ProHoster > Blog > Internetnachrichten > Chrome 86

Chrome 86

Die nächste Version von Chrome 86 und die stabile Version von Chromium wurden veröffentlicht.

Wichtige Änderungen in Chrome 86:

  • Schutz vor unsicherer Übermittlung von Eingabeformularen auf Seiten, die über HTTPS geladen werden, aber Daten über HTTP senden.
  • Das Blockieren unsicherer Downloads (http) ausführbarer Dateien wird durch das Blockieren unsicherer Downloads von Archiven (zip, iso usw.) und die Anzeige von Warnungen für unsichere Downloads von Dokumenten (docx, pdf usw.) ergänzt. Dokumentblockierungen und Warnungen für Bilder, Text und Mediendateien werden in der nächsten Version erwartet. Die Blockierung wird implementiert, weil das Herunterladen von Dateien ohne Verschlüsselung dazu genutzt werden kann, böswillige Aktionen auszuführen, indem der Inhalt bei MITM-Angriffen ersetzt wird.
  • Im Standardkontextmenü wird die Option „Immer vollständige URL anzeigen“ angezeigt, für deren Aktivierung zuvor eine Änderung der Einstellungen auf der Seite „about:flags“ erforderlich war. Die vollständige URL kann auch durch einen Doppelklick auf die Adressleiste angezeigt werden. Wir möchten Sie daran erinnern, dass ab Chrome 76 die Adresse standardmäßig ohne das Protokoll und die www-Subdomain angezeigt wurde. In Chrome 79 wurde die Einstellung zum Zurückgeben des alten Verhaltens entfernt, aber aufgrund der Unzufriedenheit der Benutzer wurde in Chrome 83 ein neues experimentelles Flag hinzugefügt, das dem Kontextmenü eine Option hinzufügt, um das Ausblenden und Anzeigen der vollständigen URL unter allen Bedingungen zu deaktivieren.
    Für einen kleinen Prozentsatz der Nutzer wurde ein Experiment gestartet, standardmäßig nur die Domain in der Adressleiste anzuzeigen, ohne Pfadelemente und Abfrageparameter. Zum Beispiel statt „https://example.com/secure-google-sign-in/" „example.com“ wird angezeigt. Der vorgeschlagene Modus wird voraussichtlich in einer der nächsten Versionen allen Benutzern zur Verfügung gestellt. Um dieses Verhalten zu deaktivieren, können Sie die Option „Immer vollständige URL anzeigen“ verwenden. Um die gesamte URL anzuzeigen, können Sie auf die Adressleiste klicken. Der Grund für die Änderung ist der Wunsch, Benutzer vor Phishing zu schützen, das Parameter in der URL manipuliert. Angreifer nutzen die Unaufmerksamkeit der Benutzer aus, um den Anschein zu erwecken, als würden sie eine andere Website öffnen und betrügerische Handlungen begehen (sofern solche Ersetzungen für einen technisch versierten Benutzer offensichtlich sind). , dann fallen Unerfahrene leicht auf solch eine einfache Manipulation herein).
  • Die Initiative zur Entfernung der FTP-Unterstützung wurde erneuert. In Chrome 86 ist FTP standardmäßig für etwa 1 % der Benutzer deaktiviert, und in Chrome 87 wird der Umfang der Deaktivierung auf 50 % erhöht, die Unterstützung kann jedoch mit „--enable-ftp“ oder „-“ wiederhergestellt werden. -enable-features=FtpProtocol"-Flag. In Chrome 88 wird die FTP-Unterstützung vollständig deaktiviert.
  • In der Version für Android implementiert der Passwort-Manager, ähnlich wie in der Version für Desktop-Systeme, eine Überprüfung gespeicherter Logins und Passwörter anhand einer Datenbank kompromittierter Konten und zeigt eine Warnung an, wenn Probleme erkannt werden oder versucht wird, triviale Passwörter zu verwenden. Die Prüfung erfolgt anhand einer Datenbank, die mehr als 4 Milliarden kompromittierte Konten umfasst, die in durchgesickerten Benutzerdatenbanken aufgetaucht sind. Um die Privatsphäre zu wahren, wird das Hash-Präfix auf der Benutzerseite überprüft und die Passwörter selbst und ihre vollständigen Hashes werden nicht nach außen übertragen.
  • Auch der „Sicherheitscheck“-Button und der erweiterte Schutzmodus vor gefährlichen Seiten (Enhanced Safe Browsing) wurden auf die Android-Version übertragen. Die Schaltfläche „Sicherheitsüberprüfung“ zeigt eine Zusammenfassung möglicher Sicherheitsprobleme an, z. B. die Verwendung kompromittierter Passwörter, den Status der Überprüfung schädlicher Websites (sicheres Surfen), das Vorhandensein deinstallierter Updates und die Identifizierung schädlicher Add-Ons. Der erweiterte Schutzmodus aktiviert zusätzliche Prüfungen zum Schutz vor Phishing, böswilligen Aktivitäten und anderen Bedrohungen im Web und bietet außerdem zusätzlichen Schutz für Ihr Google-Konto und Google-Dienste (Gmail, Drive usw.). Wenn im normalen Safe Browsing-Modus Überprüfungen lokal mithilfe einer Datenbank durchgeführt werden, die regelmäßig auf das System des Kunden geladen wird, werden im erweiterten Safe Browsing Informationen zu Seiten und Downloads in Echtzeit zur Überprüfung an die Google-Seite gesendet, sodass Sie schnell darauf reagieren können Bedrohungen werden sofort erkannt, nachdem sie erkannt wurden, ohne auf die Aktualisierung der lokalen Blacklist warten zu müssen.
  • Unterstützung für die Indikatordatei „.well-known/change-password“ hinzugefügt, mit der Websitebesitzer die Adresse des Webformulars zum Ändern des Passworts angeben können. Wenn die Anmeldeinformationen eines Benutzers kompromittiert werden, fordert Chrome den Benutzer jetzt sofort auf, basierend auf den Informationen in dieser Datei ein Formular zur Passwortänderung auszuhändigen.
  • Es wurde eine neue „Sicherheitstipp“-Warnung implementiert, die angezeigt wird, wenn Websites geöffnet werden, deren Domain einer anderen Website sehr ähnlich ist und Heuristiken zeigen, dass eine hohe Spoofing-Wahrscheinlichkeit besteht (z. B. wird goog0le.com anstelle von google.com geöffnet).

    * Es wurde Unterstützung für den Back-Forward-Cache implementiert, der eine sofortige Navigation ermöglicht, wenn die Schaltflächen „Zurück“ und „Vor“ verwendet werden oder wenn durch zuvor angezeigte Seiten der aktuellen Website navigiert wird. Der Cache wird mit der Einstellung chrome://flags/#back-forward-cache aktiviert.

  • Optimieren des CPU-Ressourcenverbrauchs für Fenster außerhalb des Gültigkeitsbereichs. Chrome prüft, ob das Browserfenster von anderen Fenstern überlappt wird und verhindert das Zeichnen von Pixeln in Überlappungsbereichen. Diese Optimierung wurde für einen kleinen Prozentsatz der Nutzer in Chrome 84 und 85 aktiviert und ist jetzt überall aktiviert. Im Vergleich zu früheren Versionen wurde außerdem eine Inkompatibilität mit Virtualisierungssystemen behoben, die dazu führte, dass leere weiße Seiten angezeigt wurden.
  • Erhöhte Ressourcenkürzung für Hintergrundregisterkarten. Solche Registerkarten dürfen nicht mehr als 1 % der CPU-Ressourcen verbrauchen und können höchstens einmal pro Minute aktiviert werden. Nach fünf Minuten im Hintergrund werden die Tabs eingefroren, mit Ausnahme der Tabs, die Multimediainhalte abspielen oder aufzeichnen.
  • Die Arbeit an der Vereinheitlichung des User-Agent-HTTP-Headers wurde wieder aufgenommen. In der neuen Version ist die Unterstützung für den User-Agent Client Hints-Mechanismus, der als Ersatz für User-Agent entwickelt wurde, für alle Benutzer aktiviert. Der neue Mechanismus beinhaltet die selektive Rückgabe von Daten über bestimmte Browser- und Systemparameter (Version, Plattform usw.) erst nach einer Anfrage durch den Server und gibt Benutzern die Möglichkeit, diese Informationen selektiv den Websitebesitzern zur Verfügung zu stellen. Bei der Verwendung von User-Agent Client Hints wird die Kennung standardmäßig nicht ohne explizite Anfrage übermittelt, was eine passive Identifizierung unmöglich macht (standardmäßig wird nur der Browsername angezeigt).
    Die Anzeige des Vorhandenseins eines Updates und der Notwendigkeit, den Browser neu zu starten, um es zu installieren, wurde geändert. Anstelle eines farbigen Pfeils erscheint jetzt „Aktualisieren“ im Konto-Avatar-Feld.
  • Es wurden Arbeiten durchgeführt, um den Browser auf die Verwendung inklusiver Terminologie umzustellen. In Richtliniennamen wurden die Wörter „Whitelist“ und „Blacklist“ durch „Allowlist“ und „Blocklist“ ersetzt (bereits hinzugefügte Richtlinien funktionieren weiterhin, zeigen jedoch eine Warnung an, dass sie veraltet sind). In Code- und Dateinamen wurden Verweise auf „Blacklist“ durch „Blocklist“ ersetzt. Für den Nutzer sichtbare Verweise auf „Blacklist“ und „Whitelist“ wurden Anfang 2019 ersetzt.
    Es wurde eine experimentelle Möglichkeit zum Bearbeiten gespeicherter Passwörter hinzugefügt, die mit der Flagge „chrome://flags/#edit-passwords-in-settings“ aktiviert wird.
  • Die Native File System API wurde in die Kategorie der stabilen und öffentlich verfügbaren API überführt, sodass Sie Webanwendungen erstellen können, die mit Dateien im lokalen Dateisystem interagieren. Beispielsweise könnte die neue API in browserbasierten integrierten Entwicklungsumgebungen, Text-, Bild- und Videoeditoren gefragt sein. Um Dateien direkt schreiben und lesen zu können oder Dialoge zum Öffnen und Speichern von Dateien zu verwenden sowie durch den Inhalt von Verzeichnissen zu navigieren, fordert die Anwendung eine spezielle Bestätigung des Benutzers an.
  • Es wurde ein CSS-Selektor „:focus-visible“ hinzugefügt, der dieselben Heuristiken verwendet, die der Browser verwendet, wenn er entscheidet, ob der Fokusänderungsindikator angezeigt werden soll (beim Verschieben des Fokus auf eine Schaltfläche mithilfe von Tastaturkürzeln erscheint der Indikator, beim Klicken mit der Maus jedoch). , Es tut nicht). Der bisher verfügbare CSS-Selektor „:focus“ hebt den Fokus immer hervor. Darüber hinaus wurde den Einstellungen die Option „Quick Focus Highlight“ hinzugefügt. Wenn diese Option aktiviert ist, wird neben aktiven Elementen ein zusätzlicher Fokusindikator angezeigt, der auch dann sichtbar bleibt, wenn Stilelemente zur visuellen Hervorhebung des Fokus auf der Seite deaktiviert sind CSS.
  • Dem Origin-Testmodus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
  • WebHID-API für den Low-Level-Zugriff auf HID-Geräte (Human-Interface-Geräte, Tastaturen, Mäuse, Gamepads, Touchpads), mit der Sie die Logik der Arbeit mit einem HID-Gerät in JavaScript implementieren können, um die Arbeit mit seltenen HID-Geräten ohne deren Anwesenheit zu organisieren bestimmte Treiber im System. Die neue API zielt zunächst darauf ab, Unterstützung für Gamepads bereitzustellen.
  • Die Screen Information API erweitert die Window Placement API, um Konfigurationen mit mehreren Bildschirmen zu unterstützen. Im Gegensatz zu window.screen können Sie mit der neuen API die Platzierung eines Fensters im gesamten Bildschirmbereich von Systemen mit mehreren Monitoren manipulieren, ohne auf den aktuellen Bildschirm beschränkt zu sein.
  • Meta-Tag Batteriesparen, mit dem die Site den Browser über die Notwendigkeit informieren kann, Modi zu aktivieren, um den Stromverbrauch zu reduzieren und die CPU-Auslastung zu optimieren.
  • COOP-Reporting-API zum Melden potenzieller Verstöße gegen die Isolationsmodi Cross-Origin-Embedder-Policy (COEP) und Cross-Origin-Opener-Policy (COOP), ohne tatsächliche Einschränkungen anzuwenden.
  • Die Credential Management API bietet einen neuen Typ von Anmeldeinformationen, PaymentCredential, der eine zusätzliche Bestätigung der durchgeführten Zahlungstransaktion bietet. Eine vertrauende Partei, beispielsweise eine Bank, hat die Möglichkeit, einen öffentlichen Schlüssel, einen PublicKeyCredential, zu generieren, der vom Händler für eine zusätzliche sichere Zahlungsbestätigung angefordert werden kann.
  • Die PointerEvents-API zum Bestimmen der Neigung des Stifts* bietet jetzt Unterstützung für Elevationswinkel (den Winkel zwischen dem Stift und dem Bildschirm) und Azimut (den Winkel zwischen der X-Achse und der Projektion des Stifts auf dem Bildschirm) anstelle von TiltX- und TiltY-Winkel (die Winkel zwischen der Ebene des Stifts und einer der Achsen und der Ebene der Y- und Z-Achse). Außerdem wurden Konvertierungsfunktionen zwischen Höhe/Azimut und TiltX/TiltY hinzugefügt.
  • Die Kodierung von Leerzeichen in URLs bei der Berechnung in Protokollhandlern wurde geändert – die Methode navigator.registerProtocolHandler() ersetzt Leerzeichen jetzt durch „%20“ anstelle von „+“, wodurch das Verhalten mit anderen Browsern wie Firefox vereinheitlicht wird.
  • Dem CSS wurde ein Pseudoelement „::marker“ hinzugefügt, mit dem Sie die Farbe, Größe, Form und Art von Zahlen und Punkten für Auflistungen in Blöcken anpassen können Und .
  • Unterstützung für den Document-Policy-HTTP-Header hinzugefügt, der es Ihnen ermöglicht, Regeln für den Zugriff auf Dokumente festzulegen, ähnlich dem Sandbox-Isolationsmechanismus für Iframes, aber universeller. Mit Document-Policy können Sie beispielsweise die Verwendung von Bildern mit geringer Qualität einschränken, langsame JavaScript-APIs deaktivieren, Regeln für das Laden von Iframes, Bildern und Skripts konfigurieren, die Gesamtgröße und den Datenverkehr des Dokuments begrenzen, Methoden verbieten, die zum Neuzeichnen von Seiten führen usw Deaktivieren Sie die Scroll-To-Text-Funktion.
  • Zum Element Unterstützung für die Parameter „inline-grid“, „grid“, „inline-flex“ und „flex“ hinzugefügt, die über die CSS-Eigenschaft „display“ festgelegt werden.
  • Methode ParentNode.replaceChildren() hinzugefügt, um alle untergeordneten Elemente eines übergeordneten Knotens durch einen anderen DOM-Knoten zu ersetzen. Bisher konnten Sie eine Kombination aus node.removeChild() und node.append() oder node.innerHTML und node.append() verwenden, um Knoten zu ersetzen.
  • Der Bereich der URL-Schemata, die mit registerProtocolHandler() überschrieben werden können, wurde erweitert. Die Liste der Schemata umfasst die dezentralen Protokolle Cabal, Dat, Did, Dweb, Ethereum, Hyper, IPFS, IPNS und SSB, mit denen Sie Links zu Elementen definieren können, unabhängig von der Site oder dem Gateway, die den Zugriff auf die Ressource ermöglichen.
  • Unterstützung für das Text/HTML-Format zur asynchronen Zwischenablage-API zum Kopieren und Einfügen von HTML über die Zwischenablage hinzugefügt (gefährliche HTML-Konstrukte werden beim Schreiben und Lesen in die Zwischenablage bereinigt). Mit der Änderung können Sie beispielsweise das Einfügen und Kopieren von formatiertem Text mit Bildern und Links in Web-Editoren organisieren.
  • WebRTC hat die Möglichkeit hinzugefügt, eigene Datenhandler zu verbinden, die in der Kodierungs- oder Dekodierungsphase von WebRTC MediaStreamTrack aufgerufen werden. Diese Funktion kann beispielsweise verwendet werden, um Unterstützung für die Ende-zu-Ende-Verschlüsselung von Daten hinzuzufügen, die über Zwischenserver übertragen werden.
    In der V8-JavaScript-Engine wurde die Implementierung von Number.prototype.toString um 75 % beschleunigt. Die Eigenschaft „.name“ wurde zu asynchronen Klassen mit einem leeren Wert hinzugefügt. Die Atomics.wake-Methode wurde entfernt, die einst in Atomics.notify umbenannt wurde, um der ECMA-262-Spezifikation zu entsprechen. Der Code für das Fuzzing-Testtool JS-Fuzzer ist geöffnet.
  • Der in der letzten Version veröffentlichte Liftoff-Baseline-Compiler für WebAssembly bietet die Möglichkeit, SIMD-Vektoranweisungen zu verwenden, um Berechnungen zu beschleunigen. Den Tests zufolge konnten einige Tests durch die Optimierung um das 2.8-fache beschleunigt werden. Durch eine weitere Optimierung konnten importierte JavaScript-Funktionen aus WebAssembly viel schneller aufgerufen werden.
  • Die Tools für Webentwickler wurden erweitert: Im Medienbereich wurden Informationen zu den Playern hinzugefügt, die zum Abspielen von Videos auf der Seite verwendet werden, einschließlich Ereignisdaten, Protokollen, Eigenschaftswerten und Frame-Dekodierungsparametern (Sie können beispielsweise die Ursachen von Frames ermitteln). Verlust- und Interaktionsprobleme von JavaScript).
  • Im Kontextmenü des Elementebedienfelds wurde die Möglichkeit hinzugefügt, Screenshots des ausgewählten Elements zu erstellen (Sie können beispielsweise einen Screenshot des Inhaltsverzeichnisses oder der Tabelle erstellen).
  • In der Webkonsole wurde das Problemwarnfeld durch eine normale Meldung ersetzt und Probleme mit Cookies von Drittanbietern werden standardmäßig auf der Registerkarte „Probleme“ ausgeblendet und mit einem speziellen Kontrollkästchen aktiviert.
  • Auf der Registerkarte „Rendering“ wurde eine Schaltfläche „Lokale Schriftarten deaktivieren“ hinzugefügt, mit der Sie das Fehlen lokaler Schriftarten simulieren können. Auf der Registerkarte „Sensoren“ können Sie jetzt Benutzerinaktivität simulieren (für Anwendungen, die die Idle Detection API verwenden).
  • Das Anwendungsfenster bietet detaillierte Informationen zu jedem Iframe, jedem geöffneten Fenster und jedem Popup, einschließlich Informationen zur Cross-Origin-Isolation mit COEP und COOP.

Die Implementierung des QUIC-Protokolls wird zunehmend durch die in der IETF-Spezifikation entwickelte Version anstelle der Google-Version von QUIC ersetzt.
Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 35 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Eine Schwachstelle (CVE-2020-15967, Zugriff auf freigegebenen Speicher im Code für die Interaktion mit Google Payments) ist als kritisch markiert, d. h. ermöglicht es Ihnen, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Im Rahmen des Programms zur Zahlung von Geldprämien für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 27 Auszeichnungen im Wert von 71500 US-Dollar aus (eine Auszeichnung in Höhe von 15000 US-Dollar, drei Auszeichnungen in Höhe von 7500 US-Dollar, fünf Auszeichnungen in Höhe von 5000 US-Dollar, zwei Auszeichnungen in Höhe von 3000 US-Dollar, eine Auszeichnung in Höhe von 200 US-Dollar und zwei Auszeichnungen in Höhe von 500 US-Dollar). Die Höhe von 13 Belohnungen steht noch nicht fest.

Entnommen aus Opennet.ru

Source: linux.org.ru

Kommentar hinzufügen