Guglo eldono de TTT-legilo ... Samtempe stabila liberigo de senpaga projekto , kiu funkcias kiel la bazo de Chrome. Chrome retumilo la uzo de Google-emblemoj, la ĉeesto de sistemo por sendi sciigojn en kazo de kraŝo, la kapablo elŝuti Flash-modulon laŭpeto, moduloj por ludi protektitan videoenhavon (DRM), sistemo por aŭtomate instali ĝisdatigojn kaj transdonon dum serĉo . La sekva eldono de Chrome 87 estas planita por la 17-a de novembro.
:
- Aldonita protekto kontraŭ nesekura sendado de enigformularoj sur paĝoj ŝarĝitaj per HTTPS sed sendado de datumoj per HTTP, kio kreas la minacon de datumkaptado kaj falsigo dum MITM-atakoj. Protekto signifas tri ŝanĝojn:
- Aŭtomata plenigo de iuj miksitaj enigformularoj estis malŝaltita, simile al kiel aŭtomata plenigo de aŭtentikigformularoj sur paĝoj malfermitaj per HTTP estis malŝaltita dum sufiĉe da tempo. Se antaŭe signo por malŝalto malfermis paĝon kun formularo per HTTPS aŭ HTTP, nun oni konsideras ankaŭ la uzon de ĉifrado dum sendado de datumoj al la formulara prizorganto. La pasvortmanaĝero por miksitaj formoj de aŭtentigo ne estas malŝaltita, ĉar la risko uzi nesekuran pasvorton kaj reuzi pasvortojn en malsamaj retejoj superas la riskon de ebla trafika interkapto.
- Komencante eniri en miksitaj formoj, averto montriĝas informante la uzanton, ke la kompletigitaj datumoj estas senditaj per neĉifrita komunika kanalo.
- Kiam vi provas sendi miksitan formularon, aparta paĝo estas montrata informante vin pri la ebla risko transdoni datumojn per neĉifrita komunika kanalo. En antaŭaj versioj, pendseruro indikilo en la adresbreto estis uzita por indiki miksitajn formojn, sed tiu markado ne estis evidenta al uzantoj kaj ne efike reflektis la riskojn implikitajn.
- blokado (sen ĉifrado) de ruleblaj dosieroj estas kompletigita per blokado de nesekura ŝarĝo de arkivoj (zip, iso, ktp.) kaj montrado de avertoj pri nesekura ŝarĝo
dokumentoj (docx, pdf, ktp.). Dokumentblokado kaj avertoj por bildoj, tekstoj kaj amaskomunikiloj estas atendataj en la venonta eldono. La blokado estas efektivigita ĉar elŝuti dosierojn sen ĉifrado povas esti uzata por fari malicajn agojn anstataŭigante la enhavon dum MITM-atakoj. - La defaŭlta kunteksta menuo montras la opcion "Ĉiam montri plenan URL", kiu antaŭe postulis ŝanĝi la agordojn en la paĝo pri:flags por ebligi. La plena URL ankaŭ videblas per duobla klako sur la adresbreto. Ni rememoru tion komencante de Defaŭlte, la adreso komencis montriĝi sen protokolo kaj la subdomajno www. EN la agordo por redoni la malnovan konduton estis forigita, sed post malkontento de uzanto kun Nova eksperimenta flago estis aldonita, kiu aldonas opcion al la kunteksta menuo por malŝalti kaŝi kaj montri la plenan URL en ajnaj kondiĉoj.
- Lanĉite por malgranda procento de uzantoj sur Defaŭlte, la adresbreto enhavas nur la domajnon, sen vojelementoj kaj demandaj parametroj. Ekzemple, anstataŭ "https://example.com/secure-google-sign-in/" ĝi montros "example.com". La proponita reĝimo estas atendita esti alportita al ĉiuj uzantoj en unu el la venontaj eldonoj. Por malŝalti ĉi tiun konduton, vi povas uzi la opcion "Ĉiam montri plenan URL", kaj por vidi la tutan URL, vi povas alklaki la adresbreton. La motivo por la ŝanĝo estas la deziro protekti uzantojn kontraŭ phishing, kiu manipulas parametrojn en la URL - atakantoj profitas la neatenton de uzantoj por krei aspekton malfermi alian retejon kaj fari fraŭdajn agojn (se tiaj anstataŭoj estas evidentaj al teknike kompetenta uzanto). , tiam senspertaj homoj facile falas pro tia simpla manipulado).
- Rekomencita forigi FTP-subtenon. En Chrome 86, FTP estas malŝaltita defaŭlte por ĉirkaŭ 1% de uzantoj, kaj en Chrome 87 la amplekso de la malfunkcio estos pliigita al 50%, sed subteno povas esti revenita uzante la "--enable-ftp" aŭ "- -enable-features=FtpProtocol" flago. En Chrome 88, FTP-subteno estos tute malŝaltita.
- En la versio por Android, simila al la versio por labortablaj sistemoj, la pasvortmanaĝero efektivigas kontrolon de konservitaj ensalutoj kaj pasvortoj kontraŭ datumbazo de kompromititaj kontoj, montrante averton se problemoj estas detektitaj aŭ provo uzi bagatelajn pasvortojn. La kontrolo estas farita kontraŭ datumbazo kovranta pli ol 4 miliardojn kompromititajn kontojn kiuj aperis en likitaj uzantdatumbazoj. Por konservi privatecon La hashprefikso estas kontrolita flanke de la uzanto, kaj la pasvortoj mem kaj iliaj plenaj hashoj ne estas transdonitaj ekstere.
- Ankaŭ havebla en Android-versio la butonon "Sekureckontrolo" kaj la plibonigita protekta reĝimo kontraŭ danĝeraj retejoj (Plibonigita Sekura Folumado). La butono "Sekureckontrolo" montras resumon de eblaj sekurecaj problemoj, kiel la uzo de kompromititaj pasvortoj, la stato de kontrolado de malicaj retejoj (Sekura Folumado), la ĉeesto de malinstalitaj ĝisdatigoj kaj la identigo de malicaj aldonaĵoj. Altnivela protekta reĝimo aktivigas pliajn kontrolojn por protekti kontraŭ phishing, malica agado kaj aliaj minacoj en la Reto, kaj ankaŭ inkluzivas plian protekton por via Google-konto kaj Google-servoj (Gmail, Drive, ktp.). Se en la normala Sekura Folumado kontroloj estas faritaj loke uzante datumbazon periode ŝarĝita sur la sistemo de la kliento, tiam en Plibonigita Sekura Folumado informoj pri paĝoj kaj elŝutoj en reala tempo estas senditaj por konfirmo ĉe la flanko de Guglo, kio permesas vin rapide respondi al minacoj tuj post kiam ili estas identigitaj, sen atendi ĝis la loka nigra listo estas ĝisdatigita.
- subteno por la indikila dosiero ".well-known/change-password", per kiu retejposedantoj povas specifi la adreson de retformularo por ŝanĝi pasvorton. Se la akreditaĵoj de uzanto estas endanĝerigitaj, Chrome nun tuj petos la uzanton per pasvortŝanĝformularo bazita sur la informoj en ĉi tiu dosiero.
- Nova averto "Sekureca Konsilo" estis efektivigita, montrita dum malfermado de retejoj, kies domajno estas tre simila al alia retejo kaj heŭristiko montras, ke estas alta probablo de falsigo (ekzemple, goog0le.com estas malfermita anstataŭ google.com).
- subteno por la kaŝmemoro Malantaŭen, kiu provizas tujan navigadon kiam oni uzas la "Malantaŭen" kaj "Antaŭen" butonojn aŭ kiam oni navigas tra antaŭe viditaj paĝoj de la nuna retejo. La kaŝmemoro estas ebligita per la agordo chrome://flags/#back-forward-cache.
- Optimumigo de CPU-resursa konsumo fare de fenestroj estis efektivigita
ekstere de amplekso. Chrome kontrolas ĉu la retumila fenestro estas interkovrita de aliaj fenestroj kaj malhelpas desegni pikselojn en areoj de interkovro. Ĉi tiu optimumigo estis ebligita por malgranda procento de uzantoj en Chrome 84 kaj 85 kaj nun estas ebligita ĉie. Kompare kun antaŭaj eldonoj, nekongruo kun virtualigsistemoj kiuj kaŭzis malplenajn blankajn paĝojn aperi ankaŭ estis solvita. - Pliigita rimedotondado por fonaj langetoj. Tiaj langetoj ne plu povas konsumi pli ol 1% de CPU-resursoj kaj povas esti aktivigitaj ne pli ol unufoje por minuto. Post kvin minutoj de estado en la fono, langetoj estas frostigitaj, escepte de langetoj kiuj ludas plurmedian enhavon aŭ registras.
- Labori pri HTTP-kapo Uzanto-Agente. En la nova versio, subteno por la mekanismo estas aktivigita por ĉiuj uzantoj , evoluigita kiel anstataŭaĵo por Uzanto-Agente. La nova mekanismo implikas selekte resendi datumojn pri specifaj retumiloj kaj sistemaj parametroj (versio, platformo, ktp.) nur post peto de la servilo kaj doni al uzantoj la ŝancon selekte provizi tiajn informojn al retejposedantoj. Kiam oni uzas Uzantajn-Agentajn Klientajn Sugestojn, la identigilo ne estas transdonita defaŭlte sen eksplicita peto, kio faras pasivan identigon malebla (defaŭlte, nur la retumila nomo estas indikita).
- La indiko pri la ĉeesto de ĝisdatigo kaj la bezono rekomenci la retumilon por instali ĝin estis ŝanĝita. Anstataŭ kolora sago, "Ĝisdatigo" nun aperas en la konta avataro kampo.
- Oni faris laboron por konverti la retumilon por uzi inkluzivan terminologion. En politikaj nomoj, la vortoj "blanklisto" kaj "nigra listo" estis anstataŭigitaj per "permesebla listo" kaj "bloklisto" (jam aldonitaj politikoj daŭre funkcios, sed ili montros averton pri malrekomendita). EN и referencoj al "nigra listo" estis anstataŭigitaj per "bloklisto".
Uzant-videblaj referencoj al "nigra listo" kaj "blanka listo" estis anstataŭigitaj komence de 2019. - Aldonis eksperimentan kapablon redakti konservitajn pasvortojn, aktivigitan per la flago "chrome://flags/#edit-passwords-in-settings".
- Konvertite al stabila kaj publika API , kiu permesas krei TTT-aplikaĵojn, kiuj interagas kun dosieroj en la loka dosiersistemo. Ekzemple, la nova API povas esti postulata en retumilo-bazitaj integraj evolumedioj, tekstoj, bildoj kaj videoredaktiloj. Por povi rekte skribi kaj legi dosierojn aŭ uzi dialogojn por malfermi kaj konservi dosierojn, kaj ankaŭ por navigi tra la enhavo de dosierujoj, la aplikaĵo petas de la uzanto specialan konfirmon.
- Aldonita CSS-elektilo "", kiu uzas la samajn heŭristikojn, kiujn la retumilo uzas kiam decidas ĉu montri la indikilon de fokusoŝanĝo (dum movo de fokuso al butono uzante klavarkombilojn, la indikilo aperas, sed klakante per la muso, ĝi ne). La antaŭe disponebla CSS-elektilo ":focus" ĉiam elstarigas fokuson.
Krome, la opcio "Rapida Fokuso Highlight" estis aldonita al la agordoj, kiam ebligita, kroma fokusa indikilo estos montrita apud aktivaj elementoj, kiu restas videbla eĉ se stilelementoj por vide reliefigi fokuson estas malŝaltitaj sur la paĝo per CSS. . - Pluraj novaj API-oj estis aldonitaj al Origin Trials-reĝimo (eksperimentaj funkcioj kiuj postulas apartan aktivigon). Origin Trial implicas la kapablon labori kun la specifita API de aplikoj elŝutitaj de localhost aŭ 127.0.0.1, aŭ post registriĝo kaj ricevado de speciala signo kiu validas por limigita tempo por specifa retejo.
- por malaltnivela aliro al HID-aparatoj (Homaj interfacaj aparatoj, klavaroj, musoj, ludpadoj, tuŝpaneloj), permesante al vi efektivigi la logikon labori kun HID-aparato en JavaScript por organizi laboron kun maloftaj HID-aparatoj sen la ĉeesto de specifaj ŝoforoj. en la sistemo.
Antaŭ ĉio, la nova API celas provizi subtenon por ludpadoj. - , etendas la Window Placement API por subteni plur-ekranajn agordojn. Male al window.screen, la nova API permesas manipuli la lokigon de fenestro en la ĝenerala ekrana spaco de mult-monitoraj sistemoj, sen esti limigita al la nuna ekrano.
- Meta-etikedo , kun kiu la retejo povas informi la retumilon pri la bezono aktivigi reĝimojn por redukti konsumon de energio kaj optimumigi CPU-ŝarĝon.
- API raporti eblajn malobservojn de izolaj regularoj (COEP) kaj (COOP), sen aplikado de realaj limigoj.
- En la API nova speco de akreditaĵoj estis proponita , provizante plian konfirmon de la pagtransakcio estanta farita. Fidinda partio, kiel banko, havas la kapablon generi publikan ŝlosilon, PublicKeyCredential, kiu povas esti petita de la komercisto por plia sekura pago-konfirmo.
- por malaltnivela aliro al HID-aparatoj (Homaj interfacaj aparatoj, klavaroj, musoj, ludpadoj, tuŝpaneloj), permesante al vi efektivigi la logikon labori kun HID-aparato en JavaScript por organizi laboron kun maloftaj HID-aparatoj sen la ĉeesto de specifaj ŝoforoj. en la sistemo.
- En la API por determini la kliniĝon de la grifelo, subteno estis aldonita por altaj anguloj (la angulo inter la grifelo kaj la ekrano) kaj azimuto (la angulo inter la X-akso kaj la projekcio de la grifelo sur la ekrano), anstataŭ la TiltX kaj TiltY-anguloj (la anguloj inter la ebeno de la grifelo kaj unu el la aksoj kaj la ebeno de la Y kaj Y-aksoj Z). Ankaŭ aldonis konvertajn funkciojn inter alteco/azimuto kaj TiltX/TiltY.
- Ŝanĝis la kodigon de spaco en URL-oj kiam oni kalkulas ĝin en protokoltraktiloj - la navigator.registerProtocolHandler() metodo nun anstataŭigas spacojn per "%20" anstataŭ "+", kiu unuigas la konduton kun aliaj retumiloj kiel Firefox.
- Aldonita CSS pseŭdo-elemento "", kiu ebligas al vi agordi la koloron, grandecon, formon kaj specon de nombroj kaj punktoj por listoj en blokoj Kaj .
- Aldonita HTTP-kapa subteno , reguloj por aliri dokumentojn, similajn al la sablokesto-izola mekanismo por iframoj, sed pli universalaj. Ekzemple, per Dokumento-Politiko vi povas limigi la uzon de malaltkvalitaj bildoj, malŝalti malrapidajn JavaScript-APIojn, agordi regulojn por ŝarĝi iframojn, bildojn kaj skriptojn, limigi la ĝeneralan dokumentgrandecon kaj trafikon, malpermesi metodojn kiuj kondukas al paĝredesegnado, malŝalti. la funkcio .
- Al elemento aldonis subtenon por 'inline-grid', 'grid', 'inline-flex' kaj 'flex' parametroj agordita per la 'montri' CSS-posedaĵo.
- Aldonita metodo anstataŭigi ĉiujn filojn de gepatra nodo per alia DOM-nodo. Antaŭe, vi povus uzi kombinaĵon de node.removeChild() kaj node.append() aŭ node.innerHTML kaj node.append() por anstataŭigi nodojn.
- la gamo de URL-skemoj permesitaj esti anstataŭita uzante registerProtocolHandler(). La listo de skemoj inkluzivas la malcentralizitajn protokolojn cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns kaj ssb, kiuj ebligas al vi difini ligilojn al elementoj sendepende de la retejo aŭ enirejo kiu provizas aliron al la rimedo.
- En la API aldonis subtenon por la teksto/html-formato por kopii kaj alglui HTML per la tondujo (danĝeraj HTML-konstruaĵoj estas purigitaj dum skribado kaj legado en la tondujo). La ŝanĝo, ekzemple, permesas organizi la enmeton kaj kopiadon de formatita teksto kun bildoj kaj ligiloj en TTT-redaktiloj.
- En WebRTC la kapablo konekti viajn proprajn datumtraktistojn nomitajn ĉe la kodigaj aŭ malkodaj stadioj de WebRTC MediaStreamTrack. Ekzemple, tiu kapablo povas esti uzita por aldoni subtenon por fin-al-fina ĉifrado de datenoj elsenditaj tra mezaj serviloj.
- En JavaScript-motoro V8 je 75% efektivigo de Number.prototype.toString. Aldonita .name posedaĵo al nesinkronaj klasoj kun malplena valoro. La metodo Atomics.wake estis forigita, kiu iam estis renomita al Atomics.notify por plenumi la specifon ECMA-262. Fuzzing testa ilaro kodo malfermita .
- La Liftoff bazlinia kompililo por WebAssembly, publikigita en la lasta eldono, inkluzivas la kapablon uzi vektorajn instrukciojn. por akceli kalkulojn. Juĝante laŭ la testoj, optimumigo ebligis plirapidigi iujn testojn je 2.8 fojojn. Alia optimumigo igis ĝin multe pli rapide voki importitajn JavaScript-funkciojn de WebAssembly.
- iloj por retaj programistoj: La Media panelo aldonis informojn pri la ludantoj uzataj por reprodukti videon sur la paĝo, inkluzive de evento-datumoj, protokoloj, posedaĵvaloroj kaj kadromalkodaj parametroj (ekzemple, vi povas determini la kaŭzojn de framperdo kaj interagaj problemoj. de JavaScript).
En la kunteksta menuo de la panelo Elementoj, la kapablo krei ekrankopiojn de la elektita elemento estis aldonita (ekzemple, vi povas krei ekrankopion de la enhavtabelo aŭ tabelo).
En la retkonzolo, la problemo averta panelo estis anstataŭigita per regula mesaĝo, kaj problemoj kun triaj Kuketoj estas kaŝitaj defaŭlte en la langeto Problemoj kaj estas ebligitaj per speciala markobutono.
En la langeto Rendering, butono "Malŝalti lokajn tiparojn" estis aldonita, kiu ebligas al vi simuli la foreston de lokaj tiparoj, kaj en la langeto Sensiloj vi nun povas simuli uzantan neaktivecon (por aplikoj uzantaj la Idle Detection API).
La Aplika panelo provizas detalajn informojn pri ĉiu iframo, malfermita fenestro kaj pop-up, inkluzive de informoj pri Cross-Origin-izolado uzante COEP kaj COOP.
- anstataŭigo de efektivigo de protokolo al la opcio evoluigita en la IETF-specifo, anstataŭe de la Google QUIC-opcio.
Krom novigoj kaj korektoj de cimoj, la nova versio forigas . Multaj el la vundeblecoj estis identigitaj kiel rezulto de aŭtomatigita testado per iloj , , , и . Unu vundebleco (CVE-2020-15967, aliro al liberigita memoro en kodo por interagado kun Google Payments) estas markita kiel kritika, t.e. permesas vin preteriri ĉiujn nivelojn de retumila protekto kaj ekzekuti kodon en la sistemo ekster la sablokesto-medio. Kiel parto de la programo por pagi kontantajn rekompencojn pro malkovrado de vundeblecoj por la nuna eldono, Google pagis 27 premiojn kun valoro de $ 71500 (unu $ 15000 premion, tri $ 7500 premiojn, kvin $ 5000 premiojn, du $ 3000 premiojn, unu $ 200 premion kaj du $ 500). La grandeco de 13 rekompencoj ankoraŭ ne estis determinita.
fonto: opennet.ru