ProHoster > Blog > internetové zprávy > Chrome 86

Chrome 86

Byla vydána další verze Chrome 86 a stabilní verze Chromium.

Klíčové změny v Chrome 86:

  • ochrana před nebezpečným odesíláním vstupních formulářů na stránkách načtených přes HTTPS, ale odesílání dat přes HTTP.
  • Blokování nebezpečných stahování (http) spustitelných souborů je doplněno blokováním nebezpečných stahování archivů (zip, iso atd.) a zobrazováním upozornění na nebezpečné stahování dokumentů (docx, pdf atd.). V příštím vydání se očekává blokování dokumentů a varování pro obrázky, text a mediální soubory. Blokování je implementováno, protože stahování souborů bez šifrování může být použito k provádění škodlivých akcí nahrazením obsahu během útoků MITM.
  • Výchozí kontextová nabídka zobrazuje možnost „Vždy zobrazovat celou adresu URL“, která dříve vyžadovala změnu nastavení na stránce about:flags, aby byla povolena. Úplnou URL lze také zobrazit poklepáním na adresní řádek. Připomeňme, že počínaje Chrome 76 se ve výchozím nastavení adresa začala zobrazovat bez protokolu a subdomény www. V Chrome 79 bylo odstraněno nastavení vrátit staré chování, ale po nespokojenosti uživatelů byl do Chrome 83 přidán nový experimentální příznak, který do kontextové nabídky přidává možnost zakázat skrývání a zobrazování celé URL za všech podmínek.
    Pro malé procento uživatelů byl spuštěn experiment, který ve výchozím nastavení zobrazuje v adresním řádku pouze doménu, bez prvků cesty a parametrů dotazu. Například místo "https://example.com/secure-google-sign-in/" Zobrazí se „example.com“. Očekává se, že navrhovaný režim bude všem uživatelům zpřístupněn v některé z příštích verzí. Chcete-li toto chování zakázat, můžete použít možnost „Vždy zobrazit celou adresu URL“ a pro zobrazení celé adresy URL můžete kliknout na řádek adresy. Motivem změny je snaha ochránit uživatele před phishingem, který manipuluje s parametry v URL – útočníci využívají nepozornosti uživatelů k vytvoření zdání otevření jiného webu a páchání podvodného jednání (pokud jsou takové záměny pro technicky zdatného uživatele zřejmé , pak nezkušení lidé snadno propadnou takovéto jednoduché manipulaci).
  • Iniciativa k odstranění podpory FTP byla obnovena. V Chrome 86 je FTP ve výchozím nastavení zakázáno pro asi 1 % uživatelů a v Chrome 87 bude rozsah deaktivace zvýšen na 50 %, ale podporu lze obnovit pomocí „--enable-ftp“ nebo „- -enable-features=FtpProtocol" příznak. V Chrome 88 bude podpora FTP zcela deaktivována.
  • Ve verzi pro Android, podobně jako ve verzi pro desktopové systémy, implementuje správce hesel kontrolu uložených loginů a hesel s databází kompromitovaných účtů a zobrazí varování při zjištění problémů nebo pokusu o použití triviálních hesel. Kontrola se provádí proti databázi pokrývající více než 4 miliardy kompromitovaných účtů, které se objevily v uniklých uživatelských databázích. Aby bylo zachováno soukromí, je předpona hash ověřena na straně uživatele a samotná hesla a jejich úplné hodnoty hash nejsou přenášeny externě.
  • Do verze pro Android bylo přeneseno také tlačítko „Kontrola bezpečnosti“ a režim rozšířené ochrany před nebezpečnými stránkami (Enhanced Safe Browsing). Tlačítko „Kontrola bezpečnosti“ zobrazuje souhrn možných bezpečnostních problémů, jako je použití prolomených hesel, stav kontroly škodlivých stránek (Bezpečné prohlížení), přítomnost odinstalovaných aktualizací a identifikace škodlivých doplňků. Pokročilý režim ochrany aktivuje další kontroly na ochranu před phishingem, škodlivými aktivitami a dalšími hrozbami na webu a zahrnuje také další ochranu vašeho účtu Google a služeb Google (Gmail, Disk atd.). Pokud se v normálním režimu Bezpečné prohlížení provádějí kontroly lokálně pomocí databáze pravidelně načítané do systému klienta, pak se v Rozšířeném bezpečném prohlížení odesílají informace o stránkách a stahování v reálném čase k ověření na straně Google, což vám umožní rychle reagovat na hrozby ihned poté, co jsou identifikovány, bez čekání na aktualizaci místní černé listiny.
  • Přidána podpora indikačního souboru „.well-known/change-password“, pomocí kterého mohou majitelé stránek určit adresu webového formuláře pro změnu hesla. Pokud dojde k prolomení přihlašovacích údajů uživatele, Chrome nyní uživatele okamžitě vyzve k zadání formuláře pro změnu hesla na základě informací v tomto souboru.
  • Bylo implementováno nové varování „Tip pro bezpečnost“, které se zobrazuje při otevírání stránek, jejichž doména je velmi podobná jiné stránce, a heuristika ukazuje, že existuje vysoká pravděpodobnost falšování (například místo google.com je otevřena stránka goog0le.com).

    * Byla implementována podpora pro vyrovnávací paměť Back-forward, která poskytuje okamžitou navigaci při použití tlačítek „Zpět“ a „Vpřed“ nebo při procházení dříve zobrazenými stránkami aktuálního webu. Mezipaměť je povolena pomocí nastavení chrome://flags/#back-forward-cache.

  • Optimalizace spotřeby prostředků CPU pro okna mimo rozsah. Chrome kontroluje, zda je okno prohlížeče překryto jinými okny, a zabraňuje vykreslování pixelů v oblastech překrytí. Tato optimalizace byla povolena pro malé procento uživatelů v Chrome 84 a 85 a nyní je povolena všude. Ve srovnání s předchozími verzemi byla také vyřešena nekompatibilita s virtualizačními systémy, která způsobovala zobrazování prázdných bílých stránek.
  • Zvýšené ořezávání zdrojů pro karty na pozadí. Takové karty již nemohou spotřebovávat více než 1 % zdrojů CPU a lze je aktivovat maximálně jednou za minutu. Po pěti minutách na pozadí jsou karty zamrzlé, s výjimkou karet, které přehrávají multimediální obsah nebo nahrávají.
  • Práce na sjednocení HTTP hlavičky User-Agent byly obnoveny. V nové verzi je pro všechny uživatele aktivována podpora mechanismu User-Agent Client Hints vyvinutého jako náhrada za User-Agent. Nový mechanismus zahrnuje selektivní vracení údajů o konkrétních parametrech prohlížeče a systému (verze, platforma atd.) pouze na žádost serveru a dává uživatelům možnost selektivně takové informace poskytnout vlastníkům stránek. Při použití User-Agent Client Hints se identifikátor standardně nepřenáší bez výslovného požadavku, což znemožňuje pasivní identifikaci (ve výchozím nastavení je uveden pouze název prohlížeče).
    Indikace přítomnosti aktualizace a nutnosti restartování prohlížeče pro její instalaci byla změněna. Místo barevné šipky se nyní v poli avatar účtu zobrazuje „Aktualizovat“.
  • Byly provedeny práce na převedení prohlížeče tak, aby používal inkluzivní terminologii. V názvech zásad byla slova „whitelist“ a „blacklist“ nahrazena slovy „allowlist“ a „blocklist“ (již přidané zásady budou nadále fungovat, ale zobrazí se u nich varování o jejich ukončení). V kódech a názvech souborů byly odkazy na „černou listinu“ nahrazeny „seznamem blokovaných“. Uživatelsky viditelné odkazy na „blacklist“ a „whitelist“ byly nahrazeny na začátku roku 2019.
    Přidána experimentální možnost upravovat uložená hesla, aktivovaná pomocí příznaku „chrome://flags/#edit-passwords-in-settings“.
  • Rozhraní Native File System API bylo převedeno do kategorie stabilního a veřejně dostupného API, které umožňuje vytvářet webové aplikace, které komunikují se soubory v lokálním souborovém systému. Nové API může být například požadováno v integrovaných vývojových prostředích založených na prohlížeči, textových, obrazových a video editorech. Aby bylo možné přímo zapisovat a číst soubory nebo používat dialogová okna k otevírání a ukládání souborů, stejně jako procházet obsahem adresářů, aplikace žádá uživatele o speciální potvrzení.
  • Přidán CSS selektor ":focus-visible", který používá stejnou heuristiku, jakou prohlížeč používá při rozhodování, zda zobrazit indikátor změny fokusu (při přesunu fokusu na tlačítko pomocí klávesových zkratek se indikátor objeví, ale při kliknutí myší , to není). Dříve dostupný selektor CSS ":focus" vždy zvýrazní fokus. Kromě toho byla do nastavení přidána možnost „Rychlé zvýraznění“, když je povolena, vedle aktivních prvků se zobrazí další indikátor zaměření, který zůstane viditelný, i když jsou prvky stylu pro vizuální zvýraznění zaměření na stránce zakázány pomocí CSS.
  • Do režimu Origin Trials bylo přidáno několik nových API (experimentální funkce, které vyžadují samostatnou aktivaci). Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
  • WebHID API pro nízkoúrovňový přístup k zařízením HID (zařízení s lidským rozhraním, klávesnice, myši, gamepady, touchpady), které umožňuje implementovat logiku práce se zařízením HID v JavaScriptu a organizovat práci se vzácnými zařízeními HID bez přítomnosti konkrétní ovladače v systému. V prvé řadě je nové API zaměřeno na poskytování podpory pro gamepady.
  • Screen Information API, rozšiřuje rozhraní Window Placement API o podporu konfigurací pro více obrazovek. Na rozdíl od window.screen vám nové API umožňuje manipulovat s umístěním okna v celkovém prostoru obrazovky systémů s více monitory, aniž byste byli omezeni na aktuální obrazovku.
  • Meta tag battery-savings, pomocí kterého může web informovat prohlížeč o nutnosti aktivace režimů pro snížení spotřeby energie a optimalizaci zatížení procesoru.
  • COOP Reporting API pro hlášení potenciálních porušení režimů izolace Cross-Origin-Embedder-Policy (COEP) a Cross-Origin-Opener-Policy (COOP) bez použití skutečných omezení.
  • Credential Management API nabízí nový typ přihlašovacích údajů, PaymentCredential, které poskytují dodatečné potvrzení o prováděné platební transakci. Spoléhající se strana, jako je banka, má možnost vygenerovat veřejný klíč, PublicKeyCredential, který si může obchodník vyžádat pro dodatečné bezpečné potvrzení platby.
  • PointerEvents API pro určování náklonu stylusu* přidalo podporu pro elevační úhly (úhel mezi stylusem a obrazovkou) a azimut (úhel mezi osou X a projekcí stylusu na obrazovku), namísto Úhly TiltX a TiltY (úhly mezi rovinou od dotykového pera a jednou z os a rovinou od os Y a Z). Také přidány převodní funkce mezi výškou/azimutem a TiltX/TiltY.
  • Změnilo se kódování mezery v URL při jejím výpočtu v obslužných rutinách protokolů – metoda navigator.registerProtocolHandler() nyní nahrazuje mezery „%20“ místo „+“, což sjednocuje chování s jinými prohlížeči, jako je Firefox.
  • Do CSS byl přidán pseudoelement "::marker", který vám umožňuje přizpůsobit barvu, velikost, tvar a typ čísel a teček pro výpisy v blocích A .
  • Přidána podpora HTTP hlavičky Document-Policy, která umožňuje nastavit pravidla pro přístup k dokumentům, podobně jako sandboxový izolační mechanismus pro iframe, ale univerzálnější. Prostřednictvím Document-Policy můžete například omezit používání nekvalitních obrázků, zakázat pomalá rozhraní API JavaScriptu, nakonfigurovat pravidla pro načítání prvků iframe, obrázků a skriptů, omezit celkovou velikost dokumentu a provoz, zakázat metody vedoucí k překreslování stránky a zakázat funkci Scroll-To-Text.
  • K prvku přidána podpora pro parametry 'inline-grid', 'grid', 'inline-flex' a 'flex' nastavené pomocí vlastnosti CSS 'display'.
  • Přidána metoda ParentNode.replaceChildren() k nahrazení všech potomků nadřazeného uzlu jiným uzlem DOM. Dříve jste k nahrazení uzlů mohli použít kombinaci node.removeChild() a node.append() nebo node.innerHTML a node.append().
  • Byl rozšířen rozsah schémat URL, která lze přepsat pomocí funkce registerProtocolHandler(). Seznam schémat zahrnuje decentralizované protokoly cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns a ssb, které umožňují definovat odkazy na prvky bez ohledu na web nebo bránu poskytující přístup ke zdroji.
  • Do Asynchronous Clipboard API přidána podpora pro formát text/html pro kopírování a vkládání HTML přes schránku (nebezpečné HTML konstrukty se při zápisu a čtení do schránky čistí). Změna například umožňuje organizovat vkládání a kopírování formátovaného textu s obrázky a odkazy ve webových editorech.
  • WebRTC přidal možnost připojit své vlastní obslužné nástroje dat, které se nazývají ve fázích kódování nebo dekódování WebRTC MediaStreamTrack. Tuto schopnost lze například použít k přidání podpory pro end-to-end šifrování dat přenášených přes zprostředkující servery.
    V JavaScript engine V8 byla implementace Number.prototype.toString zrychlena o 75 %. Přidána vlastnost .name do asynchronních tříd s prázdnou hodnotou. Byla odstraněna metoda Atomics.wake, která byla svého času přejmenována na Atomics.notify, aby vyhovovala specifikaci ECMA-262. Kód pro fuzzing testovací nástroj JS-Fuzzer je otevřený.
  • Základní kompilátor Liftoff pro WebAssembly vydaný v poslední verzi obsahuje možnost používat vektorové instrukce SIMD k urychlení výpočtů. Soudě podle testů optimalizace umožnila zrychlit některé testy 2.8krát. Další optimalizací bylo mnohem rychlejší volání importovaných funkcí JavaScriptu z WebAssembly.
  • Nástroje pro webové vývojáře byly rozšířeny: Panel Média přidal informace o přehrávačích používaných k přehrávání videa na stránce, včetně dat událostí, protokolů, hodnot vlastností a parametrů dekódování snímků (můžete například určit příčiny snímků problémy se ztrátou a interakcí z JavaScriptu).
  • V kontextové nabídce panelu Prvky byla přidána možnost vytvářet snímky obrazovky vybraného prvku (můžete například vytvořit snímek obrazovky obsahu nebo tabulky).
  • Ve webové konzoli byl panel s upozorněním na problémy nahrazen běžnou zprávou a problémy se soubory cookie třetích stran jsou ve výchozím nastavení skryté na kartě Problémy a jsou povoleny pomocí speciálního zaškrtávacího políčka.
  • V záložce Vykreslování přibylo tlačítko „Zakázat místní písma“, které umožňuje simulovat absenci lokálních písem a v záložce Senzory lze nyní simulovat nečinnost uživatele (pro aplikace využívající Idle Detection API).
  • Panel Aplikace poskytuje podrobné informace o každém prvku iframe, otevřeném okně a vyskakovacím okně, včetně informací o izolaci Cross-Origin pomocí COEP a COOP.

Implementace protokolu QUIC začala být nahrazována verzí vyvinutou ve specifikaci IETF namísto verze QUIC od Googlu.
Kromě inovací a oprav chyb nová verze odstraňuje 35 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Jedna zranitelnost (CVE-2020-15967, přístup k uvolněné paměti v kódu pro interakci se službou Google Payments) je označena jako kritická, tzn. umožňuje obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandboxu. V rámci programu vyplácení peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 27 ocenění v hodnotě 71500 15000 USD (jedno ocenění 7500 5000 USD, tři ocenění 3000 200 USD, pět ocenění 500 13 USD, dvě ocenění XNUMX XNUMX USD, jedno ocenění XNUMX USD a dvě ocenění XNUMX USD). Velikost XNUMX odměn zatím nebyla stanovena.

Převzato z Opennet.ru

Zdroj: linux.org.ru

Přidat komentář