ProHoster > Bloc > notícies d'internet > Chrome 86

Chrome 86

S'han llançat la propera versió de Chrome 86 i la versió estable de Chromium.

Canvis clau a Chrome 86:

  • protecció contra l'enviament insegur de formularis d'entrada a pàgines carregades per HTTPS però enviant dades per HTTP.
  • El bloqueig de descàrregues no segures (http) d'arxius executables es complementa amb el bloqueig de les descàrregues no segures d'arxius (zip, iso, etc.) i la visualització d'avisos de descàrregues no segures de documents (docx, pdf, etc.). El bloqueig de documents i els avisos per a imatges, text i fitxers multimèdia s'esperen en la propera versió. El bloqueig s'implementa perquè la descàrrega de fitxers sense xifratge es pot utilitzar per dur a terme accions malicioses substituint el contingut durant els atacs MITM.
  • El menú contextual predeterminat mostra l'opció "Mostra sempre l'URL complet", que abans requeria canviar la configuració de la pàgina about:flags per activar-la. L'URL complet també es pot veure fent doble clic a la barra d'adreces. Recordem que a partir de Chrome 76, per defecte l'adreça es va començar a mostrar sense el protocol i el subdomini www. A Chrome 79, es va eliminar la configuració per tornar el comportament antic, però després de la insatisfacció de l'usuari, es va afegir una nova marca experimental a Chrome 83 que afegeix una opció al menú contextual per desactivar l'ocultació i la mostra de l'URL complet en totes les condicions.
    Per a un petit percentatge d'usuaris, s'ha iniciat un experiment per mostrar només el domini a la barra d'adreces de manera predeterminada, sense elements de ruta ni paràmetres de consulta. Per exemple, en lloc de "https://example.com/secure-google-sign-in/" Es mostrarà "example.com". S'espera que el mode proposat s'ofereixi a tots els usuaris en una de les properes versions. Per desactivar aquest comportament, podeu utilitzar l'opció "Mostra sempre l'URL complet" i per veure l'URL sencer, podeu fer clic a la barra d'adreces. El motiu del canvi és el desig de protegir els usuaris de la pesca que manipula els paràmetres de l'URL: els atacants s'aprofiten de la falta d'atenció dels usuaris per crear l'aparença d'obrir un altre lloc i cometre accions fraudulentes (si aquestes substitucions són òbvies per a un usuari tècnicament competent). , llavors les persones sense experiència cauen fàcilment en una manipulació tan senzilla).
  • S'ha renovat la iniciativa per eliminar el suport FTP. A Chrome 86, l'FTP està desactivat de manera predeterminada per a l'1% dels usuaris, i a Chrome 87 l'abast de la desactivació s'augmentarà al 50%, però el suport es pot recuperar mitjançant "--enable-ftp" o "- -enable-features=FtpProtocol". A Chrome 88, el suport FTP estarà completament desactivat.
  • A la versió per a Android, similar a la versió per a sistemes d'escriptori, el gestor de contrasenyes implementa una comprovació dels inicis de sessió i les contrasenyes desades contra una base de dades de comptes compromesos, mostrant un avís si es detecten problemes o s'intenta utilitzar contrasenyes trivials. La comprovació es realitza amb una base de dades que cobreix més de 4 milions de comptes compromesos que van aparèixer en bases de dades d'usuaris filtrades. Per mantenir la privadesa, el prefix hash es verifica per part de l'usuari i les contrasenyes en si i els seus hash complets no es transmeten externament.
  • El botó "Comprovació de seguretat" i el mode de protecció millorat contra llocs perillosos (Navegació segura millorada) també s'han transferit a la versió d'Android. El botó "Comprovació de seguretat" mostra un resum de possibles problemes de seguretat, com ara l'ús de contrasenyes compromeses, l'estat de la comprovació de llocs maliciosos (Navegació segura), la presència d'actualitzacions desinstal·lades i la identificació de complements maliciosos. El mode de protecció avançada activa comprovacions addicionals per protegir-se contra la pesca, l'activitat maliciosa i altres amenaces al web, i també inclou protecció addicional per al vostre compte de Google i els serveis de Google (Gmail, Drive, etc.). Si en el mode de navegació segura normal, les comprovacions es realitzen localment mitjançant una base de dades carregada periòdicament al sistema del client, aleshores a la navegació segura millorada s'envia informació sobre pàgines i descàrregues en temps real per a la verificació del costat de Google, que us permet respondre ràpidament a les amenaces immediatament després d'haver estat identificades, sense esperar fins que s'actualitzi la llista negra local.
  • S'ha afegit suport per al fitxer indicador ".well-known/change-password", amb el qual els propietaris del lloc poden especificar l'adreça del formulari web per canviar la contrasenya. Si les credencials d'un usuari es veuen compromeses, ara Chrome demanarà immediatament a l'usuari un formulari de canvi de contrasenya basat en la informació d'aquest fitxer.
  • S'ha implementat un nou avís "Consell de seguretat", que es mostra en obrir llocs el domini dels quals és molt similar a un altre lloc i les heurístiques mostren que hi ha una alta probabilitat de falsificació (per exemple, s'obre goog0le.com en lloc de google.com).

    * S'ha implementat el suport per a la memòria cau enrere endavant, proporcionant una navegació instantània quan s'utilitzen els botons "Enrere" i "Endavant" o quan es navega per pàgines vistes anteriorment del lloc actual. La memòria cau s'habilita mitjançant la configuració chrome://flags/#back-forward-cache.

  • Optimització del consum de recursos de la CPU per a finestres fora d'abast. Chrome comprova si la finestra del navegador està solapada amb altres finestres i evita dibuixar píxels a les zones de superposició. Aquesta optimització es va habilitar per a un petit percentatge d'usuaris a Chrome 84 i 85 i ara està activada a tot arreu. En comparació amb versions anteriors, també s'ha resolt una incompatibilitat amb els sistemes de virtualització que feia que apareguessin pàgines blanques en blanc.
  • Augment de la retallada de recursos per a les pestanyes de fons. Aquestes pestanyes ja no poden consumir més de l'1% dels recursos de la CPU i no es poden activar més d'una vegada per minut. Després de cinc minuts d'estar en segon pla, les pestanyes es congelen, a excepció de les pestanyes que estan reproduint contingut multimèdia o gravant.
  • S'ha reprès el treball per unificar la capçalera HTTP User-Agent. A la nova versió, s'activa el suport per al mecanisme User-Agent Client Hints, desenvolupat com a substitució de User-Agent, per a tots els usuaris. El nou mecanisme implica retornar selectivament dades sobre paràmetres específics del navegador i del sistema (versió, plataforma, etc.) només després d'una sol·licitud del servidor i donar als usuaris l'oportunitat de proporcionar selectivament aquesta informació als propietaris del lloc. Quan s'utilitza User-Agent Client Hints, l'identificador no es transmet per defecte sense una sol·licitud explícita, cosa que fa impossible la identificació passiva (per defecte, només s'indica el nom del navegador).
    S'ha canviat la indicació de la presència d'una actualització i la necessitat de reiniciar el navegador per instal·lar-la. En lloc d'una fletxa de color, ara apareix "Actualització" al camp de l'avatar del compte.
  • S'ha treballat per convertir el navegador per utilitzar terminologia inclusiva. En els noms de les polítiques, les paraules "llista blanca" i "llista negra" s'han substituït per "llista de permetre" i "llista de bloqueig" (les polítiques ja afegides continuaran funcionant, però mostraran un advertiment sobre que s'han obsolet). En els noms de codi i fitxers, les referències a "llista negra" s'han substituït per "llista de bloqueig". Les referències visibles per l'usuari a "llista negra" i "llista blanca" es van substituir a principis del 2019.
    S'ha afegit una capacitat experimental per editar les contrasenyes desades, activada mitjançant la marca "chrome://flags/#edit-passwords-in-settings".
  • L'API Native File System s'ha transferit a la categoria d'API estable i disponible públicament, la qual cosa us permet crear aplicacions web que interactuen amb fitxers del sistema de fitxers local. Per exemple, la nova API pot ser demandada en entorns de desenvolupament integrats basats en navegadors, editors de text, imatges i vídeo. Per poder escriure i llegir fitxers directament o utilitzar els diàlegs per obrir i desar fitxers, així com per navegar pel contingut dels directoris, l'aplicació demana a l'usuari una confirmació especial.
  • S'ha afegit un selector CSS ":focus-visible", que utilitza les mateixes heurístiques que fa servir el navegador per decidir si es mostra l'indicador de canvi d'enfocament (quan es mou el focus a un botó amb tecles de drecera, apareix l'indicador, però quan es fa clic amb el ratolí). , no ho fa). El selector CSS disponible anteriorment ":focus" sempre destaca el focus. A més, s'ha afegit l'opció "Resaltat ràpid del focus" a la configuració, quan està activada, es mostrarà un indicador d'enfocament addicional al costat dels elements actius, que continua sent visible encara que els elements d'estil per al ressaltat visual del focus estiguin desactivats a la pàgina mitjançant CSS.
  • S'han afegit diverses API noves al mode Origin Trials (funcions experimentals que requereixen una activació independent). Origin Trial implica la capacitat de treballar amb l'API especificada des d'aplicacions descarregades des de localhost o 127.0.0.1, o després de registrar-se i rebre un testimoni especial que és vàlid durant un temps limitat per a un lloc específic.
  • API WebHID per a l'accés de baix nivell a dispositius HID (dispositius d'interfície humana, teclats, ratolins, gamepads, touchpads), que permet implementar la lògica de treballar amb un dispositiu HID en JavaScript per organitzar el treball amb dispositius HID rars sense la presència de controladors específics del sistema. En primer lloc, la nova API té com a objectiu proporcionar suport per als gamepads.
  • Screen Information API, amplia l'API Window Placement per admetre configuracions multipantalla. A diferència de window.screen, la nova API us permet manipular la col·locació d'una finestra a l'espai global de la pantalla dels sistemes multimonitor, sense limitar-vos a la pantalla actual.
  • Metaetiqueta d'estalvi de bateria, amb la qual el lloc pot informar el navegador sobre la necessitat d'activar modes per reduir el consum d'energia i optimitzar la càrrega de la CPU.
  • API d'informes de COOP per informar de possibles infraccions dels modes d'aïllament de la política d'inserció entre orígens (COEP) i de la política d'obertura entre orígens (COOP), sense aplicar restriccions reals.
  • L'API de gestió de credencials ofereix un nou tipus de credencials, PaymentCredential, que proporciona una confirmació addicional de la transacció de pagament que s'està realitzant. Una part de confiança, com ara un banc, té la capacitat de generar una clau pública, una PublicKeyCredential, que el comerciant pot sol·licitar per a una confirmació addicional de pagament segur.
  • L'API PointerEvents per determinar la inclinació del llapis* ha afegit suport per als angles d'elevació (l'angle entre el llapis i la pantalla) i l'azimut (l'angle entre l'eix X i la projecció del llapis a la pantalla), en comptes del Angles TiltX i TiltY (els angles entre el pla des del llapis i un dels eixos i el pla dels eixos Y i Z). També s'han afegit funcions de conversió entre altitud/azimut i TiltX/TiltY.
  • S'ha canviat la codificació de l'espai als URL quan es calcula als controladors de protocols: el mètode navigator.registerProtocolHandler() ara substitueix els espais per "%20" en lloc de "+", que unifica el comportament amb altres navegadors com ara Firefox.
  • S'ha afegit un pseudo-element "::marcador" a CSS, que us permet personalitzar el color, la mida, la forma i el tipus de números i punts per a llistats en blocs. I .
  • S'ha afegit suport per a la capçalera HTTP Document-Policy, que us permet establir regles per accedir als documents, similars al mecanisme d'aïllament de sandbox per a iframes, però més universals. Per exemple, mitjançant Document-Policy podeu limitar l'ús d'imatges de baixa qualitat, desactivar les API de JavaScript lentes, configurar regles per carregar iframes, imatges i scripts, limitar la mida i el trànsit generals del document, prohibir mètodes que portin a redibuixar pàgines i desactiveu la funció Scroll-To-Text.
  • A l'element S'ha afegit suport per als paràmetres "inline-grid", "grid", "inline-flex" i "flex" establerts mitjançant la propietat CSS "display".
  • S'ha afegit el mètode ParentNode.replaceChildren() per substituir tots els fills d'un node pare per un altre node DOM. Anteriorment, podríeu utilitzar una combinació de node.removeChild() i node.append() o node.innerHTML i node.append() per substituir els nodes.
  • S'ha ampliat el rang d'esquemes d'URL que es poden substituir mitjançant registerProtocolHandler(). La llista d'esquemes inclou els protocols descentralitzats cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, que us permeten definir enllaços a elements independentment del lloc o passarel·la que proporcioni accés al recurs.
  • S'ha afegit suport per al format text/html a l'API Asynchronous Clipboard per copiar i enganxar HTML a través del porta-retalls (les construccions perilloses d'HTML es netegen quan s'escriu i llegeix al porta-retalls). El canvi, per exemple, permet organitzar la inserció i còpia de text amb format amb imatges i enllaços en editors web.
  • WebRTC ha afegit la possibilitat de connectar els seus propis controladors de dades, anomenats en les etapes de codificació o descodificació de WebRTC MediaStreamTrack. Per exemple, aquesta capacitat es pot utilitzar per afegir suport per al xifratge d'extrem a extrem de les dades transmeses a través de servidors intermedis.
    Al motor de JavaScript V8, la implementació de Number.prototype.toString s'ha accelerat un 75%. S'ha afegit la propietat .name a les classes asíncrones amb un valor buit. S'ha eliminat el mètode Atomics.wake, que en un moment es va canviar el nom a Atomics.notify per complir amb l'especificació ECMA-262. El codi de l'eina de prova de fuzzing JS-Fuzzer està obert.
  • El compilador de línia de base Liftoff per a WebAssembly publicat a la darrera versió inclou la possibilitat d'utilitzar instruccions vectorials SIMD per accelerar els càlculs. A jutjar per les proves, l'optimització va permetre accelerar algunes proves en 2.8 vegades. Una altra optimització va fer que fos molt més ràpid cridar funcions de JavaScript importades des de WebAssembly.
  • S'han ampliat les eines per a desenvolupadors web: el tauler multimèdia ha afegit informació sobre els reproductors que s'utilitzen per reproduir el vídeo a la pàgina, incloses dades d'esdeveniments, registres, valors de propietats i paràmetres de descodificació de fotogrames (per exemple, podeu determinar les causes del fotograma). problemes de pèrdua i interacció de JavaScript).
  • Al menú contextual del panell Elements, s'ha afegit la possibilitat de crear captures de pantalla de l'element seleccionat (per exemple, podeu crear una captura de pantalla de la taula de continguts o de la taula).
  • A la consola web, el tauler d'avís de problemes s'ha substituït per un missatge normal i els problemes amb les galetes de tercers s'amaguen de manera predeterminada a la pestanya Problemes i s'activen amb una casella de selecció especial.
  • A la pestanya Rendering, s'ha afegit un botó "Desactiva els tipus de lletra locals", que us permet simular l'absència de tipus de lletra locals, i a la pestanya Sensors ara podeu simular la inactivitat de l'usuari (per a aplicacions que utilitzen l'API de detecció inactiva).
  • El tauler d'aplicacions proporciona informació detallada sobre cada iframe, finestra oberta i finestra emergent, inclosa informació sobre l'aïllament d'origen creuat mitjançant COEP i COOP.

La implementació del protocol QUIC s'ha començat a substituir per la versió desenvolupada a l'especificació IETF, en lloc de la versió de Google de QUIC.
A més de les innovacions i correccions d'errors, la nova versió elimina 35 vulnerabilitats. Moltes de les vulnerabilitats es van identificar com a resultat de proves automatitzades mitjançant les eines AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Una vulnerabilitat (CVE-2020-15967, accés a la memòria alliberada en codi per interaccionar amb Google Payments) està marcada com a crítica, és a dir. us permet evitar tots els nivells de protecció del navegador i executar codi al sistema fora de l'entorn sandbox. Com a part del programa per pagar recompenses en efectiu per descobrir vulnerabilitats per al llançament actual, Google va pagar 27 premis per valor de 71500 dòlars (un premi de 15000 dòlars, tres premis de 7500 dòlars, cinc premis de 5000 dòlars, dos premis de 3000 dòlars, un premi de 200 dòlars i dos de 500 dòlars). La mida de 13 recompenses encara no s'ha determinat.

Agafat de Opennet.ru

Font: linux.org.ru

Afegeix comentari