ProHoster > Blog > internet xəbərləri > Chrome 86

Chrome 86

Chrome 86-nın növbəti buraxılışı və Chromium-un stabil buraxılışı buraxıldı.

Chrome 86-da əsas dəyişikliklər:

  • HTTPS üzərindən yüklənmiş, lakin HTTP üzərindən məlumat göndərən səhifələrdə daxiletmə formalarının təhlükəli təqdim edilməsindən qorunma.
  • İcra edilə bilən faylların təhlükəli yükləmələrinin (http) bloklanması arxivlərin təhlükəli yüklənməsinin (zip, iso və s.) bloklanması və sənədlərin (docx, pdf və s.) təhlükəli yüklənməsi üçün xəbərdarlıqların göstərilməsi ilə tamamlanır. Növbəti buraxılışda sənədlərin bloklanması və şəkillər, mətn və media faylları üçün xəbərdarlıqlar gözlənilir. Bloklama ona görə həyata keçirilir ki, faylları şifrələmədən yükləmək MITM hücumları zamanı məzmunu əvəz etməklə zərərli hərəkətləri yerinə yetirmək üçün istifadə edilə bilər.
  • Defolt kontekst menyusu "Həmişə tam URL göstər" seçimini göstərir, bunun üçün əvvəllər haqqında:bayraqlar səhifəsində parametrlərin dəyişdirilməsi tələb olunurdu. Tam URL-ə ünvan çubuğuna iki dəfə klikləməklə də baxmaq olar. Nəzərinizə çatdıraq ki, Chrome 76-dan başlayaraq, standart olaraq ünvan protokol və www subdomaini olmadan göstərilməyə başladı. Chrome 79-da köhnə davranışı qaytarmaq üçün parametr silindi, lakin istifadəçinin narazılığından sonra Chrome 83-də bütün şərtlərdə tam URL-in gizlədilməsi və göstərilməsini aradan qaldırmaq üçün kontekst menyusuna seçim əlavə edən yeni eksperimental bayraq əlavə edildi.
    İstifadəçilərin kiçik bir hissəsi üçün yol elementləri və sorğu parametrləri olmadan, defolt olaraq ünvan sətrində yalnız domeni göstərmək üçün eksperimentə start verilib. Məsələn, əvəzinə "https://example.com/secure-google-sign-in/" "example.com" göstəriləcək. Təklif olunan rejimin növbəti buraxılışlardan birində bütün istifadəçilərə çatdırılması gözlənilir. Bu davranışı aradan qaldırmaq üçün "Həmişə tam URL göstər" seçimindən istifadə edə bilərsiniz və bütün URL-ə baxmaq üçün ünvan çubuğuna klikləyə bilərsiniz. Dəyişikliyin motivi istifadəçiləri URL-də parametrləri manipulyasiya edən fişinqdən qorumaq istəyidir - təcavüzkarlar istifadəçilərin diqqətsizliyindən istifadə edərək başqa sayt açmaq görüntüsü yaratmaq və saxtakarlıq hərəkətləri etməkdir (əgər bu cür əvəzetmələr texniki cəhətdən səlahiyyətli istifadəçi üçün açıqdırsa). , onda təcrübəsiz insanlar asanlıqla belə sadə manipulyasiyaya düşürlər).
  • FTP dəstəyinin aradan qaldırılması təşəbbüsü yeniləndi. Chrome 86-da FTP defolt olaraq istifadəçilərin təxminən 1%-i üçün deaktiv edilib və Chrome 87-də deaktivliyin əhatə dairəsi 50%-ə qədər artırılacaq, lakin dəstəyi "--enable-ftp" və ya "-" istifadə edərək geri qaytarmaq olar. -enable-features=FtpProtocol" bayrağı. Chrome 88-də FTP dəstəyi tamamilə söndürüləcək.
  • Masaüstü sistemlər üçün versiyaya bənzər Android versiyasında parol meneceri problem aşkar edildikdə və ya əhəmiyyətsiz parollardan istifadə etməyə cəhd edilərsə, xəbərdarlıq göstərərək, oğurlanmış hesabların verilənlər bazası ilə yadda saxlanılan giriş və parolların yoxlanılmasını həyata keçirir. Yoxlama sızan istifadəçi məlumat bazalarında görünən 4 milyarddan çox oğurlanmış hesabı əhatə edən verilənlər bazasına qarşı aparılır. Məxfiliyi qorumaq üçün hash prefiksi istifadəçi tərəfindən yoxlanılır və parolların özləri və onların tam hashləri xaricdən ötürülmür.
  • “Təhlükəsizliyin yoxlanılması” düyməsi və təhlükəli saytlara qarşı gücləndirilmiş qorunma rejimi (Enhanced Safe Browsing) də Android versiyasına köçürülüb. "Təhlükəsizliyin yoxlanılması" düyməsi oğurlanmış parolların istifadəsi, zərərli saytların yoxlanılması statusu (Təhlükəsiz Baxış), silinmiş yeniləmələrin mövcudluğu və zərərli əlavələrin müəyyən edilməsi kimi mümkün təhlükəsizlik problemlərinin xülasəsini göstərir. Qabaqcıl qorunma rejimi İnternetdə fişinq, zərərli fəaliyyət və digər təhlükələrdən qorunmaq üçün əlavə yoxlamaları aktivləşdirir, həmçinin Google hesabınız və Google xidmətləriniz (Gmail, Disk və s.) üçün əlavə qorunma daxildir. Normal Təhlükəsiz Baxış rejimində yoxlamalar müştərinin sisteminə vaxtaşırı yüklənən verilənlər bazasından istifadə etməklə yerli olaraq həyata keçirilirsə, o zaman Təkmilləşdirilmiş Təhlükəsiz Baxışda real vaxt rejimində səhifələr və endirmələr haqqında məlumat Google tərəfində yoxlama üçün göndərilir ki, bu da sizə tez cavab verməyə imkan verir. yerli qara siyahının yenilənməsini gözləmədən təhdidlər müəyyən edildikdən dərhal sonra.
  • Sayt sahiblərinin parolun dəyişdirilməsi üçün veb formasının ünvanını təyin edə biləcəyi ".well-known/change-password" göstərici faylı üçün əlavə dəstək. İstifadəçinin etimadnaməsi oğurlanarsa, Chrome indi dərhal istifadəçiyə bu fayldakı məlumat əsasında parol dəyişdirmə formasını təklif edəcək.
  • Domeni başqa sayta çox bənzəyən saytları açarkən nümayiş etdirilən yeni “Təhlükəsizlik Məsləhəti” xəbərdarlığı tətbiq edilib və evristika saxtalaşdırma ehtimalının yüksək olduğunu göstərir (məsələn, google.com əvəzinə goog0le.com açılır).

    * "Geri" və "İrəli" düymələrindən istifadə edərkən və ya cari saytın əvvəllər baxılmış səhifələrində naviqasiya zamanı ani naviqasiya təmin edən Geri-irəli ön yaddaşa dəstək tətbiq edilmişdir. Keş chrome://flags/#back-forward-cache parametrindən istifadə etməklə aktivləşdirilir.

  • Əhatə dairəsindən kənar pəncərələr üçün CPU resurs istehlakının optimallaşdırılması. Chrome brauzer pəncərəsinin digər pəncərələrlə üst-üstə düşüb-düşmədiyini yoxlayır və üst-üstə düşən yerlərdə piksellərin çəkilməsinin qarşısını alır. Bu optimallaşdırma Chrome 84 və 85-də istifadəçilərin kiçik bir hissəsi üçün aktiv edilib və indi hər yerdə aktivləşdirilib. Əvvəlki buraxılışlarla müqayisədə, boş ağ səhifələrin görünməsinə səbəb olan virtuallaşdırma sistemləri ilə uyğunsuzluq da aradan qaldırıldı.
  • Arxa fon nişanları üçün artan resurs kəsimi. Belə nişanlar artıq CPU resurslarının 1%-dən çoxunu istehlak edə bilməz və dəqiqədə bir dəfədən çox aktivləşdirilə bilməz. Beş dəqiqə arxa planda qaldıqdan sonra multimedia məzmununu oxuyan və ya yazan tablar istisna olmaqla, tablar dondurulur.
  • User-Agent HTTP başlığının unifikasiyası üzrə işlər davam etdirilib. Yeni versiyada İstifadəçi-Agentin əvəzedicisi kimi hazırlanmış İstifadəçi-Agent Müştəri göstərişləri mexanizminin dəstəyi bütün istifadəçilər üçün aktivləşdirilib. Yeni mexanizm yalnız serverin sorğusundan sonra spesifik brauzer və sistem parametrləri (versiya, platforma və s.) haqqında məlumatların seçmə qaydada qaytarılmasını və istifadəçilərə bu cür məlumatları seçmə qaydada sayt sahiblərinə təqdim etmək imkanının verilməsini nəzərdə tutur. İstifadəçi-Agent Müştəri göstərişlərindən istifadə edərkən, identifikator defolt olaraq açıq sorğu olmadan ötürülmür, bu da passiv identifikasiyanı qeyri-mümkün edir (standart olaraq, yalnız brauzer adı göstərilir).
    Yeniləmənin mövcudluğunun göstəricisi və onu quraşdırmaq üçün brauzeri yenidən başlatma ehtiyacı dəyişdirildi. Rəngli ox əvəzinə "Yeniləmə" indi hesabın avatar sahəsində görünür.
  • Brauzerin inklüziv terminologiyadan istifadəyə çevrilməsi üçün işlər aparılmışdır. Siyasət adlarında "ağ siyahı" və "qara siyahı" sözləri "icazə siyahısı" və "blok siyahısı" ilə əvəz edilmişdir (artıq əlavə edilmiş siyasətlər işləməyə davam edəcək, lakin onlar köhnəlmək barədə xəbərdarlıq göstərəcək). Kod və fayl adlarında "qara siyahı"ya istinadlar "blok siyahısı" ilə əvəz edilmişdir. İstifadəçi tərəfindən görünən “qara siyahı” və “ağ siyahı”ya istinadlar 2019-cu ilin əvvəlində dəyişdirilib.
    “chrome://flags/#edit-passwords-in-settings” bayrağı ilə aktivləşdirilmiş, yadda saxlanmış parolları redaktə etmək üçün eksperimental imkan əlavə edildi.
  • Yerli Fayl Sistemi API-si sabit və ictimaiyyətə açıq olan API kateqoriyasına köçürülüb və bu, yerli fayl sistemindəki fayllarla qarşılıqlı əlaqədə olan veb proqramlar yaratmağa imkan verir. Məsələn, yeni API brauzer əsaslı inteqrasiya olunmuş inkişaf mühitlərində, mətn, şəkil və video redaktorlarında tələb oluna bilər. Faylları birbaşa yazmaq və oxumaq və ya faylları açmaq və saxlamaq üçün dialoqlardan istifadə etmək, həmçinin qovluqların məzmunu arasında hərəkət etmək üçün proqram istifadəçidən xüsusi təsdiq tələb edir.
  • Brauzerin fokus dəyişikliyi indikatorunun göstərilib-göstərilməməsinə qərar verərkən istifadə etdiyi eyni evristikadan istifadə edən CSS seçicisi ":focus-visible" əlavə edildi (klaviatura qısa yollarından istifadə edərək diqqəti düyməyə köçürərkən göstərici görünür, lakin siçan ilə kliklədikdə) , bu deyil). Əvvəllər mövcud olan CSS seçicisi ":focus" həmişə diqqəti vurğulayır. Bundan əlavə, parametrlərə “Quick Focus Highlight” seçimi əlavə edilib, aktivləşdirildikdə aktiv elementlərin yanında əlavə fokus göstəricisi görünəcək və bu, səhifədə fokusun vizual vurğulanması üçün üslub elementləri deaktiv edilsə belə görünən olaraq qalır. CSS.
  • Origin Trials rejiminə bir neçə yeni API əlavə edildi (ayrıca aktivləşdirmə tələb edən eksperimental funksiyalar). Origin Trial, localhost və ya 127.0.0.1-dən yüklənmiş proqramlardan və ya qeydiyyatdan keçdikdən və konkret sayt üçün məhdud müddətə etibarlı olan xüsusi nişanı aldıqdan sonra müəyyən edilmiş API ilə işləmək qabiliyyətini nəzərdə tutur.
  • HID cihazlarına (insan interfeysi cihazları, klaviaturalar, siçanlar, gamepadlar, sensor panellər) aşağı səviyyəli giriş üçün WebHID API, bu, nadir HID cihazları ilə işi təşkil etmək üçün JavaScript-də HID cihazı ilə işləmək məntiqini həyata keçirməyə imkan verir. sistemdəki xüsusi sürücülər. İlk növbədə, yeni API gamepadlara dəstək vermək məqsədi daşıyır.
  • Screen Information API, çox ekranlı konfiqurasiyaları dəstəkləmək üçün Window Placement API-ni genişləndirir. window.screen-dən fərqli olaraq, yeni API cari ekranla məhdudlaşmadan çoxmonitor sistemlərinin ümumi ekran məkanında pəncərənin yerləşdirilməsini manipulyasiya etməyə imkan verir.
  • Meta-teq batareyaya qənaət, bunun sayəsində sayt brauzerə enerji istehlakını azaltmaq və CPU yükünü optimallaşdırmaq üçün rejimləri aktivləşdirmə zərurəti haqqında məlumat verə bilər.
  • Cross-Origin-Embedder-Policy (COEP) və Cross-Origin-Opener-Policy (COOP) izolyasiya rejimlərinin potensial pozuntularını faktiki məhdudiyyətlər tətbiq etmədən bildirmək üçün COOP Reporting API.
  • Credential Management API həyata keçirilən ödəniş əməliyyatının əlavə təsdiqini təmin edən yeni etimadnamə növü olan PaymentCredential təklif edir. Bank kimi etibar edən tərəf, əlavə təhlükəsiz ödəniş təsdiqi üçün tacir tərəfindən tələb oluna bilən ictimai açar, PublicKeyCredential yaratmaq imkanına malikdir.
  • Stylusun əyilməsini təyin etmək üçün PointerEvents API-si* hündürlük bucaqları (stilus və ekran arasındakı bucaq) və azimut (X oxu və ekrandakı qələmin proyeksiyası arasındakı bucaq) üçün dəstək əlavə edib. TiltX və TiltY bucaqları (stilusdan olan müstəvi ilə oxlardan biri ilə Y və Z oxlarından olan müstəvi arasındakı bucaqlar). Hündürlük/azimut və TiltX/TiltY arasında çevrilmə funksiyaları da əlavə edilib.
  • Protokol işləyicilərində onun hesablanması zamanı URL-lərdə məkanın kodlaşdırılması dəyişdirildi - navigator.registerProtocolHandler() metodu indi boşluqları "+" əvəzinə "%20" ilə əvəz edir və bu davranışı Firefox kimi digər brauzerlərlə birləşdirir.
  • CSS-ə bloklardakı siyahılar üçün nömrələrin və nöqtələrin rəngini, ölçüsünü, formasını və növünü fərdiləşdirməyə imkan verən psevdoelement "::marker" əlavə edildi. Və .
  • Sənədlərə giriş qaydalarını təyin etməyə imkan verən, iframe-lər üçün sandbox izolyasiya mexanizminə bənzər, lakin daha universal olan Document-Policy HTTP başlığı üçün əlavə dəstək. Məsələn, Sənəd Siyasəti vasitəsilə siz aşağı keyfiyyətli şəkillərin istifadəsini məhdudlaşdıra, yavaş JavaScript API-lərini söndürə, iframelərin, şəkillərin və skriptlərin yüklənməsi qaydalarını konfiqurasiya edə, sənədin ümumi ölçüsünü və trafikini məhdudlaşdıra, səhifənin yenidən çəkilməsinə səbəb olan üsulları qadağan edə və Scroll-to-Text funksiyasını söndürün.
  • Elementə 'display' CSS xassəsi vasitəsilə təyin edilmiş 'inline-grid', 'grid', 'inline-flex' və 'flex' parametrləri üçün əlavə dəstək.
  • Ana qovşağın bütün uşaqlarını başqa DOM qovşağı ilə əvəz etmək üçün ParentNode.replaceChildren() metodu əlavə edildi. Əvvəllər qovşaqları əvəz etmək üçün node.removeChild() və node.append() və ya node.innerHTML və node.append() birləşməsindən istifadə edə bilərdiniz.
  • registerProtocolHandler() funksiyasından istifadə etməklə ləğv edilə bilən URL sxemlərinin diapazonu genişləndirilmişdir. Sxemlərin siyahısına cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns və ssb qeyri-mərkəzləşdirilmiş protokolları daxildir ki, bu da resursa girişi təmin edən sayt və ya şluzdan asılı olmayaraq elementlərə keçidləri müəyyən etməyə imkan verir.
  • Mübadilə buferi vasitəsilə HTML-nin surətini çıxarmaq və yapışdırmaq üçün Asinxron Panoya API-yə mətn/html formatı üçün dəstək əlavə edildi (buferə yazarkən və oxuyarkən təhlükəli HTML konstruksiyaları təmizlənir). Dəyişiklik, məsələn, veb redaktorlarda şəkillər və keçidlərlə formatlaşdırılmış mətnin daxil edilməsini və surətinin çıxarılmasını təşkil etməyə imkan verir.
  • WebRTC, WebRTC MediaStreamTrack-in kodlaşdırma və ya dekodlaşdırma mərhələlərində çağırılan öz məlumat işləyicilərini birləşdirmək imkanı əlavə etdi. Məsələn, bu imkandan aralıq serverlər vasitəsilə ötürülən məlumatların uçdan-uca şifrələnməsinə dəstək əlavə etmək üçün istifadə edilə bilər.
    V8 JavaScript mühərrikində Number.prototype.toString tətbiqi 75% sürətləndirilib. Boş dəyəri olan asinxron siniflərə .name xassəsi əlavə edildi. ECMA-262 spesifikasiyasına uyğun olmaq üçün bir vaxtlar adı Atomics.notify olaraq dəyişdirilmiş Atomics.wake metodu silindi. JS-Fuzzer fuzzing test alətinin kodu açıqdır.
  • Son buraxılışda buraxılmış WebAssembly üçün Liftoff baza tərtibatçısına hesablamaları sürətləndirmək üçün SIMD vektor təlimatlarından istifadə etmək imkanı daxildir. Testlərə əsasən, optimallaşdırma bəzi testləri 2.8 dəfə sürətləndirməyə imkan verdi. Başqa bir optimallaşdırma, idxal edilmiş JavaScript funksiyalarını WebAssembly-dən çağırmağı daha sürətli etdi.
  • Veb tərtibatçıları üçün alətlər genişləndirildi: Media paneli səhifədə video oynamaq üçün istifadə olunan oyunçular haqqında məlumat əlavə etdi, o cümlədən hadisə məlumatları, qeydlər, mülkiyyət dəyərləri və çərçivənin dekodlanması parametrləri (məsələn, çərçivənin səbəblərini müəyyən edə bilərsiniz) JavaScript-dən itki və qarşılıqlı əlaqə problemləri).
  • Elementlər panelinin kontekst menyusuna seçilmiş elementin ekran görüntülərini yaratmaq imkanı əlavə edilmişdir (məsələn, məzmun cədvəlinin və ya cədvəlin skrinşotunu yarada bilərsiniz).
  • Veb konsolunda problem xəbərdarlığı paneli adi mesajla əvəz edilib və üçüncü tərəf kukiləri ilə bağlı problemlər sukut olaraq Problemlər sekmesinde gizlənir və xüsusi qeyd qutusu ilə aktivləşdirilir.
  • Rendering sekmesinde, yerli şriftlərin olmamasını simulyasiya etməyə imkan verən "Yerli şriftləri söndürün" düyməsi əlavə edildi və Sensorlar sekmesinde siz indi istifadəçi hərəkətsizliyini simulyasiya edə bilərsiniz (Idle Detection API istifadə edən proqramlar üçün).
  • Tətbiq paneli hər bir iframe, açıq pəncərə və pop-up haqqında ətraflı məlumat, o cümlədən COEP və COOP istifadə edərək Çarpaz Mənşəli izolyasiya haqqında məlumat verir.

QUIC protokolunun tətbiqi QUIC-in Google versiyası əvəzinə IETF spesifikasiyasında hazırlanmış versiya ilə əvəz olunmağa başlandı.
Yeniliklər və səhvlərin düzəldilməsi ilə yanaşı, yeni versiya 35 zəifliyi aradan qaldırır. Boşluqların çoxu AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer və AFL alətlərindən istifadə etməklə avtomatlaşdırılmış sınaq nəticəsində müəyyən edilib. Bir boşluq (CVE-2020-15967, Google Payments ilə qarşılıqlı əlaqə üçün kodda boş yaddaşa giriş) kritik olaraq qeyd olunur, yəni. brauzerin qorunmasının bütün səviyyələrini keçməyə və sandbox mühitindən kənar sistemdə kodu icra etməyə imkan verir. Cari buraxılış üçün zəifliklərin aşkarlanmasına görə pul mükafatlarının ödənilməsi proqramının bir hissəsi olaraq, Google 27 ABŞ dolları dəyərində 71500 mükafat (bir 15000 ABŞ dolları mükafat, üç mükafat 7500 ABŞ dolları, beş 5000 ABŞ dolları, iki 3000 ABŞ dolları, bir mükafat 200 ABŞ dolları və iki mükafat) ödəmişdir. 500 mükafatın ölçüsü hələ müəyyən edilməyib.

-dən götürülüb Opennet.ru

Mənbə: linux.org.ru

Добавить комментарий