ProHoster > Блог > internet vijesti > Chrome 86

Chrome 86

Objavljeno je sljedeće izdanje Chrome 86 i stabilno izdanje Chromiuma.

Ključne promjene u Chrome 86:

  • zaštita od nesigurnog podnošenja obrazaca za unos na stranicama učitanim preko HTTPS-a, ali slanjem podataka preko HTTP-a.
  • Blokiranje nesigurnih preuzimanja (http) izvršnih datoteka upotpunjeno je blokiranjem nesigurnih preuzimanja arhiva (zip, iso, itd.) i prikazivanjem upozorenja za nesigurno preuzimanje dokumenata (docx, pdf, itd.). Blokiranje dokumenata i upozorenja za slike, tekst i medijske datoteke se očekuju u sljedećem izdanju. Blokiranje je implementirano jer se preuzimanje datoteka bez enkripcije može koristiti za izvođenje zlonamjernih radnji zamjenom sadržaja tokom MITM napada.
  • Zadani kontekstni meni prikazuje opciju "Uvijek prikaži puni URL", koja je prethodno zahtijevala promjenu postavki na stranici about:flags da bi se omogućila. Cijeli URL se također može vidjeti dvostrukim klikom na adresnu traku. Podsjetimo, počevši od Chrome 76, po defaultu je adresa počela da se prikazuje bez protokola i www poddomena. U Chromeu 79, postavka za vraćanje starog ponašanja je uklonjena, ali nakon nezadovoljstva korisnika, u Chrome 83 je dodana nova eksperimentalna zastavica koja dodaje opciju kontekstualnom izborniku za onemogućavanje skrivanja i prikazivanja punog URL-a u svim uvjetima.
    Za mali procenat korisnika pokrenut je eksperiment da se u adresnoj traci po defaultu prikaže samo domena, bez elemenata putanje i parametara upita. Na primjer, umjesto "https://example.com/secure-google-sign-in/" "example.com" će biti prikazano. Očekuje se da će predloženi mod biti predstavljen svim korisnicima u jednom od narednih izdanja. Da biste onemogućili ovo ponašanje, možete koristiti opciju "Uvijek prikaži puni URL", a da biste vidjeli cijeli URL, možete kliknuti na adresnu traku. Motiv promjene je želja da se korisnici zaštite od phishinga koji manipulira parametrima u URL-u - napadači iskorištavaju nepažnju korisnika da stvore privid otvaranja druge stranice i vršenja lažnih radnji (ako su takve zamjene očigledne tehnički kompetentnom korisniku , onda neiskusni ljudi lako nasjedaju na tako jednostavnu manipulaciju).
  • Inicijativa za uklanjanje FTP podrške je obnovljena. U Chromeu 86, FTP je onemogućen prema zadanim postavkama za oko 1% korisnika, au Chromeu 87 opseg onemogućavanja će biti povećan na 50%, ali podrška se može vratiti pomoću "--enable-ftp" ili "- -enable-features=FtpProtocol" zastavica. U Chrome 88, podrška za FTP će biti potpuno onemogućena.
  • U verziji za Android, slično verziji za desktop sisteme, menadžer lozinki implementira provjeru sačuvanih prijava i lozinki u odnosu na bazu podataka kompromitovanih naloga, prikazujući upozorenje ako se otkriju problemi ili se pokuša koristiti trivijalne lozinke. Provjera se vrši prema bazi podataka koja pokriva više od 4 milijarde kompromitovanih naloga koji su se pojavili u bazama podataka korisnika koji su procurili. Da bi se održala privatnost, hash prefiks se provjerava na strani korisnika, a same lozinke i njihovi puni hashovi se ne prenose eksterno.
  • Dugme “Sigurnosna provjera” i poboljšani način zaštite od opasnih lokacija (Enhanced Safe Browsing) također su prebačeni na verziju Androida. Dugme "Sigurnosna provjera" prikazuje sažetak mogućih sigurnosnih problema, kao što su korištenje kompromitovanih lozinki, status provjere zlonamjernih lokacija (Sigurno pregledanje), prisustvo deinstaliranih ažuriranja i identifikacija zlonamjernih dodataka. Način napredne zaštite aktivira dodatne provjere za zaštitu od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu, a uključuje i dodatnu zaštitu za vaš Google račun i Google usluge (Gmail, Drive, itd.). Ako se u normalnom načinu sigurnog pregledavanja provjere vrše lokalno koristeći bazu podataka koja se periodično učitava na klijentov sistem, tada se u poboljšanom sigurnom pregledavanju informacije o stranicama i preuzimanjima u realnom vremenu šalju na provjeru na Google strani, što vam omogućava da brzo odgovorite na prijetnje odmah nakon što su identificirane, bez čekanja da se ažurira lokalna crna lista.
  • Dodata podrška za datoteku indikatora ".well-known/change-password", pomoću koje vlasnici sajtova mogu odrediti adresu web obrasca za promjenu lozinke. Ako su akreditivi korisnika ugroženi, Chrome će sada odmah zatražiti od korisnika obrazac za promjenu lozinke na osnovu informacija u ovoj datoteci.
  • Implementirano je novo upozorenje “Safety Tip” koje se prikazuje prilikom otvaranja sajtova čija je domena vrlo slična drugoj stranici i heuristika pokazuje da postoji velika vjerovatnoća lažiranja (npr. otvara se goog0le.com umjesto google.com).

    * Implementirana je podrška za keš memoriju unazad, omogućavajući trenutnu navigaciju kada koristite dugmad „Nazad” i „Napred” ili kada se krećete kroz prethodno pregledane stranice trenutnog sajta. Keširanje je omogućeno pomoću postavke chrome://flags/#back-forward-cache.

  • Optimiziranje potrošnje CPU resursa za prozore izvan opsega. Chrome provjerava da li se prozor pretraživača preklapa s drugim prozorima i sprječava crtanje piksela u područjima preklapanja. Ova optimizacija je omogućena za mali procenat korisnika u Chrome 84 i 85 i sada je omogućena svuda. U poređenju sa prethodnim izdanjima, riješena je nekompatibilnost sa sistemima virtuelizacije koja je uzrokovala pojavljivanje praznih bijelih stranica.
  • Povećano obrezivanje resursa za kartice u pozadini. Takve kartice više ne mogu trošiti više od 1% CPU resursa i mogu se aktivirati najviše jednom u minuti. Nakon pet minuta rada u pozadini, kartice su zamrznute, osim kartica koje reproduciraju multimedijalni sadržaj ili snimaju.
  • Nastavljen je rad na objedinjavanju HTTP zaglavlja User-Agent. U novoj verziji, podrška za mehanizam User-Agent Client Hints, razvijen kao zamjena za User-Agent, aktivirana je za sve korisnike. Novi mehanizam uključuje selektivno vraćanje podataka o specifičnim parametrima pretraživača i sistema (verzija, platforma, itd.) tek nakon zahtjeva servera i davanje mogućnosti korisnicima da selektivno daju takve informacije vlasnicima stranica. Kada se koriste savjeti klijenta-korisničkog agenta, identifikator se po defaultu ne prenosi bez eksplicitnog zahtjeva, što onemogućuje pasivnu identifikaciju (podrazumevano je naznačeno samo ime pretraživača).
    Indikacija prisutnosti ažuriranja i potrebe za ponovnim pokretanjem pretraživača da biste ga instalirali je promijenjena. Umjesto obojene strelice, "Ažuriraj" se sada pojavljuje u polju avatar naloga.
  • Radovi su obavljeni na pretvaranju pretraživača da koristi inkluzivnu terminologiju. U nazivima politike, riječi “bijela lista” i “crna lista” zamijenjene su sa “listom dopuštenja” i “listom blokiranih” (već dodane politike će nastaviti da rade, ali će prikazivati ​​upozorenje da su zastarjele). U nazivima kodova i datoteka, reference na "crnu listu" su zamijenjene sa "blocklist". Korisnički vidljive reference na “crnu listu” i “bijelu listu” zamijenjene su početkom 2019.
    Dodata eksperimentalna mogućnost uređivanja sačuvanih lozinki, aktivirana pomoću oznake “chrome://flags/#edit-passwords-in-settings”.
  • Native File System API je prebačen u kategoriju stabilnog i javno dostupnog API-ja, omogućavajući vam da kreirate web aplikacije koje komuniciraju sa datotekama u lokalnom sistemu datoteka. Na primjer, novi API može biti tražen u integriranim razvojnim okruženjima baziranim na pretraživaču, uređivačima teksta, slika i videa. Da biste mogli direktno pisati i čitati datoteke ili koristiti dijaloge za otvaranje i spremanje datoteka, kao i za navigaciju kroz sadržaj direktorija, aplikacija traži od korisnika posebnu potvrdu.
  • Dodan je CSS selektor ":focus-visible", koji koristi istu heuristiku koju koristi pretraživač kada odlučuje da li će prikazati indikator promjene fokusa (kada se fokus pomjeri na dugme pomoću prečica na tastaturi, indikator se pojavljuje, ali kada se klikne mišem , to nije). Ranije dostupan CSS selektor ":focus" uvijek ističe fokus. Dodatno, u postavke je dodata opcija “Brzo isticanje fokusa”, kada je omogućena, pored aktivnih elemenata će se prikazati dodatni indikator fokusa, koji ostaje vidljiv čak i ako su elementi stila za vizuelno isticanje fokusa onemogućeni na stranici preko CSS.
  • Nekoliko novih API-ja je dodano u Origin Trials mod (eksperimentalne funkcije koje zahtijevaju odvojenu aktivaciju). Origin Trial podrazumijeva mogućnost rada sa navedenim API-jem iz aplikacija preuzetih sa localhost ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji važi ograničeno vrijeme za određenu lokaciju.
  • WebHID API za pristup niskog nivoa HID uređajima (ljudski interfejs uređaji, tastature, miševi, gamepadi, touchpadi), koji vam omogućava da implementirate logiku rada sa HID uređajem u JavaScript-u kako biste organizirali rad sa rijetkim HID uređajima bez prisustva određene drajvere u sistemu. Prije svega, novi API je usmjeren na pružanje podrške za gamepadove.
  • Screen Information API, proširuje API za postavljanje prozora kako bi podržao konfiguracije na više ekrana. Za razliku od window.screen, novi API vam omogućava da manipulišete postavljanjem prozora u celokupni ekranski prostor sistema sa više monitora, bez ograničenja na trenutni ekran.
  • Meta tag za uštedu baterije, pomoću kojeg stranica može informirati pretraživač o potrebi za aktiviranjem načina rada za smanjenje potrošnje energije i optimizaciju opterećenja CPU-a.
  • API za COOP izvješćivanje za prijavljivanje potencijalnih kršenja načina izolacije Policy Cross-Origin-Embedder-Policy (COEP) i Cross-Origin-Opener-Policy (COOP), bez primjene stvarnih ograničenja.
  • API za upravljanje vjerodajnicama nudi novu vrstu vjerodajnica, PaymentCredential, koja pruža dodatnu potvrdu izvršene platne transakcije. Pouzdana strana, kao što je banka, ima mogućnost da generiše javni ključ, PublicKeyCredential, koji trgovac može zatražiti za dodatnu sigurnu potvrdu plaćanja.
  • PointerEvents API za određivanje nagiba olovke* je dodao podršku za uglove elevacije (ugao između olovke i ekrana) i azimut (ugao između ose X i projekcije olovke na ekranu), umesto Uglovi TiltX i TiltY (uglovi između ravnine sa olovke i jedne od osi i ravni od Y i Z osi). Također su dodane funkcije konverzije između nadmorske visine/azimuta i TiltX/TiltY.
  • Promijenjeno je kodiranje prostora u URL-ovima prilikom izračunavanja u obrađivačima protokola - metoda navigator.registerProtocolHandler() sada zamjenjuje razmake sa "%20" umjesto "+", što objedinjuje ponašanje sa drugim pretraživačima kao što je Firefox.
  • Pseudo-element "::marker" je dodat u CSS, koji vam omogućava da prilagodite boju, veličinu, oblik i vrstu brojeva i tačaka za liste u blokovima I .
  • Dodata podrška za HTTP zaglavlje Document-Policy, koje vam omogućava da postavite pravila za pristup dokumentima, slično mehanizmu za izolaciju sandbox-a za iframes, ali univerzalniji. Na primjer, putem Document-Policy možete ograničiti upotrebu slika niske kvalitete, onemogućiti spore JavaScript API-je, konfigurirati pravila za učitavanje iframeova, slika i skripti, ograničiti ukupnu veličinu dokumenta i promet, zabraniti metode koje dovode do ponovnog crtanja stranice i onemogućite funkciju Scroll-To-Text.
  • To element dodata podrška za 'inline-grid', 'grid', 'inline-flex' i 'flex' parametre postavljene preko 'display' CSS svojstva.
  • Dodana metoda ParentNode.replaceChildren() za zamjenu svih djece roditeljskog čvora s drugim DOM čvorom. Ranije ste mogli koristiti kombinaciju node.removeChild() i node.append() ili node.innerHTML i node.append() za zamjenu čvorova.
  • Raspon URL šema koje se mogu nadjačati pomoću registerProtocolHandler() je proširen. Lista šema uključuje decentralizovane protokole cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, koji vam omogućavaju da definišete veze do elemenata bez obzira na lokaciju ili gateway koji omogućava pristup resursu.
  • Dodata podrška za tekst/html format u Asinhroni Clipboard API za kopiranje i lijepljenje HTML-a putem međuspremnika (opasne HTML konstrukcije se čiste prilikom pisanja i čitanja u međuspremnik). Promjena vam, na primjer, omogućava da organizirate umetanje i kopiranje formatiranog teksta sa slikama i vezama u web editorima.
  • WebRTC je dodao mogućnost povezivanja vlastitih rukovatelja podacima, koji se pozivaju u fazama kodiranja ili dekodiranja WebRTC MediaStreamTrack. Na primjer, ova mogućnost se može koristiti za dodavanje podrške za end-to-end enkripciju podataka koji se prenose preko posrednih servera.
    U V8 JavaScript motoru, implementacija Number.prototype.toString je ubrzana za 75%. Dodano svojstvo .name asinkronim klasama sa praznom vrijednošću. Metoda Atomics.wake je uklonjena, koja je jedno vrijeme preimenovana u Atomics.notify kako bi bila u skladu sa ECMA-262 specifikacijom. Otvoren je kod za alat za testiranje rasplinjavanja JS-Fuzzer.
  • Liftoff osnovni kompajler za WebAssembly objavljen u posljednjem izdanju uključuje mogućnost korištenja SIMD vektorskih instrukcija za ubrzanje proračuna. Sudeći po testovima, optimizacija je omogućila ubrzanje nekih testova za 2.8 puta. Još jedna optimizacija učinila je mnogo bržim pozivanje uvezenih JavaScript funkcija iz WebAssembly-a.
  • Alati za web programere su prošireni: Media panel je dodao informacije o igračima koji se koriste za reprodukciju videa na stranici, uključujući podatke o događajima, zapisnike, vrijednosti svojstava i parametre dekodiranja okvira (na primjer, možete odrediti uzroke kadrova problemi gubitka i interakcije iz JavaScripta).
  • U kontekstualnom meniju panela Elementi dodana je mogućnost kreiranja snimaka ekrana izabranog elementa (na primer, možete kreirati snimak ekrana sadržaja ili tabele).
  • U web konzoli, tabla upozorenja o problemu zamijenjena je običnom porukom, a problemi s kolačićima trećih strana su prema zadanim postavkama skriveni na kartici Problemi i omogućeni su posebnim okvirom za potvrdu.
  • Na kartici Rendering dodano je dugme "Onemogući lokalne fontove" koje vam omogućava da simulirate odsustvo lokalnih fontova, a na kartici Senzori sada možete simulirati neaktivnost korisnika (za aplikacije koje koriste API za detekciju mirovanja).
  • Tabla aplikacija pruža detaljne informacije o svakom iframe-u, otvorenom prozoru i iskačućem prozoru, uključujući informacije o izolaciji više izvora koristeći COEP i COOP.

Implementacija QUIC protokola je počela da se zamjenjuje verzijom razvijenom u IETF specifikaciji, umjesto Google verzijom QUIC-a.
Pored inovacija i ispravki grešaka, nova verzija eliminiše 35 ranjivosti. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Jedna ranjivost (CVE-2020-15967, pristup oslobođenoj memoriji u kodu za interakciju sa Google Payments-om) je označena kao kritična, tj. omogućava vam da zaobiđete sve nivoe zaštite pretraživača i izvršite kod na sistemu izvan okruženja sandbox-a. Kao dio programa za isplatu novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 27 nagrada u vrijednosti od 71500 dolara (jedna nagrada od 15000 dolara, tri nagrade od 7500 dolara, pet nagrada od 5000 dolara, dvije nagrade od 3000 dolara, jedna nagrada od 200 dolara i dvije nagrade od 500 dolara). Veličina od 13 nagrada još nije određena.

Uzeto od Opennet.ru

izvor: linux.org.ru

Dodajte komentar