Google rhyddhau porwr gwe ... Ar yr un pryd rhyddhau prosiect am ddim yn sefydlog , sy'n gwasanaethu fel sail Chrome. Porwr Chrome y defnydd o logos Google, presenoldeb system ar gyfer anfon hysbysiadau rhag ofn y bydd damwain, y gallu i lawrlwytho modiwl Flash ar gais, modiwlau ar gyfer chwarae cynnwys fideo gwarchodedig (DRM), system ar gyfer gosod diweddariadau a thrawsyriant yn awtomatig wrth chwilio . Mae'r datganiad nesaf o Chrome 87 wedi'i drefnu ar gyfer Tachwedd 17eg.
:
- Ychwanegwyd amddiffyniad rhag cyflwyno ffurflenni mewnbwn yn anniogel ar dudalennau a lwythwyd trwy HTTPS ond sy'n anfon data trwy HTTP, sy'n creu'r bygythiad o ryng-gipio data a ffugio yn ystod ymosodiadau MITM. Daw amddiffyniad i lawr i dri newid:
- Mae llenwi unrhyw ffurflenni mewnbwn cymysg yn awtomatig wedi'i analluogi, yn debyg i sut mae llenwi ffurflenni dilysu'n awtomatig ar dudalennau a agorwyd trwy HTTP wedi'i analluogi ers cryn amser. Os oedd arwydd ar gyfer analluogi yn flaenorol yn agor tudalen gyda ffurflen trwy HTTPS neu HTTP, nawr mae'r defnydd o amgryptio wrth anfon data at y sawl sy'n trin y ffurflen hefyd yn cael ei ystyried. Nid yw'r rheolwr cyfrinair ar gyfer mathau cymysg o ddilysu yn anabl, gan fod y risg o ddefnyddio cyfrinair anniogel ac ailddefnyddio cyfrineiriau ar wahanol safleoedd yn gorbwyso'r risg o ryng-gipio traffig posibl.
- Wrth ddechrau cofnodi mewn ffurfiau cymysg, dangosir rhybudd yn hysbysu'r defnyddiwr bod y data gorffenedig yn cael ei anfon trwy sianel gyfathrebu heb ei amgryptio.
- Pan geisiwch gyflwyno ffurflen gymysg, dangosir tudalen ar wahân yn eich hysbysu o'r risg bosibl o drosglwyddo data dros sianel gyfathrebu heb ei hamgryptio. Mewn fersiynau blaenorol, defnyddiwyd dangosydd clo clap yn y bar cyfeiriad i nodi ffurfiau cymysg, ond nid oedd y marcio hwn yn amlwg i ddefnyddwyr ac nid oedd yn adlewyrchu'r risgiau dan sylw yn effeithiol.
- Blocio (heb amgryptio) ffeiliau gweithredadwy yn cael ei ategu gan rwystro llwytho archifau'n anniogel (zip, iso, ac ati) ac arddangos rhybuddion am lwytho anniogel
dogfennau (docx, pdf, ac ati). Disgwylir blocio dogfennau a rhybuddion ar gyfer delweddau, testun, a ffeiliau cyfryngau yn y datganiad nesaf. Gweithredir y blocio oherwydd gellir defnyddio lawrlwytho ffeiliau heb amgryptio i gyflawni gweithredoedd maleisus trwy amnewid y cynnwys yn ystod ymosodiadau MITM. - Mae'r ddewislen cyd-destun rhagosodedig yn dangos yr opsiwn "Dangos URL llawn bob amser", a oedd yn flaenorol angen newid y gosodiadau ar y dudalen about:flags i alluogi. Gellir gweld yr URL llawn hefyd trwy glicio ddwywaith ar y bar cyfeiriad. Gadewch inni gofio hynny gan ddechrau Yn ddiofyn, dechreuwyd dangos y cyfeiriad heb brotocol ac is-barth www. YN dilëwyd y gosodiad i ddychwelyd yr hen ymddygiad, ond ar ôl anfodlonrwydd defnyddwyr ag ef Mae baner arbrofol newydd wedi'i hychwanegu sy'n ychwanegu opsiwn i'r ddewislen cyd-destun i analluogi cuddio a dangos yr URL llawn mewn unrhyw amodau.
- Wedi'i lansio ar gyfer canran fach o ddefnyddwyr ar Yn ddiofyn, mae'r bar cyfeiriad yn cynnwys y parth yn unig, heb elfennau llwybr a pharamedrau ymholiad. Er enghraifft, yn lle "https://example.com/secure-google-sign-in/" bydd yn dangos "example.com". Disgwylir i'r modd arfaethedig gael ei gyflwyno i bob defnyddiwr yn un o'r datganiadau nesaf. I analluogi'r ymddygiad hwn, gallwch ddefnyddio'r opsiwn "Dangos URL llawn bob amser", ac i weld yr URL cyfan, gallwch glicio ar y bar cyfeiriad. Y cymhelliad dros y newid yw'r awydd i amddiffyn defnyddwyr rhag gwe-rwydo sy'n trin paramedrau yn yr URL - mae ymosodwyr yn manteisio ar ddiffyg sylw defnyddwyr i greu ymddangosiad o agor gwefan arall a chyflawni gweithredoedd twyllodrus (os yw dirprwyon o'r fath yn amlwg i ddefnyddiwr technegol gymwys , yna mae pobl ddibrofiad yn disgyn yn hawdd ar gyfer trin mor syml).
- Ailddechrau i gael gwared ar gefnogaeth FTP. Yn Chrome 86, mae FTP yn anabl yn ddiofyn ar gyfer tua 1% o ddefnyddwyr, ac yn Chrome 87 bydd cwmpas yr anabledd yn cynyddu i 50%, ond gellir dod â chefnogaeth yn ôl gan ddefnyddio'r "--enable-ftp" neu "- -enable-features=FtpProtocol" baner. Yn Chrome 88, bydd cefnogaeth FTP yn gwbl anabl.
- Yn y fersiwn ar gyfer Android, yn debyg i'r fersiwn ar gyfer systemau bwrdd gwaith, mae'r rheolwr cyfrinair yn gweithredu gwiriad o fewngofnodi a chyfrineiriau sydd wedi'u cadw yn erbyn cronfa ddata o gyfrifon dan fygythiad, gan ddangos rhybudd os canfyddir problemau neu os gwneir ymgais i ddefnyddio cyfrineiriau dibwys. Gwneir y gwiriad yn erbyn cronfa ddata sy'n cwmpasu mwy na 4 biliwn o gyfrifon dan fygythiad a ymddangosodd mewn cronfeydd data defnyddwyr a ddatgelwyd. Er mwyn cynnal preifatrwydd Mae'r rhagddodiad hash yn cael ei wirio ar ochr y defnyddiwr, ac nid yw'r cyfrineiriau eu hunain a'u hashes llawn yn cael eu trosglwyddo'n allanol.
- Ar gael hefyd mewn fersiwn Android y botwm “Gwiriad Diogelwch” a'r modd amddiffyn gwell rhag safleoedd peryglus (Pori Diogel Gwell). Mae'r botwm "Gwiriad Diogelwch" yn dangos crynodeb o faterion diogelwch posibl, megis defnyddio cyfrineiriau dan fygythiad, statws gwirio gwefannau maleisus (Pori'n Ddiogel), presenoldeb diweddariadau heb eu gosod, ac adnabod ychwanegion maleisus. Mae modd amddiffyn uwch yn actifadu gwiriadau ychwanegol i amddiffyn rhag gwe-rwydo, gweithgaredd maleisus a bygythiadau eraill ar y We, ac mae hefyd yn cynnwys amddiffyniad ychwanegol ar gyfer eich cyfrif Google a gwasanaethau Google (Gmail, Drive, ac ati). Os yn y modd Pori Diogel arferol mae gwiriadau'n cael eu cynnal yn lleol gan ddefnyddio cronfa ddata a lwythir o bryd i'w gilydd ar system y cleient, yna yn Pori Diogel Uwch anfonir gwybodaeth am dudalennau a lawrlwythiadau mewn amser real i'w dilysu ar ochr Google, sy'n eich galluogi i ymateb yn gyflym i bygythiadau yn syth ar ôl iddynt gael eu nodi, heb aros nes bod y rhestr ddu leol yn cael ei diweddaru.
- cefnogaeth ar gyfer y ffeil dangosydd “.well-known/change-password”, y gall perchnogion gwefannau nodi cyfeiriad ffurflen we ar gyfer newid cyfrinair gyda hi. Os yw tystlythyrau defnyddiwr yn cael eu peryglu, bydd Chrome nawr yn annog y defnyddiwr ar unwaith gyda ffurflen newid cyfrinair yn seiliedig ar y wybodaeth yn y ffeil hon.
- Mae rhybudd “Awgrym Diogelwch” newydd wedi'i weithredu, sy'n cael ei arddangos wrth agor safleoedd y mae eu parth yn debyg iawn i wefan arall ac mae heuristics yn dangos bod tebygolrwydd uchel o ffugio (er enghraifft, mae goog0le.com yn cael ei agor yn lle google.com).
- cefnogaeth ar gyfer y storfa Back-forward, sy'n darparu llywio ar unwaith wrth ddefnyddio'r botymau "Yn ôl" ac "Ymlaen" neu wrth lywio trwy dudalennau a welwyd yn flaenorol o'r wefan gyfredol. Mae'r storfa wedi'i alluogi gan ddefnyddio'r gosodiad chrome://flags/#back-forward-cache.
- Mae'r defnydd o adnoddau CPU gan ffenestri wedi'i optimeiddio
allan o gwmpas. Mae Chrome yn gwirio a yw ffenestr y porwr wedi'i gorgyffwrdd gan ffenestri eraill ac yn atal tynnu picsel mewn ardaloedd o orgyffwrdd. Galluogwyd yr optimeiddio hwn ar gyfer canran fach o ddefnyddwyr yn Chrome 84 a 85 ac mae bellach wedi'i alluogi ym mhobman. O'i gymharu â datganiadau blaenorol, mae anghydnawsedd â systemau rhithwiroli a achosodd i dudalennau gwyn gwag ymddangos hefyd wedi'i ddatrys. - Mwy o docio adnoddau ar gyfer tabiau cefndir. Ni all tabiau o'r fath ddefnyddio mwy nag 1% o adnoddau CPU mwyach a gellir eu gweithredu dim mwy nag unwaith y funud. Ar ôl pum munud o fod yn y cefndir, mae tabiau'n cael eu rhewi, ac eithrio tabiau sy'n chwarae cynnwys amlgyfrwng neu recordio.
- Gweithio ar Pennawd HTTP Asiant Defnyddiwr. Yn y fersiwn newydd, mae cefnogaeth i'r mecanwaith yn cael ei actifadu ar gyfer pob defnyddiwr , a ddatblygwyd yn lle Asiant Defnyddiwr. Mae'r mecanwaith newydd yn golygu dychwelyd data yn ddetholus am baramedrau porwr a system penodol (fersiwn, platfform, ac ati) dim ond ar ôl cais gan y gweinydd a rhoi cyfle i ddefnyddwyr ddarparu gwybodaeth o'r fath yn ddetholus i berchnogion safleoedd. Wrth ddefnyddio Awgrymiadau Cleient Defnyddiwr-Asiant, nid yw'r dynodwr yn cael ei drosglwyddo yn ddiofyn heb gais penodol, sy'n gwneud adnabod goddefol yn amhosibl (yn ddiofyn, dim ond enw'r porwr a nodir).
- Mae'r arwydd o bresenoldeb diweddariad a'r angen i ailgychwyn y porwr i'w osod wedi'i newid. Yn lle saeth lliw, mae “Diweddariad” bellach yn ymddangos ym maes avatar y cyfrif.
- Mae gwaith wedi'i wneud i drosi'r porwr i ddefnyddio terminoleg gynhwysol. Mewn enwau polisi, mae'r geiriau “rhestr wen” a “rhestr ddu” wedi'u disodli gan “rhestr allow” a “rhestr flociau” (bydd polisïau sydd eisoes wedi'u hychwanegu yn parhau i weithio, ond byddant yn dangos rhybudd am gael eu diystyru). YN и mae cyfeiriadau at "rhestr ddu" wedi'u disodli gan "blocklist".
Disodlwyd cyfeiriadau gweladwy defnyddiwr at “rhestr ddu” a “rhestr wen” ar ddechrau 2019. - Ychwanegwyd gallu arbrofol i olygu cyfrineiriau sydd wedi'u cadw, wedi'i actifadu gan ddefnyddio'r faner “chrome://flags/#edit-passwords-in-settings”.
- Wedi'i drosi i API sefydlog a chyhoeddus , sy'n eich galluogi i greu cymwysiadau gwe sy'n rhyngweithio â ffeiliau yn y system ffeiliau leol. Er enghraifft, efallai y bydd galw am yr API newydd mewn amgylcheddau datblygu integredig seiliedig ar borwr, golygyddion testun, delwedd a fideo. Er mwyn gallu ysgrifennu a darllen ffeiliau yn uniongyrchol neu ddefnyddio deialogau i agor ac arbed ffeiliau, yn ogystal â llywio trwy gynnwys cyfeirlyfrau, mae'r rhaglen yn gofyn i'r defnyddiwr am gadarnhad arbennig.
- Ychwanegwyd dewisydd CSS "“, sy'n defnyddio'r un heuristics y mae'r porwr yn eu defnyddio wrth benderfynu a ddylid dangos y dangosydd newid ffocws (wrth symud ffocws i fotwm gan ddefnyddio llwybrau byr bysellfwrdd, mae'r dangosydd yn ymddangos, ond wrth glicio gyda'r llygoden, nid yw'n). Mae'r dewisydd CSS sydd ar gael yn flaenorol ":focus" bob amser yn amlygu ffocws.
Yn ogystal, mae'r opsiwn "Uwchbwynt Ffocws Cyflym" wedi'i ychwanegu at y gosodiadau, pan fydd wedi'i alluogi, bydd dangosydd ffocws ychwanegol yn cael ei ddangos wrth ymyl elfennau gweithredol, sy'n parhau i fod yn weladwy hyd yn oed os yw elfennau arddull ar gyfer amlygu ffocws gweledol wedi'u hanalluogi ar y dudalen trwy CSS. - Mae sawl API newydd wedi'u hychwanegu at y modd Treialon Tarddiad (nodweddion arbrofol sydd angen actifadu ar wahân). Mae Origin Trial yn awgrymu'r gallu i weithio gyda'r API penodedig o gymwysiadau a lawrlwythwyd o localhost neu 127.0.0.1, neu ar ôl cofrestru a derbyn tocyn arbennig sy'n ddilys am gyfnod cyfyngedig ar gyfer gwefan benodol.
- ar gyfer mynediad lefel isel i ddyfeisiau HID (dyfeisiau rhyngwyneb dynol, bysellfyrddau, llygod, padiau gêm, paneli cyffwrdd), sy'n eich galluogi i weithredu'r rhesymeg o weithio gyda dyfais HID yn JavaScript i drefnu gwaith gyda dyfeisiau HID prin heb bresenoldeb gyrwyr penodol yn y system.
Yn gyntaf oll, nod yr API newydd yw darparu cefnogaeth i gamepads. - , yn ymestyn yr API Lleoliad Ffenestr i gefnogi ffurfweddau aml-sgrîn. Yn wahanol i window.screen, mae'r API newydd yn caniatáu ichi drin lleoliad ffenestr yng ngofod sgrin cyffredinol systemau aml-fonitro, heb fod yn gyfyngedig i'r sgrin gyfredol.
- Meta tag , y gall y wefan hysbysu'r porwr am yr angen i actifadu moddau i leihau'r defnydd o bŵer a gwneud y gorau o lwyth CPU.
- API adrodd am achosion posibl o dorri rheoliadau ynysu (COEP) a (COOP), heb gymhwyso cyfyngiadau gwirioneddol.
- Yn yr API mae math newydd o gymwysterau wedi'u cynnig , gan ddarparu cadarnhad ychwanegol o'r trafodiad talu sy'n cael ei berfformio. Mae gan barti sy'n dibynnu, fel banc, y gallu i gynhyrchu allwedd gyhoeddus, PublicKeyCredential, y gall y masnachwr ofyn amdano am gadarnhad taliad diogel ychwanegol.
- ar gyfer mynediad lefel isel i ddyfeisiau HID (dyfeisiau rhyngwyneb dynol, bysellfyrddau, llygod, padiau gêm, paneli cyffwrdd), sy'n eich galluogi i weithredu'r rhesymeg o weithio gyda dyfais HID yn JavaScript i drefnu gwaith gyda dyfeisiau HID prin heb bresenoldeb gyrwyr penodol yn y system.
- Yn yr API i bennu tilt y stylus, mae cefnogaeth wedi'i ychwanegu ar gyfer onglau uchder (yr ongl rhwng y stylus a'r sgrin) ac azimuth (yr ongl rhwng yr echelin X a thafluniad y stylus ar y sgrin), yn lle'r TiltX a Onglau gogwyddo (yr onglau rhwng y plân o'r stylus ac un o'r echelinau a'r plân o'r echelin Y ac Y Z). Hefyd wedi ychwanegu swyddogaethau trosi rhwng uchder/azimuth a TiltX/TiltY.
- Wedi newid amgodiad gofod mewn URLs wrth ei gyfrifo mewn trinwyr protocol - mae'r dull navigator.registerProtocolHandler() bellach yn disodli bylchau gyda "%20" yn lle "+", sy'n uno'r ymddygiad gyda phorwyr eraill megis Firefox.
- Ychwanegwyd ffug-elfen CSS "", sy'n eich galluogi i addasu lliw, maint, siâp a math y rhifau a phwyntiau ar gyfer rhestrau mewn blociau Ac .
- Ychwanegwyd cefnogaeth pennawd HTTP , rheolau ar gyfer cyrchu dogfennau, yn debyg i'r mecanwaith ynysu blychau tywod ar gyfer iframes, ond yn fwy cyffredinol. Er enghraifft, trwy Document-Policy gallwch gyfyngu ar y defnydd o ddelweddau o ansawdd isel, analluogi APIs JavaScript araf, ffurfweddu rheolau ar gyfer llwytho iframes, delweddau a sgriptiau, cyfyngu ar faint cyffredinol y ddogfen a thraffig, gwahardd dulliau sy'n arwain at ail-lunio tudalennau, analluogi y swyddogaeth .
- I elfen cefnogaeth ychwanegol ar gyfer paramedrau 'inline-grid', 'grid', 'inline-flex' a 'flex' a osodwyd trwy'r eiddo CSS 'arddangos'.
- Ychwanegwyd dull rhoi nod DOM arall yn lle holl blant nod rhiant. Yn flaenorol, gallech ddefnyddio cyfuniad o nod.removeChild() a nod.append() neu nod.innerHTML a node.append() i ddisodli nodau.
- yr ystod o gynlluniau URL y caniateir eu diystyru gan ddefnyddio registerProtocolHandler(). Mae'r rhestr o gynlluniau yn cynnwys y protocolau datganoledig cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns a ssb, sy'n eich galluogi i ddiffinio dolenni i elfennau waeth beth fo'r safle neu'r porth sy'n darparu mynediad i'r adnodd.
- Yn yr API cefnogaeth ychwanegol i'r fformat testun / html ar gyfer copïo a gludo HTML trwy'r clipfwrdd (mae lluniadau HTML peryglus yn cael eu glanhau wrth ysgrifennu a darllen i'r clipfwrdd). Mae'r newid, er enghraifft, yn caniatáu ichi drefnu mewnosod a chopïo testun wedi'i fformatio gyda delweddau a dolenni mewn golygyddion gwe.
- Yn WebRTC y gallu i gysylltu eich trinwyr data eich hun a elwir ar gamau amgodio neu ddatgodio WebRTC MediaStreamTrack. Er enghraifft, gellir defnyddio'r gallu hwn i ychwanegu cefnogaeth ar gyfer amgryptio o'r dechrau i'r diwedd o ddata a drosglwyddir trwy weinyddion canolradd.
- 8% yn injan JavaScript V75 gweithredu Rhif.prototeip.toString. Wedi ychwanegu eiddo .name at ddosbarthiadau asyncronaidd gyda gwerth gwag. Mae'r dull Atomics.wake wedi'i ddileu, a gafodd ei ailenwi ar un adeg i Atomics.notify i gydymffurfio â manyleb ECMA-262. Cod pecyn cymorth profion fuzzing ar agor .
- Mae casglwr llinell sylfaen Liftoff ar gyfer WebAssembly, a ryddhawyd yn y datganiad diwethaf, yn cynnwys y gallu i ddefnyddio cyfarwyddiadau fector i gyflymu cyfrifiadau. A barnu yn ôl y profion, roedd optimeiddio yn ei gwneud hi'n bosibl cyflymu rhai profion 2.8 gwaith. Gwnaeth optimeiddio arall hi'n llawer cyflymach i alw swyddogaethau JavaScript wedi'u mewnforio o WebAssembly.
- offer ar gyfer datblygwyr gwe: Mae'r panel Cyfryngau wedi ychwanegu gwybodaeth am y chwaraewyr a ddefnyddir i chwarae fideo ar y dudalen, gan gynnwys data digwyddiad, logiau, gwerthoedd eiddo, a pharamedrau datgodio ffrâm (er enghraifft, gallwch chi bennu achosion colli ffrâm a phroblemau rhyngweithio o JavaScript).
Yn newislen cyd-destun y panel Elfennau, mae'r gallu i greu sgrinluniau o'r elfen a ddewiswyd wedi'i ychwanegu (er enghraifft, gallwch greu sgrin lun o'r tabl cynnwys neu dabl).
Yn y consol gwe, mae'r panel rhybuddio problemau wedi'i ddisodli gan neges reolaidd, ac mae problemau gyda Chwcis trydydd parti yn cael eu cuddio yn ddiofyn yn y tab Materion ac yn cael eu galluogi gyda blwch ticio arbennig.
Yn y tab Rendro, mae botwm “Analluogi ffontiau lleol” wedi'i ychwanegu, sy'n eich galluogi i efelychu absenoldeb ffontiau lleol, ac yn y tab Synwyryddion gallwch nawr efelychu anweithgarwch defnyddwyr (ar gyfer cymwysiadau sy'n defnyddio'r Idle Detection API).
Mae'r panel Cais yn darparu gwybodaeth fanwl am bob iframe, ffenestr agored, a pop-up, gan gynnwys gwybodaeth am ynysu Traws-Origin gan ddefnyddio COEP a COOP.
- amnewid gweithredu protocol i'r opsiwn a ddatblygwyd yn y fanyleb IETF, yn lle'r opsiwn QUIC Google.
Yn ogystal ag arloesiadau a thrwsio namau, mae'r fersiwn newydd yn dileu . Nodwyd llawer o'r gwendidau o ganlyniad i brofion awtomataidd gydag offer , , , и . Mae un bregusrwydd (CVE-2020-15967, mynediad at gof wedi'i ryddhau yn y cod ar gyfer rhyngweithio â Google Payments) wedi'i nodi'n hollbwysig, h.y. yn caniatáu ichi osgoi pob lefel o amddiffyniad porwr a gweithredu cod ar y system y tu allan i amgylchedd y blwch tywod. Fel rhan o'r rhaglen i dalu gwobrau ariannol am ddarganfod gwendidau ar gyfer y datganiad cyfredol, talodd Google 27 dyfarniad gwerth $71500 (un dyfarniad $15000, tri dyfarniad $7500, pum dyfarniad $5000, dau ddyfarniad $3000, un dyfarniad $200, a dau ddyfarniad $500). Nid yw maint 13 gwobr wedi'i bennu eto.
Ffynhonnell: opennet.ru