ProHoster > Blog > nutizie internet > Chrome 86

Chrome 86

A prossima versione di Chrome 86 è a versione stabile di Chromium sò state liberate.

Cambiamenti chjave in Chrome 86:

  • prutezzione contra a sottumissione insicura di forme di input in e pagine caricate nantu à HTTPS, ma inviendu dati via HTTP.
  • U bloccu di scaricamenti insicuri (http) di i fugliali eseguibili hè cumplementatu da u bluccamentu di i scaricamenti insicuri di l'archivi (zip, iso, etc.) è a visualizazione di avvisi per a scaricamentu insicure di documenti (docx, pdf, etc.). U bloccu di documenti è avvisi per l'imaghjini, u testu è i fugliali media sò previsti in a prossima versione. U bluccatu hè implementatu perchè u scaricamentu di i fugliali senza criptu pò esse usatu per eseguisce azzioni maliziusi rimpiazzendu u cuntenutu durante l'attacchi MITM.
  • U menu di cuntestu predeterminatu mostra l'opzione "Mostra sempre l'URL cumpletu", chì prima necessitava di cambià i paràmetri nantu à a pagina about:flags per attivà. L'URL sanu pò ancu esse vistu cù un doppiu clicu nantu à a barra di indirizzu. Ricurdemu chì partendu da Chrome 76, per automaticamente l'indirizzu hà cuminciatu à esse mostratu senza u protokollu è u subdominiu www. In Chrome 79, u paràmetru per rinvià u vechju cumpurtamentu hè stata eliminata, ma dopu à l'insatisfazione di l'utilizatori, una nova bandiera sperimentale hè stata aghjunta in Chrome 83 chì aghjunghje una opzione à u menù di cuntestu per disattivà l'ocultamentu è mostra l'URL sanu in tutte e cundizioni.
    Per un picculu percentuale di l'utilizatori, un esperimentu hè stata lanciata per vede solu u duminiu in a barra di indirizzu per automaticamente, senza elementi di strada è paràmetri di dumanda. Per esempiu, invece di "https://example.com/secure-google-sign-in/" "example.com" serà mostratu. U modu prupostu hè previstu per esse purtatu à tutti l'utilizatori in una di e prossime versioni. Per disattivà stu cumpurtamentu, pudete aduprà l'opzione "Sempre mostra l'URL sanu", è per vede l'URL sanu, pudete cliccà nantu à a barra di indirizzu. U mutivu di u cambiamentu hè u desideriu di prutezzione di l'utilizatori da u phishing chì manipula paràmetri in l'URL - l'attaccanti prufittà di l'inattenzione di l'utilizatori per creà l'apparizione di apre un altru situ è ​​cummette azzioni fraudulenti (se tali sustituzzioni sò evidenti per un utilizatore tecnicamente competente. , allura e persone inesperte facilmente cascanu per una manipulazione cusì simplice).
  • L'iniziativa di caccià u supportu FTP hè stata rinnuvata. In Chrome 86, FTP hè disattivatu di manera predeterminata per circa 1% di l'utilizatori, è in Chrome 87 l'alcunu di a disattivazione serà aumentatu à 50%, ma u supportu pò esse riportatu cù "--enable-ftp" o "- -enable-features=FtpProtocol" flag. In Chrome 88, u supportu FTP serà completamente disattivatu.
  • In a versione per Android, simile à a versione per i sistemi di desktop, u gestore di password implementa un cuntrollu di logins salvati è password contr'à una basa di dati di cunti cumprumessi, affissendu un avvisu se i prublemi sò rilevati o un tentativu di utilizà password triviale. U cuntrollu hè realizatu contru una basa di dati chì copre più di 4 miliardi di cunti cumprumessi chì apparsu in basa di dati d'utilizatori filtrati. Per mantene a privacy, u prefissu di l'hash hè verificatu da u latu di l'utilizatore, è i password stessi è i so hash completi ùn sò micca trasmessi esternamente.
  • U buttone "Controllà di sicurezza" è u modu di prutezzione rinfurzata contr'à siti periculosi (Enhanced Safe Browsing) sò stati ancu trasferiti à a versione Android. U buttone "Safety check" mostra un riassuntu di pussibuli prublemi di sicurezza, cum'è l'usu di password cumprumessi, u statu di cuntrollà siti maliziusi (Navigazione sicura), a presenza di aghjurnamenti disinstallati, è l'identificazione di add-ons maliziusi. U modu di prutezzione avanzata attiva cuntrolli supplementari per pruteggiri contra phishing, attività maliciosa è altre minacce in u Web, è include ancu una prutezzione supplementaria per u vostru contu Google è i servizii di Google (Gmail, Drive, etc.). Se in u modu normale di navigazione sicura, i cuntrolli sò eseguiti in u locu utilizendu una basa di dati caricata periodicamente in u sistema di u cliente, allora in Enhanced Safe Browsing l'infurmazioni nantu à e pagine è scaricate in tempu reale sò mandati per verificazione da u latu di Google, chì vi permette di risponde rapidamente à minacce subitu dopu à esse identificate, senza aspittà finu à chì a lista negra locale hè aghjurnata.
  • Aghjunghje supportu per u schedariu indicatore ".well-known/change-password", cù quale i pruprietarii di u situ ponu specificà l'indirizzu di a forma web per cambià a password. Se i credenziali di l'utilizatore sò cumprumessi, Chrome avà avà subitu à l'utilizatore cù una forma di cambiamentu di password basatu annantu à l'infurmazioni in stu schedariu.
  • Un novu avvertimentu "Safety Tip" hè statu implementatu, affissatu à l'apertura di siti chì u duminiu hè assai simili à un altru situ è ​​l'euristiche mostranu chì ci hè una alta probabilità di spoofing (per esempiu, goog0le.com hè apertu invece di google.com).

    * U supportu per a cache Back-forward hè statu implementatu, chì furnisce una navigazione istantanea quandu si usa i buttoni "Back" è "Forward" o quandu si naviga per e pagine precedentemente viste di u situ attuale. A cache hè attivata cù l'impostazione chrome://flags/#back-forward-cache.

  • Ottimizà u cunsumu di risorse CPU per Windows fora di u scopu. Chrome verifica se a finestra di u navigatore hè sovrapposta da altre finestre è impedisce di disegnà pixel in e zone di sovrapposizione. Questa ottimisazione hè stata attivata per un picculu percentuale di l'utilizatori in Chrome 84 è 85 è hè avà attivatu in ogni locu. In cunfrontu à e versioni precedenti, una incompatibilità cù i sistemi di virtualizazione chì hà causatu l'apparizione di pagine in biancu hè stata ancu risolta.
  • Aumentu di a ricchezza di risorse per e tabulazioni di fondo. Tali tabulazioni ùn ponu più cunsumà più di 1% di risorse di CPU è ponu esse attivate micca più di una volta per minutu. Dopu à cinque minuti di esse in u sfondate, e tabulazioni sò congelate, cù l'eccezzioni di e tabulazioni chì ghjucanu u cuntenutu multimediale o a registrazione.
  • U travagliu hè ripresu per unificà l'intestazione HTTP User-Agent. In a nova versione, u supportu per u mecanismu User-Agent Client Hints, sviluppatu cum'è un sustitutu di User-Agent, hè attivatu per tutti l'utilizatori. U novu mecanismu implica riturnà selettivamente dati nantu à i paràmetri di u navigatore è di u sistema specificu (versione, piattaforma, etc.) solu dopu una dumanda da u servitore è dà l'utilizatori l'uppurtunità di furnisce selectivamente tali informazioni à i pruprietarii di u situ. Quandu si usa User-Agent Client Hints, l'identificatore ùn hè micca trasmessu per difettu senza una dumanda esplicita, chì rende l'identificazione passiva impussibile (per automaticamente, solu u nome di u navigatore hè indicatu).
    L'indicazione di a presenza di una aghjurnazione è a necessità di riavvia u navigatore per installallu hè stata cambiata. Invece di una freccia culurata, "Update" appare avà in u campu di l'avatar di u contu.
  • U travagliu hè statu fattu per cunvertisce u navigatore per utilizà a terminologia inclusiva. In i nomi di e pulitiche, e parolle "lista bianca" è "lista nera" sò state rimpiazzate cù "lista permessa" è "lista di bloccu" (pulitiche dighjà aghjunte continuanu à travaglià, ma mostraranu un avvirtimentu per esse deprecated). In i nomi di codice è di schedari, i riferimenti à "lista negra" sò stati rimpiazzati cù "lista di bloccu". I riferimenti visibili per l'utilizatori à "lista nera" è "lista bianca" sò stati rimpiazzati à u principiu di u 2019.
    Aggiunta una capacità sperimentale per edità e password salvate, attivata cù a bandiera "chrome://flags/#edit-passwords-in-settings".
  • L'API Native File System hè stata trasferita à a categuria di API stabile è publicamente dispunibile, chì vi permette di creà applicazioni web chì interagiscenu cù i schedari in u sistema di fugliale locale. Per esempiu, a nova API pò esse dumandata in ambienti di sviluppu integratu basatu in navigatore, editori di testu, immagini è video. Per pudè scrive direttamente è leghje i fugliali o aduprà dialoghi per apre è salvà i fugliali, è ancu per navigà in u cuntenutu di i cartulari, l'applicazione dumanda à l'utilizatore per cunferma speciale.
  • Aggiuntu un selettore CSS ":focus-visible", chì usa a listessa euristica chì u navigatore usa quandu decide di mostrarà l'indicatore di cambiamentu di focus (quandu si move u focus à un buttone utilizendu scurciate di tastiera, l'indicatore appare, ma quandu clicchendu cù u mouse). , ùn hè micca). U selettore CSS dispunibule prima ": focus" mette sempre in evidenza u focus. Inoltre, l'opzione "Quick Focus Highlight" hè stata aghjunta à i paràmetri, quandu hè attivatu, un indicatore di focus addiziale serà mostratu accantu à l'elementi attivi, chì resta visibili ancu se l'elementi di stile per l'evidenziazione visuale di focus sò disattivati ​​nantu à a pagina via. CSS.
  • Diversi novi API sò stati aghjunti à u modu Origin Trials (funzioni sperimentali chì necessitanu attivazione separata). Origin Trial implica a capacità di travaglià cù l'API specificata da l'applicazioni scaricate da localhost o 127.0.0.1, o dopu avè registratu è riceve un token speciale chì hè validu per un tempu limitatu per un situ specificu.
  • WebHID API per l'accessu à livellu bassu à i dispositi HID (dispositivi di interfaccia umana, tastieri, mouse, gamepads, touchpads), chì vi permette di implementà a logica di travaglià cù un dispositivu HID in JavaScript per urganizà u travagliu cù i dispositi HID rari senza a presenza di driver specifichi in u sistema. Prima di tuttu, a nova API hè destinata à furnisce supportu per i gamepads.
  • Screen Information API, estende l'API Window Placement per supportà cunfigurazioni multi-schermu. A cuntrariu di window.screen, a nova API permette di manipulà a piazza di una finestra in u spaziu generale di u screnu di i sistemi multi-monitor, senza esse limitatu à a pantalla attuale.
  • Meta tag di risparmiu di bateria, cù quale u situ pò informà u navigatore nantu à a necessità di attivà modi per riduce u cunsumu di energia è ottimisà a carica di CPU.
  • COOP Reporting API per signalà potenziali violazioni di i modi di isolamentu Cross-Origin-Embedder-Policy (COEP) è Cross-Origin-Opener-Policy (COOP), senza applicà restrizioni attuali.
  • L'API di gestione di credenziali offre un novu tipu di credenziali, PaymentCredential, chì furnisce cunferma supplementu di a transazzione di pagamentu esse realizatu. Un partitu di fiducia, cum'è un bancu, hà a capacità di generà una chjave publica, una PublicKeyCredential, chì pò esse dumandata da u mercante per una cunferma di pagamentu sicuru supplementu.
  • L'API PointerEvents per a determinazione di l'inclinazione di u stylus * hà aghjustatu supportu per l'angle d'elevazione (l'angolo trà u stylus è u screnu) è l'azimut (l'angolo trà l'assi X è a prughjezzione di u stylus nantu à u screnu), invece di Anguli TiltX è TiltY (l'anguli trà u pianu da u stylus è unu di l'assi è u pianu da l'assi Y è Z). Aghjunghjite ancu funzioni di cunversione trà altitudine / azimuth è TiltX / TiltY.
  • Cambiatu a codificazione di u spaziu in l'URL quandu u calculate in i manipulatori di protokolli - u metudu navigator.registerProtocolHandler() rimpiazza i spazii cù "% 20" invece di "+", chì unifica u cumpurtamentu cù altri navigatori cum'è Firefox.
  • Un pseudo-elementu "::marcatore" hè statu aghjuntu à CSS, chì vi permette di persunalizà u culore, a dimensione, a forma è u tipu di numeri è punti per elenchi in blocchi. È .
  • Aghjunghje supportu per l'intestazione HTTP Document-Policy, chì permette di stabilisce e regule per l'accessu à i documenti, simili à u mecanismu di isolamentu di sandbox per iframes, ma più universale. Per esempiu, attraversu Document-Policy, pudete limità l'usu di l'imaghjini di bassa qualità, disattivà l'API JavaScript lenti, cunfigurà e regule per carica iframes, images è scripts, limità a dimensione è u trafficu di u documentu generale, pruibisce i metudi chì portanu à u redisegnu di pagina, è disattivà a funzione Scroll-To-Text.
  • À l'elementu aghjustatu supportu per i paràmetri "inline-grid", "grid", "inline-flex" è "flex" stabiliti via a pruprietà CSS "display".
  • Added ParentNode.replaceChildren () metudu per rimpiazzà tutti i figlioli di un node parent cun un altru node DOM. Nanzu, pudete aduprà una cumminazione di node.removeChild () è node.append () o node.innerHTML è node.append () per rimpiazzà i nodi.
  • A gamma di schemi URL chì ponu esse rimpiazzati cù registerProtocolHandler () hè stata allargata. A lista di schemi include i protokolli descentralizati cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns è ssb, chì vi permette di definisce ligami à elementi, indipendentemente da u situ o gateway chì furnisce l'accessu à a risorsa.
  • Aghjunghje supportu per u furmatu testu / html à l'API Asynchronous Clipboard per copià è incollà HTML via u clipboard (i custruzzioni HTML periculosi sò puliti quandu scrive è leghje à u clipboard). U cambiamentu, per esempiu, permette di urganizà l'inserzione è a copia di testu furmatu cù l'imaghjini è i ligami in editori web.
  • WebRTC hà aghjustatu a capacità di cunnette i so propri gestori di dati, chjamati à e fasi di codificazione o decodificazione di WebRTC MediaStreamTrack. Per esempiu, sta capacità pò esse aduprata per aghjunghje supportu per l'encryption end-to-end di dati trasmessi per i servitori intermedi.
    In u mutore JavaScript V8, l'implementazione di Number.prototype.toString hè stata accelerata da 75%. A pruprietà .name aghjunta à e classi asincrone cù un valore viotu. U metudu Atomics.wake hè statu sguassatu, chì in un tempu hè statu rinominatu à Atomics.notify per rispettà a specificazione ECMA-262. U codice per l'uttellu di prova di fuzzing JS-Fuzzer hè apertu.
  • U compilatore di basa di Liftoff per WebAssembly liberatu in l'ultima versione include a capacità di utilizà l'istruzzioni vettoriali SIMD per accelerà i calculi. A ghjudicà da e teste, l'ottimisazione hà permessu di accelerà certi testi da 2.8 volte. Un'altra ottimisazione hà fattu assai più veloce per chjamà funzioni JavaScript impurtate da WebAssembly.
  • Strumenti per i sviluppatori web sò stati allargati: U pannellu Media hà aghjustatu infurmazione nantu à i lettori utilizati per ghjucà u video nantu à a pagina, cumprese dati di l'avvenimenti, logs, valori di pruprietà è paràmetri di decodificazione di quadru (per esempiu, pudete determinà e cause di u quadru. prublemi di perdita è interazione da JavaScript).
  • In u menù di cuntestu di u pannellu Elementi, a capacità di creà screenshots di l'elementu sceltu hè stata aghjunta (per esempiu, pudete creà una screenshot di a tavula di cuntenutu o di a tavola).
  • In a cunsola web, u pannellu d'avvisu di u prublema hè statu rimpiazzatu cù un missaghju regulare, è i prublemi cù i Cookies di terzu sò oculati per difettu in a tabulazione Issues è sò attivati ​​​​cun una casella speciale.
  • In a tabulazione Rendering, hè statu aghjuntu un buttone "Disabilita i fonti lucali", chì vi permette di simulà l'assenza di fonti lucali, è in a tabulazione Sensori pudete avà simulà l'inattività di l'utilizatori (per l'applicazioni chì utilizanu l'API Idle Detection).
  • U pannellu di l'applicazione furnisce infurmazioni detallate nantu à ogni iframe, finestra aperta è pop-up, cumprese l'infurmazioni nantu à l'isolamentu Cross-Origin cù COEP è COOP.

L'implementazione di u protocolu QUIC hà cuminciatu à esse rimpiazzatu da a versione sviluppata in a specificazione IETF, invece di a versione Google di QUIC.
In più di innovazioni è correzioni di bug, a nova versione elimina 35 vulnerabilità. Parechje di e vulnerabilità sò state identificate cum'è u risultatu di teste automatizate cù l'AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer è AFL tools. Una vulnerabilità (CVE-2020-15967, accessu à a memoria liberata in codice per interagisce cù Google Payments) hè marcata cum'è critica, i.e. permette di scaccià tutti i livelli di prutezzione di u navigatore è eseguisce codice in u sistema fora di l'ambiente sandbox. Cum'è parte di u prugramma per pagà ricompense in cash per scopre vulnerabilità per a versione attuale, Google hà pagatu 27 premii per un valore di $ 71500 (un premiu $ 15000, trè premii $ 7500, cinque premii $ 5000, dui premii $ 3000, un premiu $ 200 è dui $ 500). A dimensione di 13 premii ùn hè ancu stata determinata.

Pigliatu da Opennet.ru

Source: linux.org.ru

Add a comment