ProHoster > Blog > internet nyheder > Chrome 86

Chrome 86

Den næste udgivelse af Chrome 86 og den stabile udgivelse af Chromium er blevet frigivet.

Vigtigste ændringer i Chrome 86:

  • beskyttelse mod usikker indsendelse af inputformularer på sider, der er indlæst over HTTPS, men som sender data over HTTP.
  • Blokering af usikre downloads (http) af eksekverbare filer suppleres med blokering af usikre downloads af arkiver (zip, iso osv.) og visning af advarsler om usikker download af dokumenter (docx, pdf, osv.). Dokumentblokering og advarsler for billeder, tekst og mediefiler forventes i næste udgivelse. Blokeringen er implementeret, fordi download af filer uden kryptering kan bruges til at udføre ondsindede handlinger ved at erstatte indholdet under MITM-angreb.
  • Standard kontekstmenuen viser indstillingen "Vis altid fuld URL", som tidligere krævede ændring af indstillingerne på about:flags-siden for at aktivere. Den fulde URL kan også ses ved at dobbeltklikke på adresselinjen. Lad os minde dig om, at fra og med Chrome 76 begyndte adressen som standard at blive vist uden protokollen og www-underdomænet. I Chrome 79 blev indstillingen til at returnere den gamle adfærd fjernet, men efter brugerens utilfredshed blev der tilføjet et nyt eksperimentelt flag i Chrome 83, der tilføjer en mulighed til kontekstmenuen for at deaktivere skjul og visning af den fulde URL under alle forhold.
    For en lille procentdel af brugerne er et eksperiment blevet lanceret for kun at vise domænet i adresselinjen som standard uden stielementer og forespørgselsparametre. For eksempel i stedet for "https://example.com/secure-google-sign-in/" "example.com" vil blive vist. Den foreslåede tilstand forventes at blive bragt til alle brugere i en af ​​de næste udgivelser. For at deaktivere denne adfærd kan du bruge indstillingen "Vis altid fuld URL", og for at se hele URL'en kan du klikke på adresselinjen. Motivet for ændringen er ønsket om at beskytte brugere mod phishing, der manipulerer parametre i URL'en - angribere udnytter brugernes uopmærksomhed til at skabe indtryk af at åbne et andet websted og begå svigagtige handlinger (hvis sådanne erstatninger er indlysende for en teknisk kompetent bruger , så falder uerfarne mennesker let for sådan simpel manipulation).
  • Initiativet til at fjerne FTP-understøttelse er blevet fornyet. I Chrome 86 er FTP deaktiveret som standard for omkring 1 % af brugerne, og i Chrome 87 vil omfanget af deaktiveringen blive øget til 50 %, men support kan bringes tilbage ved at bruge "--enable-ftp" eller "- -enable-features=FtpProtocol" flag. I Chrome 88 vil FTP-understøttelse være fuldstændig deaktiveret.
  • I versionen til Android, i lighed med versionen til desktop-systemer, implementerer adgangskodeadministratoren en kontrol af gemte logins og adgangskoder mod en database med kompromitterede konti, og viser en advarsel, hvis der opdages problemer, eller der gøres forsøg på at bruge trivielle adgangskoder. Kontrollen udføres mod en database, der dækker mere end 4 milliarder kompromitterede konti, der dukkede op i lækkede brugerdatabaser. For at bevare privatlivets fred bliver hash-præfikset verificeret på brugerens side, og selve adgangskoderne og deres fulde hashes overføres ikke eksternt.
  • Knappen "Sikkerhedstjek" og den forbedrede beskyttelsestilstand mod farlige websteder (Enhanced Safe Browsing) er også blevet overført til Android-versionen. Knappen "Sikkerhedstjek" viser en oversigt over mulige sikkerhedsproblemer, såsom brugen af ​​kompromitterede adgangskoder, status for kontrol af ondsindede websteder (Safe Browsing), tilstedeværelsen af ​​afinstallerede opdateringer og identifikation af ondsindede tilføjelser. Avanceret beskyttelsestilstand aktiverer yderligere kontroller for at beskytte mod phishing, ondsindet aktivitet og andre trusler på nettet og inkluderer også yderligere beskyttelse af din Google-konto og Google-tjenester (Gmail, Drev osv.). Hvis der i den normale Safe Browsing-tilstand udføres kontroller lokalt ved hjælp af en database, der periodisk indlæses på klientens system, så sendes der i Enhanced Safe Browsing information om sider og downloads i realtid til verifikation på Google-siden, hvilket giver dig mulighed for hurtigt at svare på trusler umiddelbart efter at de er identificeret, uden at vente til den lokale sortliste er opdateret.
  • Tilføjet understøttelse af indikatorfilen ".well-known/change-password", hvormed webstedsejere kan angive adressen på webformularen til ændring af adgangskoden. Hvis en brugers legitimationsoplysninger er kompromitteret, vil Chrome nu straks bede brugeren om en formular til ændring af adgangskode baseret på oplysningerne i denne fil.
  • En ny "Sikkerhedstip"-advarsel er blevet implementeret, der vises, når du åbner websteder, hvis domæne minder meget om et andet websted, og heuristik viser, at der er stor sandsynlighed for spoofing (f.eks. åbnes goog0le.com i stedet for google.com).

    * Understøttelse af Back-forward-cachen er blevet implementeret, hvilket giver øjeblikkelig navigation, når du bruger "Tilbage" og "Forward"-knapperne, eller når du navigerer gennem tidligere viste sider på det aktuelle websted. Cachen er aktiveret ved hjælp af indstillingen chrome://flags/#back-forward-cache.

  • Optimering af CPU-ressourceforbrug til vinduer uden for rammerne. Chrome kontrollerer, om browservinduet overlappes af andre vinduer og forhindrer tegning af pixels i områder med overlapning. Denne optimering blev aktiveret for en lille procentdel af brugerne i Chrome 84 og 85 og er nu aktiveret overalt. Sammenlignet med tidligere udgivelser er en inkompatibilitet med virtualiseringssystemer, der fik tomme hvide sider til at fremkomme, også blevet løst.
  • Øget ressourcebeskæring for baggrundsfaner. Sådanne faner kan ikke længere forbruge mere end 1 % af CPU-ressourcerne og kan ikke aktiveres mere end én gang i minuttet. Efter fem minutter med at være i baggrunden, fryses faner, med undtagelse af faner, der afspiller multimedieindhold eller optager.
  • Arbejdet med at forene User-Agent HTTP-headeren er genoptaget. I den nye version er understøttelse af User-Agent Client Hints-mekanismen, udviklet som en erstatning for User-Agent, aktiveret for alle brugere. Den nye mekanisme involverer selektivt at returnere data om specifikke browser- og systemparametre (version, platform osv.) efter en anmodning fra serveren og give brugerne mulighed for selektivt at give sådanne oplysninger til webstedsejere. Når du bruger User-Agent Client Hints, transmitteres identifikatoren ikke som standard uden en eksplicit anmodning, hvilket gør passiv identifikation umulig (som standard er kun browsernavnet angivet).
    Indikationen af ​​tilstedeværelsen af ​​en opdatering og behovet for at genstarte browseren for at installere den er blevet ændret. I stedet for en farvet pil vises "Opdater" nu i kontoavatarfeltet.
  • Der er blevet arbejdet på at konvertere browseren til at bruge inkluderende terminologi. I politiknavne er ordene "hvidliste" og "sortliste" blevet erstattet med "tilladelsesliste" og "blokeringsliste" (allerede tilføjede politikker vil fortsætte med at virke, men de vil vise en advarsel om at blive udfaset). I kode- og filnavne er referencer til "sortliste" erstattet med "blokliste". Brugersynlige referencer til "sortliste" og "hvidliste" blev erstattet i begyndelsen af ​​2019.
    Tilføjet en eksperimentel mulighed for at redigere gemte adgangskoder, aktiveret ved hjælp af flaget "chrome://flags/#edit-passwords-in-settings".
  • Native File System API er blevet overført til kategorien stabil og offentlig tilgængelig API, så du kan oprette webapplikationer, der interagerer med filer i det lokale filsystem. For eksempel kan den nye API være efterspurgt i browserbaserede integrerede udviklingsmiljøer, tekst-, billed- og videoredigerere. For at være i stand til direkte at skrive og læse filer eller bruge dialogbokse til at åbne og gemme filer, samt til at navigere gennem indholdet af mapper, beder applikationen brugeren om en særlig bekræftelse.
  • Tilføjet en CSS-vælger ":focus-visible", som bruger samme heuristik, som browseren bruger, når den beslutter, om fokusændringsindikatoren skal vises (når fokus flyttes til en knap ved hjælp af tastaturgenveje, vises indikatoren, men når der klikkes med musen , det gør ikke). Den tidligere tilgængelige CSS-vælger ":focus" fremhæver altid fokus. Derudover er "Quick Focus Highlight" muligheden tilføjet til indstillingerne, når den er aktiveret, vil en ekstra fokusindikator blive vist ud for aktive elementer, som forbliver synlig, selvom stilelementer til visuelt at fremhæve fokus er deaktiveret på siden via CSS .
  • Adskillige nye API'er er blevet tilføjet til tilstanden Origin Trials (eksperimentelle funktioner, der kræver separat aktivering). Origin Trial indebærer evnen til at arbejde med den specificerede API fra applikationer downloadet fra localhost eller 127.0.0.1, eller efter registrering og modtagelse af et særligt token, der er gyldigt i en begrænset periode for et specifikt websted.
  • WebHID API til lav-niveau adgang til HID-enheder (Human interface-enheder, tastaturer, mus, gamepads, touchpads), som giver dig mulighed for at implementere logikken i at arbejde med en HID-enhed i JavaScript for at organisere arbejde med sjældne HID-enheder uden tilstedeværelse af specifikke drivere i systemet. Først og fremmest er den nye API rettet mod at yde support til gamepads.
  • Screen Information API, udvider Window Placement API til at understøtte multi-screen konfigurationer. I modsætning til window.screen giver den nye API dig mulighed for at manipulere placeringen af ​​et vindue i det overordnede skærmrum af multimonitorsystemer, uden at være begrænset til den aktuelle skærm.
  • Metatag batteribesparelser, hvormed webstedet kan informere browseren om behovet for at aktivere tilstande for at reducere strømforbruget og optimere CPU-belastningen.
  • COOP Reporting API til at rapportere potentielle overtrædelser af Cross-Origin-Embedder-Policy (COEP) og Cross-Origin-Opener-Policy (COOP) isolationstilstande uden at anvende egentlige begrænsninger.
  • Credential Management API tilbyder en ny type legitimationsoplysninger, PaymentCredential, som giver yderligere bekræftelse på, at betalingstransaktionen udføres. En pålidelig part, såsom en bank, har mulighed for at generere en offentlig nøgle, en PublicKeyCredential, som kan anmodes af forretningen om yderligere sikker betalingsbekræftelse.
  • PointerEvents API til bestemmelse af pennens hældning* har tilføjet understøttelse af elevationsvinkler (vinklen mellem pennen og skærmen) og azimut (vinklen mellem X-aksen og projektionen af ​​pennen på skærmen) i stedet for TiltX- og TiltY-vinkler (vinklerne mellem planet fra pennen og en af ​​akserne og planet fra Y- og Z-akserne). Også tilføjet konverteringsfunktioner mellem højde/azimuth og TiltX/TiltY.
  • Ændrede kodningen af ​​plads i URL'er ved beregning af det i protokolhandlere - metoden navigator.registerProtocolHandler() erstatter nu mellemrum med "%20" i stedet for "+", som forener adfærden med andre browsere såsom Firefox.
  • Et pseudo-element "::marker" er blevet tilføjet til CSS, så du kan tilpasse farven, størrelsen, formen og typen af ​​tal og prikker til lister i blokke Og .
  • Tilføjet understøttelse af Document-Policy HTTP-headeren, som giver dig mulighed for at angive regler for adgang til dokumenter, svarende til sandbox-isoleringsmekanismen for iframes, men mere universel. For eksempel kan du gennem Document-Policy begrænse brugen af ​​billeder af lav kvalitet, deaktivere langsomme JavaScript API'er, konfigurere regler for indlæsning af iframes, billeder og scripts, begrænse den overordnede dokumentstørrelse og trafik, forbyde metoder, der fører til gentegning af sider og deaktiver funktionen Scroll-To-Text.
  • Til element tilføjet understøttelse af 'inline-grid', 'grid', 'inline-flex' og 'flex' parametre indstillet via 'display' CSS-egenskaben.
  • Tilføjet ParentNode.replaceChildren()-metode til at erstatte alle underordnede af en overordnet node med en anden DOM-node. Tidligere kunne du bruge en kombination af node.removeChild() og node.append() eller node.innerHTML og node.append() til at erstatte noder.
  • Udvalget af URL-skemaer, der kan tilsidesættes ved hjælp af registerProtocolHandler() er blevet udvidet. Listen over skemaer inkluderer de decentraliserede protokoller cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, som giver dig mulighed for at definere links til elementer uanset webstedet eller gatewayen, der giver adgang til ressourcen.
  • Tilføjet understøttelse af tekst/html-format til Asynchronous Clipboard API til kopiering og indsættelse af HTML via udklipsholderen (farlige HTML-konstruktioner bliver ryddet op, når du skriver og læser til udklipsholderen). Ændringen giver dig for eksempel mulighed for at organisere indsættelse og kopiering af formateret tekst med billeder og links i webeditorer.
  • WebRTC har tilføjet muligheden for at forbinde sine egne databehandlere, kaldet på kodnings- eller afkodningsstadierne af WebRTC MediaStreamTrack. For eksempel kan denne funktion bruges til at tilføje understøttelse af end-to-end-kryptering af data, der transmitteres gennem mellemliggende servere.
    I V8 JavaScript-motoren er implementeringen af ​​Number.prototype.toString blevet accelereret med 75 %. Tilføjet .name-egenskab til asynkrone klasser med en tom værdi. Atomics.wake-metoden er blevet fjernet, som på et tidspunkt blev omdøbt til Atomics.notify for at overholde ECMA-262-specifikationen. Koden til fuzzing-testværktøjet JS-Fuzzer er åben.
  • Liftoff-baseline-kompileren til WebAssembly, der blev udgivet i den sidste udgivelse, inkluderer muligheden for at bruge SIMD-vektorinstruktioner til at fremskynde beregninger. At dømme efter testene gjorde optimering det muligt at fremskynde nogle tests med 2.8 gange. En anden optimering gjorde det meget hurtigere at kalde importerede JavaScript-funktioner fra WebAssembly.
  • Værktøjer til webudviklere er blevet udvidet: Mediepanelet har tilføjet oplysninger om de spillere, der bruges til at afspille video på siden, herunder hændelsesdata, logfiler, egenskabsværdier og rammeafkodningsparametre (du kan f.eks. bestemme årsagerne til frame tab og interaktionsproblemer fra JavaScript).
  • I kontekstmenuen i panelet Elementer er muligheden for at oprette skærmbilleder af det valgte element blevet tilføjet (du kan f.eks. oprette et skærmbillede af indholdsfortegnelsen eller tabellen).
  • I webkonsollen er problemadvarselspanelet blevet erstattet med en almindelig meddelelse, og problemer med tredjepartscookies er som standard skjult på fanen Problemer og aktiveres med et særligt afkrydsningsfelt.
  • På fanen Rendering er der tilføjet en "Deaktiver lokale skrifttyper", som giver dig mulighed for at simulere fraværet af lokale skrifttyper, og på fanen Sensorer kan du nu simulere brugerinaktivitet (for applikationer, der bruger Idle Detection API).
  • Applikationspanelet giver detaljerede oplysninger om hver iframe, åbent vindue og pop-up, herunder oplysninger om Cross-Origin-isolering ved brug af COEP og COOP.

Implementeringen af ​​QUIC-protokollen er begyndt at blive erstattet af den version, der er udviklet i IETF-specifikationen, i stedet for Google-versionen af ​​QUIC.
Ud over innovationer og fejlrettelser eliminerer den nye version 35 sårbarheder. Mange af sårbarhederne blev identificeret som et resultat af automatiseret test ved hjælp af AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL værktøjerne. Én sårbarhed (CVE-2020-15967, adgang til frigjort hukommelse i kode til interaktion med Google Payments) er markeret som kritisk, dvs. giver dig mulighed for at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Som en del af programmet til at betale kontante belønninger for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 27 priser til en værdi af $71500 (en pris på $15000, tre priser på $7500, fem priser på $5000, to priser på $3000, en pris på $200 og to priser på $500). Størrelsen på 13 belønninger er endnu ikke fastlagt.

Taget fra Opennet.ru

Kilde: linux.org.ru

Tilføj en kommentar