtergrondoortjies. Sulke oortjies kan nie meer meer as 1% van SVE-hulpbronne verbruik nie en kan nie meer as een keer per minuut geaktiveer word nie. Na vyf minute op die agtergrond, word oortjies gevries, met die uitsondering van oortjies wat multimedia-inhoud speel of opneem.
- Werk aan HTTP-opskrif User-Agent. In die nuwe weergawe word ondersteuning vir die meganisme vir alle gebruikers geaktiveer , ontwikkel as 'n plaasvervanger vir User-Agent. Die nuwe meganisme behels die selektiewe terugkeer van data oor spesifieke blaaier- en stelselparameters (weergawe, platform, ens.) slegs na 'n versoek deur die bediener en gee gebruikers die geleentheid om selektief sulke inligting aan werfeienaars te verskaf. Wanneer gebruikers-agent-kliëntwenke gebruik word, word die identifiseerder nie by verstek versend sonder 'n eksplisiete versoek nie, wat passiewe identifikasie onmoontlik maak (by verstek word slegs die blaaiernaam aangedui).
- Die aanduiding van die teenwoordigheid van 'n opdatering en die behoefte om die blaaier te herbegin om dit te installeer, is verander. In plaas van 'n gekleurde pyltjie, verskyn "Update" nou in die rekeningavatar-veld.
- Werk is gedoen om die blaaier om te skakel om inklusiewe terminologie te gebruik. In beleidname is die woorde "witlys" en "swartlys" vervang met "toelaatlys" en "bloklys" (reeds bygevoegde beleide sal voortgaan om te werk, maar hulle sal 'n waarskuwing vertoon dat dit afgekeur word). IN и verwysings na "swartlys" is vervang met "bloklys".
Gebruikerssigbare verwysings na “swartlys” en “witlys” is aan die begin van 2019 vervang. - Bygevoeg 'n eksperimentele vermoë om gestoorde wagwoorde te wysig, geaktiveer met die "chrome://flags/#edit-passwords-in-settings" vlag.
- Omgeskakel na stabiele en publieke API , wat jou toelaat om webtoepassings te skep wat interaksie met lêers in die plaaslike lêerstelsel het. Die nuwe API kan byvoorbeeld in aanvraag wees in blaaiergebaseerde geïntegreerde ontwikkelingsomgewings, teks-, beeld- en videoredigeerders. Om lêers direk te kan skryf en lees of dialoogvensters te gebruik om lêers oop te maak en te stoor, asook om deur die inhoud van gidse te navigeer, vra die toepassing die gebruiker vir spesiale bevestiging.
- Bygevoeg CSS-kieser "“, wat dieselfde heuristiek gebruik wat die blaaier gebruik wanneer hy besluit of die fokusveranderingsaanwyser moet wys (wanneer fokus na 'n knoppie verskuif word deur sleutelbordkortpaaie te gebruik, verskyn die aanwyser, maar wanneer met die muis geklik word, doen dit nie). Die voorheen beskikbare CSS-kieser ":focus" beklemtoon altyd fokus.
Daarbenewens is die “Quick Focus Highlight”-opsie by die instellings gevoeg, wanneer dit geaktiveer is, sal 'n addisionele fokusaanwyser langs aktiewe elemente gewys word, wat sigbaar bly selfs al is stylelemente vir visuele verligting van fokus op die bladsy gedeaktiveer via CSS. - Verskeie nuwe API's is by die Origin Trials-modus gevoeg (eksperimentele kenmerke wat afsonderlike aktivering vereis). Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
- vir laevlaktoegang tot HID-toestelle (menslike koppelvlaktoestelle, sleutelborde, muise, gamepads, raakpanele), wat jou toelaat om die logika van werk met 'n HID-toestel in JavaScript te implementeer om werk met seldsame HID-toestelle te organiseer sonder die teenwoordigheid van spesifieke drywers in die stelsel.
Eerstens is die nuwe API daarop gemik om ondersteuning vir gamepads te bied. - , brei die Window Placement API uit om multi-skerm konfigurasies te ondersteun. Anders as window.screen, laat die nuwe API jou toe om die plasing van 'n venster in die algehele skermspasie van multimonitorstelsels te manipuleer, sonder om tot die huidige skerm beperk te word.
- Meta tag , waarmee die webwerf die blaaier kan inlig oor die behoefte om modusse te aktiveer om kragverbruik te verminder en SVE-lading te optimaliseer.
- API om moontlike oortredings van isolasieregulasies aan te meld (COEP) en (COOP), sonder om werklike beperkings toe te pas.
- In die API 'n nuwe tipe geloofsbriewe is voorgestel , wat addisionele bevestiging verskaf van die betalingstransaksie wat uitgevoer word. 'n Betroubare party, soos 'n bank, het die vermoë om 'n publieke sleutel, 'n PublicKeyCredential, te genereer wat deur die handelaar aangevra kan word vir bykomende veilige betalingbevestiging.
- vir laevlaktoegang tot HID-toestelle (menslike koppelvlaktoestelle, sleutelborde, muise, gamepads, raakpanele), wat jou toelaat om die logika van werk met 'n HID-toestel in JavaScript te implementeer om werk met seldsame HID-toestelle te organiseer sonder die teenwoordigheid van spesifieke drywers in die stelsel.
- In die API om die kantel van die stylus te bepaal, is ondersteuning bygevoeg vir hoogtehoeke (die hoek tussen die stylus en die skerm) en azimut (die hoek tussen die X-as en die projeksie van die stylus op die skerm), in plaas van die TiltX en Kantel Y-hoeke (die hoeke tussen die vlak vanaf die stylus en een van die asse en die vlak vanaf die Y- en Y-asse Z). Ook bygevoeg omskakeling funksies tussen hoogte / azimut en TiltX / TiltY.
- Het die enkodering van spasie in URL'e verander wanneer dit in protokolhanteerders bereken word - die navigator.registerProtocolHandler() metode vervang nou spasies met "%20" in plaas van "+", wat die gedrag met ander blaaiers soos Firefox verenig.
- Bygevoeg CSS pseudo-element "", wat jou toelaat om die kleur, grootte, vorm en tipe nommers en punte vir lyste in blokke aan te pas En .
- Bygevoeg HTTP-kopondersteuning , reëls vir toegang tot dokumente, soortgelyk aan die sandbox-isolasiemeganisme vir iframes, maar meer universeel. Byvoorbeeld, deur Document-Policy kan jy die gebruik van lae-gehalte beelde beperk, stadige JavaScript API's deaktiveer, reëls vir die laai van iframes, beelde en skrifte opstel, die algehele dokumentgrootte en verkeer beperk, metodes verbied wat lei tot bladsy-hertekening, deaktiveer die funksie .
- Om te element bygevoeg ondersteuning vir 'inline-grid', 'grid', 'inline-flex' en 'flex' parameters wat gestel is via die 'display' CSS eiendom.
- Bygevoeg metode om alle kinders van 'n ouernodus met 'n ander DOM-nodus te vervang. Voorheen kon jy 'n kombinasie van node.removeChild() en node.append() of node.innerHTML en node.append() gebruik om nodusse te vervang.
- die reeks URL-skemas wat toegelaat word om te ignoreer met behulp van registerProtocolHandler(). Die lys skemas bevat die gedesentraliseerde protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns en ssb, wat jou toelaat om skakels na elemente te definieer, ongeag die webwerf of poort wat toegang tot die hulpbron bied.
- In die API bygevoeg ondersteuning vir die teks/html-formaat vir die kopiëring en plak van HTML via die knipbord (gevaarlike HTML-konstrukte word skoongemaak wanneer jy na die knipbord skryf en lees). Die verandering stel jou byvoorbeeld in staat om die invoeging en kopiëring van geformateerde teks met beelde en skakels in webredigeerders te organiseer.
- In WebRTC die vermoë om jou eie datahanteerders te koppel wat by die enkodering of dekodering stadiums van WebRTC MediaStreamTrack genoem word. Hierdie vermoë kan byvoorbeeld gebruik word om ondersteuning by te voeg vir end-tot-end-enkripsie van data wat deur intermediêre bedieners versend word.
- In JavaScript-enjin V8 met 75% implementering van Number.prototype.toString. Bygevoeg .name-eienskap by asynchrone klasse met 'n leë waarde. Die Atomics.wake-metode is verwyder, wat op 'n tyd herdoop is na Atomics.notify om aan die ECMA-262-spesifikasie te voldoen. Fuzzing toets toolkit kode oop .
- Die Liftoff-basislynsamesteller vir WebAssembly, wat in die laaste vrystelling vrygestel is, bevat die vermoë om vektorinstruksies te gebruik berekeninge te bespoedig. Te oordeel aan die toetse, het optimalisering dit moontlik gemaak om sommige toetse met 2.8 keer te bespoedig. Nog 'n optimalisering het dit baie vinniger gemaak om ingevoerde JavaScript-funksies van WebAssembly af te roep.
- gereedskap vir webontwikkelaars: Die Media-paneel het inligting bygevoeg oor die spelers wat gebruik word om video op die bladsy te speel, insluitend gebeurtenisdata, logboeke, eiendomswaardes en raamdekoderingsparameters (jy kan byvoorbeeld die oorsake van raamverlies en interaksieprobleme bepaal van JavaScript).
In die kontekskieslys van die Elemente-paneel is die vermoë om skermkiekies van die geselekteerde element te skep bygevoeg (jy kan byvoorbeeld 'n skermskoot van die inhoudsopgawe of tabel skep).
In die webkonsole is die probleemwaarskuwingspaneel met 'n gewone boodskap vervang, en probleme met derdeparty-koekies word by verstek in die Kwessies-oortjie versteek en word met 'n spesiale merkblokkie geaktiveer.
In die Rendering-oortjie is 'n "Deaktiveer plaaslike lettertipes"-knoppie bygevoeg, wat jou toelaat om die afwesigheid van plaaslike lettertipes te simuleer, en in die Sensors-oortjie kan jy nou gebruikeronaktiwiteit simuleer (vir toepassings wat die Idle Detection API gebruik).
Die toepassingspaneel verskaf gedetailleerde inligting oor elke iframe, oop venster en opspring, insluitend inligting oor kruisoorsprong-isolasie met behulp van COEP en COOP.
- protokol implementering vervanging na die opsie wat in die IETF-spesifikasie ontwikkel is, in plaas van die Google QUIC-opsie.
Benewens innovasies en foutoplossings, skakel die nuwe weergawe uit . Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsinstrumente , , , и . Een kwesbaarheid (CVE-2020-15967, toegang tot vrygestelde geheue in kode vir interaksie met Google Payments) word as krities gemerk, d.w.s. laat jou toe om alle vlakke van blaaierbeskerming te omseil en kode op die stelsel buite die sandbox-omgewing uit te voer. As deel van die program om kontantbelonings te betaal vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 27 toekennings ter waarde van $71500 betaal (een $15000-toekenning, drie $7500-toekennings, vyf $5000-toekennings, twee $3000-toekennings, een $200-toekenning en twee $500-toekennings). Die grootte van 13 belonings is nog nie bepaal nie.
Bron: opennet.ru