Chrome 86 Veröffentlichung

Google präsentierte Freigabe des Webbrowsers Chrome 86. Gleichzeitig ist verfügbar stabile Freigabe des Open-Source-Projekts Chromium, das die Grundlage von Chrome bildet. Der Browser Chrome zeichnet sich aus Verwendung von Google-Logos, ein Benachrichtigungssystem bei Abstürzen, die Möglichkeit, das Flash-Modul auf Anfrage herunterzuladen, Module zur Wiedergabe von geschützten Videoinhalten (DRM), ein automatisches Update-Installationssystem sowie Datentransfer bei der Suche. RLZ-ParameterDie nächste Version Chrome 87 ist für den 17. November geplant.

Haupt eingeführt wurde, die im Januar dieses Jahres in den Kernel übernommen wurde. Es betrifft ausschließlich die Version 5.1 und tritt in den meisten Fällen auf Systemen mit Samsung-SSD-Speichern auf, bei denen zur Verschlüsselung Daten mit dm-crypt/LUKS über device-mapper/LVM verwendet werden. in Chrome 86:

  • Schutz vor unsicheren Eingabeformularen auf per HTTPS geladenen Seiten, die jedoch Daten über HTTP übertragen, wurde hinzugefügt. Dies stellt ein Risiko für das Abfangen und die Manipulation von Daten bei MITM-Attacken dar. Der Schutz umfasst drei Änderungen:
    • Die automatische Vervollständigung von gemischten Eingabeformularen wurde deaktiviert, ähnlich wie die automatische Vervollständigung von Authentifizierungsformularen auf HTTP-Seiten bereits seit geraumer Zeit deaktiviert ist. Während die Öffnung einer Seite mit einem Formular über HTTPS oder HTTP zuvor als Hinweis für die Deaktivierung diente, wird jetzt auch die Anwendung von Verschlüsselung beim Senden von Daten an den Formularverarbeiter berücksichtigt. Der Passwortmanager für gemischte Authentifizierungsformulare ist nicht deaktiviert, da das Risiko, ein unsicheres Passwort zu verwenden und Passwörter auf verschiedenen Websites wiederzuverwenden, das Risiko einer potenziellen Abhörung des Datenverkehrs übersteigt.
    • Beim Beginn der Eingabe in gemischten Formularen wird eine Warnung angezeigt, die den Benutzer darauf hinweist, dass die ausgefüllten Daten über einen unverschlüsselten Kommunikationskanal gesendet werden.
    • Beim Versuch, ein gemischtes Formular zu senden, wird eine separate Seite angezeigt, die über das potenzielle Risiko der Übertragung von Daten über einen unverschlüsselten Kommunikationskanal informiert. In früheren Versionen wurde zur Kennzeichnung gemischter Formulare ein Schlossindikator in der Adressleiste verwendet, jedoch war dieses Zeichen für die Benutzer nicht offensichtlich und spiegelte die entstehenden Risiken nicht effektiv wider.

      Chrome 86 Veröffentlichung
  • Blockierung unsicherer Dateiuploads (ohne Verschlüsselung) ausführbarer Dateien wurde um die Blockierung unsicherer Archivuploads (zip, iso usw.) sowie das Anzeigen von Warnungen bei unsicherem Upload erweitert
    von Dokumenten (docx, pdf usw.). In der nächsten Version wird die Blockierung von Dokumenten und das Anzeigen von Warnungen für Bilder, Text- und Multimedia-Dateien erwartet. Die Blockierung wurde implementiert, da das Hochladen von Dateien ohne Verschlüsselung für böswillige Aktivitäten durch das Manipulieren von Inhalten während MITM-Angriffen genutzt werden kann.
  • Im Kontextmenü wird standardmäßig die Option „URL immer vollständig anzeigen“ angezeigt, die zuvor das Ändern der Einstellungen auf der Seite about:flags erforderte. Die vollständige URL kann ebenfalls durch Doppelklick auf die Adresszeile angezeigt werden. Wir erinnern daran, dass seit Chrome 76 die Adresse standardmäßig ohne das Protokoll und die Subdomain www angezeigt wird. In Chrome 79 wurde die Einstellung zur Wiederherstellung des alten Verhaltens entfernt, aber nach Unmut der Benutzer in Chrome 83 Ein neuer experimenteller Schalter wurde hinzugefügt, um im Kontextmenü die Option zum Deaktivieren der Anzeige des vollständigen URLs unter allen Umständen zu integrieren.
  • Für einen kleinen Prozentsatz der Nutzer wurde Experiment zum angezeigt standardmäßig nur die Domain in der Adresszeile ohne Pfadelemente und Abfrageparameter angezeigt. Anstelle von „https://example.com/secure-google-sign-in/“ wird „example.com“ angezeigt. Die Einführung des vorgeschlagenen Modus für alle Nutzer wird in einer der nächsten Versionen erwartet. Um dieses Verhalten zu deaktivieren, kann die Option „URL immer vollständig anzeigen“ verwendet werden, und um die gesamte URL zu sehen, kann auf die Adresszeile geklickt werden. Als Motivation für diese Änderung wird der Wunsch angegeben, die Nutzer vor Phishing zu schützen, das mit URL-Parametern manipuliert — Angreifer nutzen die Unaufmerksamkeit der Nutzer, um den Anschein zu erwecken, dass eine andere Website geöffnet wird und betrügerische Handlungen stattfinden (während solche Täuschungen für technisch versierte Nutzer offensichtlich sind, fallen sie bei unerfahrenen Anwendern leicht auf einfache Manipulationen herein).
  • Die Initiative wurde wieder aufgenommen Initiative Die Unterstützung von FTP wird eingestellt. In Chrome 86 ist FTP standardmäßig für etwa 1 % der Nutzer deaktiviert, und in Chrome 87 wird der Deaktivierungsbereich auf 50 % erhöht. Die Unterstützung kann jedoch mit dem Flag „—enable-ftp“ oder „—enable-features=FtpProtocol“ wiederhergestellt werden. In Chrome 88 wird die Unterstützung von FTP vollständig eingestellt.
  • In der Android-Version wird, analog zur Desktop-Version, im Passwortmanager eine Überprüfung der gespeicherten Logins und Passwörter anhand einer Datenbank kompromittierter Konten durchgeführt, mit einer Warnmeldung bei festgestellten Problemen oder dem Versuch, triviale Passwörter zu verwenden. Die Überprüfung erfolgt anhand einer Datenbank, die mehr als 4 Milliarden kompromittierte Konten umfasst, die in Nutzer-Datenlecks auftauchten. Um die Privatsphäre zu wahren, verwendet wird die Hash-Präfixüberprüfung auf der Benutzerseite durchgeführt, und die Passwörter sowie deren vollständige Hashes werden nicht nach außen übertragen.
  • In die Android-Version wurden ebenfalls übertragen Die Schaltfläche „Sicherheitsprüfung“ (Safety check) sowie der erweiterte Schutzmodus gegen gefährliche Webseiten (Enhanced Safe Browsing) bieten umfassende Sicherheitsinformationen. Die Schaltfläche „Safety check“ zeigt eine Zusammenfassung möglicher Sicherheitsprobleme an, wie z. B. die Verwendung kompromittierter Passwörter, den Status der Überprüfung von Malware-Webseiten (Safe Browsing), nicht installierte Updates und die Identifizierung schadhafter Erweiterungen. Der erweiterte Schutzmodus aktiviert zusätzliche Prüfungen zum Schutz vor Phishing, schädlichen Aktivitäten und anderen Bedrohungen im Web und bietet zudem zusätzlichen Schutz für Ihr Google-Konto und Google-Dienste (Gmail, Drive usw.). Während im normalen Safe Browsing-Modus die Überprüfungen lokal anhand einer regelmäßig auf das Client-System heruntergeladenen Datenbank durchgeführt werden, wird im Enhanced Safe Browsing die Information über Seiten und Downloads in Echtzeit zur Überprüfung an Google gesendet. Dies ermöglicht eine sofortige Reaktion auf Bedrohungen, sobald diese erkannt werden, ohne darauf warten zu müssen, dass die lokale schwarze Liste aktualisiert wird.
  • Hinzugefügt Unterstützung der Datei-Indikator «.well-known/change-password», mit dem Website-Betreiber die Adresse eines Webformulars zur Passwortänderung angeben können. Im Falle einer Kompromittierung der Benutzerdaten wird Chrome nun sofort dem Benutzer ein Formular zur Passwortänderung anbieten, das auf den Informationen aus dieser Datei basiert.
  • Ein neues Warnhinweis «Safety Tip» wurde implementiert, das beim Öffnen von Websites angezeigt wird, deren Domain sehr ähnlich zu einer anderen Website ist und die Heuristik darauf hinweist, dass die Wahrscheinlichkeit für Spoofing hoch ist (zum Beispiel wird goog0le.com anstelle von google.com geöffnet).
  • Unterstützung für das parallele Bauen von Paketen auf Mehrkernsystemen wurde implementiert. Die Anzahl der Threads kann über das Makro „%_smp_build_ncpus“ und die Variable $RPM_BUILD_NCPUS festgelegt werden. Zur Bestimmung der Anzahl der CPUs wurde das Makro „%getncpus“ vorgeschlagen; Unterstützung des Back-forward-Cache, der einen sofortigen Wechsel beim Verwenden der Schaltflächen «Zurück» und «Vor» oder beim Navigieren auf zuvor besuchte Seiten der aktuellen Website ermöglicht. Der Cache wird über die Einstellung chrome://flags/#back-forward-cache aktiviert.
  • Ressourcenverbrauch des CPU von Fenstern optimiert.
    außerhalb des Sichtfelds. Chrome überprüft, ob das Browserfenster von anderen Fenstern überlappt wird, und schließt die Darstellung von Pixeln in überlappenden Bereichen aus. Diese Optimierung wurde für einen kleinen Prozentsatz der Nutzer in Chrome 84 und 85 aktiviert und ist jetzt allgemein verfügbar. Im Vergleich zu früheren Versionen wurde auch die Inkompatibilität mit Virtualisierungssystemen behoben, die zu leeren weißen Seiten führte.
  • Die Ressourcennutzung für Hintergrund-Tabs wurde weiter eingeschränkt. Solche Tabs können nun nicht mehr als 1 % der CPU-Ressourcen verbrauchen und können nicht öfter als einmal pro Minute aktiv werden. Nach fünf Minuten im Hintergrund werden die Tabs angehalten, es sei denn, es wird Multimedia-Inhalt abgespielt oder aufgezeichnet.
  • Die Arbeit an der Vereinheitlichung des HTTP-Headers User-Agent wurde wieder aufgenommen. In der neuen Version wurde für alle Nutzer die Unterstützung des Mechanismus User-Agent Client Hints aktiviert., entwickelt als Ersatz für den User-Agent. Der neue Mechanismus sieht eine selektive Datenweitergabe spezifischer Browser- und Systemparameter (Version, Plattform usw.) nur auf Anfrage des Servers vor und ermöglicht es den Nutzern, solche Informationen gezielt an Webseitenbetreiber zu übermitteln. Bei Verwendung von User-Agent Client Hints wird die ID standardmäßig nicht ohne ausdrückliche Anfrage übermittelt, was eine passive Identifizierung unmöglich macht (standardmäßig wird nur der Browsername angegeben).
  • Die Anzeige für verfügbare Updates und die Notwendigkeit, den Browser für die Installation neu zu starten, wurde geändert. Anstelle des farbigen Pfeils im Avatarbereich des Kontos erscheint nun die Meldung „Update“.

    Chrome 86 Veröffentlichung
  • Es wurde daran gearbeitet, den Browser auf inklusive Terminologie umzustellen. In den Bezeichnungen der Richtlinien wurden die Begriffe „whitelist“ und „blacklist“ durch „allowlist“ und „blocklist“ ersetzt (bereits hinzugefügte Richtlinien funktionieren weiterhin, es wird jedoch eine Warnung angezeigt, dass sie als veraltet gelten). In Code und Dateinamen Wiederum wurden Erwähnungen von „blacklist“ durch „blocklist“ ersetzt.
    Die sichtbaren Erwähnungen von „Blacklist“ und „Whitelist“ wurden bereits Anfang 2019 ersetzt.
  • Eine experimentelle Funktion zum Bearbeiten gespeicherter Passwörter wurde hinzugefügt, die über das Flag „chrome://flags/#edit-passwords-in-settings“ aktiviert werden kann.
  • In die Kategorie stabiler und öffentlicher APIs umgestuft. Native File System, das die Erstellung von Webanwendungen ermöglicht, die mit Dateien im lokalen Dateisystem interagieren. Beispielsweise könnte die neue API in im Browser ausgeführten integrierten Entwicklungsumgebungen, Text-, Bild- und Video-Editoren benötigt werden. Um direkt auf Dateien zuzugreifen, sie zu lesen und zu schreiben oder Dialoge zum Öffnen und Speichern von Dateien sowie das Navigieren durch Verzeichnisse zu verwenden, verlangt die Anwendung eine spezielle Bestätigung vom Benutzer.

    Chrome 86 Veröffentlichung
  • Ein CSS-Selector „:focus-visible“ wurde hinzugefügt, der dieselbe Heuristik verwendet, die der Browser nutzt, um zu entscheiden, ob der Fokuswechsel-Indicator angezeigt wird (wenn der Fokus über Tastenkombinationen auf eine Schaltfläche verschoben wird, erscheint der Indicator, nicht jedoch bei einem Mausklick). Der zuvor verfügbare CSS-Selector „:focus“ hebt den Fokus immer hervor.
    Darüber hinaus wurde die Option „Quick Focus Highlight“ in die Einstellungen aufgenommen. Wenn diese aktiviert ist, wird neben den aktiven Elementen ein zusätzlicher Fokusindikator angezeigt, der auch sichtbar bleibt, wenn CSS-Stile zur visuellen Hervorhebung des Fokus auf der Seite deaktiviert sind.
  • Im Origin Trials-Modus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Der Origin Trial ermöglicht die Nutzung der angegebenen API aus Anwendungen, die von localhost oder 127.0.0.1 geladen werden, oder nach Registrierung und Erhalt eines speziellen Tokens, das für einen bestimmten Zeitraum für eine bestimmte Website gültig ist.
    • WebHID API für den Low-Level-Zugriff auf HID-Geräte (Human Interface Device, Tastaturen, Mäuse, Gamepads, Touchpads), die es ermöglichen, die Logik der Arbeit mit einem HID-Gerät in JavaScript zu implementieren, um mit seltenen HID-Geräten zu arbeiten, ohne dass spezifische Treiber im System vorhanden sind.
      In erster Linie zielt die neue API darauf ab, die Unterstützung für Gamepads bereitzustellen.
    • Screen Information API, erweitert die Möglichkeiten der API Window Placement durch die Unterstützung von Konfigurationen mit mehreren Bildschirmen. Im Gegensatz zu window.screen ermöglicht die neue API die Manipulation der Fensterplatzierung im gemeinsamen Bildschirmraum von Multi-Monitor-Systemen, ohne auf den aktuellen Bildschirm beschränkt zu sein.
    • Meta-Tag battery-savings, mit dem die Website den Browser über die Notwendigkeit informieren kann, Energiesparmodi zu aktivieren und die CPU-Belastung zu optimieren.
    • API COOP Reporting zur Information über potenzielle Verstöße gegen Isolationsmodi Cross-Origin-Embedder-Policy (COEP) und Cross-Origin-Opener-Policy (COOP), ohne tatsächliche Einschränkungen anzuwenden.
    • In der API Credential Management wurde ein neuer Typ von Anmeldedaten PaymentCredential, der zusätzliche Bestätigungen für durchgeführte Zahlungstransaktionen bietet, vorgeschlagen. Die prüfende Partei, wie z.B. eine Bank, kann einen öffentlichen Schlüssel PublicKeyCredential generieren, der vom Verkäufer für eine zusätzliche sichere Zahlungsbestätigung angefordert werden kann.
  • In der API PointerEvents Zur Bestimmung der Neigung des Stifts wurde Unterstützung für Höhenwinkel (der Winkel zwischen Stift und Bildschirm) und Azimut (der Winkel zwischen der X-Achse und der Projektion des Stifts auf den Bildschirm) hinzugefügt, anstelle der Winkel TiltX und TiltY (die Winkel zwischen der Ebene des Stifts und einer der Achsen sowie der Ebene der Y- und Z-Achsen). Außerdem wurden Funktionen zur Umwandlung zwischen Höhe/Azimut und TiltX/TiltY hinzugefügt.
  • Die Codierung von Leerzeichen in der URL wurde geändert. Bei der Berechnung in den Protokollhandlern ersetzt die Methode navigator.registerProtocolHandler() jetzt Leerzeichen durch "" anstelle von "+", um das Verhalten mit anderen Browsern wie Firefox zu vereinheitlichen.
  • Im CSS wurde das Pseudo-Element „::marker“ hinzugefügt, das es ermöglicht, Farbe, Größe, Form und Typ von Zahlen und Punkten in Aufzählungen innerhalb der Blöcke
      und
        anzupassen.
      1. Es wurde Unterstützung für den HTTP-Header Document-Policy, hinzugefügt, der es ermöglicht, festzulegen Zugriffsregeln für Dokumente, ähnlich dem Sandbox-Isolationsmechanismus für iframes, jedoch universeller. Über das Document-Policy können beispielsweise minderwertige Bilder eingeschränkt, langsame JavaScript-APIs deaktiviert und Regeln für das Laden von iframes, Bildern und Skripten festgelegt werden. Außerdem kann die Gesamtgröße des Dokuments und der Datenverkehr eingeschränkt sowie Methoden, die zu einem Neuzeichnen der Seite führen, verboten werden. Scroll-To-Text.
      2. Im Element
        wurde die Unterstützung für die Parameter 'inline-grid', 'grid', 'inline-flex' und 'flex', die über das CSS-Attribut 'display' festgelegt werden, hinzugefügt.
      3. Es wurde die Methode ParentNode.replaceChildren() eingeführt, um alle Kind-Elemente eines Elternknotens durch einen anderen DOM-Knoten zu ersetzen. Früher konnte man Knotenersetzungen durch die Kombination der Methoden node.removeChild() und node.append() oder node.innerHTML und node.append() durchführen.
      4. Das Spektrum der URL-Schemata, die durch registerProtocolHandler() überschrieben werden können, wurde erweitert. Zu den unterstützten Schemata gehören die dezentralen Protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns und ssb, was die Definition von Links zu Elementen unabhängig von der Website oder dem Gateway, das Zugriff auf die Ressource gewährt, ermöglicht. Das Spektrum der URL-Schemata, die durch registerProtocolHandler() überschrieben werden können. Zu den unterstützten Schemata gehören dezentralisierte Protokolle wie cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns und ssb, was es ermöglicht, Links auf Elemente unabhängig von der Website oder dem Gateway zu definieren, das Zugang zu den Ressourcen gewährt.
      5. In der API Asynchrone Zwischenablage Unterstützung für das Text/HTML-Format wurde hinzugefügt, um HTML über die Zwischenablage zu kopieren und einzufügen (bei der Aufnahme und dem Lesen in die Zwischenablage werden gefährliche HTML-Konstrukte bereinigt). Diese Änderung ermöglicht beispielsweise das Einfügen und Kopieren von formatiertem Text mit Bildern und Links in Web-Editoren.
      6. In WebRTC hinzugefügt die Möglichkeit, eigene Datenhandler zu verbinden, die in den Phasen der Kodierung oder Dekodierung des WebRTC MediaStreamTrack aufgerufen werden. Diese Funktion kann beispielsweise genutzt werden, um Unterstützung für Ende-zu-Ende-Verschlüsselung der über Zwischenserver übertragenen Daten hinzuzufügen.
      7. Im JavaScript-Engine V8 um 75% beschleunigt Implementierung von Number.prototype.toString. In die asynchronen Klassen wurde die Eigenschaft .name mit leerem Wert hinzugefügt. Die Methode Atomics.wake, die zuvor in Atomics.notify umbenannt wurde, um der Spezifikation ECMA-262 zu entsprechen, wurde entfernt. Der Code für das Fuzzing-Testtool wurde geöffnet. JS-Fuzzer.
      8. Im zuvor eingesetzten Baseline-Compiler Liftoff für WebAssembly wurde die Möglichkeit zur Verwendung von Vektor-Instruktionen hinzugefügt. SIMD um die Berechnungen zu beschleunigen. Laut Tests ermöglichte die Optimierung eine Steigerung der Durchlaufgeschwindigkeit einiger Tests um das 2,8-Fache. Eine weitere Optimierung führte zu einer deutlichen Beschleunigung des Aufrufs von aus WebAssembly importierten JavaScript-Funktionen.
      9. Erweitert Werkzeuge für Web-Entwickler: Im Mediapanel wurden Informationen zu den für die Wiedergabe von Videos auf der Seite verwendeten Playern hinzugefügt, einschließlich Daten zu Ereignissen, Protokollen, Eigenschaften und Frame-Dekodierungsparametern (zum Beispiel kann man die Ursachen für Frame-Verluste und Probleme bei der Interaktion aus JavaScript heraus bestimmen).

        Chrome 86 Veröffentlichung

        Im Kontextmenü des Elements-Panels wurde die Möglichkeit hinzugefügt, Screenshots des ausgewählten Elements zu erstellen (zum Beispiel kann man einen Screenshot des Inhaltsverzeichnisses oder der Tabelle erstellen).

        Chrome 86 Veröffentlichung

        Im Web-Konsole wurde das Warnfeld für Probleme durch eine normale Nachricht ersetzt, und Probleme mit Drittanbieter-Cookies sind standardmäßig im Tab ‚Issues‘ ausgeblendet und können durch ein spezielles Kontrollkästchen aktiviert werden.

        Chrome 86 Veröffentlichung

        Im Tab Rendering wurde die Schaltfläche „Lokale Schriftarten deaktivieren“ hinzugefügt, die simuliert, dass keine lokalen Schriftarten vorhanden sind, und im Tab Sensors gibt es die Möglichkeit, die Inaktivität des Nutzers zu simulieren (für Anwendungen, die die API zur Erkennung von Inaktivität nutzen).

        Chrome 86 Veröffentlichung

        Im Application-Panel finden Sie detaillierte Informationen zu jedem iframe, geöffneten Fenster und Pop-ups, einschließlich Daten zur Cross-Origin-Isolierung mittels COEP und COOP.

        Chrome 86 Veröffentlichung
      10. Gestartet die Umsetzung des Protokolls QUIC auf die Variante, die in der IETF-Spezifikation entwickelt wird, anstelle der von Google entwickelten QUIC-Variante.

    Neben Neuerungen und Fehlerbehebungen wurden in der neuen Version 35 Schwachstellen. Viele dieser Sicherheitsanfälligkeiten wurden durch automatisierte Tests mit Tools wie AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL. Eine Schwachstelle (CVE-2020-15967, Zugriff auf freigegebenen Speicherbereich im Code zur Interaktion mit Google Payments) wird als kritisch eingestuft, da sie alle Schutzebenen des Browsers umgehen und Code außerhalb der Sandbox-Umgebung im System ausführen kann. Im Rahmen des Programms zur Auszahlung von Belohnungen für das Auffinden von Sicherheitslücken hat Google für die aktuelle Version insgesamt 27 Prämien in Höhe von 71.500 US-Dollar ausgezahlt (eine Prämie von 15.000 US-Dollar, drei Prämien von 7.500 US-Dollar, fünf Prämien von 5.000 US-Dollar, zwei von 3.000 US-Dollar, eine von 200 US-Dollar und zwei Prämien von 500 US-Dollar). Die Höhe von 13 Prämien ist derzeit noch nicht festgelegt.

    Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster