Google udgivelse af webbrowser ... Samtidigt stabil udgivelse af et gratis projekt , som fungerer som grundlaget for Chrome. Chrome browser brugen af Google-logoer, tilstedeværelsen af et system til at sende meddelelser i tilfælde af et nedbrud, muligheden for at downloade et Flash-modul efter anmodning, moduler til afspilning af beskyttet videoindhold (DRM), et system til automatisk installation af opdateringer og transmission under søgning . Den næste udgivelse af Chrome 87 er planlagt til den 17. november.
:
- Tilføjet beskyttelse mod usikker indsendelse af inputformularer på sider, der er indlæst via HTTPS, men som sender data via HTTP, hvilket skaber truslen om dataopsnapning og spoofing under MITM-angreb. Beskyttelse kommer ned til tre ændringer:
- Automatisk udfyldning af blandede inputformularer er blevet deaktiveret, ligesom autoudfyldning af godkendelsesformularer på sider åbnet via HTTP har været deaktiveret i et stykke tid. Hvis tidligere et tegn på deaktivering åbnede en side med en formular via HTTPS eller HTTP, tages der nu også højde for brugen af kryptering ved afsendelse af data til formularbehandleren. Adgangskodehåndteringen for blandede former for godkendelse er ikke deaktiveret, da risikoen for at bruge en usikker adgangskode og genbruge adgangskoder på forskellige websteder opvejer risikoen for potentiel trafikaflytning.
- Når du begynder at indtaste i blandede former, vises en advarsel, der informerer brugeren om, at de færdige data sendes via en ukrypteret kommunikationskanal.
- Når du forsøger at indsende en blandet formular, vises en separat side, der giver dig besked om den potentielle risiko ved at overføre data via en ukrypteret kommunikationskanal. I tidligere versioner blev en hængelåsindikator i adresselinjen brugt til at angive blandede former, men denne markering var ikke indlysende for brugerne og afspejlede ikke effektivt de involverede risici.
- Blokering (uden kryptering) af eksekverbare filer er suppleret med blokering af usikker indlæsning af arkiver (zip, iso osv.) og visning af advarsler for usikker indlæsning
dokumenter (docx, pdf osv.). Dokumentblokering og advarsler for billeder, tekst og mediefiler forventes i næste udgivelse. Blokeringen er implementeret, fordi download af filer uden kryptering kan bruges til at udføre ondsindede handlinger ved at erstatte indholdet under MITM-angreb. - Standard kontekstmenuen viser indstillingen "Vis altid fuld URL", som tidligere krævede ændring af indstillingerne på about:flags-siden for at aktivere. Den fulde URL kan også ses ved at dobbeltklikke på adresselinjen. Lad os huske det fra Som standard begyndte adressen at blive vist uden en protokol og www-underdomænet. I indstillingen for at returnere den gamle adfærd blev fjernet, men efter brugerens utilfredshed med Et nyt eksperimentelt flag er blevet tilføjet, der tilføjer en mulighed til kontekstmenuen for at deaktivere skjul og visning af den fulde URL under alle forhold.
- Lanceret for en lille procentdel af brugerne på Som standard indeholder adresselinjen kun domænet uden stielementer og forespørgselsparametre. I stedet for "https://example.com/secure-google-sign-in/" vil den f.eks. vise "example.com". Den foreslåede tilstand forventes at blive bragt til alle brugere i en af de næste udgivelser. For at deaktivere denne adfærd kan du bruge indstillingen "Vis altid fuld URL", og for at se hele URL'en kan du klikke på adresselinjen. Motivet for ændringen er ønsket om at beskytte brugere mod phishing, der manipulerer parametre i URL'en - angribere udnytter brugernes uopmærksomhed til at skabe indtryk af at åbne et andet websted og begå svigagtige handlinger (hvis sådanne erstatninger er indlysende for en teknisk kompetent bruger , så falder uerfarne mennesker let for sådan simpel manipulation).
- Genoptaget for at fjerne FTP-understøttelse. I Chrome 86 er FTP deaktiveret som standard for omkring 1 % af brugerne, og i Chrome 87 vil omfanget af deaktiveringen blive øget til 50 %, men support kan bringes tilbage ved at bruge "--enable-ftp" eller "- -enable-features=FtpProtocol" flag. I Chrome 88 vil FTP-understøttelse være fuldstændig deaktiveret.
- I versionen til Android, i lighed med versionen til desktop-systemer, implementerer adgangskodeadministratoren en kontrol af gemte logins og adgangskoder mod en database med kompromitterede konti, og viser en advarsel, hvis der opdages problemer, eller der gøres forsøg på at bruge trivielle adgangskoder. Kontrollen udføres mod en database, der dækker mere end 4 milliarder kompromitterede konti, der dukkede op i lækkede brugerdatabaser. For at bevare privatlivets fred Hash-præfikset verificeres på brugerens side, og selve adgangskoderne og deres fulde hashes overføres ikke eksternt.
- Fås også i Android-version knappen "Sikkerhedstjek" og den forbedrede beskyttelsestilstand mod farlige steder (Enhanced Safe Browsing). Knappen "Sikkerhedstjek" viser en oversigt over mulige sikkerhedsproblemer, såsom brugen af kompromitterede adgangskoder, status for kontrol af ondsindede websteder (Safe Browsing), tilstedeværelsen af afinstallerede opdateringer og identifikation af ondsindede tilføjelser. Avanceret beskyttelsestilstand aktiverer yderligere kontroller for at beskytte mod phishing, ondsindet aktivitet og andre trusler på nettet og inkluderer også yderligere beskyttelse af din Google-konto og Google-tjenester (Gmail, Drev osv.). Hvis der i den normale Safe Browsing-tilstand udføres kontroller lokalt ved hjælp af en database, der periodisk indlæses på klientens system, så sendes der i Enhanced Safe Browsing oplysninger om sider og downloads i realtid til verifikation på Google-siden, hvilket giver dig mulighed for hurtigt at svare på trusler umiddelbart efter at de er identificeret, uden at vente til den lokale sortliste er opdateret.
- understøttelse af ".well-known/change-password" indikatorfilen, hvormed webstedsejere kan angive adressen på en webformular til ændring af en adgangskode. Hvis en brugers legitimationsoplysninger er kompromitteret, vil Chrome nu straks bede brugeren om en formular til ændring af adgangskode baseret på oplysningerne i denne fil.
- En ny "Sikkerhedstip"-advarsel er blevet implementeret, der vises, når du åbner websteder, hvis domæne minder meget om et andet websted, og heuristik viser, at der er stor sandsynlighed for spoofing (f.eks. åbnes goog0le.com i stedet for google.com).
- understøttelse af tilbage-frem-cachen, som giver øjeblikkelig navigation, når du bruger knapperne "Tilbage" og "Frem" eller når du navigerer gennem tidligere viste sider på det aktuelle websted. Cachen er aktiveret ved hjælp af indstillingen chrome://flags/#back-forward-cache.
- Optimering af CPU-ressourceforbrug af Windows er blevet udført
ude af sigte. Chrome kontrollerer, om browservinduet overlappes af andre vinduer og forhindrer tegning af pixels i områder med overlapning. Denne optimering blev aktiveret for en lille procentdel af brugerne i Chrome 84 og 85 og er nu aktiveret overalt. Sammenlignet med tidligere udgivelser er en inkompatibilitet med virtualiseringssystemer, der fik tomme hvide sider til at fremkomme, også blevet løst. - Øget ressourcebeskæring for baggrundsfaner. Sådanne faner kan ikke længere forbruge mere end 1 % af CPU-ressourcerne og kan ikke aktiveres mere end én gang i minuttet. Efter fem minutter med at være i baggrunden, fryses faner, med undtagelse af faner, der afspiller multimedieindhold eller optager.
- Arbejde på HTTP-header User-Agent. I den nye version er understøttelse af mekanismen aktiveret for alle brugere , udviklet som erstatning for User-Agent. Den nye mekanisme involverer selektivt at returnere data om specifikke browser- og systemparametre (version, platform osv.) efter en anmodning fra serveren og give brugerne mulighed for selektivt at give sådanne oplysninger til webstedsejere. Når du bruger User-Agent Client Hints, transmitteres identifikatoren ikke som standard uden en eksplicit anmodning, hvilket gør passiv identifikation umulig (som standard er kun browsernavnet angivet).
- Indikationen af tilstedeværelsen af en opdatering og behovet for at genstarte browseren for at installere den er blevet ændret. I stedet for en farvet pil vises "Opdater" nu i kontoavatarfeltet.
- Der er blevet arbejdet på at konvertere browseren til at bruge inkluderende terminologi. I politiknavne er ordene "hvidliste" og "sortliste" blevet erstattet med "tilladelsesliste" og "blokeringsliste" (allerede tilføjede politikker vil fortsætte med at virke, men de vil vise en advarsel om at blive udfaset). I и referencer til "sortliste" er blevet erstattet med "blokeringsliste".
Brugersynlige referencer til "sortliste" og "hvidliste" blev erstattet i begyndelsen af 2019. - Tilføjet en eksperimentel mulighed for at redigere gemte adgangskoder, aktiveret ved hjælp af flaget "chrome://flags/#edit-passwords-in-settings".
- Konverteret til stabil og offentlig API , som giver dig mulighed for at oprette webapplikationer, der interagerer med filer i det lokale filsystem. For eksempel kan den nye API være efterspurgt i browserbaserede integrerede udviklingsmiljøer, tekst-, billed- og videoredigerere. For at være i stand til direkte at skrive og læse filer eller bruge dialogbokse til at åbne og gemme filer, samt til at navigere gennem indholdet af mapper, beder applikationen brugeren om en særlig bekræftelse.
- Tilføjet CSS-vælger "“, som bruger samme heuristik, som browseren bruger, når den beslutter, om fokusændringsindikatoren skal vises (når du flytter fokus til en knap ved hjælp af tastaturgenveje, vises indikatoren, men når du klikker med musen, gør den det ikke). Den tidligere tilgængelige CSS-vælger ":focus" fremhæver altid fokus.
Derudover er "Quick Focus Highlight" muligheden tilføjet til indstillingerne, når den er aktiveret, vil en ekstra fokusindikator blive vist ud for aktive elementer, som forbliver synlig, selvom stilelementer til visuelt at fremhæve fokus er deaktiveret på siden via CSS . - Adskillige nye API'er er blevet tilføjet til tilstanden Origin Trials (eksperimentelle funktioner, der kræver separat aktivering). Origin Trial indebærer evnen til at arbejde med den specificerede API fra applikationer downloadet fra localhost eller 127.0.0.1, eller efter registrering og modtagelse af et særligt token, der er gyldigt i en begrænset periode for et specifikt websted.
- for lav-niveau adgang til HID-enheder (Human interface-enheder, tastaturer, mus, gamepads, berøringspaneler), så du kan implementere logikken i at arbejde med en HID-enhed i JavaScript for at organisere arbejdet med sjældne HID-enheder uden tilstedeværelsen af specifikke drivere i systemet.
Først og fremmest er den nye API rettet mod at yde support til gamepads. - , udvider Window Placement API til at understøtte multi-screen konfigurationer. I modsætning til window.screen giver den nye API dig mulighed for at manipulere placeringen af et vindue i det overordnede skærmrum af multimonitorsystemer, uden at være begrænset til den aktuelle skærm.
- Meta tag , hvormed webstedet kan informere browseren om behovet for at aktivere tilstande for at reducere strømforbruget og optimere CPU-belastningen.
- API at rapportere potentielle overtrædelser af isolationsregler (COEP) og (COOP), uden at anvende egentlige restriktioner.
- I API en ny type legitimationsoplysninger er blevet foreslået , som giver yderligere bekræftelse på, at betalingstransaktionen udføres. En pålidelig part, såsom en bank, har mulighed for at generere en offentlig nøgle, en PublicKeyCredential, som kan anmodes af forretningen om yderligere sikker betalingsbekræftelse.
- for lav-niveau adgang til HID-enheder (Human interface-enheder, tastaturer, mus, gamepads, berøringspaneler), så du kan implementere logikken i at arbejde med en HID-enhed i JavaScript for at organisere arbejdet med sjældne HID-enheder uden tilstedeværelsen af specifikke drivere i systemet.
- I API for at bestemme pennens hældning er der tilføjet støtte til højdevinkler (vinklen mellem pennen og skærmen) og azimut (vinklen mellem X-aksen og projektionen af pennen på skærmen) i stedet for TiltX og TiltY-vinkler (vinklerne mellem planet fra pennen og en af akserne og planet fra Y- og Y-akserne Z). Også tilføjet konverteringsfunktioner mellem højde/azimuth og TiltX/TiltY.
- Ændrede kodningen af plads i URL'er ved beregning af det i protokolhandlere - metoden navigator.registerProtocolHandler() erstatter nu mellemrum med "%20" i stedet for "+", som forener adfærden med andre browsere såsom Firefox.
- Tilføjet CSS pseudo-element "", som giver dig mulighed for at tilpasse farve, størrelse, form og type af tal og punkter for lister i blokke Og .
- Tilføjet HTTP-header-understøttelse , regler for adgang til dokumenter, svarende til sandbox-isoleringsmekanismen for iframes, men mere universelle. For eksempel kan du gennem Document-Policy begrænse brugen af billeder af lav kvalitet, deaktivere langsomme JavaScript API'er, konfigurere regler for indlæsning af iframes, billeder og scripts, begrænse den overordnede dokumentstørrelse og trafik, forbyde metoder, der fører til sidegentegning, deaktivere funktionen .
- Til element tilføjet understøttelse af 'inline-grid', 'grid', 'inline-flex' og 'flex' parametre indstillet via 'display' CSS-egenskaben.
- Tilføjet metode at erstatte alle underordnede af en overordnet node med en anden DOM-node. Tidligere kunne du bruge en kombination af node.removeChild() og node.append() eller node.innerHTML og node.append() til at erstatte noder.
- rækken af URL-skemaer, der må tilsidesættes ved hjælp af registerProtocolHandler(). Listen over skemaer inkluderer de decentraliserede protokoller cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, som giver dig mulighed for at definere links til elementer uanset webstedet eller gatewayen, der giver adgang til ressourcen.
- I API tilføjet understøttelse af tekst/html-formatet til at kopiere og indsætte HTML via udklipsholderen (farlige HTML-konstruktioner bliver ryddet op, når man skriver og læser til udklipsholderen). Ændringen giver dig for eksempel mulighed for at organisere indsættelse og kopiering af formateret tekst med billeder og links i webeditorer.
- I WebRTC muligheden for at forbinde dine egne databehandlere kaldet på kodnings- eller afkodningsstadierne af WebRTC MediaStreamTrack. For eksempel kan denne funktion bruges til at tilføje understøttelse af end-to-end-kryptering af data, der transmitteres gennem mellemliggende servere.
- I JavaScript-motor V8 med 75 % implementering af Number.prototype.toString. Tilføjet .name-egenskab til asynkrone klasser med en tom værdi. Atomics.wake-metoden er blevet fjernet, som på et tidspunkt blev omdøbt til Atomics.notify for at overholde ECMA-262-specifikationen. Fuzzing testværktøjskode åben .
- Liftoff-baseline-kompileren til WebAssembly, udgivet i den sidste udgivelse, inkluderer muligheden for at bruge vektorinstruktioner for at fremskynde beregningerne. At dømme efter testene gjorde optimering det muligt at fremskynde nogle tests med 2.8 gange. En anden optimering gjorde det meget hurtigere at kalde importerede JavaScript-funktioner fra WebAssembly.
- værktøjer til webudviklere: Mediepanelet har tilføjet oplysninger om de afspillere, der bruges til at afspille video på siden, herunder hændelsesdata, logfiler, egenskabsværdier og rammeafkodningsparametre (du kan f.eks. bestemme årsagerne til rammetab og interaktionsproblemer fra JavaScript).
I kontekstmenuen i panelet Elementer er muligheden for at oprette skærmbilleder af det valgte element blevet tilføjet (du kan f.eks. oprette et skærmbillede af indholdsfortegnelsen eller tabellen).
I webkonsollen er problemadvarselspanelet blevet erstattet med en almindelig meddelelse, og problemer med tredjepartscookies er som standard skjult på fanen Problemer og aktiveres med et særligt afkrydsningsfelt.
På fanen Rendering er der tilføjet en "Deaktiver lokale skrifttyper", som giver dig mulighed for at simulere fraværet af lokale skrifttyper, og på fanen Sensorer kan du nu simulere brugerinaktivitet (for applikationer, der bruger Idle Detection API).
Applikationspanelet giver detaljerede oplysninger om hver iframe, åbent vindue og pop-up, herunder oplysninger om Cross-Origin-isolering ved brug af COEP og COOP.
- udskiftning af protokolimplementering til optionen udviklet i IETF-specifikationen i stedet for Google QUIC-muligheden.
Ud over innovationer og fejlrettelser eliminerer den nye version . Mange af sårbarhederne blev identificeret som et resultat af automatiseret test med værktøjer , , , и . Én sårbarhed (CVE-2020-15967, adgang til frigjort hukommelse i kode til interaktion med Google Payments) er markeret som kritisk, dvs. giver dig mulighed for at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Som en del af programmet til at betale kontante belønninger for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 27 priser til en værdi af $71500 (en pris på $15000, tre priser på $7500, fem priser på $5000, to priser på $3000, en pris på $200 og to priser på $500). Størrelsen på 13 belønninger er endnu ikke fastlagt.
Kilde: opennet.ru