متصفح الجوجل إصدار متصفح الويب ... معا إصدار مستقر لمشروع مجاني ، وهو أساس Chrome. متصفح كروم استخدام شعارات Google ، ووجود نظام لإرسال الإشعارات في حالة حدوث عطل ، والقدرة على تنزيل وحدة فلاش عند الطلب ، ووحدات لتشغيل محتوى الفيديو المحمي (DRM) ، ونظام التحديث التلقائي ، والإرسال عند البحث . من المقرر إطلاق الإصدار التالي من Chrome 87 في 17 نوفمبر.
:
- تمت إضافة حماية ضد الإرسال غير الآمن لنماذج الإدخال على الصفحات التي تم تحميلها عبر HTTPS ولكن إرسال البيانات عبر HTTP، مما يخلق تهديدًا باعتراض البيانات والانتحال أثناء هجمات MITM. تأتي الحماية في ثلاثة تغييرات:
- تم تعطيل الملء التلقائي لأي نماذج إدخال مختلطة، تمامًا كما تم تعطيل الملء التلقائي لنماذج المصادقة على الصفحات المفتوحة عبر HTTP لبعض الوقت. إذا كانت علامة التعطيل في السابق هي فتح صفحة تحتوي على نموذج عبر HTTPS أو HTTP، فقد تم الآن أيضًا أخذ استخدام التشفير عند إرسال البيانات إلى معالج النموذج في الاعتبار. لم يتم تعطيل مدير كلمات المرور للنماذج المختلطة من المصادقة، نظرًا لأن خطر استخدام كلمة مرور غير آمنة وإعادة استخدام كلمات المرور على مواقع مختلفة يفوق خطر اعتراض حركة المرور المحتمل.
- عند البدء في الإدخال بنماذج مختلطة، يتم عرض تحذير لإعلام المستخدم بأن البيانات المكتملة يتم إرسالها عبر قناة اتصال غير مشفرة.
- عندما تحاول إرسال نموذج مختلط، يتم عرض صفحة منفصلة لإعلامك بالمخاطر المحتملة لنقل البيانات عبر قناة اتصال غير مشفرة. في الإصدارات السابقة، تم استخدام مؤشر القفل في شريط العناوين للإشارة إلى النماذج المختلطة، لكن هذه العلامة لم تكن واضحة للمستخدمين ولم تعكس بشكل فعال المخاطر التي تنطوي عليها.
- حجب (بدون تشفير) للملفات القابلة للتنفيذ يتم استكمالها عن طريق منع التحميل غير الآمن للأرشيفات (zip، iso، وما إلى ذلك) وعرض تحذيرات للتحميل غير الآمن
المستندات (docx، pdf، إلخ). من المتوقع حظر المستندات والتحذيرات الخاصة بالصور والنصوص وملفات الوسائط في الإصدار التالي. يتم تنفيذ الحظر لأن تنزيل الملفات بدون تشفير يمكن استخدامه لتنفيذ إجراءات ضارة عن طريق استبدال المحتوى أثناء هجمات MITM. - تعرض قائمة السياق الافتراضية خيار "إظهار عنوان URL الكامل دائمًا"، والذي كان يتطلب سابقًا تغيير الإعدادات في صفحة about:flags لتمكينه. يمكن أيضًا عرض عنوان URL الكامل بالنقر المزدوج على شريط العناوين. ولنتذكر أنه ابتداء من افتراضيًا، بدأ ظهور العنوان بدون بروتوكول والمجال الفرعي www. في تمت إزالة الإعداد الخاص بإرجاع السلوك القديم، ولكن بعد عدم رضا المستخدم عنه تمت إضافة علامة تجريبية جديدة تضيف خيارًا إلى قائمة السياق لتعطيل إخفاء وإظهار عنوان URL الكامل في أي ظروف.
- تم إطلاقه لنسبة صغيرة من المستخدمين في افتراضيًا، يحتوي شريط العناوين على المجال فقط، بدون عناصر المسار ومعلمات الاستعلام. على سبيل المثال، بدلاً من "https://example.com/secure-google-sign-in/" سيظهر "example.com". ومن المتوقع أن يتم تقديم الوضع المقترح لجميع المستخدمين في أحد الإصدارات القادمة. لتعطيل هذا السلوك، يمكنك استخدام خيار "إظهار عنوان URL الكامل دائمًا"، ولعرض عنوان URL بالكامل، يمكنك النقر على شريط العناوين. الدافع وراء التغيير هو الرغبة في حماية المستخدمين من التصيد الاحتيالي الذي يتلاعب بالمعلمات الموجودة في عنوان URL - يستغل المهاجمون عدم انتباه المستخدمين لخلق مظهر فتح موقع آخر وارتكاب إجراءات احتيالية (إذا كانت هذه البدائل واضحة لمستخدم مختص تقنيًا ، فإن الأشخاص عديمي الخبرة يقعون بسهولة في مثل هذا التلاعب البسيط).
- مستأنفة لإزالة دعم FTP. في Chrome 86، يتم تعطيل FTP افتراضيًا لحوالي 1% من المستخدمين، وفي Chrome 87 سيتم زيادة نطاق التعطيل إلى 50%، ولكن يمكن إرجاع الدعم مرة أخرى باستخدام "--enable-ftp" أو "- -enable-features=FtpProtocol" علامة. في Chrome 88، سيتم تعطيل دعم FTP تمامًا.
- في إصدار Android، على غرار إصدار أنظمة سطح المكتب، ينفذ مدير كلمات المرور فحصًا لتسجيلات الدخول وكلمات المرور المحفوظة مقابل قاعدة بيانات للحسابات المخترقة، ويعرض تحذيرًا في حالة اكتشاف مشكلات أو محاولة استخدام كلمات مرور تافهة. يتم إجراء الفحص وفقًا لقاعدة بيانات تغطي أكثر من 4 مليارات حساب مخترق ظهرت في قواعد بيانات المستخدمين المسربة. للحفاظ على الخصوصية يتم التحقق من بادئة التجزئة من جانب المستخدم، ولا يتم نقل كلمات المرور نفسها وتجزئاتها الكاملة خارجيًا.
- متوفر أيضًا في إصدار Android زر "فحص الأمان" ووضع الحماية المعزز ضد المواقع الخطرة (التصفح الآمن المحسن). يعرض زر "التحقق من الأمان" ملخصًا للمشكلات الأمنية المحتملة، مثل استخدام كلمات المرور المخترقة، وحالة فحص المواقع الضارة (التصفح الآمن)، ووجود تحديثات تم إلغاء تثبيتها، وتحديد الوظائف الإضافية الضارة. يقوم وضع الحماية المتقدمة بتنشيط عمليات فحص إضافية للحماية من التصيد الاحتيالي والأنشطة الضارة والتهديدات الأخرى على الويب، ويتضمن أيضًا حماية إضافية لحساب Google الخاص بك وخدمات Google (Gmail وDrive وما إلى ذلك). إذا تم إجراء عمليات التحقق في وضع التصفح الآمن العادي محليًا باستخدام قاعدة بيانات يتم تحميلها بشكل دوري على نظام العميل، ففي التصفح الآمن المحسن يتم إرسال معلومات حول الصفحات والتنزيلات في الوقت الفعلي للتحقق من جانب Google، مما يسمح لك بالاستجابة بسرعة التهديدات فور التعرف عليها، دون الانتظار حتى يتم تحديث القائمة السوداء المحلية.
- دعم ملف المؤشر ".well-known/change-password"، والذي يمكن لمالكي الموقع من خلاله تحديد عنوان نموذج الويب لتغيير كلمة المرور. إذا تم اختراق بيانات اعتماد المستخدم، فسيطالب Chrome الآن المستخدم على الفور بنموذج تغيير كلمة المرور استنادًا إلى المعلومات الموجودة في هذا الملف.
- تم تنفيذ تحذير "نصيحة الأمان" الجديد، والذي يتم عرضه عند فتح المواقع التي يكون نطاقها مشابهًا جدًا لموقع آخر وتظهر الاستدلالات أن هناك احتمالًا كبيرًا للانتحال (على سبيل المثال، يتم فتح goog0le.com بدلاً من google.com).
- دعم ذاكرة التخزين المؤقت للخلف للأمام، والتي توفر التنقل الفوري عند استخدام زري "الخلف" و"الأمام" أو عند التنقل عبر الصفحات التي تم عرضها مسبقًا في الموقع الحالي. يتم تمكين ذاكرة التخزين المؤقت باستخدام إعداد chrome://flags/#back-forward-cache.
- تم تنفيذ تحسين استهلاك موارد وحدة المعالجة المركزية بواسطة Windows
خارج النطاق. يتحقق Chrome مما إذا كانت نافذة المتصفح متداخلة مع نوافذ أخرى ويمنع رسم وحدات البكسل في مناطق التداخل. تم تمكين هذا التحسين لنسبة صغيرة من المستخدمين في الإصدارين 84 و85 من Chrome، وهو الآن ممكّن في كل مكان. بالمقارنة مع الإصدارات السابقة، تم أيضًا حل مشكلة عدم التوافق مع أنظمة المحاكاة الافتراضية التي تسببت في ظهور صفحات بيضاء فارغة. - زيادة تقليم الموارد لعلامات التبويب الخلفية. لم يعد بإمكان علامات التبويب هذه أن تستهلك أكثر من 1% من موارد وحدة المعالجة المركزية، ولا يمكن تنشيطها أكثر من مرة واحدة في الدقيقة. بعد خمس دقائق من وجودها في الخلفية، يتم تجميد علامات التبويب، باستثناء علامات التبويب التي تقوم بتشغيل محتوى الوسائط المتعددة أو التسجيل.
- يعمل على وكيل مستخدم رأس HTTP. وفي الإصدار الجديد تم تفعيل دعم الآلية لجميع المستخدمين ، تم تطويره كبديل لوكيل المستخدم. تتضمن الآلية الجديدة إرجاع البيانات بشكل انتقائي حول معلمات محددة للمتصفح والنظام (الإصدار والنظام الأساسي وما إلى ذلك) فقط بعد طلب من الخادم ومنح المستخدمين الفرصة لتقديم هذه المعلومات بشكل انتقائي لأصحاب المواقع. عند استخدام تلميحات عميل وكيل المستخدم، لا يتم إرسال المعرف افتراضيًا دون طلب صريح، مما يجعل التعريف السلبي مستحيلًا (افتراضيًا، تتم الإشارة إلى اسم المتصفح فقط).
- تم تغيير الإشارة إلى وجود تحديث والحاجة إلى إعادة تشغيل المتصفح لتثبيته. بدلاً من السهم الملون، يظهر الآن "تحديث" في حقل الصورة الرمزية للحساب.
- تم العمل على تحويل المتصفح لاستخدام مصطلحات شاملة. في أسماء السياسات، تم استبدال الكلمتين "القائمة البيضاء" و"القائمة السوداء" بكلمات "القائمة المسموح بها" و"القائمة المحظورة" (ستستمر السياسات المضافة بالفعل في العمل، ولكنها ستعرض تحذيرًا بشأن إهمالها). في и تم استبدال الإشارات إلى "القائمة السوداء" بـ "القائمة السوداء".
تم استبدال الإشارات المرئية للمستخدم إلى "القائمة السوداء" و"القائمة البيضاء" في بداية عام 2019. - تمت إضافة قدرة تجريبية على تعديل كلمات المرور المحفوظة، وتم تفعيلها باستخدام علامة "chrome://flags/#edit-passwords-in-settings".
- تم التحويل إلى واجهة برمجة التطبيقات (API) المستقرة والعامة ، والذي يسمح لك بإنشاء تطبيقات ويب تتفاعل مع الملفات الموجودة في نظام الملفات المحلي. على سبيل المثال، قد تكون واجهة برمجة التطبيقات (API) الجديدة مطلوبة في بيئات التطوير المتكاملة القائمة على المتصفح، ومحرري النصوص والصور والفيديو. لتتمكن من كتابة الملفات وقراءتها مباشرة أو استخدام مربعات الحوار لفتح الملفات وحفظها، وكذلك للتنقل عبر محتويات الدلائل، يطلب التطبيق من المستخدم تأكيدًا خاصًا.
- تمت إضافة محدد CSS ""، والذي يستخدم نفس الأساليب البحثية التي يستخدمها المتصفح عند تحديد ما إذا كان سيتم إظهار مؤشر تغيير التركيز (عند نقل التركيز إلى زر باستخدام اختصارات لوحة المفاتيح، يظهر المؤشر، ولكن عند النقر بالماوس، لا يظهر). محدد CSS المتوفر مسبقًا ":focus" يسلط الضوء دائمًا على التركيز.
بالإضافة إلى ذلك، تمت إضافة خيار "Quick Focus Highlight" إلى الإعدادات، عند تمكينه، سيتم عرض مؤشر تركيز إضافي بجوار العناصر النشطة، والذي يظل مرئيًا حتى إذا تم تعطيل عناصر النمط الخاصة بإبراز التركيز بشكل مرئي في الصفحة عبر CSS . - تمت إضافة العديد من واجهات برمجة التطبيقات الجديدة إلى وضع Origin Trials (ميزات تجريبية تتطلب تنشيطًا منفصلاً). يتضمن Origin Trial القدرة على العمل مع واجهة برمجة التطبيقات المحددة من التطبيقات التي تم تنزيلها من المضيف المحلي أو 127.0.0.1 ، أو بعد التسجيل واستلام رمز خاص صالح لفترة محدودة لموقع معين.
- للوصول على مستوى منخفض إلى أجهزة HID (أجهزة الواجهة البشرية ولوحات المفاتيح والفئران ولوحات الألعاب ولوحات اللمس)، مما يسمح لك بتنفيذ منطق العمل مع جهاز HID في JavaScript لتنظيم العمل مع أجهزة HID النادرة دون وجود برامج تشغيل محددة في النظام.
بادئ ذي بدء، تهدف واجهة برمجة التطبيقات الجديدة إلى توفير الدعم للوحات الألعاب. - ، يعمل على توسيع واجهة برمجة تطبيقات Window Placement لدعم تكوينات الشاشات المتعددة. على عكس window.screen، تسمح لك واجهة برمجة التطبيقات الجديدة بمعالجة موضع النافذة في مساحة الشاشة الإجمالية للأنظمة متعددة الشاشات، دون التقيد بالشاشة الحالية.
- علامة متغيرة ، والتي يمكن للموقع من خلالها إبلاغ المتصفح بالحاجة إلى تنشيط الأوضاع لتقليل استهلاك الطاقة وتحسين حمل وحدة المعالجة المركزية.
- API للإبلاغ عن الانتهاكات المحتملة لأنظمة العزل (كوب) و (COOP)، دون تطبيق قيود فعلية.
- في واجهة برمجة التطبيقات وقد تم اقتراح نوع جديد من أوراق الاعتماد ، مما يوفر تأكيدًا إضافيًا لمعاملة الدفع التي يتم تنفيذها. يتمتع الطرف المعتمد، مثل البنك، بالقدرة على إنشاء مفتاح عام، وهو PublicKeyCredential، والذي يمكن أن يطلبه التاجر للحصول على تأكيد إضافي للدفع الآمن.
- للوصول على مستوى منخفض إلى أجهزة HID (أجهزة الواجهة البشرية ولوحات المفاتيح والفئران ولوحات الألعاب ولوحات اللمس)، مما يسمح لك بتنفيذ منطق العمل مع جهاز HID في JavaScript لتنظيم العمل مع أجهزة HID النادرة دون وجود برامج تشغيل محددة في النظام.
- في واجهة برمجة التطبيقات لتحديد ميل القلم، تمت إضافة دعم لزوايا الارتفاع (الزاوية بين القلم والشاشة) والسمت (الزاوية بين المحور X وإسقاط القلم على الشاشة)، بدلاً من TiltX و زوايا الميل (الزوايا بين المستوى من القلم وأحد المحاور والمستوى من المحورين Y وY Z). تمت إضافة وظائف التحويل أيضًا بين الارتفاع/السمت وTiltX/TiltY.
- تم تغيير ترميز المسافة في عناوين URL عند حسابها في معالجات البروتوكول - تستبدل طريقة navigator.registerProtocolHandler() الآن المسافات بـ "%20" بدلاً من "+"، مما يوحد السلوك مع المتصفحات الأخرى مثل Firefox.
- تمت إضافة عنصر CSS الزائف ""، والذي يسمح لك بتخصيص اللون والحجم والشكل ونوع الأرقام والنقاط للقوائم في الكتل و .
- تمت إضافة دعم رأس HTTP , قواعد الوصول إلى المستندات، تشبه آلية عزل وضع الحماية لإطارات iframe، ولكنها أكثر عالمية. على سبيل المثال، من خلال Document-Policy، يمكنك الحد من استخدام الصور منخفضة الجودة، وتعطيل واجهات برمجة تطبيقات JavaScript البطيئة، وتكوين قواعد لتحميل إطارات iframe والصور والبرامج النصية، والحد من الحجم الإجمالي للمستند وحركة المرور، وحظر الأساليب التي تؤدي إلى إعادة رسم الصفحة، وتعطيل الوظيفة .
- إلى العنصر تمت إضافة دعم لمعلمات "inline-grid" و"grid" و"inline-flex" و"flex" التي تم تعيينها عبر خاصية "display" في CSS.
- الطريقة المضافة لاستبدال كافة العناصر الفرعية للعقدة الأصلية بعقدة DOM أخرى. في السابق، كان بإمكانك استخدام مزيج منnode.removeChild() وnode.append() أوnode.innerHTML وnode.append() لاستبدال العقد.
- نطاق أنظمة URL المسموح بتجاوزها باستخدام RegisterProtocolHandler(). تتضمن قائمة المخططات البروتوكولات اللامركزية cabal، وdat، وdoid، وdweb، وethereum، وhyper، وipfs، وipns، وssb، والتي تتيح لك تحديد روابط للعناصر بغض النظر عن الموقع أو البوابة التي توفر الوصول إلى المورد.
- في واجهة برمجة التطبيقات تمت إضافة دعم لتنسيق النص/html لنسخ ولصق HTML عبر الحافظة (يتم تنظيف بنيات HTML الخطيرة عند الكتابة والقراءة في الحافظة). يتيح لك التغيير، على سبيل المثال، تنظيم إدراج ونسخ النص المنسق مع الصور والروابط في برامج تحرير الويب.
- في ويب آر تي سي القدرة على توصيل معالجات البيانات الخاصة بك والتي يتم استدعاؤها في مراحل التشفير أو فك التشفير لـ WebRTC MediaStreamTrack. على سبيل المثال، يمكن استخدام هذه الإمكانية لإضافة دعم للتشفير الشامل للبيانات المنقولة عبر خوادم وسيطة.
- في محرك JavaScript V8 بنسبة 75% تنفيذ Number.prototype.toString. تمت إضافة خاصية .name إلى الفئات غير المتزامنة ذات القيمة الفارغة. تمت إزالة طريقة Atomics.wake، والتي تمت إعادة تسميتها في وقت ما إلى Atomics.notify لتتوافق مع مواصفات ECMA-262. كود مجموعة أدوات الاختبار مفتوح .
- يتضمن برنامج التحويل البرمجي الأساسي Liftoff لـ WebAssembly، والذي تم إصداره في الإصدار الأخير، القدرة على استخدام تعليمات المتجهات لتسريع العمليات الحسابية. انطلاقا من الاختبارات، جعل التحسين من الممكن تسريع بعض الاختبارات بمقدار 2.8 مرة. هناك تحسين آخر جعل استدعاء وظائف JavaScript المستوردة من WebAssembly أسرع بكثير.
- أدوات لمطوري الويب: أضافت لوحة الوسائط معلومات حول المشغلات المستخدمة لتشغيل الفيديو على الصفحة، بما في ذلك بيانات الأحداث والسجلات وقيم الخصائص ومعلمات فك تشفير الإطارات (على سبيل المثال، يمكنك تحديد أسباب فقدان الإطار ومشاكل التفاعل من جافا سكريبت).
في قائمة سياق لوحة العناصر، تمت إضافة القدرة على إنشاء لقطات شاشة للعنصر المحدد (على سبيل المثال، يمكنك إنشاء لقطة شاشة لجدول المحتويات أو الجدول).
في وحدة تحكم الويب، تم استبدال لوحة التحذير من المشكلات برسالة عادية، ويتم إخفاء المشكلات المتعلقة بملفات تعريف الارتباط التابعة لجهات خارجية بشكل افتراضي في علامة التبويب "المشكلات" ويتم تمكينها باستخدام مربع اختيار خاص.
في علامة التبويب "العرض"، تمت إضافة زر "تعطيل الخطوط المحلية"، والذي يسمح لك بمحاكاة غياب الخطوط المحلية، وفي علامة التبويب "أجهزة الاستشعار" يمكنك الآن محاكاة عدم نشاط المستخدم (للتطبيقات التي تستخدم Idle Detection API).
توفر لوحة التطبيق معلومات تفصيلية حول كل إطار iframe ونافذة مفتوحة ونافذة منبثقة، بما في ذلك معلومات حول العزل عبر الأصل باستخدام COEP وCOOP.
- استبدال تنفيذ البروتوكول للخيار الذي تم تطويره في مواصفات IETF، بدلاً من خيار Google QUIC.
بالإضافة إلى الابتكارات وإصلاحات الأخطاء ، يزيل الإصدار الجديد . تم تحديد العديد من نقاط الضعف نتيجة لأدوات الاختبار الآلي , , , и . تم وضع علامة على إحدى الثغرة الأمنية (CVE-2020-15967، الوصول إلى الذاكرة المحررة في التعليمات البرمجية للتفاعل مع Google Payments) على أنها حرجة، أي. يسمح لك بتجاوز كافة مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية. كجزء من برنامج دفع مكافآت نقدية لاكتشاف الثغرات الأمنية للإصدار الحالي، دفعت جوجل 27 جائزة بقيمة 71500 دولار (جائزة واحدة بقيمة 15000 دولار، وثلاث جوائز بقيمة 7500 دولار، وخمس جوائز بقيمة 5000 دولار، وجائزتين بقيمة 3000 دولار، وجائزة واحدة بقيمة 200 دولار، وجائزتين بقيمة 500 دولار). ولم يتم تحديد حجم المكافآت الـ 13 بعد.
المصدر: opennet.ru