ProHoster > Blogi > internetiuudised > Chrome 86

Chrome 86

Välja on antud Chrome 86 järgmine väljalase ja Chromiumi stabiilne väljalase.

Peamised muudatused Chrome'is 86:

  • kaitse sisendvormide ebaturvalise esitamise eest lehtedel, mis on laaditud HTTPS-i kaudu, kuid saadavad andmeid HTTP kaudu.
  • Täitmisfailide ebaturvaliste allalaadimiste (http) blokeerimist täiendab arhiivide (zip, iso jne) ebaturvaliste allalaadimiste blokeerimine ja dokumentide (docx, pdf jne) ohtliku allalaadimise hoiatuste kuvamine. Järgmises versioonis on oodata dokumentide blokeerimist ja hoiatusi piltide, teksti ja meediumifailide jaoks. Blokeerimine on rakendatud, kuna ilma krüptimata failide allalaadimist saab kasutada pahatahtlike toimingute tegemiseks, asendades sisu MITM-i rünnakute ajal.
  • Vaikimisi kontekstimenüü kuvab suvandi "Kuva alati täielik URL", mille lubamiseks oli varem vaja lehe about:flags seadeid muuta. Täielikku URL-i saab vaadata ka aadressiribal topeltklõpsuga. Tuletame meelde, et alates Chrome 76-st hakati aadressi vaikimisi kuvama ilma protokolli ja www-alamdomeenita. Chrome 79-s eemaldati vana käitumise tagastamise seade, kuid pärast kasutajate rahulolematust lisati Chrome 83-sse uus eksperimentaalne lipp, mis lisab kontekstimenüüsse võimaluse keelata täieliku URL-i peitmine ja kuvamine kõigis tingimustes.
    Väikese protsendi kasutajate jaoks on käivitatud katse, et vaikimisi kuvatakse aadressiribal ainult domeen, ilma teeelementide ja päringuparameetriteta. Näiteks selle asemel, et "https://example.com/secure-google-sign-in/" Kuvatakse "example.com". Eeldatakse, et pakutav režiim jõuab kõigi kasutajateni ühes järgmistest väljaannetest. Selle käitumise keelamiseks võite kasutada valikut „Näita alati täielikku URL-i” ja kogu URL-i vaatamiseks klõpsake aadressiribal. Muudatuse ajendiks on soov kaitsta kasutajaid andmepüügi eest, mis manipuleerib URL-i parameetritega – ründajad kasutavad ära kasutajate tähelepanematust, et luua mulje, et nad avavad teise saidi ja sooritavad petturlikke toiminguid (kui sellised asendused on tehniliselt pädevale kasutajale ilmsed , siis kogenematud inimesed langevad kergesti sellise lihtsa manipuleerimise alla).
  • Initsiatiiv FTP toe eemaldamiseks on uuendatud. Chrome 86-s on FTP vaikimisi keelatud umbes 1% kasutajate jaoks ja Chrome 87-s suurendatakse keelamise ulatust 50% -ni, kuid tugi saab tagasi tuua, kasutades käsku "--enable-ftp" või "- -enable-features=FtpProtocol" lipp. Chrome 88-s keelatakse FTP tugi täielikult.
  • Sarnaselt lauaarvutitele mõeldud versiooniga Androidi versioonis kontrollib paroolihaldur salvestatud sisselogimisi ja paroole rikutud kontode andmebaasiga, kuvades hoiatuse, kui tuvastatakse probleeme või üritatakse kasutada triviaalseid paroole. Kontrollitakse andmebaasi, mis hõlmab enam kui 4 miljardit ohustatud kontot, mis ilmusid lekkinud kasutajate andmebaasides. Privaatsuse säilitamiseks kontrollitakse räsi eesliidet kasutaja poolel ning paroole endid ja nende täielikke räsi väljapoole ei edastata.
  • Androidi versioonile on üle viidud ka nupp "Ohutuse kontroll" ja täiustatud kaitserežiim ohtlike saitide vastu (Enhanced Safe Browsing). Nupp "Ohutuse kontroll" näitab kokkuvõtet võimalikest turvaprobleemidest, nagu rikutud paroolide kasutamine, pahatahtlike saitide kontrollimise olek (turvaline sirvimine), desinstallitud värskenduste olemasolu ja pahatahtlike lisandmoodulite tuvastamine. Täiustatud kaitserežiim aktiveerib täiendavad kontrollid, et kaitsta end andmepüügi, pahatahtliku tegevuse ja muude veebiohtude eest, ning hõlmab ka teie Google'i konto ja Google'i teenuste (Gmail, Drive jne) täiendavat kaitset. Kui tavalises Ohutu sirvimise režiimis tehakse kontrolle kohapeal, kasutades perioodiliselt kliendi süsteemi laaditavat andmebaasi, siis täiustatud turvalise sirvimise puhul saadetakse Google'i poolele kontrollimiseks info lehtede ja allalaadimiste kohta reaalajas, mis võimaldab kiiresti reageerida ohud kohe pärast nende tuvastamist, ootamata kohaliku musta nimekirja värskendamist.
  • Lisatud on indikaatorfaili ".well-known/change-password" tugi, millega saidi omanikud saavad määrata parooli muutmise veebivormi aadressi. Kui kasutaja mandaadid on ohus, küsib Chrome nüüd kasutajalt kohe parooli muutmise vormi, mis põhineb selles failis sisalduval teabel.
  • Rakendatud on uus "Ohutusnõuanne" hoiatus, mis kuvatakse saitide avamisel, mille domeen on väga sarnane mõne teise saidiga ja heuristika näitab, et võltsimise tõenäosus on suur (näiteks avatakse google.com asemel goog0le.com).

    * Rakendatud on tagasi-edasi vahemälu tugi, mis pakub kohest navigeerimist nuppude "Tagasi" ja "Edasi" kasutamisel või praeguse saidi varem vaadatud lehtedel navigeerimisel. Vahemälu on lubatud sätte chrome://flags/#back-forward-cache abil.

  • Protsessori ressursitarbimise optimeerimine rakendusalast väljapoole jäävate akende jaoks. Chrome kontrollib, kas brauseriaken kattub teiste akendega, ja takistab pikslite joonistamist kattuvatele aladele. See optimeerimine lubati väikese protsendi kasutajate jaoks versioonides Chrome 84 ja 85 ning on nüüd lubatud kõikjal. Võrreldes eelmiste väljalasetega on lahendatud ka sobimatus virtualiseerimissüsteemidega, mis põhjustas tühjade valgete lehtede ilmumise.
  • Taustal olevate vahekaartide ressursside kärpimine. Sellised vahelehed ei saa enam tarbida rohkem kui 1% protsessori ressurssidest ja neid saab aktiveerida mitte rohkem kui üks kord minutis. Pärast viieminutilist taustal olemist vahelehed külmutatakse, välja arvatud vahekaardid, mis esitavad multimeediumisisu või salvestavad.
  • Töö User-Agent HTTP päise ühendamisel on jätkunud. Uues versioonis on kõigi kasutajate jaoks aktiveeritud mehhanismi User-Agent Client Hints tugi, mis on välja töötatud User-Agenti asendajana. Uus mehhanism hõlmab valikuliselt andmete tagastamist konkreetsete brauseri ja süsteemi parameetrite (versioon, platvorm jne) kohta alles pärast serveri päringut ning kasutajatele võimaluse anda seda teavet saidiomanikele valikuliselt. User-Agent Client Hints'i kasutamisel ei edastata vaikimisi identifikaatorit ilma selgesõnalise päringuta, mis muudab passiivse tuvastamise võimatuks (vaikimisi näidatakse ainult brauseri nime).
    Värskenduse olemasolu ja selle installimiseks brauseri taaskäivitamise vajaduse märge on muudetud. Värvilise noole asemel kuvatakse nüüd konto avatari väljale "Uuenda".
  • Tööd on tehtud selleks, et muuta brauser kasutama kaasavat terminoloogiat. Eeskirjade nimetustes on sõnad "valge nimekiri" ja "must nimekiri" asendatud sõnadega "lubatud loend" ja "blokeeritav nimekiri" (juba lisatud eeskirjad töötavad edasi, kuid need kuvavad hoiatuse, et nende tugi on aegunud). Koodi- ja failinimedes on viited "mustale nimekirjale" asendatud "blokinimekirjaga". Kasutajale nähtavad viited mustale ja valgele nimekirjale asendati 2019. aasta alguses.
    Lisatud on katseline võimalus salvestatud paroolide redigeerimiseks, mis aktiveeriti lipu „chrome://flags/#edit-passwords-in-settings” abil.
  • Native File System API on üle viidud stabiilse ja avalikult kättesaadava API kategooriasse, mis võimaldab teil luua veebirakendusi, mis suhtlevad kohaliku failisüsteemi failidega. Näiteks võib uue API järele olla nõudlus brauseripõhistes integreeritud arenduskeskkondades, teksti-, pildi- ja videoredaktorites. Failide otse kirjutamiseks ja lugemiseks või dialoogide kasutamiseks failide avamiseks ja salvestamiseks ning kataloogide sisus navigeerimiseks küsib rakendus kasutajalt spetsiaalset kinnitust.
  • Lisatud on CSS-i valija ":focus-visible", mis kasutab sama heuristikat, mida brauser kasutab fookuse muutmise indikaatori kuvamise otsustamisel (klaviatuuri otseteede abil fookuse liigutamisel nupule ilmub indikaator, aga hiirega klõpsates , see ei ole). Varem saadaval olnud CSS-i valija ":focus" tõstab alati fookuse esile. Lisaks on seadetesse lisatud valik “Quick Focus Highlight”, mille lubamisel kuvatakse aktiivsete elementide kõrval täiendava fookuse indikaatorit, mis jääb nähtavaks ka siis, kui CSS-i kaudu on lehel fookuse visuaalse esiletõstmise stiilielemendid keelatud. .
  • Origin Trials režiimi on lisatud mitu uut API-d (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimist). Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
  • WebHID API madala taseme juurdepääsuks HID-seadmetele (inimliidese seadmed, klaviatuurid, hiired, mängupuldid, puuteplaadid), mis võimaldab teil JavaScriptis rakendada HID-seadmega töötamise loogikat, et korraldada tööd haruldaste HID-seadmetega ilma konkreetsed draiverid süsteemis. Esiteks on uue API eesmärk pakkuda tuge mängupuldidele.
  • Ekraani teabe API laiendab akna paigutuse API-d, et toetada mitme ekraani konfiguratsioone. Erinevalt aknast.screen võimaldab uus API teil manipuleerida akna paigutusega mitme monitoriga süsteemide üldises ekraaniruumis, piirdumata praeguse ekraaniga.
  • Metasildi aku säästmine, mille abil sait saab teavitada brauserit vajadusest aktiveerida režiimid energiatarbimise vähendamiseks ja protsessori koormuse optimeerimiseks.
  • COOP-i aruandluse API, et teavitada võimalikest rikkumistest ristpäritolu-manustaja poliitika (COEP) ja Cross-Origin-Opener-Policy (COOP) isoleerimisrežiimide kohta ilma tegelikke piiranguid rakendamata.
  • Credential Management API pakub uut tüüpi mandaate PaymentCredential, mis annab täiendava kinnituse sooritatava maksetehingu kohta. Usaldav osapool, näiteks pank, saab luua avaliku võtme, PublicKeyCredential, mida kaupmees saab taotleda täiendava turvalise maksekinnituse saamiseks.
  • Pliiatsi kalde määramiseks mõeldud PointerEvents API on lisanud tuginurkade (pliiatsi ja ekraani vaheline nurk) ja asimuuti (nurk X-telje ja pliiatsi projektsiooni vahel ekraanil) asemel. TiltX ja TiltY nurgad (nurgad pliiatsi tasapinna ja ühe telje ning Y- ja Z-telje tasandi vahel). Lisatud on ka kõrguse/asimuti ja TiltX/TiltY teisendusfunktsioonid.
  • Protokollitöötlejates arvutamisel muudeti URL-ide tühiku kodeeringut – meetod navigator.registerProtocolHandler() asendab nüüd tühikud tähe "+" asemel "%20"-ga, mis ühtlustab käitumist teiste brauserite, näiteks Firefoxiga.
  • CSS-i on lisatud pseudoelement "::marker", mis võimaldab teil kohandada plokkidena kirjete numbrite ja punktide värvi, suurust, kuju ja tüüpi Ja .
  • Lisatud tugi Document-Policy HTTP päisele, mis võimaldab määrata dokumentidele juurdepääsu reeglid, mis on sarnased iframe'ide liivakasti eraldamise mehhanismile, kuid universaalsemad. Näiteks saate Document-Policy kaudu piirata madala kvaliteediga piltide kasutamist, keelata aeglased JavaScripti API-d, konfigureerida iframe'ide, piltide ja skriptide laadimise reegleid, piirata dokumendi üldist suurust ja liiklust, keelata meetodid, mis viivad lehe ümberjoonistamiseni ja keelake tekstini kerimise funktsioon.
  • Elementi lisatud tugi parameetritele 'inline-grid', 'grid', 'inline-flex' ja 'flex', mis on seatud atribuudi 'display' CSS kaudu.
  • Lisatud meetod ParentNode.replaceChildren(), et asendada kõik emasõlme alamsõlmed teise DOM-sõlmega. Varem võisite sõlmede asendamiseks kasutada kombinatsiooni node.removeChild() ja node.append() või node.innerHTML ja node.append().
  • Laiendatud on URL-i skeemide valikut, mida saab registriprotokolliga registerProtocolHandler() alistada. Skeemide loend sisaldab detsentraliseeritud protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ja ssb, mis võimaldab teil määratleda linke elementidele olenemata ressursile juurdepääsu võimaldavast saidist või lüüsist.
  • Asünkroonse lõikelaua API-le on lisatud teksti/html-vormingu tugi HTML-i kopeerimiseks ja kleepimiseks lõikepuhvrisse (ohtlikud HTML-i konstruktsioonid puhastatakse lõikepuhvrisse kirjutamisel ja lugemisel). Muudatus võimaldab näiteks korraldada vormindatud teksti sisestamist ja kopeerimist koos piltide ja linkidega veebiredaktorites.
  • WebRTC on lisanud võimaluse ühendada oma andmetöötlejad, mida kutsutakse WebRTC MediaStreamTracki kodeerimise või dekodeerimise etapis. Näiteks saab seda võimalust kasutada vaheserverite kaudu edastatavate andmete täieliku krüptimise toe lisamiseks.
    V8 JavaScripti mootoris on Number.prototype.toString rakendamist kiirendatud 75%. Lisatud tühja väärtusega asünkroonsetele klassidele atribuut .name. Meetod Atomics.wake on eemaldatud, mis omal ajal nimetati ümber Atomics.notifyks, et see vastaks spetsifikatsioonile ECMA-262. Hägude testimise tööriista JS-Fuzzer kood on avatud.
  • Viimases versioonis välja antud WebAssembly baasjoone kompilaator Liftoff sisaldab võimalust kasutada arvutuste kiirendamiseks SIMD-vektori juhiseid. Testide põhjal otsustades võimaldas optimeerimine mõnda testi kiirendada 2.8 korda. Veel üks optimeerimine muutis WebAssemblyst imporditud JavaScripti funktsioonide kutsumise palju kiiremaks.
  • Veebiarendajatele mõeldud tööriistu on laiendatud: Meediumipaneelile on lisatud teave lehel video esitamiseks kasutatud mängijate kohta, sealhulgas sündmuste andmed, logid, atribuutide väärtused ja kaadri dekodeerimise parameetrid (näiteks saate määrata kaadri põhjused JavaScripti kadumise ja interaktsiooniprobleemid).
  • Paneeli Elements kontekstimenüüsse on lisatud võimalus teha valitud elemendist ekraanipilte (saad näiteks luua ekraanipildi sisukorrast või tabelist).
  • Veebikonsoolis on probleemihoiatuspaneel asendatud tavalise teatega ning kolmanda osapoole küpsistega seotud probleemid on vaikimisi vahekaardil Probleemid peidetud ja spetsiaalse märkeruuduga lubatud.
  • Renderdamise vahekaardile on lisatud nupp “Keela kohalikud fondid”, mis võimaldab simuleerida kohalike fontide puudumist ning vahekaardil Andurid saab nüüd simuleerida kasutaja passiivsust (Idle Detection API-t kasutavate rakenduste puhul).
  • Rakenduste paneel pakub üksikasjalikku teavet iga iframe'i, avatud akna ja hüpikakna kohta, sealhulgas teavet Cross-Origin isoleerimise kohta COEP-i ja COOP-i abil.

QUIC-protokolli rakendamist on hakatud asendama IETF-i spetsifikatsioonis välja töötatud versiooniga, mitte QUIC-i Google'i versiooniga.
Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 35 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Üks haavatavus (CVE-2020-15967, juurdepääs koodis vabastatud mälule Google Paymentsiga suhtlemiseks) on märgitud kriitiliseks, s.t. võimaldab mööda minna kõikidest brauseri kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. Osana rahalise preemia maksmise programmi praeguse versiooni haavatavuste avastamise eest maksis Google 27 auhinda väärtuses 71500 15000 dollarit (üks 7500 5000 dollari suurune auhind, kolm 3000 dollarit, viis 200 dollarit, kaks 500 dollarit, üks 13 dollari XNUMX dollarit ja kaks preemiat). XNUMX preemia suurust pole veel kindlaks määratud.

Võetud alates Opennet.ru

Allikas: linux.org.ru

Lisa kommentaar