Google liberazione di u navigatore web ... Simultaneamente liberazione stabile di un prughjettu liberu , chì hè a basa di Chrome. navigatore Chrome l'usu di i loghi di Google, a presenza di un sistema per mandà notificazioni in casu di crash, a capacità di scaricà un modulu Flash nantu à dumanda, moduli per ghjucà cuntenutu video prutettu (DRM), un sistema per installà automaticamente l'aghjurnamenti è a trasmissione durante a ricerca. . A prossima versione di Chrome 87 hè prevista per u 17 di nuvembre.
:
- Prutezzione aghjuntu contr'à a sottumissione insegura di forme di input in e pagine caricate via HTTPS ma l'inviu di dati via HTTP, chì crea a minaccia di intercepzione di dati è spoofing durante l'attacchi MITM. A prutezzione si riduce à trè cambiamenti:
- U riempimentu automaticu di qualsiasi forme di input miste hè statu disattivatu, simile à cumu u riempimentu automaticu di e forme d'autentificazione in e pagine aperte via HTTP hè stata disattivata per un bellu pezzu. Se prima un signu per a disattivazione era apertura di una pagina cù una forma via HTTPS o HTTP, avà l'usu di criptografia quandu invià e dati à u gestore di forma hè ancu cunsideratu. U gestore di password per e forme miste d'autentificazione ùn hè micca disattivatu, postu chì u risicu di utilizà una password insegura è di reutilizazione di password in siti diversi supera u risicu di l'interceptazione di u trafficu potenziale.
- Quandu si cumincianu à entre in forme miste, un avvisu hè visualizatu chì informa l'utilizatore chì i dati cumpleti sò mandati via un canale di cumunicazione micca criptatu.
- Quandu pruvate d'invià una forma mista, una pagina separata hè visualizata chì vi informa di u risicu potenziale di trasmette dati nantu à un canale di cumunicazione micca criptatu. In e versioni precedenti, un indicatore di lucchetto in a barra d'indirizzu hè stata utilizata per indicà forme miste, ma sta marcatura ùn era micca evidenti per l'utilizatori è ùn riflette micca in modu efficace i risichi implicati.
- Bloccu (senza criptografia) di i fugliali eseguibili hè cumplementatu da bluccà a carica sicura di l'archivi (zip, iso, etc.) è a visualizazione di avvisi per a carica insicura
documenti (docx, pdf, etc.). U bloccu di documenti è avvisi per l'imaghjini, u testu è i fugliali media sò previsti in a prossima versione. U bluccatu hè implementatu perchè u scaricamentu di i fugliali senza criptu pò esse usatu per realizà azzioni maliziusi rimpiazzendu u cuntenutu durante l'attacchi MITM. - U menu di cuntestu predeterminatu mostra l'opzione "Mostra sempre l'URL cumpletu", chì prima necessitava di cambià i paràmetri nantu à a pagina about:flags per attivà. L'URL sanu pò ancu esse vistu cù un doppiu clicu nantu à a barra di indirizzu. Ricordemu chì partendu da Per automaticamente, l'indirizzu cuminciò à esse mostratu senza un protokollu è u subdominiu www. IN u paràmetru per rinvià u vechju cumpurtamentu hè statu eliminatu, ma dopu l'insatisfazione di l'utilizatori Una nova bandiera sperimentale hè stata aghjunta chì aghjunghje una opzione à u menù di cuntestu per disattivà l'ocultazione è mostra l'URL cumpletu in ogni cundizione.
- Lanciatu per un picculu percentuale di utilizatori nantu Per automaticamente, a barra di l'indirizzu cuntene solu u duminiu, senza elementi di strada è parametri di dumanda. Per esempiu, invece di "https://example.com/secure-google-sign-in/" mostrarà "example.com". U modu prupostu hè previstu per esse purtatu à tutti l'utilizatori in una di e prossime versioni. Per disattivà stu cumpurtamentu, pudete aduprà l'opzione "Sempre mostra l'URL sanu", è per vede l'URL sanu, pudete cliccà nantu à a barra di indirizzu. U mutivu di u cambiamentu hè u desideriu di prutezzione di l'utilizatori da u phishing chì manipula paràmetri in l'URL - l'attaccanti prufittà di l'inattenzione di l'utilizatori per creà l'apparizione di apre un altru situ è cummette azzioni fraudulenti (se tali sustituzzioni sò evidenti per un utilizatore tecnicamente competente. , allora e persone inesperte facilmente cascanu per una manipulazione cusì simplice).
- Ripresa per sguassà u supportu FTP. In Chrome 86, FTP hè disattivatu di manera predeterminata per circa 1% di l'utilizatori, è in Chrome 87 l'alcunu di a disattivazione serà aumentatu à 50%, ma u supportu pò esse riportatu cù "--enable-ftp" o "- -enable-features=FtpProtocol" flag. In Chrome 88, u supportu FTP serà completamente disattivatu.
- In a versione per Android Simile à a versione desktop, u gestore di password verifica avà l'accessu à l'utilizatori è e password salvate contr'à una basa di dati di conti compromessi, visualizendu un avvisu se si rilevanu prublemi o se si tenta di inserisce password triviali. Questa verifica hè effettuata contr'à una basa di dati di più di 4 miliardi di conti compromessi chì sò stati inclusi in fughe di dati di basa di dati di l'utilizatori. Per priservà a privacy, U prefissu di l'hash hè verificatu da u latu di l'utilizatori, è i password stessi è i so hash completi ùn sò micca trasmessi esternamente.
- In a versione per Android ancu u buttone "Controllo di sicurezza" è u modu di prutezzione rinfurzata contr'à siti periculosi (Enhanced Safe Browsing). U buttone "Safety check" mostra un riassuntu di pussibuli prublemi di sicurezza, cum'è l'usu di password cumprumessi, u statu di cuntrollà siti maliziusi (Navigazione sicura), a presenza di aghjurnamenti disinstallati, è l'identificazione di add-ons maliziusi. U modu di prutezzione avanzata attiva cuntrolli supplementari per pruteggiri contra phishing, attività maliciosa è altre minacce in u Web, è include ancu una prutezzione supplementaria per u vostru contu Google è i servizii di Google (Gmail, Drive, etc.). Se in u modu normale di navigazione sicura, i cuntrolli sò eseguiti in u locu utilizendu una basa di dati caricata periodicamente in u sistema di u cliente, allora in Enhanced Safe Browsing l'infurmazioni nantu à e pagine è scaricate in tempu reale sò mandate per verificazione da u latu di Google, chì vi permette di risponde rapidamente à minacce subitu dopu à esse identificate, senza aspittà finu à chì a lista negra locale hè aghjurnata.
- supportu per u schedariu indicatore ".well-known / change-password", cù quale i pruprietarii di u situ ponu specificà l'indirizzu di una forma web per cambià una password. Se i credenziali di l'utilizatore sò cumprumessi, Chrome avà avà subitu à l'utilizatore cù una forma di cambiamentu di password basatu annantu à l'infurmazioni in stu schedariu.
- Un novu avvertimentu "Safety Tip" hè statu implementatu, affissatu à l'apertura di siti chì u duminiu hè assai simili à un altru situ è l'euristiche mostranu chì ci hè una alta probabilità di spoofing (per esempiu, goog0le.com hè apertu invece di google.com).
- supportu per a cache Back-forward, chì furnisce una navigazione immediata quandu utilizate i buttoni "Back" è "Forward" o quandu si naviga per e pagine precedentemente viste di u situ attuale. A cache hè attivata cù l'impostazione chrome://flags/#back-forward-cache.
- L'optimizazione di u cunsumu di risorse CPU da Windows hè stata realizata
fora di u scopu. Chrome verifica se a finestra di u navigatore hè sovrapposta da altre finestre è impedisce di disegnà pixel in e zone di sovrapposizione. Questa ottimisazione hè stata attivata per un picculu percentuale di l'utilizatori in Chrome 84 è 85 è hè avà attivatu in ogni locu. In cunfrontu à e versioni precedenti, una incompatibilità cù i sistemi di virtualizazione chì hà causatu l'apparizione di pagine in biancu hè stata ancu risolta. - Aumentu di a ricchezza di risorse per e tabulazioni di fondo. Tali tabulazioni ùn ponu più cunsumà più di 1% di risorse di CPU è ponu esse attivate micca più di una volta per minutu. Dopu à cinque minuti di esse in u sfondate, e tabulazioni sò congelate, cù l'eccezzioni di e tabulazioni chì ghjucanu u cuntenutu multimediale o a registrazione.
- U travagliu nantu Intestazione HTTP User-Agent. In a nova versione, u supportu per u mecanismu hè attivatu per tutti l'utilizatori , sviluppatu cum'è un sustitutu di User-Agent. U novu mecanismu implica riturnà selettivamente dati nantu à i paràmetri di u navigatore è di u sistema specificu (versione, piattaforma, etc.) solu dopu una dumanda da u servitore è dà l'utilizatori l'uppurtunità di furnisce selectivamente tali informazioni à i pruprietarii di u situ. Quandu si usa User-Agent Client Hints, l'identificatore ùn hè micca trasmessu per difettu senza una dumanda esplicita, chì rende l'identificazione passiva impussibile (per automaticamente, solu u nome di u navigatore hè indicatu).
- L'indicazione di a presenza di una aghjurnazione è a necessità di riavvia u navigatore per installallu hè stata cambiata. Invece di una freccia culurata, "Update" appare avà in u campu di l'avatar di u contu.
- U travagliu hè statu fattu per cunvertisce u navigatore per utilizà a terminologia inclusiva. In i nomi di e pulitiche, e parolle "lista bianca" è "lista nera" sò state rimpiazzate cù "lista permessa" è "lista di bloccu" (pulitiche dighjà aghjunte continuanu à travaglià, ma mostraranu un avvirtimentu per esse deprecated). IN и riferimenti à "lista nera" sò stati rimpiazzati cù "lista di bloccu".
I riferimenti visibili per l'utilizatori à "lista nera" è "lista bianca" sò stati rimpiazzati à u principiu di u 2019. - Aggiunta una capacità sperimentale per edità e password salvate, attivata cù a bandiera "chrome://flags/#edit-passwords-in-settings".
- Cunvertitu in API stabile è publicu , chì vi permette di creà applicazioni web chì interagiscenu cù i schedari in u sistema di schedari locale. Per esempiu, a nova API pò esse dumandata in ambienti di sviluppu integratu basatu in navigatore, editori di testu, immagini è video. Per pudè scrive direttamente è leghje i fugliali o aduprà dialoghi per apre è salvà i fugliali, è ancu per navigà in u cuntenutu di i cartulari, l'applicazione dumanda à l'utilizatore per cunferma speciale.
- Aggiuntu selettore CSS "", chì usa a listessa heuristica chì u navigatore usa quandu decide di mustrà l'indicatore di cambiamentu di focus (quandu si move l'enfasi à un buttone utilizendu scorciatoie di tastiera, l'indicatore appare, ma quandu cliccà cù u mouse, ùn hè micca). U selettore CSS dispunibule prima ": focus" mette sempre in evidenza u focus.
Inoltre, l'opzione "Quick Focus Highlight" hè stata aghjunta à i paràmetri, quandu hè attivatu, un indicatore di focus addiziale serà mostratu accantu à l'elementi attivi, chì resta visibili ancu se l'elementi di stile per l'evidenziazione visuale di focus sò disattivati nantu à a pagina via. CSS. - Diversi novi API sò stati aghjunti à u modu Origin Trials (funzioni sperimentali chì necessitanu attivazione separata). Origin Trial implica a capacità di travaglià cù l'API specificata da l'applicazioni scaricate da localhost o 127.0.0.1, o dopu avè registratu è riceve un token speciale chì hè validu per un tempu limitatu per un situ specificu.
- per l'accessu à livellu bassu à i dispositi HID (dispositivi di interfaccia umana, tastieri, mouse, gamepads, pannelli touch), chì vi permettenu di implementà a logica di travaglià cù un dispositivu HID in JavaScript per urganizà u travagliu cù i dispositi HID rari senza a presenza di cunduttori specifichi. in u sistema.
Prima di tuttu, a nova API hè destinata à furnisce supportu per i gamepads. - , estende l'API Window Placement per supportà cunfigurazioni multi-schermu. A cuntrariu di window.screen, a nova API permette di manipulà a piazza di una finestra in u spaziu generale di u screnu di i sistemi multi-monitor, senza esse limitatu à a pantalla attuale.
- Meta tag , cù quale u situ pò informà u navigatore nantu à a necessità di attivà modi per riduce u cunsumu di energia è ottimisà a carica di CPU.
- API per signalà potenziali violazioni di e regule di isolamentu (COEP) è (COOP), senza applicà restrizioni attuali.
- In l'API un novu tipu di credenziali hè statu prupostu , furnisce cunferma supplementu di a transazzione di pagamentu esse realizatu. Un partitu di fiducia, cum'è un bancu, hà a capacità di generà una chjave publica, una PublicKeyCredential, chì pò esse dumandata da u mercante per una cunferma di pagamentu sicuru supplementu.
- per l'accessu à livellu bassu à i dispositi HID (dispositivi di interfaccia umana, tastieri, mouse, gamepads, pannelli touch), chì vi permettenu di implementà a logica di travaglià cù un dispositivu HID in JavaScript per urganizà u travagliu cù i dispositi HID rari senza a presenza di cunduttori specifichi. in u sistema.
- In l'API per determinà l'inclinazione di u stylus, u supportu hè statu aghjuntu per l'anguli d'altitudine (l'angolo trà u stylus è u screnu) è l'azimuth (l'angolo trà l'assi X è a prughjezzione di u stylus nantu à a pantalla), invece di u TiltX è TiltY angles (l'anguli trà u pianu da u stylus è unu di l'assi è u pianu da l'assi Y è Y Z). Aghjunghjite ancu funzioni di cunversione trà altitudine / azimuth è TiltX / TiltY.
- Cambiatu a codificazione di u spaziu in l'URL quandu u calculate in i manipulatori di protokolli - u metudu navigator.registerProtocolHandler() rimpiazza i spazii cù "% 20" invece di "+", chì unifica u cumpurtamentu cù altri navigatori cum'è Firefox.
- Aggiuntu pseudo-elementu CSS "", chì permette di persunalizà u culore, a dimensione, a forma è u tipu di numeri è punti per elenchi in blocchi È .
- Aggiuntu supportu di l'intestazione HTTP , regule per accede à i ducumenti, simili à u mecanismu di isolamentu di sandbox per iframes, ma più universale. Per esempiu, attraversu Document-Policy, pudete limità l'usu di l'imaghjini di bassa qualità, disattivà l'API JavaScript lente, cunfigurà e regule per carica iframe, imagine è script, limità a dimensione è u trafficu di u documentu generale, pruibisce i metudi chì portanu à u redrawing di pagina, disattivà. a funzione .
- À l'elementu aghjustatu supportu per i paràmetri "inline-grid", "grid", "inline-flex" è "flex" stabiliti via a pruprietà CSS "display".
- Metudu aghjuntu per rimpiazzà tutti i figlioli di un node parente cù un altru node DOM. Nanzu, pudete aduprà una cumminazione di node.removeChild () è node.append () o node.innerHTML è node.append () per rimpiazzà i nodi.
- a gamma di schemi URL permessa di esse rimpiazzata usendu registerProtocolHandler (). A lista di schemi include i protokolli descentralizati cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns è ssb, chì vi permette di definisce ligami à elementi, indipendentemente da u situ o gateway chì furnisce l'accessu à a risorsa.
- In l'API aghjuntu supportu per u furmatu testu / html per copià è incollà HTML via u clipboard (i custruzzioni HTML periculosi sò puliti quandu scrive è leghje à u clipboard). U cambiamentu, per esempiu, permette di urganizà l'inserzione è a copia di testu furmatu cù l'imaghjini è i ligami in editori web.
- In WebRTC l'abilità di cunnette i vostri propri gestori di dati chjamati in e fasi di codificazione o decodificazione di WebRTC MediaStreamTrack. Per esempiu, sta capacità pò esse aduprata per aghjunghje supportu per l'encryption end-to-end di dati trasmessi per i servitori intermedi.
- In u mutore JavaScript V8 da 75% implementazione di Number.prototype.toString. A pruprietà .name aghjunta à e classi asincrone cù un valore viotu. U metudu Atomics.wake hè statu sguassatu, chì in un tempu hè statu rinominatu à Atomics.notify per rispettà a specificazione ECMA-262. Fuzzing testing toolkit codice apertu .
- U compilatore di basa di Liftoff per WebAssembly, liberatu in l'ultima versione, include a capacità di utilizà struzzioni vettoriali per accelerà i calculi. A ghjudicà da e teste, l'ottimisazione hà permessu di accelerà certi testi da 2.8 volte. Un'altra ottimisazione hà fattu assai più veloce per chjamà funzioni JavaScript impurtate da WebAssembly.
- Strumenti per i sviluppatori web: U pannellu Media hà aghjustatu infurmazione nantu à i lettori utilizati per ghjucà video nantu à a pagina, cumprese dati di l'avvenimenti, logs, valori di pruprietà è paràmetri di decodificazione di frames (per esempiu, pudete determinà e cause di a perdita di frames è di prublemi di interazzione). da JavaScript).
In u menù di cuntestu di u pannellu Elementi, a capacità di creà screenshots di l'elementu sceltu hè stata aghjunta (per esempiu, pudete creà una screenshot di a tavula di cuntenutu o di a tavola).
In a cunsola web, u pannellu d'avvisu di u prublema hè statu rimpiazzatu cù un missaghju regulare, è i prublemi cù i Cookies di terzu sò oculati per difettu in a tabulazione Issues è sò attivati cun una casella speciale.
In a tabulazione Rendering, hè statu aghjuntu un buttone "Disabilita i fonti lucali", chì vi permette di simulà l'assenza di fonti lucali, è in a tabulazione Sensori pudete avà simulà l'inattività di l'utilizatori (per l'applicazioni chì utilizanu l'API Idle Detection).
U pannellu di l'applicazione furnisce infurmazioni detallate nantu à ogni iframe, finestra aperta è pop-up, cumprese l'infurmazioni nantu à l'isolamentu Cross-Origin cù COEP è COOP.
- sustituzione di l'implementazione di u protocolu à l'opzione sviluppata in a specificazione IETF, invece di l'opzione Google QUIC.
In più di innovazioni è correzioni di bug, a nova versione elimina . Parechje di e vulnerabilità sò state identificate cum'è u risultatu di strumenti di teste automatizati , , , и . Una vulnerabilità (CVE-2020-15967, accessu à a memoria liberata in codice per interagisce cù Google Payments) hè marcata cum'è critica, i.e. permette di scaccià tutti i livelli di prutezzione di u navigatore è eseguisce codice in u sistema fora di l'ambiente sandbox. Cum'è parte di u prugramma per pagà ricompense in cash per scopre vulnerabilità per a versione attuale, Google hà pagatu 27 premii per un valore di $ 71500 (un premiu $ 15000, trè premii $ 7500, cinque premii $ 5000, dui premii $ 3000, un premiu $ 200 è dui $ 500). A dimensione di 13 premii ùn hè ancu stata determinata.
Source: opennet.ru
