Ilmus uus Chrome 86 vÀljaanne ja stabiilne Chromium'i vÀljaanne.
Chrome 86 peaeesmÀrgid:
- kaitse ebaturvaliste sisestusvormide saatmise eest lehtedel, mis on laaditud HTTPS-i kaudu, kuid saadavad andmeid HTTP kaudu.
- Turbetegevuse blokeerimine (http) tĂ€iendatakse ebaturvaliste arhiivide (zip, iso jne) laadimise blokeerimisega ning dokumentide (docx, pdf jne) ebaturvalise laadimise korral hoiatuste kuvamisega. JĂ€rgmises vĂ€ljaandes oodatakse dokumentide blokeerimist ja hoiatuste kuvamist piltide, tekstifailide ja multimeediafailide jaoks. Blokeerimine on rakendatud, kuna krĂŒpteerimata failide laadimine vĂ”ib vĂ”imaldada pahatahtlikke tegevusi, asendades sisu MITM-rĂŒnnakute kĂ€igus.
- VaikevĂ€rskendusmenĂŒĂŒs kuvatakse valik âAlati nĂ€ita URL tĂ€ielikultâ, mille aktiveerimine vajas varem sĂ€ttete muutmist lehelt about:flags. TĂ€ielikku URL-i saab samuti vaadata, klikkides aadressiribal kaks korda. Tuletame meelde, et alates Chrome 76-st kuvab aadress vaikimisi ilma protokollita ja all-domeenita www. Chrome 79-s eemaldati seadistus vana kĂ€itumise taastamiseks, kuid pĂ€rast kasutajate rahulolematust lisati Chrome 83-s uus eksperimentaalne lipp, mis lisab kontekstimenĂŒĂŒsse valiku tĂ€ieliku URL-i varjamise ja kuvamise vĂ€ljalĂŒlitamiseks igas olukorras.
- FTP toe eemaldamise algatus on taaselustatud. Chrome'is on versioonis 86 FTP vaikimisi eemaldatud umbes 1% kasutajatest ning versioonis 87 suureneb katkestamise ulatus 50%-ni, kuid toe saab taastada flagi "âenable-ftp" vĂ”i "âenable-features=FtpProtocol" abil. Chrome'is 88 on FTP tugi tĂ€ielikult vĂ€lja lĂŒlitatud.
- Androidi versioonis, sarnaselt lauaarvuti versioonile, on paroolihalduris rakendatud kontroll salvestatud sisselogimiste ja paroolide ĂŒle kompromiteeritud kontode andmebaasi pĂ”hjal, teavitades kasutajat, kui tuvastatakse probleeme vĂ”i pĂŒĂŒtakse kasutada lihtsaid parooli. Kontrolli teostatakse andmebaasi abil, mis katab enam kui 4 miljardit kompromiteeritud kontot, mis on olnud kaasatud kasutajate andmeleketesse. Privaatsuse sĂ€ilitamiseks rakendatakse kontrollimist kasutaja poolel hash-eelseerisega, ilma et kogu parooli ja selle tĂ€ielikke hash'e edastataks.
- Androidi versiooni on samuti lisatud nupp "Turvakontroll" ja tĂ€iendav reĆŸiim ohtlike veebisaitide kaitsmiseks. Nupp "Turvakontroll" nĂ€itab ĂŒlevaadet vĂ”imalikest turvaprobleemidest, nagu nĂ€iteks varastatud paroolide kasutamine, pahatahtlike saitide kontrollimise olek, kehtivate vĂ€rskenduste olemasolu ja pahatahtlike lisandite tuvastamine. TĂ€iendav kaitse reĆŸiim aktiveerib lisakontrolle jahvatamiseks kĂŒberturbeuhkuste, pahavara aktiivsuse ja muude veebiohtude eest ning sisaldab tĂ€iendavat kaitset Google'i kontodele ja teenustele (Gmail, Drive jms). Kui tavalises reĆŸiimis Safe Browsing kontrollid viiakse lĂ€bi lokaalselt, tuginedes kliendi sĂŒsteemi aeg-ajalt vĂ€rskendatavatele andmebaasidele, siis TĂ€iendavas Safe Browsing reĆŸiimis saadetakse teave lehekĂŒlgede ja allalaadimiste kohta reaalajas Google'i poole kontrollimiseks, mis vĂ”imaldab kiiresti reageerida Ă€hvardustele kohe pĂ€rast nende tuvastamist, ootamata kohalikku musta nimekirja.
- Lisatud on tugi failile-indikaatorile ".well-known/change-password", mille abil saidi omanikud saavad nĂ€idata parooli muutmise veebivormi aadressi. Kui kasutaja autentimisandmed on ohustatud, pakub Chrome nĂŒĂŒd kohe kasutajale parooli muutmise vormi, mis on mÀÀratletud selle faili teabe pĂ”hjal.
- Uue "Safety Tip" hoiatuse kuvamine on rakendatud, mis kuvatakse veebisaitide avamisel, mille domeen on vÀga sarnane teise saidiga ning heuristika nÀitab pettuste tÔenÀosust (nÀiteks avatakse goog0le.com google.com asemel).
* Rakendatud on tagasi-edasi vahecache (Back-forward cache), mis tagab kohese ĂŒlemineku «Tagasi» ja «Edasi» nuppude kasutamisel vĂ”i lehitsemisel varem vaadatavate lehekĂŒlgede vahel praegusel saidil. Cache aktiveeritakse seadistuse abil chrome://flags/#back-forward-cache.
- CPU ressursside kasutuse optimeerimine akendega, mis ei ole nĂ€htaval alal. Chrome kontrollib, kas brauseri aken on kaetud teiste akendega, ja vĂ€listab pikslite renderdamise kattuvates piirkondades. Antud optimeerimine oli aktiveeritud vĂ€ikesel protsendil kasutajatest Chrome 84 ja 85 versioonides, nĂŒĂŒd on see aga aktiveeritud kĂ”ikjal. VĂ”rreldes varasemate vĂ€ljaannetega on kĂ”rvaldatud ka ĂŒhilduvusprobleemide sĂŒsteemide virtualiseerimisega, mille tĂ”ttu ilmnesid tĂŒhjad valged lehed.
- Taustal olevate vahelehtede jaoks on ressursikasutuse piiramist tugevdatud. Taustal olevad vahelehed ei saa nĂŒĂŒd tarbida rohkem kui 1% CPU ressurssidest ning nad vĂ”ivad aktiveerida end mitte sagedamini kui ĂŒks kord minutis. PĂ€rast viit minutit taustal viibimist kĂŒlmutatakse vahelehed, vĂ€lja arvatud need vahelehed, kus esitatakse multimeedia sisu vĂ”i salvestatakse.
- HTTP User-Agent pĂ€ise ĂŒhtlustamise töö on taastatud. Uues versioonis on kĂ”ikidele kasutajatele aktiveeritud User-Agent Client Hints mehhanismi tugi, mis arendatakse vĂ€lja User-Agent'i asendamiseks. Uus mehhanism tĂ€hendab, et brauseri ja sĂŒsteemi (versioon, platvorm jne) konkreetsete parameetrite kohta edastatakse andmeid valikuliselt ainult pĂ€rast serveri soovi, vĂ”imaldades kasutajatel anda sellist teavet veebilehtede omanikele valikuliselt. User-Agent Client Hints'i kasutamisel ei edastata identifikaatorit vaikimisi ilma selge taotluseta, mis muudab passiivse identifitseerimise vĂ”imatuks (vaikimisi nĂ€idatakse ainult brauseri nime).
Uuenduse olemasolu ja brauseri taaskĂ€ivitamise vajaduse nĂ€itamine on muudetud. Konto avatarite vĂ€ljal ei ilmu enam vĂ€rviline nool, vaid tekst "Update". - Tööd on tehtud brauseri tĂ”lkimiseks kaasava terminoloogia rakendamiseks. Poliitikate nimedes on sĂ”nad âwhitelistâ ja âblacklistâ asendatud sĂ”nadega âallowlistâ ja âblocklistâ (juba lisatud poliitikad jĂ€tkavad tööd, kuid neid hoiatatakse vananenud staatusest). Koodis ja failide nimedes on âblacklistâ viidatud âblocklistâ vormis. Kasutajale nĂ€htavad viidatud âblacklistâ ja âwhitelistâ asendati juba 2019. aasta alguses.
Lisatud katsetamine salvestatud paroolide redigeerimise funktsiooni, mida aktiveeritakse lipu abil âchrome://flags/#edit-passwords-in-settingsâ. - Stabiilse ja avaliku API Native File System, mis vĂ”imaldab luua veebirakendusi, mis suhtlevad failidega kohalikus failisĂŒsteemis. NĂ€iteks vĂ”ib uus API olla kasutusel brauseris töötavates integreeritud arenduskeskkondades, tekstiredaktorites, piltide ja videote töötlemiseks. Otsese failide kirjutamise ja lugemise, failide avamise ja salvestamise dialoogide kasutamiseks, samuti katalooge navigeerimiseks peab rakendus kĂŒsima kasutajalt erilist kinnitust.
- Lisatud CSS-valija ":focus-visible", mis kasutab sama heuristikat, mida brauserid kasutavad fookuse muutmise indikaatori nĂ€itamisel (kui fookust liigutatakse klaviatuurikombinatsioonidega, kuvatakse indikaator, kuid hiireklĂ”psuga seda ei juhtu). Varasemalt saadaval olnud CSS-valija ":focus" rĂ”hutab alati fookust. Lisaks on seadistustesse lisatud valik "Quick Focus Highlight", mis aktiveerides kuvab aktiivsete elementide kĂ”rval tĂ€iendava fookuse indikaatori, mis pĂŒsib nĂ€htavana isegi siis, kui lehe CSS-is on fookuse visuaalsete esitlemise elementide stiil vĂ€lja lĂŒlitatud.
- Origin Trials reĆŸiimis (katsevĂ”imalused, mis nĂ”uavad eraldi aktiveerimist) on lisatud mitu uut API-d. Origin Trial tĂ€hendab, et antud API-d on vĂ”imalik kasutada rakendustes, mis on laaditud localhost vĂ”i 127.0.0.1 aadressilt, vĂ”i pĂ€rast registreerimist ja spetsiaalse ajaliselt piiratud pÀÀsme saamist konkreetse saidi jaoks.
- WebHID API, mis pakub madala taseme juurdepÀÀsu HID-seadmetele (Human Interface Device, klaviatuurid, hiired, mĂ€ngupuldid, puuteplaadid), vĂ”imaldades rakendada loogikat HID-seadmega töötamiseks JavaScriptis haruldaste HID-seadmete kasutamiseks ilma sĂŒsteemis spetsiifiliste draiveriteta. Uue API peamine eesmĂ€rk on pakkuda toetust mĂ€ngupuldidele.
- API ekraaniteave laiendab API akna paigutuse funktsioone, toetades mitme ekraaniga konfiguratsioone. Erinevalt window.screen'ist vĂ”imaldab uus API manipuleerida akna asukohaga mitme monitoriga sĂŒsteemide jagatud ekraaniruumis, piirdumata praeguse ekraaniga.
- Meta-silt battery-savings, millega sait saab informeerida brauserit energiatarbimise vĂ€hendamise reĆŸiimide aktiveerimise ja CPU koormuse optimeerimise vajadusest.
- API COOP aruandlus, mis teavitab potentsiaalsetest rikkumistest Cross-Origin-Embedder-Policy (COEP) ja Cross-Origin-Opener-Policy (COOP) isolatsioonireĆŸiimide osas, ilma tegelike piiranguteta.
- API Credential Management pakub uut tĂŒĂŒpi volitusi PaymentCredential, mis tagab lisakinnitusprotsessi maksetehingu tegemisel. Kontrollivad pooled, nĂ€iteks pank, saavad genereerida avaliku vĂ”tme PublicKeyCredential, mida mĂŒĂŒja saab taotleda tĂ€iendava turvalise makse kinnitamise jaoks.
- API PointerEvents lisatud toetab stylus' nurkade tĂ€psustamiseks kĂ”rguse (nurk stylus'e ja ekraani vahel) ning azimuti (nurk X telje ja stylus'e ekraanile projitseerimise vahel). Selle asemel, et kasutada nurki TiltX ja TiltY (nurgad stylus'e tasapinna ja ĂŒhe telje ning Y ja Z telje tasapinna vahel). Samuti on lisatud funktsioone kĂ”rguse/azimuti ja TiltX/TiltY vaheliseks teisendamiseks.
- URL-is sisestamise kodeeringut on muudetud, kui see arvutatakse protokolli kĂ€itlejates â meetod navigator.registerProtocolHandler() asendab tĂŒhikud «» asemel «+», mis ĂŒhtlustab kĂ€itumist teiste brauseritega, nagu Firefox.
- CSS-i on lisatud pseudo-element "::marker", mis vĂ”imaldab kohandada vĂ€rvi, suurust, kuju ja numbrite ning punktide tĂŒĂŒpi
- ja
- plokkides.
- Lisatud on HTTP-pealkirja Document-Policy tugi, mis vÔimaldab seada dokumentide juurdepÀÀsunormid, mis on sarnased iframe'i liivakasti isoleerimise mehhanismile, kuid on universaalsemad. NÀiteks saab Document-Policy abil piirata madala kvaliteediga piltide kasutamist, keelduda aeglastest JavaScript API-dest, seadistada iframe'ide, piltide ja skriptide laadimisreegleid, piirata dokumendi ja liikluse kogumahtu, keelata meetodid, mis pÔhjustavad lehe uuesti joonistamist, ning keelata Scroll-To-Text funktsiooni.
- Elemendile <fieldset> on lisatud 'inline-grid', 'grid', 'inline-flex' ja 'flex' parameetrite tugi, mis mÀÀratakse CSS omaduse 'display' kaudu.
- Lisatud on meetod ParentNode.replaceChildren(), et asendada kÔik vanema sÔlme alamvÔrgud teise DOM-sÔlmiga. Varem sai sÔlmede asendamiseks kasutada node.removeChild() ja node.append() vÔi node.innerHTML ja node.append() kombinatsiooni.
- URL-skeemide valikut, mida saab ĂŒle kirjutada registerProtocolHandler() abil, on laiendatud. Scheemide nimekiri sisaldab detsentraliseeritud protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ja ssb, mis vĂ”imaldab mÀÀratleda linke elementidele sĂ”ltumata saidist vĂ”i vĂ€ravast, mis pakub juurdepÀÀsu ressursile.
- Asynchronous Clipboard API-s on lisatud text/html formaadi tugi HTML-i kopeerimiseks ja kleepimiseks lÔikepuhvrisse (lÔikepuhvri kirjutamise ja lugemise ajal puhastatakse ohtlikud HTML konstruktsioonid). See muudatus vÔimaldab nÀiteks veebiredaktorites kleepida ja kopeerida vormindatud teksti koos piltide ja linkidega.
- WebRTC-s on lisatud vĂ”imalus ĂŒhendada oma andme töötlejad, mida kutsutakse esile WebRTC MediaStreamTrack'i kodeerimise vĂ”i dekodeerimise etappidel. NĂ€iteks saab antud vĂ”imalust kasutada andmete lĂ”pp-punkti krĂŒpteerimise toetamiseks, mis edastatakse vaheserverite kaudu.
JavaScripti V8 mootoris on Number.prototype.toString'i rakendust kiirus suurenenud 75%. AsĂŒnkroonsetesse klassidesse on lisatud omadus .name tĂŒhja vÀÀrtusega. Eemaldatud on Atomics.wake meetod, mis kunagi nimetati ĂŒmber Atomics.notify-nimeks, et vastata ECMA-262 spetsifikatsioonile. Avatud on JS-Fuzzer fuzzing testimise tööriista kood. - Eelmiste vĂ€ljaannete Liftoff WebAssembly algkompilaatorisse on lisatud SIMD vektorikĂ€sud, et kiirendada arvutusi. Testide pĂ”hjal on optimeerimine vĂ”imaldanud teatud testide kestvust kiirendada 2,8 korda. Teine optimeerimine on mĂ€rkimisvÀÀrselt kiirendanud WebAssembly imporditud JavaScripti funktsioonide vĂ€ljakutsumist.
- Veebiarendajate tööriistad on laienenud: Media paneeli on lisatud teavet lehekĂŒljel video esitamiseks kasutatavatest mĂ€ngijatest, sealhulgas sĂŒndmuste logid, omaduste vÀÀrtused ja kaadrite dekodeerimise parameetrid (nĂ€iteks saab mÀÀrata kaadrikaotuse ja JavaScripti suhtlemise probleemide pĂ”hjused).
- Elements paneeli konteksti menĂŒĂŒsse on lisatud valitud elemendi ekraanipiltide loomise funktsioon (nĂ€iteks saab luua sisukorra vĂ”i tabeli ekraanipildi).
- Veebikonsolis on probleemide hoiatuspaneel asendatud tavakasutajate teadetega ning kolmandate osapoolte kĂŒpsiste probleemid on vaikimisi peidetud Issues vahekaardile ja nende lubamiseks on vajalik eraldi mĂ€rkeruut.
- Rendering vahelehe all on nĂŒĂŒd nupp âDisable local fontsâ, mis vĂ”imaldab simuleerida kohalike fondide puudumist, ja Sensors vahelehe all on lisatud vĂ”imalus simuleerida kasutaja passiivsust (rakendustes, mis kasutavad Idle Detection API-d).
- Application paneel pakub pÔhjalikku teavet iga iframe, avatud akna ja pop-up'i kohta, sealhulgas teavet Cross-Origin isolatsiooni kohta COEP ja COOP abil.
Algas QUIC protokolli rakenduse asendamine IETF spetsiifikas arendatava variandiga, mitte Google'i QUIC variandiga.
Uue versiooni kĂ€igus on peale uute funktsioonide ja bugide parandamise kĂ”rvaldatud 35 haavatavust. Paljudest haavatavustest saadi teada automaatsete testimistööriistade, nagu AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ja AFL, kaudu. Ăks haavatavus (CVE-2020-15967, vĂ”imekus pÀÀseda ligi vabastatud mĂ€lu alale Google Payments'i integreerimise koodis) on mĂ€rgitud kriitiliseks, mis tĂ€hendab, et see vĂ”imaldab mööda minna kĂ”igist brauseri kaitsekihtidest ja kĂ€ivitada sĂŒsteemis koodi vĂ€ljaspool sandboxes'e keskkonda. Haavatavuste avastamise preemiaprogrammi raames, seoses praeguse versiooniga, on Google maksnud 27 preemiat kogusummas 71 500 USA dollarit (ĂŒks preemia 15 000 dollarit, kolm preemiat 7 500 dollarit, viis preemiat 5 000 dollarit, kaks 3 000 dollarit, ĂŒks 200 dollarit ja kaks preemiat 500 dollarit). 13 preemia suurust pole veel mÀÀratud.
VÔetud Opennet.ru
Allikas: linux.org.ru
