ProHoster > بلوق > أخبار الإنترنت > الكروم 86

الكروم 86

تم إصدار الإصدار التالي من Chrome 86 والإصدار الثابت من Chromium.

التغييرات الرئيسية في Chrome 86:

  • الحماية ضد التقديم غير الآمن لنماذج الإدخال على الصفحات المحملة عبر HTTPS ولكن يتم إرسال البيانات عبر HTTP.
  • يتم استكمال حظر التنزيلات غير الآمنة (http) للملفات القابلة للتنفيذ عن طريق حظر التنزيلات غير الآمنة للأرشيفات (zip، iso، وما إلى ذلك) وعرض تحذيرات للتنزيل غير الآمن للمستندات (docx، pdf، وما إلى ذلك). من المتوقع حظر المستندات والتحذيرات الخاصة بالصور والنصوص وملفات الوسائط في الإصدار التالي. يتم تنفيذ الحظر لأن تنزيل الملفات بدون تشفير يمكن استخدامه لتنفيذ إجراءات ضارة عن طريق استبدال المحتوى أثناء هجمات MITM.
  • تعرض قائمة السياق الافتراضية خيار "إظهار عنوان URL الكامل دائمًا"، والذي كان يتطلب سابقًا تغيير الإعدادات في صفحة about:flags لتمكينه. يمكن أيضًا عرض عنوان URL الكامل بالنقر المزدوج على شريط العناوين. دعنا نذكرك أنه بدءًا من Chrome 76، بدأ ظهور العنوان افتراضيًا بدون البروتوكول والمجال الفرعي www. في Chrome 79، تمت إزالة إعداد إرجاع السلوك القديم، ولكن بعد استياء المستخدم، تمت إضافة علامة تجريبية جديدة في Chrome 83 تضيف خيارًا إلى قائمة السياق لتعطيل إخفاء وإظهار عنوان URL الكامل في جميع الظروف.
    بالنسبة لنسبة صغيرة من المستخدمين، تم إطلاق تجربة لعرض النطاق فقط في شريط العناوين بشكل افتراضي، بدون عناصر المسار ومعلمات الاستعلام. على سبيل المثال، بدلاً من "https://example.com/secure-google-sign-in/" سيتم عرض "example.com". ومن المتوقع أن يتم تقديم الوضع المقترح لجميع المستخدمين في أحد الإصدارات القادمة. لتعطيل هذا السلوك، يمكنك استخدام خيار "إظهار عنوان URL الكامل دائمًا"، ولعرض عنوان URL بالكامل، يمكنك النقر على شريط العناوين. الدافع وراء التغيير هو الرغبة في حماية المستخدمين من التصيد الاحتيالي الذي يتلاعب بالمعلمات الموجودة في عنوان URL - يستغل المهاجمون عدم انتباه المستخدمين لخلق مظهر فتح موقع آخر وارتكاب إجراءات احتيالية (إذا كانت هذه البدائل واضحة لمستخدم مختص تقنيًا ، فإن الأشخاص عديمي الخبرة يقعون بسهولة في مثل هذا التلاعب البسيط).
  • تم تجديد مبادرة إزالة دعم FTP. في Chrome 86، يتم تعطيل FTP افتراضيًا لحوالي 1% من المستخدمين، وفي Chrome 87 سيتم زيادة نطاق التعطيل إلى 50%، ولكن يمكن إرجاع الدعم مرة أخرى باستخدام "--enable-ftp" أو "- -enable-features=FtpProtocol" علامة. في Chrome 88، سيتم تعطيل دعم FTP تمامًا.
  • في إصدار Android، على غرار إصدار أنظمة سطح المكتب، ينفذ مدير كلمات المرور فحصًا لتسجيلات الدخول وكلمات المرور المحفوظة مقابل قاعدة بيانات للحسابات المخترقة، ويعرض تحذيرًا في حالة اكتشاف مشكلات أو محاولة استخدام كلمات مرور تافهة. يتم إجراء الفحص وفقًا لقاعدة بيانات تغطي أكثر من 4 مليارات حساب مخترق ظهرت في قواعد بيانات المستخدمين المسربة. للحفاظ على الخصوصية، يتم التحقق من بادئة التجزئة من جانب المستخدم، ولا يتم نقل كلمات المرور نفسها وتجزئاتها الكاملة خارجيًا.
  • تم أيضًا نقل زر "فحص الأمان" ووضع الحماية المحسّن ضد المواقع الخطرة (التصفح الآمن المحسّن) إلى إصدار Android. يعرض زر "التحقق من الأمان" ملخصًا للمشكلات الأمنية المحتملة، مثل استخدام كلمات المرور المخترقة، وحالة فحص المواقع الضارة (التصفح الآمن)، ووجود تحديثات تم إلغاء تثبيتها، وتحديد الوظائف الإضافية الضارة. يقوم وضع الحماية المتقدمة بتنشيط عمليات فحص إضافية للحماية من التصيد الاحتيالي والأنشطة الضارة والتهديدات الأخرى على الويب، ويتضمن أيضًا حماية إضافية لحساب Google الخاص بك وخدمات Google (Gmail وDrive وما إلى ذلك). إذا تم إجراء عمليات التحقق في وضع التصفح الآمن العادي محليًا باستخدام قاعدة بيانات يتم تحميلها بشكل دوري على نظام العميل، ففي التصفح الآمن المحسن يتم إرسال معلومات حول الصفحات والتنزيلات في الوقت الفعلي للتحقق من جانب Google، مما يسمح لك بالاستجابة بسرعة التهديدات فور التعرف عليها، دون الانتظار حتى يتم تحديث القائمة السوداء المحلية.
  • تمت إضافة دعم لملف المؤشر ".well-known/change-password"، والذي يمكن لمالكي الموقع من خلاله تحديد عنوان نموذج الويب لتغيير كلمة المرور. إذا تم اختراق بيانات اعتماد المستخدم، فسيطالب Chrome الآن المستخدم على الفور بنموذج تغيير كلمة المرور استنادًا إلى المعلومات الموجودة في هذا الملف.
  • تم تنفيذ تحذير "نصيحة الأمان" الجديد، والذي يتم عرضه عند فتح المواقع التي يكون نطاقها مشابهًا جدًا لموقع آخر وتظهر الاستدلالات أن هناك احتمالًا كبيرًا للانتحال (على سبيل المثال، يتم فتح goog0le.com بدلاً من google.com).

    * تم تنفيذ دعم ذاكرة التخزين المؤقت للخلف للأمام، مما يوفر التنقل الفوري عند استخدام زري "الخلف" و"الأمام" أو عند التنقل عبر الصفحات التي تم عرضها مسبقًا في الموقع الحالي. يتم تمكين ذاكرة التخزين المؤقت باستخدام إعداد chrome://flags/#back-forward-cache.

  • تحسين استهلاك موارد وحدة المعالجة المركزية للنوافذ خارج النطاق. يتحقق Chrome مما إذا كانت نافذة المتصفح متداخلة مع نوافذ أخرى ويمنع رسم وحدات البكسل في مناطق التداخل. تم تمكين هذا التحسين لنسبة صغيرة من المستخدمين في الإصدارين 84 و85 من Chrome، وهو الآن ممكّن في كل مكان. بالمقارنة مع الإصدارات السابقة، تم أيضًا حل مشكلة عدم التوافق مع أنظمة المحاكاة الافتراضية التي تسببت في ظهور صفحات بيضاء فارغة.
  • زيادة تقليم الموارد لعلامات التبويب الخلفية. لم يعد بإمكان علامات التبويب هذه أن تستهلك أكثر من 1% من موارد وحدة المعالجة المركزية، ولا يمكن تنشيطها أكثر من مرة واحدة في الدقيقة. بعد خمس دقائق من وجودها في الخلفية، يتم تجميد علامات التبويب، باستثناء علامات التبويب التي تقوم بتشغيل محتوى الوسائط المتعددة أو التسجيل.
  • تم استئناف العمل على توحيد رأس HTTP لوكيل المستخدم. في الإصدار الجديد، يتم تنشيط دعم آلية تلميحات عميل وكيل المستخدم، التي تم تطويرها كبديل لوكيل المستخدم، لجميع المستخدمين. تتضمن الآلية الجديدة إرجاع البيانات بشكل انتقائي حول معلمات محددة للمتصفح والنظام (الإصدار والنظام الأساسي وما إلى ذلك) فقط بعد طلب من الخادم ومنح المستخدمين الفرصة لتقديم هذه المعلومات بشكل انتقائي لأصحاب المواقع. عند استخدام تلميحات عميل وكيل المستخدم، لا يتم إرسال المعرف افتراضيًا دون طلب صريح، مما يجعل التعريف السلبي مستحيلًا (افتراضيًا، تتم الإشارة إلى اسم المتصفح فقط).
    تم تغيير الإشارة إلى وجود تحديث والحاجة إلى إعادة تشغيل المتصفح لتثبيته. بدلاً من السهم الملون، يظهر الآن "تحديث" في حقل الصورة الرمزية للحساب.
  • تم العمل على تحويل المتصفح لاستخدام مصطلحات شاملة. في أسماء السياسات، تم استبدال الكلمتين "القائمة البيضاء" و"القائمة السوداء" بكلمات "القائمة المسموح بها" و"القائمة المحظورة" (ستستمر السياسات المضافة بالفعل في العمل، ولكنها ستعرض تحذيرًا بشأن إهمالها). في التعليمات البرمجية وأسماء الملفات، تم استبدال الإشارات إلى "القائمة السوداء" بـ "القائمة السوداء". تم استبدال الإشارات المرئية للمستخدم إلى "القائمة السوداء" و"القائمة البيضاء" في بداية عام 2019.
    تمت إضافة قدرة تجريبية على تعديل كلمات المرور المحفوظة، وتم تفعيلها باستخدام علامة "chrome://flags/#edit-passwords-in-settings".
  • تم نقل واجهة برمجة تطبيقات نظام الملفات الأصلية إلى فئة واجهة برمجة التطبيقات المستقرة والمتاحة للعامة، مما يسمح لك بإنشاء تطبيقات ويب تتفاعل مع الملفات الموجودة في نظام الملفات المحلي. على سبيل المثال، قد تكون واجهة برمجة التطبيقات (API) الجديدة مطلوبة في بيئات التطوير المتكاملة القائمة على المتصفح، ومحرري النصوص والصور والفيديو. لتتمكن من كتابة الملفات وقراءتها مباشرة أو استخدام مربعات الحوار لفتح الملفات وحفظها، وكذلك للتنقل عبر محتويات الدلائل، يطلب التطبيق من المستخدم تأكيدًا خاصًا.
  • تمت إضافة محدد CSS ":focus-visible"، والذي يستخدم نفس الأساليب البحثية التي يستخدمها المتصفح عند تحديد ما إذا كان سيتم إظهار مؤشر تغيير التركيز (عند نقل التركيز إلى زر باستخدام اختصارات لوحة المفاتيح، يظهر المؤشر، ولكن عند النقر بالماوس ، لم يحدث ذلك). محدد CSS المتوفر مسبقًا ":focus" يسلط الضوء دائمًا على التركيز. بالإضافة إلى ذلك، تمت إضافة خيار "Quick Focus Highlight" إلى الإعدادات، عند تمكينه، سيتم عرض مؤشر تركيز إضافي بجوار العناصر النشطة، والذي يظل مرئيًا حتى إذا تم تعطيل عناصر النمط الخاصة بإبراز التركيز البصري في الصفحة عبر CSS.
  • تمت إضافة العديد من واجهات برمجة التطبيقات الجديدة إلى وضع Origin Trials (ميزات تجريبية تتطلب تنشيطًا منفصلاً). يتضمن Origin Trial القدرة على العمل مع واجهة برمجة التطبيقات المحددة من التطبيقات التي تم تنزيلها من المضيف المحلي أو 127.0.0.1 ، أو بعد التسجيل واستلام رمز خاص صالح لفترة محدودة لموقع معين.
  • WebHID API للوصول على مستوى منخفض إلى أجهزة HID (أجهزة الواجهة البشرية ولوحات المفاتيح والفئران ولوحات الألعاب ولوحات اللمس)، والتي تتيح لك تنفيذ منطق العمل مع جهاز HID في JavaScript لتنظيم العمل مع أجهزة HID النادرة دون وجود برامج تشغيل محددة في النظام. بادئ ذي بدء، تهدف واجهة برمجة التطبيقات الجديدة إلى توفير الدعم للوحات الألعاب.
  • تعمل واجهة برمجة تطبيقات معلومات الشاشة على توسيع واجهة برمجة تطبيقات وضع النافذة لدعم تكوينات الشاشات المتعددة. على عكس window.screen، تسمح لك واجهة برمجة التطبيقات الجديدة بمعالجة موضع النافذة في مساحة الشاشة الإجمالية للأنظمة متعددة الشاشات، دون التقيد بالشاشة الحالية.
  • توفير طاقة البطارية باستخدام العلامة الوصفية، والتي يمكن للموقع من خلالها إبلاغ المتصفح بالحاجة إلى تنشيط الأوضاع لتقليل استهلاك الطاقة وتحسين حمل وحدة المعالجة المركزية.
  • واجهة برمجة تطبيقات تقارير COOP للإبلاغ عن الانتهاكات المحتملة لسياسة التضمين المتقاطع (COEP) وأوضاع العزل للسياسة المتداخلة المصدر (COOP)، دون تطبيق قيود فعلية.
  • توفر واجهة برمجة تطبيقات إدارة بيانات الاعتماد نوعًا جديدًا من بيانات الاعتماد، وهو PaymentCredential، الذي يوفر تأكيدًا إضافيًا لمعاملة الدفع التي يتم تنفيذها. يتمتع الطرف المعتمد، مثل البنك، بالقدرة على إنشاء مفتاح عام، وهو PublicKeyCredential، والذي يمكن أن يطلبه التاجر للحصول على تأكيد إضافي للدفع الآمن.
  • أضافت واجهة برمجة تطبيقات PointerEvents لتحديد ميل القلم* دعمًا لزوايا الارتفاع (الزاوية بين القلم والشاشة) والسمت (الزاوية بين المحور X وإسقاط القلم على الشاشة)، بدلاً من زوايا TiltX وTilTY (الزوايا بين المستوى من القلم وأحد المحاور والمستوى من المحورين Y وZ). تمت إضافة وظائف التحويل أيضًا بين الارتفاع/السمت وTiltX/TiltY.
  • تم تغيير ترميز المسافة في عناوين URL عند حسابها في معالجات البروتوكول - تستبدل طريقة navigator.registerProtocolHandler() الآن المسافات بـ "%20" بدلاً من "+"، مما يوحد السلوك مع المتصفحات الأخرى مثل Firefox.
  • تمت إضافة عنصر زائف "::marker" إلى CSS، مما يسمح لك بتخصيص اللون والحجم والشكل ونوع الأرقام والنقاط للقوائم في الكتل و .
  • تمت إضافة دعم لرأس Document-Policy HTTP، والذي يسمح لك بتعيين قواعد للوصول إلى المستندات، على غرار آلية عزل وضع الحماية لإطارات iframe، ولكنها أكثر عالمية. على سبيل المثال، من خلال Document-Policy، يمكنك الحد من استخدام الصور منخفضة الجودة، وتعطيل واجهات برمجة تطبيقات JavaScript البطيئة، وتكوين قواعد لتحميل إطارات iframe والصور والبرامج النصية، والحد من الحجم الإجمالي للمستند وحركة المرور، وحظر الأساليب التي تؤدي إلى إعادة رسم الصفحة، و تعطيل وظيفة التمرير إلى النص.
  • إلى العنصر تمت إضافة دعم لمعلمات "inline-grid" و"grid" و"inline-flex" و"flex" التي تم تعيينها عبر خاصية "display" في CSS.
  • تمت إضافة طريقة ParentNode.replaceChildren() لاستبدال كافة العناصر الفرعية للعقدة الأصلية بعقدة DOM أخرى. في السابق، كان بإمكانك استخدام مزيج منnode.removeChild() وnode.append() أوnode.innerHTML وnode.append() لاستبدال العقد.
  • تم توسيع نطاق أنظمة URL التي يمكن تجاوزها باستخدام RegisterProtocolHandler(). تتضمن قائمة المخططات البروتوكولات اللامركزية cabal، وdat، وdoid، وdweb، وethereum، وhyper، وipfs، وipns، وssb، والتي تتيح لك تحديد روابط للعناصر بغض النظر عن الموقع أو البوابة التي توفر الوصول إلى المورد.
  • تمت إضافة دعم لتنسيق النص/html إلى واجهة برمجة تطبيقات الحافظة غير المتزامنة لنسخ ولصق HTML عبر الحافظة (يتم تنظيف بنيات HTML الخطيرة عند الكتابة والقراءة في الحافظة). يتيح لك التغيير، على سبيل المثال، تنظيم إدراج ونسخ النص المنسق مع الصور والروابط في برامج تحرير الويب.
  • أضاف WebRTC القدرة على توصيل معالجات البيانات الخاصة به، والتي يتم استدعاؤها في مراحل التشفير أو فك التشفير لـ WebRTC MediaStreamTrack. على سبيل المثال، يمكن استخدام هذه الإمكانية لإضافة دعم للتشفير الشامل للبيانات المنقولة عبر خوادم وسيطة.
    في محرك JavaScript V8، تم تسريع تنفيذ Number.prototype.toString بنسبة 75%. تمت إضافة خاصية .name إلى الفئات غير المتزامنة ذات القيمة الفارغة. تمت إزالة طريقة Atomics.wake، والتي تمت إعادة تسميتها في وقت ما إلى Atomics.notify لتتوافق مع مواصفات ECMA-262. الكود الخاص بأداة اختبار التشويش JS-Fuzzer مفتوح.
  • يتضمن برنامج التحويل البرمجي الأساسي Liftoff لـ WebAssembly الذي تم إصداره في الإصدار الأخير القدرة على استخدام تعليمات ناقل SIMD لتسريع العمليات الحسابية. انطلاقا من الاختبارات، جعل التحسين من الممكن تسريع بعض الاختبارات بمقدار 2.8 مرة. هناك تحسين آخر جعل استدعاء وظائف JavaScript المستوردة من WebAssembly أسرع بكثير.
  • تم توسيع الأدوات المخصصة لمطوري الويب: أضافت لوحة الوسائط معلومات حول المشغلات المستخدمة لتشغيل الفيديو على الصفحة، بما في ذلك بيانات الأحداث والسجلات وقيم الخصائص ومعلمات فك تشفير الإطارات (على سبيل المثال، يمكنك تحديد أسباب الإطار مشاكل الخسارة والتفاعل من JavaScript).
  • في قائمة سياق لوحة العناصر، تمت إضافة القدرة على إنشاء لقطات شاشة للعنصر المحدد (على سبيل المثال، يمكنك إنشاء لقطة شاشة لجدول المحتويات أو الجدول).
  • في وحدة تحكم الويب، تم استبدال لوحة التحذير من المشكلات برسالة عادية، ويتم إخفاء المشكلات المتعلقة بملفات تعريف الارتباط التابعة لجهات خارجية بشكل افتراضي في علامة التبويب "المشكلات" ويتم تمكينها باستخدام مربع اختيار خاص.
  • في علامة التبويب "العرض"، تمت إضافة زر "تعطيل الخطوط المحلية"، والذي يسمح لك بمحاكاة غياب الخطوط المحلية، وفي علامة التبويب "أجهزة الاستشعار" يمكنك الآن محاكاة عدم نشاط المستخدم (للتطبيقات التي تستخدم Idle Detection API).
  • توفر لوحة التطبيق معلومات تفصيلية حول كل إطار iframe ونافذة مفتوحة ونافذة منبثقة، بما في ذلك معلومات حول العزل عبر الأصل باستخدام COEP وCOOP.

بدأ استبدال تنفيذ بروتوكول QUIC بالإصدار الذي تم تطويره في مواصفات IETF، بدلاً من إصدار Google من QUIC.
بالإضافة إلى الابتكارات وإصلاحات الأخطاء، يزيل الإصدار الجديد 35 نقطة ضعف. تم التعرف على العديد من نقاط الضعف نتيجة للاختبار الآلي باستخدام أدوات AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. تم وضع علامة على إحدى الثغرة الأمنية (CVE-2020-15967، الوصول إلى الذاكرة المحررة في التعليمات البرمجية للتفاعل مع Google Payments) على أنها حرجة، أي. يسمح لك بتجاوز كافة مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية. كجزء من برنامج دفع مكافآت نقدية لاكتشاف الثغرات الأمنية للإصدار الحالي، دفعت جوجل 27 جائزة بقيمة 71500 دولار (جائزة واحدة بقيمة 15000 دولار، وثلاث جوائز بقيمة 7500 دولار، وخمس جوائز بقيمة 5000 دولار، وجائزتين بقيمة 3000 دولار، وجائزة واحدة بقيمة 200 دولار، وجائزتين بقيمة 500 دولار). ولم يتم تحديد حجم المكافآت الـ 13 بعد.

مأخوذة من Opennet.ru

المصدر: linux.org.ru

إضافة تعليق