ProHoster > blog > newyddion rhyngrwyd > Chrome 86

Chrome 86

Mae'r datganiad nesaf o Chrome 86 a'r datganiad sefydlog o Chromium wedi'u rhyddhau.

Newidiadau mawr yn Chrome 86:

  • amddiffyniad rhag cyflwyno ffurflenni mewnbwn yn anniogel ar dudalennau wedi'u llwytho dros HTTPS ond yn anfon data dros HTTP.
  • Mae blocio lawrlwythiadau anniogel (http) o ffeiliau gweithredadwy yn cael ei ategu gan rwystro lawrlwythiadau anniogel o archifau (zip, iso, ac ati) ac arddangos rhybuddion ar gyfer lawrlwytho dogfennau mewn modd anniogel (docx, pdf, ac ati). Disgwylir blocio dogfennau a rhybuddion ar gyfer delweddau, testun, a ffeiliau cyfryngau yn y datganiad nesaf. Gweithredir y blocio oherwydd gellir defnyddio lawrlwytho ffeiliau heb amgryptio i gyflawni gweithredoedd maleisus trwy amnewid y cynnwys yn ystod ymosodiadau MITM.
  • Mae'r ddewislen cyd-destun rhagosodedig yn dangos yr opsiwn "Dangos URL llawn bob amser", a oedd yn flaenorol angen newid y gosodiadau ar y dudalen about:flags i alluogi. Gellir gweld yr URL llawn hefyd trwy glicio ddwywaith ar y bar cyfeiriad. Gadewch inni eich atgoffa, gan ddechrau gyda Chrome 76, yn ddiofyn y dechreuodd y cyfeiriad gael ei ddangos heb y protocol a'r is-barth www. Yn Chrome 79, tynnwyd y gosodiad i ddychwelyd yr hen ymddygiad, ond ar ôl anfodlonrwydd defnyddwyr, ychwanegwyd baner arbrofol newydd yn Chrome 83 sy'n ychwanegu opsiwn i'r ddewislen cyd-destun i analluogi cuddio a dangos yr URL llawn ym mhob cyflwr.
    Ar gyfer canran fach o ddefnyddwyr, mae arbrawf wedi'i lansio i arddangos y parth yn y bar cyfeiriad yn unig yn ddiofyn, heb elfennau llwybr a pharamedrau ymholiad. Er enghraifft, yn lle "https://example.com/secure-google-sign-in/" Bydd "example.com" yn cael ei ddangos. Disgwylir i'r modd arfaethedig gael ei gyflwyno i bob defnyddiwr yn un o'r datganiadau nesaf. I analluogi'r ymddygiad hwn, gallwch ddefnyddio'r opsiwn "Dangos URL llawn bob amser", ac i weld yr URL cyfan, gallwch glicio ar y bar cyfeiriad. Y cymhelliad dros y newid yw'r awydd i amddiffyn defnyddwyr rhag gwe-rwydo sy'n trin paramedrau yn yr URL - mae ymosodwyr yn manteisio ar ddiffyg sylw defnyddwyr i greu ymddangosiad o agor gwefan arall a chyflawni gweithredoedd twyllodrus (os yw dirprwyon o'r fath yn amlwg i ddefnyddiwr technegol gymwys , yna mae pobl ddibrofiad yn disgyn yn hawdd ar gyfer trin mor syml).
  • Mae'r fenter i ddileu cefnogaeth FTP wedi'i hadnewyddu. Yn Chrome 86, mae FTP yn anabl yn ddiofyn ar gyfer tua 1% o ddefnyddwyr, ac yn Chrome 87 bydd cwmpas yr anabledd yn cynyddu i 50%, ond gellir dod â chefnogaeth yn ôl gan ddefnyddio'r "--enable-ftp" neu "- -enable-features=FtpProtocol" baner. Yn Chrome 88, bydd cefnogaeth FTP yn gwbl anabl.
  • Yn y fersiwn ar gyfer Android, yn debyg i'r fersiwn ar gyfer systemau bwrdd gwaith, mae'r rheolwr cyfrinair yn gweithredu gwiriad o fewngofnodi a chyfrineiriau sydd wedi'u cadw yn erbyn cronfa ddata o gyfrifon dan fygythiad, gan ddangos rhybudd os canfyddir problemau neu os gwneir ymgais i ddefnyddio cyfrineiriau dibwys. Gwneir y gwiriad yn erbyn cronfa ddata sy'n cwmpasu mwy na 4 biliwn o gyfrifon dan fygythiad a ymddangosodd mewn cronfeydd data defnyddwyr a ddatgelwyd. Er mwyn cynnal preifatrwydd, mae'r rhagddodiad hash yn cael ei wirio ar ochr y defnyddiwr, ac nid yw'r cyfrineiriau eu hunain a'u hashes llawn yn cael eu trosglwyddo'n allanol.
  • Mae'r botwm "Gwiriad Diogelwch" a'r modd amddiffyn gwell rhag safleoedd peryglus (Pori Diogel Gwell) hefyd wedi'u trosglwyddo i'r fersiwn Android. Mae'r botwm "Gwiriad Diogelwch" yn dangos crynodeb o faterion diogelwch posibl, megis defnyddio cyfrineiriau dan fygythiad, statws gwirio gwefannau maleisus (Pori'n Ddiogel), presenoldeb diweddariadau heb eu gosod, ac adnabod ychwanegion maleisus. Mae modd amddiffyn uwch yn actifadu gwiriadau ychwanegol i amddiffyn rhag gwe-rwydo, gweithgaredd maleisus a bygythiadau eraill ar y We, ac mae hefyd yn cynnwys amddiffyniad ychwanegol ar gyfer eich cyfrif Google a gwasanaethau Google (Gmail, Drive, ac ati). Os yn y modd Pori Diogel arferol mae gwiriadau'n cael eu cynnal yn lleol gan ddefnyddio cronfa ddata a lwythir o bryd i'w gilydd ar system y cleient, yna yn Pori Diogel Uwch anfonir gwybodaeth am dudalennau a lawrlwythiadau mewn amser real i'w dilysu ar ochr Google, sy'n eich galluogi i ymateb yn gyflym i bygythiadau yn syth ar ôl iddynt gael eu nodi, heb aros nes bod y rhestr ddu leol yn cael ei diweddaru.
  • Ychwanegwyd cefnogaeth i'r ffeil dangosydd ".well-known/change-password", y gall perchnogion safleoedd nodi cyfeiriad y ffurflen we ar gyfer newid y cyfrinair gyda hi. Os yw tystlythyrau defnyddiwr yn cael eu peryglu, bydd Chrome nawr yn annog y defnyddiwr ar unwaith gyda ffurflen newid cyfrinair yn seiliedig ar y wybodaeth yn y ffeil hon.
  • Mae rhybudd “Awgrym Diogelwch” newydd wedi'i weithredu, sy'n cael ei arddangos wrth agor safleoedd y mae eu parth yn debyg iawn i wefan arall ac mae heuristics yn dangos bod tebygolrwydd uchel o ffugio (er enghraifft, mae goog0le.com yn cael ei agor yn lle google.com).

    * Mae cefnogaeth i'r storfa Yn ôl ymlaen wedi'i rhoi ar waith, gan ddarparu llywio ar unwaith wrth ddefnyddio'r botymau "Yn ôl" ac "Ymlaen" neu wrth lywio trwy dudalennau a welwyd yn flaenorol o'r wefan gyfredol. Mae'r storfa wedi'i alluogi gan ddefnyddio'r gosodiad chrome://flags/#back-forward-cache.

  • Optimeiddio defnydd adnoddau CPU ar gyfer ffenestri y tu allan i'r cwmpas. Mae Chrome yn gwirio a yw ffenestr y porwr wedi'i gorgyffwrdd gan ffenestri eraill ac yn atal tynnu picsel mewn ardaloedd o orgyffwrdd. Galluogwyd yr optimeiddio hwn ar gyfer canran fach o ddefnyddwyr yn Chrome 84 a 85 ac mae bellach wedi'i alluogi ym mhobman. O'i gymharu â datganiadau blaenorol, mae anghydnawsedd â systemau rhithwiroli a achosodd i dudalennau gwyn gwag ymddangos hefyd wedi'i ddatrys.
  • Mwy o docio adnoddau ar gyfer tabiau cefndir. Ni all tabiau o'r fath ddefnyddio mwy nag 1% o adnoddau CPU mwyach a gellir eu gweithredu dim mwy nag unwaith y funud. Ar ôl pum munud o fod yn y cefndir, mae tabiau'n cael eu rhewi, ac eithrio tabiau sy'n chwarae cynnwys amlgyfrwng neu recordio.
  • Mae gwaith wedi ailddechrau ar uno pennyn HTTP Asiant Defnyddiwr. Yn y fersiwn newydd, mae cefnogaeth ar gyfer y mecanwaith Awgrymiadau Cleient Defnyddiwr-Asiant, a ddatblygwyd yn lle Asiant Defnyddiwr, yn cael ei actifadu ar gyfer pob defnyddiwr. Mae'r mecanwaith newydd yn golygu dychwelyd data yn ddetholus am baramedrau porwr a system penodol (fersiwn, platfform, ac ati) dim ond ar ôl cais gan y gweinydd a rhoi cyfle i ddefnyddwyr ddarparu gwybodaeth o'r fath yn ddetholus i berchnogion safleoedd. Wrth ddefnyddio Awgrymiadau Cleient Defnyddiwr-Asiant, nid yw'r dynodwr yn cael ei drosglwyddo yn ddiofyn heb gais penodol, sy'n gwneud adnabod goddefol yn amhosibl (yn ddiofyn, dim ond enw'r porwr a nodir).
    Mae'r arwydd o bresenoldeb diweddariad a'r angen i ailgychwyn y porwr i'w osod wedi'i newid. Yn lle saeth lliw, mae “Diweddariad” bellach yn ymddangos ym maes avatar y cyfrif.
  • Mae gwaith wedi'i wneud i drosi'r porwr i ddefnyddio terminoleg gynhwysol. Mewn enwau polisi, mae'r geiriau “rhestr wen” a “rhestr ddu” wedi'u disodli gan “rhestr allow” a “rhestr flociau” (bydd polisïau sydd eisoes wedi'u hychwanegu yn parhau i weithio, ond byddant yn dangos rhybudd am gael eu diystyru). Mewn enwau cod a ffeiliau, mae cyfeiriadau at "rhestr ddu" wedi'u disodli gan "rhestr flociau". Disodlwyd cyfeiriadau gweladwy defnyddiwr at “rhestr ddu” a “rhestr wen” ar ddechrau 2019.
    Ychwanegwyd gallu arbrofol i olygu cyfrineiriau sydd wedi'u cadw, wedi'i actifadu gan ddefnyddio'r faner “chrome://flags/#edit-passwords-in-settings”.
  • Mae'r API System Ffeil Brodorol wedi'i drosglwyddo i'r categori API sefydlog sydd ar gael yn gyhoeddus, sy'n eich galluogi i greu cymwysiadau gwe sy'n rhyngweithio â ffeiliau yn y system ffeiliau leol. Er enghraifft, efallai y bydd galw am yr API newydd mewn amgylcheddau datblygu integredig seiliedig ar borwr, golygyddion testun, delwedd a fideo. Er mwyn gallu ysgrifennu a darllen ffeiliau yn uniongyrchol neu ddefnyddio deialogau i agor ac arbed ffeiliau, yn ogystal â llywio trwy gynnwys cyfeirlyfrau, mae'r rhaglen yn gofyn i'r defnyddiwr am gadarnhad arbennig.
  • Ychwanegwyd dewisydd CSS ":focus-visible", sy'n defnyddio'r un heuristics a ddefnyddir gan y porwr wrth benderfynu a ddylid dangos y dangosydd newid ffocws (wrth symud ffocws i fotwm gan ddefnyddio llwybrau byr bysellfwrdd, mae'r dangosydd yn ymddangos, ond wrth glicio gyda'r llygoden , nid yw'n). Mae'r dewisydd CSS sydd ar gael yn flaenorol ":focus" bob amser yn amlygu ffocws. Yn ogystal, mae'r opsiwn "Uwchbwynt Ffocws Cyflym" wedi'i ychwanegu at y gosodiadau, pan fydd wedi'i alluogi, bydd dangosydd ffocws ychwanegol yn cael ei ddangos wrth ymyl elfennau gweithredol, sy'n parhau i fod yn weladwy hyd yn oed os yw elfennau arddull ar gyfer ffocws amlygu gweledol wedi'u hanalluogi ar y dudalen trwy CSS .
  • Mae sawl API newydd wedi'u hychwanegu at y modd Treialon Tarddiad (nodweddion arbrofol sydd angen actifadu ar wahân). Mae Origin Trial yn awgrymu'r gallu i weithio gyda'r API penodedig o gymwysiadau a lawrlwythwyd o localhost neu 127.0.0.1, neu ar ôl cofrestru a derbyn tocyn arbennig sy'n ddilys am gyfnod cyfyngedig ar gyfer gwefan benodol.
  • WebHID API ar gyfer mynediad lefel isel i ddyfeisiau HID (dyfeisiau rhyngwyneb dynol, bysellfyrddau, llygod, padiau gêm, padiau cyffwrdd), sy'n eich galluogi i weithredu'r rhesymeg o weithio gyda dyfais HID yn JavaScript i drefnu gwaith gyda dyfeisiau HID prin heb bresenoldeb gyrwyr penodol yn y system. Yn gyntaf oll, nod yr API newydd yw darparu cefnogaeth i gamepads.
  • Sgrin Gwybodaeth API, yn ymestyn yr API Lleoliad Ffenestr i gefnogi ffurfweddau aml-sgrîn. Yn wahanol i window.screen, mae'r API newydd yn caniatáu ichi drin lleoliad ffenestr yng ngofod sgrin cyffredinol systemau aml-fonitro, heb fod yn gyfyngedig i'r sgrin gyfredol.
  • Arbedion batri tag meta, y gall y wefan roi gwybod i'r porwr am yr angen i actifadu moddau i leihau'r defnydd o bŵer a gwneud y gorau o lwyth CPU.
  • API Adrodd COOP i adrodd am achosion posibl o dorri'r dulliau ynysu Traws-Origin-Embedder-Polisi (COEP) a Thraws-Origin-Opener-Polisi (COOP), heb gymhwyso cyfyngiadau gwirioneddol.
  • Mae'r API Rheolaeth Credential yn cynnig math newydd o gymwysterau, PaymentCredential, sy'n darparu cadarnhad ychwanegol o'r trafodiad talu sy'n cael ei berfformio. Mae gan barti sy'n dibynnu, fel banc, y gallu i gynhyrchu allwedd gyhoeddus, PublicKeyCredential, y gall y masnachwr ofyn amdano am gadarnhad taliad diogel ychwanegol.
  • Mae'r API PointerEvents ar gyfer pennu gogwydd y stylus * wedi ychwanegu cefnogaeth ar gyfer onglau drychiad (yr ongl rhwng y stylus a'r sgrin) ac azimuth (yr ongl rhwng yr echelin X a thafluniad y stylus ar y sgrin), yn lle'r Onglau TiltX a TiltY (yr onglau rhwng y plân o'r stylus ac un o'r echelinau a'r plân o'r echelinau Y a Z). Hefyd wedi ychwanegu swyddogaethau trosi rhwng uchder/azimuth a TiltX/TiltY.
  • Wedi newid amgodiad gofod mewn URLs wrth ei gyfrifo mewn trinwyr protocol - mae'r dull navigator.registerProtocolHandler() bellach yn disodli bylchau gyda "%20" yn lle "+", sy'n uno'r ymddygiad gyda phorwyr eraill megis Firefox.
  • Mae ffug-elfen "::marker" wedi'i ychwanegu at CSS, sy'n eich galluogi i addasu lliw, maint, siâp a math y rhifau a'r dotiau ar gyfer rhestrau mewn blociau Ac .
  • Cefnogaeth ychwanegol i bennawd HTTP Dogfen-Polisi, sy'n eich galluogi i osod rheolau ar gyfer cyrchu dogfennau, yn debyg i'r mecanwaith ynysu blwch tywod ar gyfer iframes, ond yn fwy cyffredinol. Er enghraifft, trwy Document-Policy gallwch gyfyngu ar y defnydd o ddelweddau o ansawdd isel, analluogi APIs JavaScript araf, ffurfweddu rheolau ar gyfer llwytho iframes, delweddau a sgriptiau, cyfyngu ar faint cyffredinol y ddogfen a thraffig, gwahardd dulliau sy'n arwain at ail-lunio tudalennau, a analluoga'r swyddogaeth Sgrolio-I-Testun.
  • I elfen cefnogaeth ychwanegol ar gyfer paramedrau 'inline-grid', 'grid', 'inline-flex' a 'flex' a osodwyd trwy'r eiddo CSS 'arddangos'.
  • Ychwanegwyd dull ParentNode.replaceChildren() i ddisodli holl blant nod rhiant â nod DOM arall. Yn flaenorol, gallech ddefnyddio cyfuniad o nod.removeChild() a nod.append() neu nod.innerHTML a node.append() i ddisodli nodau.
  • Mae'r ystod o gynlluniau URL y gellir eu diystyru gan ddefnyddio registerProtocolHandler() wedi'i ehangu. Mae'r rhestr o gynlluniau yn cynnwys y protocolau datganoledig cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns a ssb, sy'n eich galluogi i ddiffinio dolenni i elfennau waeth beth fo'r safle neu'r porth sy'n darparu mynediad i'r adnodd.
  • Ychwanegwyd cefnogaeth ar gyfer fformat testun / html i'r API Clipfwrdd Asynchronous ar gyfer copïo a gludo HTML trwy'r clipfwrdd (mae lluniadau HTML peryglus yn cael eu glanhau wrth ysgrifennu a darllen i'r clipfwrdd). Mae'r newid, er enghraifft, yn caniatáu ichi drefnu mewnosod a chopïo testun wedi'i fformatio gyda delweddau a dolenni mewn golygyddion gwe.
  • Mae WebRTC wedi ychwanegu'r gallu i gysylltu ei drinwyr data ei hun, a elwir ar gamau amgodio neu ddatgodio WebRTC MediaStreamTrack. Er enghraifft, gellir defnyddio'r gallu hwn i ychwanegu cefnogaeth ar gyfer amgryptio o'r dechrau i'r diwedd o ddata a drosglwyddir trwy weinyddion canolradd.
    Yn yr injan V8 JavaScript, mae gweithredu Number.prototype.toString wedi'i gyflymu gan 75%. Wedi ychwanegu eiddo .name at ddosbarthiadau asyncronaidd gyda gwerth gwag. Mae'r dull Atomics.wake wedi'i ddileu, a gafodd ei ailenwi ar un adeg i Atomics.notify i gydymffurfio â manyleb ECMA-262. Mae'r cod ar gyfer yr offeryn profi niwlog JS-Fuzzer ar agor.
  • Mae casglwr llinell sylfaen Liftoff ar gyfer WebAssembly a ryddhawyd yn y datganiad diwethaf yn cynnwys y gallu i ddefnyddio cyfarwyddiadau fector SIMD i gyflymu cyfrifiadau. A barnu yn ôl y profion, roedd optimeiddio yn ei gwneud hi'n bosibl cyflymu rhai profion 2.8 gwaith. Gwnaeth optimeiddio arall hi'n llawer cyflymach i alw swyddogaethau JavaScript wedi'u mewnforio o WebAssembly.
  • Mae offer ar gyfer datblygwyr gwe wedi'u hehangu: Mae'r panel Cyfryngau wedi ychwanegu gwybodaeth am y chwaraewyr a ddefnyddir i chwarae fideo ar y dudalen, gan gynnwys data digwyddiadau, logiau, gwerthoedd eiddo a pharamedrau datgodio ffrâm (er enghraifft, gallwch chi bennu achosion ffrâm problemau colled a rhyngweithio o JavaScript).
  • Yn newislen cyd-destun y panel Elfennau, mae'r gallu i greu sgrinluniau o'r elfen a ddewiswyd wedi'i ychwanegu (er enghraifft, gallwch greu sgrin lun o'r tabl cynnwys neu dabl).
  • Yn y consol gwe, mae'r panel rhybuddio problemau wedi'i ddisodli gan neges reolaidd, ac mae problemau gyda Chwcis trydydd parti yn cael eu cuddio yn ddiofyn yn y tab Materion ac yn cael eu galluogi gyda blwch ticio arbennig.
  • Yn y tab Rendro, mae botwm “Analluogi ffontiau lleol” wedi'i ychwanegu, sy'n eich galluogi i efelychu absenoldeb ffontiau lleol, ac yn y tab Synwyryddion gallwch nawr efelychu anweithgarwch defnyddwyr (ar gyfer cymwysiadau sy'n defnyddio'r Idle Detection API).
  • Mae'r panel Cais yn darparu gwybodaeth fanwl am bob iframe, ffenestr agored, a pop-up, gan gynnwys gwybodaeth am ynysu Traws-Origin gan ddefnyddio COEP a COOP.

Mae gweithredu'r protocol QUIC wedi dechrau cael ei ddisodli gan y fersiwn a ddatblygwyd yn y fanyleb IETF, yn lle fersiwn Google o QUIC.
Yn ogystal ag arloesiadau a thrwsio namau, mae'r fersiwn newydd yn dileu 35 o wendidau. Nodwyd llawer o'r gwendidau o ganlyniad i brofion awtomataidd gan ddefnyddio'r offer AddressSanitizer, MemorySanitizer, Union Flow Control, LibFuzzer ac AFL. Mae un bregusrwydd (CVE-2020-15967, mynediad at gof wedi'i ryddhau yn y cod ar gyfer rhyngweithio â Google Payments) wedi'i nodi'n hollbwysig, h.y. yn caniatáu ichi osgoi pob lefel o amddiffyniad porwr a gweithredu cod ar y system y tu allan i amgylchedd y blwch tywod. Fel rhan o'r rhaglen i dalu gwobrau ariannol am ddarganfod gwendidau ar gyfer y datganiad cyfredol, talodd Google 27 dyfarniad gwerth $71500 (un dyfarniad $15000, tri dyfarniad $7500, pum dyfarniad $5000, dau ddyfarniad $3000, un dyfarniad $200, a dau ddyfarniad $500). Nid yw maint 13 gwobr wedi'i bennu eto.

Cymerwyd o Opennet.ru

Ffynhonnell: linux.org.ru

Ychwanegu sylw