ProHoster > Блог > interretaj novaĵoj > Chrome 86

Chrome 86

La sekva eldono de Chrome 86 kaj la stabila eldono de Chromium estis publikigitaj.

Ŝanĝoj en Chrome 86:

  • protekto kontraŭ nesekura sendado de enigformularoj sur paĝoj ŝarĝitaj per HTTPS sed sendado de datumoj per HTTP.
  • Blokado de nesekuraj elŝutoj (http) de ruleblaj dosieroj estas kompletigita per blokado de nesekuraj elŝutoj de arkivoj (zip, iso, ktp.) kaj montrado de avertoj pri nesekura elŝutado de dokumentoj (docx, pdf, ktp.). Dokumentblokado kaj avertoj por bildoj, tekstoj kaj amaskomunikiloj estas atendataj en la venonta eldono. La blokado estas efektivigita ĉar elŝuti dosierojn sen ĉifrado povas esti uzata por fari malicajn agojn anstataŭigante la enhavon dum MITM-atakoj.
  • La defaŭlta kunteksta menuo montras la opcion "Ĉiam montri plenan URL", kiu antaŭe postulis ŝanĝi la agordojn en la paĝo pri:flags por ebligi. La plena URL ankaŭ videblas per duobla klako sur la adresbreto. Ni memorigu vin, ke ekde Chrome 76, defaŭlte la adreso komencis montriĝi sen la protokolo kaj la subdomajno www. En Chrome 79, la agordo por redoni la malnovan konduton estis forigita, sed post malkontento de la uzanto, nova eksperimenta flago estis aldonita en Chrome 83, kiu aldonas opcion al la kunteksta menuo por malŝalti kaŝadon kaj montri la plenan URL en ĉiuj kondiĉoj.
    Por malgranda procento de uzantoj, eksperimento estis lanĉita por montri nur la domajnon en la adresbreto defaŭlte, sen vojelementoj kaj demandaj parametroj. Ekzemple, anstataŭ "https://example.com/secure-google-sign-in/" "example.com" estos montrita. La proponita reĝimo estas atendita esti alportita al ĉiuj uzantoj en unu el la venontaj eldonoj. Por malŝalti ĉi tiun konduton, vi povas uzi la opcion "Ĉiam montri plenan URL", kaj por vidi la tutan URL, vi povas alklaki la adresbreton. La motivo por la ŝanĝo estas la deziro protekti uzantojn kontraŭ phishing, kiu manipulas parametrojn en la URL - atakantoj profitas la neatenton de uzantoj por krei aspekton malfermi alian retejon kaj fari fraŭdajn agojn (se tiaj anstataŭoj estas evidentaj al teknike kompetenta uzanto). , tiam senspertaj homoj facile falas pro tia simpla manipulado).
  • La iniciato forigi FTP-subtenon estis renovigita. En Chrome 86, FTP estas malŝaltita defaŭlte por ĉirkaŭ 1% de uzantoj, kaj en Chrome 87 la amplekso de la malfunkcio estos pliigita al 50%, sed subteno povas esti revenita uzante la "--enable-ftp" aŭ "- -enable-features=FtpProtocol" flago. En Chrome 88, FTP-subteno estos tute malŝaltita.
  • En la versio por Android, simila al la versio por labortablaj sistemoj, la pasvortmanaĝero efektivigas kontrolon de konservitaj ensalutoj kaj pasvortoj kontraŭ datumbazo de kompromititaj kontoj, montrante averton se problemoj estas detektitaj aŭ provo uzi bagatelajn pasvortojn. La kontrolo estas farita kontraŭ datumbazo kovranta pli ol 4 miliardojn kompromititajn kontojn kiuj aperis en likitaj uzantdatumbazoj. Por konservi privatecon, la hashprefikso estas kontrolita flanke de la uzanto, kaj la pasvortoj mem kaj iliaj plenaj hashoj ne estas transdonitaj ekstere.
  • La butono "Sekureckontrolo" kaj la plibonigita protektoreĝimo kontraŭ danĝeraj retejoj (Plibonigita Sekura Folumado) ankaŭ estis translokigitaj al la Android-versio. La butono "Sekureckontrolo" montras resumon de eblaj sekurecaj problemoj, kiel la uzo de kompromititaj pasvortoj, la stato de kontrolado de malicaj retejoj (Sekura Folumado), la ĉeesto de malinstalitaj ĝisdatigoj kaj la identigo de malicaj aldonaĵoj. Altnivela protekta reĝimo aktivigas pliajn kontrolojn por protekti kontraŭ phishing, malica agado kaj aliaj minacoj en la Reto, kaj ankaŭ inkluzivas plian protekton por via Google-konto kaj Google-servoj (Gmail, Drive, ktp.). Se en la normala Sekura Folumado kontroloj estas faritaj loke uzante datumbazon periode ŝarĝita sur la sistemo de la kliento, tiam en Plibonigita Sekura Folumado informoj pri paĝoj kaj elŝutoj en reala tempo estas senditaj por konfirmo ĉe la flanko de Guglo, kio permesas vin rapide respondi al minacoj tuj post kiam ili estas identigitaj, sen atendi ĝis la loka nigra listo estas ĝisdatigita.
  • Aldonita subteno por la indikilo-dosiero ".well-known/change-password", per kiu retejposedantoj povas specifi la adreson de la retformularo por ŝanĝi la pasvorton. Se la akreditaĵoj de uzanto estas endanĝerigitaj, Chrome nun tuj petos la uzanton per pasvortŝanĝformularo bazita sur la informoj en ĉi tiu dosiero.
  • Nova averto "Sekureca Konsilo" estis efektivigita, montrita dum malfermado de retejoj, kies domajno estas tre simila al alia retejo kaj heŭristiko montras, ke estas alta probablo de falsigo (ekzemple, goog0le.com estas malfermita anstataŭ google.com).

    * Subteno por la malantaŭa kaŝmemoro estis efektivigita, provizante tujan navigadon kiam oni uzas la "Malantaŭen" kaj "Antaŭen" butonojn aŭ kiam oni navigas tra antaŭe viditaj paĝoj de la nuna retejo. La kaŝmemoro estas ebligita per la agordo chrome://flags/#back-forward-cache.

  • Optimumigo de CPU-rimeda konsumo por ekster-ampleksaj fenestroj. Chrome kontrolas ĉu la retumila fenestro estas interkovrita de aliaj fenestroj kaj malhelpas desegni pikselojn en areoj de interkovro. Ĉi tiu optimumigo estis ebligita por malgranda procento de uzantoj en Chrome 84 kaj 85 kaj nun estas ebligita ĉie. Kompare kun antaŭaj eldonoj, nekongruo kun virtualigsistemoj kiuj kaŭzis malplenajn blankajn paĝojn aperi ankaŭ estis solvita.
  • Pliigita rimedotondado por fonaj langetoj. Tiaj langetoj ne plu povas konsumi pli ol 1% de CPU-resursoj kaj povas esti aktivigitaj ne pli ol unufoje por minuto. Post kvin minutoj de estado en la fono, langetoj estas frostigitaj, escepte de langetoj kiuj ludas plurmedian enhavon aŭ registras.
  • Laboro rekomenciĝis pri unuigo de la HTTP-kapo Uzanto-Agente. En la nova versio, subteno por la mekanismo de User-Agent Client Hints, evoluigita kiel anstataŭaĵo de User-Agent, estas aktivigita por ĉiuj uzantoj. La nova mekanismo implicas selekte resendi datumojn pri specifaj retumiloj kaj sistemaj parametroj (versio, platformo, ktp.) nur post peto de la servilo kaj doni al uzantoj la ŝancon selekteme provizi tiajn informojn al retejposedantoj. Kiam oni uzas Uzantajn-Agentajn Klientajn Sugestojn, la identigilo ne estas transdonita defaŭlte sen eksplicita peto, kio faras pasivan identigon malebla (defaŭlte, nur la retumila nomo estas indikita).
    La indiko pri la ĉeesto de ĝisdatigo kaj la bezono rekomenci la retumilon por instali ĝin estis ŝanĝita. Anstataŭ kolora sago, "Ĝisdatigo" nun aperas en la konta avataro kampo.
  • Oni faris laboron por konverti la retumilon por uzi inkluzivan terminologion. En politikaj nomoj, la vortoj "blanklisto" kaj "nigra listo" estis anstataŭigitaj per "permesebla listo" kaj "bloklisto" (jam aldonitaj politikoj daŭre funkcios, sed ili montros averton pri malrekomendita). En kodo kaj dosiernomoj, referencoj al "nigra listo" estis anstataŭigitaj per "bloklisto". Uzant-videblaj referencoj al "nigra listo" kaj "blanka listo" estis anstataŭigitaj komence de 2019.
    Aldonis eksperimentan kapablon redakti konservitajn pasvortojn, aktivigitan per la flago "chrome://flags/#edit-passwords-in-settings".
  • La Native File System API estis translokigita al la kategorio de stabila kaj publike havebla API, permesante al vi krei TTT-aplikaĵojn, kiuj interagas kun dosieroj en la loka dosiersistemo. Ekzemple, la nova API povas esti postulata en retumilo-bazitaj integraj evolumedioj, tekstoj, bildoj kaj videoredaktiloj. Por povi rekte skribi kaj legi dosierojn aŭ uzi dialogojn por malfermi kaj konservi dosierojn, kaj ankaŭ por navigi tra la enhavo de dosierujoj, la aplikaĵo petas de la uzanto specialan konfirmon.
  • Aldonita CSS-elektilo ":focus-visible", kiu uzas la samajn heŭristikojn, kiujn la retumilo uzas kiam decidas ĉu montri la fokusan ŝanĝindikilon (dum movo de fokuso al butono uzante klavarajn ŝparvojojn, la indikilo aperas, sed kiam oni klakas per la muso). , ĝi ne faras). La antaŭe disponebla CSS-elektilo ":focus" ĉiam elstarigas fokuson. Krome, la opcio "Rapida Fokuso Highlight" estis aldonita al la agordoj, kiam ebligita, kroma fokusa indikilo estos montrita apud aktivaj elementoj, kiu restas videbla eĉ se stilelementoj por vide reliefigi fokuson estas malŝaltitaj sur la paĝo per CSS. .
  • Pluraj novaj API-oj estis aldonitaj al Origin Trials-reĝimo (eksperimentaj funkcioj kiuj postulas apartan aktivigon). Origin Trial implicas la kapablon labori kun la specifita API de aplikoj elŝutitaj de localhost aŭ 127.0.0.1, aŭ post registriĝo kaj ricevado de speciala signo kiu validas por limigita tempo por specifa retejo.
  • WebHID API por malaltnivela aliro al HID-aparatoj (Homaj interfacaj aparatoj, klavaroj, musoj, ludpadoj, tuŝpadoj), kiu ebligas al vi efektivigi la logikon labori kun HID-aparato en JavaScript por organizi laboron kun maloftaj HID-aparatoj sen ĉeesto de specifaj ŝoforoj en la sistemo. Antaŭ ĉio, la nova API celas provizi subtenon por ludpadoj.
  • Screen Information API, etendas la Window Placement API por subteni plur-ekranajn agordojn. Male al window.screen, la nova API permesas manipuli la lokigon de fenestro en la ĝenerala ekrana spaco de mult-monitoraj sistemoj, sen esti limigita al la nuna ekrano.
  • Meta-etikedo ŝparado de kuirilaro, per kiu la retejo povas informi la retumilon pri la bezono aktivigi reĝimojn por redukti energikonsumon kaj optimumigi CPU-ŝarĝon.
  • COOP Reporting API por raporti eblajn malobservojn de Cross-Origin-Embedder-Policy (COEP) kaj Cross-Origin-Opener-Policy (COOP) izolaj reĝimoj, sen aplikado de realaj restriktoj.
  • La Kredential Management API ofertas novan specon de akreditaĵoj, PaymentCredential, kiu disponigas kroman konfirmon de la pagtransakcio farita. Fidinda partio, kiel banko, havas la kapablon generi publikan ŝlosilon, PublicKeyCredential, kiu povas esti petita de la komercisto por plia sekura pago-konfirmo.
  • La PointerEvents API por determini la kliniĝon de la grifelo* aldonis subtenon por altecanguloj (la angulo inter la grifelo kaj la ekrano) kaj azimuto (la angulo inter la X-akso kaj la projekcio de la grifelo sur la ekrano), anstataŭ la TiltX kaj TiltY anguloj (la anguloj inter la ebeno de la grifelo kaj unu el la aksoj kaj la ebeno de la Y kaj Z aksoj). Ankaŭ aldonis konvertajn funkciojn inter alteco/azimuto kaj TiltX/TiltY.
  • Ŝanĝis la kodigon de spaco en URL-oj kiam oni kalkulas ĝin en protokoltraktiloj - la navigator.registerProtocolHandler() metodo nun anstataŭigas spacojn per "%20" anstataŭ "+", kiu unuigas la konduton kun aliaj retumiloj kiel Firefox.
  • Pseŭdoelemento "::markilo" estis aldonita al CSS, ebligante al vi agordi la koloron, grandecon, formon kaj tipon de nombroj kaj punktoj por listoj en blokoj. Kaj .
  • Aldonita subteno por la Document-Policy HTTP-kapo, kiu ebligas al vi agordi regulojn por aliri dokumentojn, similajn al la sablokesto-izola mekanismo por iframoj, sed pli universala. Ekzemple, per Dokumento-Politiko vi povas limigi la uzon de malaltkvalitaj bildoj, malŝalti malrapidajn JavaScript-APIojn, agordi regulojn por ŝarĝi iframojn, bildojn kaj skriptojn, limigi la ĝeneralan dokumentgrandecon kaj trafikon, malpermesi metodojn kiuj kondukas al paĝredesegnado, kaj malŝaltu la funkcion Scroll-To-Text.
  • Al elemento aldonis subtenon por 'inline-grid', 'grid', 'inline-flex' kaj 'flex' parametroj agordita per la 'montri' CSS-posedaĵo.
  • Aldonita metodo ParentNode.replaceChildren() por anstataŭigi ĉiujn filojn de gepatra nodo per alia DOM-nodo. Antaŭe, vi povus uzi kombinaĵon de node.removeChild() kaj node.append() aŭ node.innerHTML kaj node.append() por anstataŭigi nodojn.
  • La gamo de URL-skemoj kiuj povas esti anstataŭitaj per registerProtocolHandler() estis vastigita. La listo de skemoj inkluzivas la malcentralizitajn protokolojn cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns kaj ssb, kiuj ebligas al vi difini ligilojn al elementoj sendepende de la retejo aŭ enirejo kiu provizas aliron al la rimedo.
  • Aldonita subteno por teksto/html-formato al la Asynchronous Clipboard API por kopiado kaj algluado de HTML per la tondujo (danĝeraj HTML-konstruaĵoj estas purigitaj dum skribado kaj legado al la tondujo). La ŝanĝo, ekzemple, permesas organizi la enmeton kaj kopiadon de formatita teksto kun bildoj kaj ligiloj en TTT-redaktiloj.
  • WebRTC aldonis la kapablon ligi siajn proprajn datumtraktistojn, nomitajn ĉe la kodigaj aŭ malkodaj stadioj de WebRTC MediaStreamTrack. Ekzemple, tiu kapablo povas esti uzita por aldoni subtenon por fin-al-fina ĉifrado de datenoj elsenditaj tra mezaj serviloj.
    En la V8 JavaScript-motoro, la efektivigo de Number.prototype.toString akceliĝis je 75%. Aldonita .name posedaĵo al nesinkronaj klasoj kun malplena valoro. La metodo Atomics.wake estis forigita, kiu iam estis renomita al Atomics.notify por plenumi la specifon ECMA-262. La kodo por la fuzz-testilo JS-Fuzzer estas malfermita.
  • La Liftoff bazlinia kompililo por WebAssembly publikigita en la lasta eldono inkluzivas la kapablon uzi SIMD-vektorajn instrukciojn por akceli kalkulojn. Juĝante laŭ la testoj, optimumigo ebligis plirapidigi iujn testojn je 2.8 fojojn. Alia optimumigo igis ĝin multe pli rapide voki importitajn JavaScript-funkciojn de WebAssembly.
  • Iloj por retaj programistoj estis pligrandigitaj: La Media panelo aldonis informojn pri la ludantoj uzataj por ludi videon sur la paĝo, inkluzive de evento-datumoj, protokoloj, posedaĵvaloroj kaj kadro-malkodi parametroj (ekzemple, vi povas determini la kaŭzojn de kadro. problemoj de perdo kaj interagado de JavaScript).
  • En la kunteksta menuo de la panelo Elementoj, la kapablo krei ekrankopiojn de la elektita elemento estis aldonita (ekzemple, vi povas krei ekrankopion de la enhavtabelo aŭ tabelo).
  • En la retkonzolo, la problemo averta panelo estis anstataŭigita per regula mesaĝo, kaj problemoj kun triaj Kuketoj estas kaŝitaj defaŭlte en la langeto Problemoj kaj estas ebligitaj per speciala markobutono.
  • En la langeto Rendering, butono "Malŝalti lokajn tiparojn" estis aldonita, kiu ebligas al vi simuli la foreston de lokaj tiparoj, kaj en la langeto Sensiloj vi nun povas simuli uzantan neaktivecon (por aplikoj uzantaj la Idle Detection API).
  • La Aplika panelo provizas detalajn informojn pri ĉiu iframo, malfermita fenestro kaj pop-up, inkluzive de informoj pri Cross-Origin-izolado uzante COEP kaj COOP.

La efektivigo de la QUIC-protokolo komencis esti anstataŭigita per la versio evoluigita en la IETF-specifo, anstataŭe de la Google-versio de QUIC.
Krom novigoj kaj korektoj de cimoj, la nova versio forigas 35 vundeblecojn. Multaj el la vundeblecoj estis identigitaj kiel rezulto de aŭtomatigita testado uzante la AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer kaj AFL-iloj. Unu vundebleco (CVE-2020-15967, aliro al liberigita memoro en kodo por interagado kun Google Payments) estas markita kiel kritika, t.e. permesas vin preteriri ĉiujn nivelojn de retumila protekto kaj ekzekuti kodon en la sistemo ekster la sablokesto-medio. Kiel parto de la programo por pagi kontantajn rekompencojn pro malkovrado de vundeblecoj por la nuna eldono, Google pagis 27 premiojn kun valoro de $71500 (unu $15000 premio, tri $7500 premioj, kvin $5000 premioj, du $3000 premioj, unu $200 premio, kaj du $500 premioj). La grandeco de 13 rekompencoj ankoraŭ ne estis determinita.

Prenita de Opennet.ru

fonto: linux.org.ru

Aldoni komenton