Google veebibrauseri väljalase ... Samaaegselt tasuta projekti stabiilne väljalase , mis on Chrome'i aluseks. Chrome'i brauser Google'i logode kasutamine, teadete saatmise süsteemi olemasolu krahhi korral, võimalus nõudmisel alla laadida Flash-moodul, moodulid kaitstud videosisu (DRM) esitamiseks, süsteem värskenduste automaatseks installimiseks ja edastamiseks otsingu ajal . Chrome 87 järgmine väljalase on kavandatud 17. novembrile.
:
- Lisatud kaitse sisendvormide ebaturvalise esitamise eest lehtedel, mis laaditakse HTTPS-i kaudu, kuid saadavad andmeid HTTP kaudu, mis tekitab MITM-i rünnakute ajal andmete pealtkuulamise ja võltsimise ohu. Kaitse taandub kolmele muudatusele:
- Mis tahes segatud sisestusvormide automaatne täitmine on keelatud, sarnaselt sellele, kuidas autentimisvormide automaatne täitmine HTTP kaudu avatud lehtedel on juba mõnda aega keelatud. Kui varem oli keelamise märgiks vormiga lehe avamine HTTPS-i või HTTP kaudu, siis nüüd arvestatakse ka krüptimise kasutamisega andmete saatmisel vormikäsitlejasse. Segatud autentimisvormide paroolihaldur ei ole keelatud, kuna ebaturvalise parooli kasutamise ja paroolide taaskasutamise oht erinevatel saitidel kaalub üles võimaliku liikluse pealtkuulamise ohu.
- Segavormide sisestamist alustades kuvatakse kasutajale hoiatus, et täidetud andmed saadetakse krüpteerimata sidekanali kaudu.
- Kui proovite esitada segavormi, kuvatakse eraldi leht, mis teavitab teid võimalikust krüpteerimata sidekanali kaudu andmete edastamise ohust. Varasemates versioonides kasutati segavormide tähistamiseks aadressiribal tabaluku indikaatorit, kuid see märgistus ei olnud kasutajatele ilmne ega kajastanud tõhusalt kaasnevaid riske.
- Blokeerimine täitmisfailide (krüptimiseta) on täiendatud arhiivide (zip, iso jne) ebaturvalise laadimise blokeerimisega ja hoiatuste kuvamisega ohtliku laadimise eest.
dokumendid (docx, pdf jne). Järgmises versioonis on oodata dokumentide blokeerimist ja hoiatusi piltide, teksti ja meediumifailide jaoks. Blokeerimine on rakendatud, kuna ilma krüptimata failide allalaadimist saab kasutada pahatahtlike toimingute tegemiseks, asendades sisu MITM-i rünnakute ajal. - Vaikimisi kontekstimenüü kuvab suvandi "Kuva alati täielik URL", mille lubamiseks oli varem vaja lehe about:flags seadeid muuta. Täielikku URL-i saab vaadata ka aadressiribal topeltklõpsuga. Meenutagem seda alates Vaikimisi hakati aadressi näitama ilma protokollita ja www alamdomeenita. IN vana käitumise tagastamise säte eemaldati, kuid pärast kasutaja rahulolematust Lisatud on uus eksperimentaalne lipp, mis lisab kontekstimenüüsse võimaluse keelata täieliku URL-i peitmine ja kuvamine mis tahes tingimustel.
- Käivitatud väikese protsendi kasutajate jaoks edasi Vaikimisi sisaldab aadressiriba ainult domeeni, ilma teeelementide ja päringuparameetriteta. Näiteks kuvatakse aadressi „https://example.com/secure-google-sign-in/” asemel „example.com”. Eeldatakse, et pakutav režiim jõuab kõigi kasutajateni ühes järgmistest väljaannetest. Selle käitumise keelamiseks võite kasutada valikut „Näita alati täielikku URL-i” ja kogu URL-i vaatamiseks klõpsake aadressiribal. Muudatuse ajendiks on soov kaitsta kasutajaid andmepüügi eest, mis manipuleerib URL-i parameetritega – ründajad kasutavad ära kasutajate tähelepanematust, et luua mulje, et nad avavad teise saidi ja sooritavad petturlikke toiminguid (kui sellised asendused on tehniliselt pädevale kasutajale ilmsed , siis kogenematud inimesed langevad kergesti sellise lihtsa manipuleerimise alla).
- Jätkati FTP toe eemaldamiseks. Chrome 86-s on FTP vaikimisi keelatud umbes 1% kasutajate jaoks ja Chrome 87-s suurendatakse keelamise ulatust 50% -ni, kuid tugi saab tagasi tuua, kasutades käsku "--enable-ftp" või "- -enable-features=FtpProtocol" lipp. Chrome 88-s keelatakse FTP tugi täielikult.
- Sarnaselt lauaarvutitele mõeldud versiooniga Androidi versioonis kontrollib paroolihaldur salvestatud sisselogimisi ja paroole rikutud kontode andmebaasiga, kuvades hoiatuse, kui tuvastatakse probleeme või üritatakse kasutada triviaalseid paroole. Kontrollitakse andmebaasi, mis hõlmab enam kui 4 miljardit ohustatud kontot, mis ilmusid lekkinud kasutajate andmebaasides. Privaatsuse säilitamiseks Räsi eesliide kontrollitakse kasutaja poolel ning paroole endid ja nende täielikke rässe väljapoole ei edastata.
- Saadaval ka Androidi versioonis nuppu "Ohutuse kontroll" ja täiustatud kaitserežiimi ohtlike saitide eest (täiustatud ohutu sirvimine). Nupp "Ohutuse kontroll" näitab kokkuvõtet võimalikest turvaprobleemidest, nagu rikutud paroolide kasutamine, pahatahtlike saitide kontrollimise olek (turvaline sirvimine), desinstallitud värskenduste olemasolu ja pahatahtlike lisandmoodulite tuvastamine. Täiustatud kaitserežiim aktiveerib täiendavad kontrollid, et kaitsta end andmepüügi, pahatahtliku tegevuse ja muude veebiohtude eest, ning hõlmab ka teie Google'i konto ja Google'i teenuste (Gmail, Drive jne) täiendavat kaitset. Kui tavalises Ohutu sirvimise režiimis tehakse kontrolle kohapeal, kasutades perioodiliselt kliendi süsteemi laaditavat andmebaasi, siis täiustatud turvalise sirvimise puhul saadetakse Google'i poolele kontrollimiseks info lehtede ja allalaadimiste kohta reaalajas, mis võimaldab kiiresti reageerida ohud kohe pärast nende tuvastamist, ootamata kohaliku musta nimekirja värskendamist.
- indikaatorfaili “.well-known/change-password” tugi, millega saidi omanikud saavad määrata parooli muutmise veebivormi aadressi. Kui kasutaja mandaadid on ohus, küsib Chrome nüüd kasutajalt kohe parooli muutmise vormi, mis põhineb selles failis sisalduval teabel.
- Rakendatud on uus "Ohutusnõuanne" hoiatus, mis kuvatakse saitide avamisel, mille domeen on väga sarnane mõne teise saidiga ja heuristika näitab, et võltsimise tõenäosus on suur (näiteks avatakse google.com asemel goog0le.com).
- tagasi-edasi vahemälu tugi, mis pakub kohest navigeerimist nuppude „Tagasi” ja „Edasi” kasutamisel või praeguse saidi varem vaadatud lehtedel navigeerimisel. Vahemälu on lubatud sätte chrome://flags/#back-forward-cache abil.
- Teostatud on CPU ressursikulu optimeerimine akende kaupa
ulatust väljas. Chrome kontrollib, kas brauseriaken kattub teiste akendega, ja takistab pikslite joonistamist kattuvatele aladele. See optimeerimine lubati väikese protsendi kasutajate jaoks versioonides Chrome 84 ja 85 ning on nüüd lubatud kõikjal. Võrreldes eelmiste väljalasetega on lahendatud ka sobimatus virtualiseerimissüsteemidega, mis põhjustas tühjade valgete lehtede ilmumise. - Taustal olevate vahekaartide ressursside kärpimine. Sellised vahelehed ei saa enam tarbida rohkem kui 1% protsessori ressurssidest ja neid saab aktiveerida mitte rohkem kui üks kord minutis. Pärast viieminutilist taustal olemist vahelehed külmutatakse, välja arvatud vahekaardid, mis esitavad multimeediumisisu või salvestavad.
- Millegi kallal töötama HTTP päis User-Agent. Uues versioonis on mehhanismi tugi aktiveeritud kõigile kasutajatele , mis töötati välja User-Agenti asendajana. Uus mehhanism hõlmab valikuliselt andmete tagastamist konkreetsete brauseri ja süsteemi parameetrite (versioon, platvorm jne) kohta alles pärast serveri päringut ning kasutajatele võimaluse anda seda teavet saidiomanikele valikuliselt. User-Agent Client Hints'i kasutamisel ei edastata vaikimisi identifikaatorit ilma selgesõnalise päringuta, mis muudab passiivse tuvastamise võimatuks (vaikimisi näidatakse ainult brauseri nime).
- Värskenduse olemasolu ja selle installimiseks brauseri taaskäivitamise vajaduse märge on muudetud. Värvilise noole asemel kuvatakse nüüd konto avatari väljale "Uuenda".
- Tööd on tehtud selleks, et muuta brauser kasutama kaasavat terminoloogiat. Eeskirjade nimetustes on sõnad "valge nimekiri" ja "must nimekiri" asendatud sõnadega "lubatud loend" ja "blokeeritav nimekiri" (juba lisatud eeskirjad töötavad edasi, kuid need kuvavad hoiatuse, et nende tugi on aegunud). IN и viited "mustale nimekirjale" on asendatud "blokeeritud nimekirjaga".
Kasutajale nähtavad viited mustale ja valgele nimekirjale asendati 2019. aasta alguses. - Lisatud on katseline võimalus salvestatud paroolide redigeerimiseks, mis aktiveeriti lipu „chrome://flags/#edit-passwords-in-settings” abil.
- Teisendati stabiilseks ja avalikuks API-ks , mis võimaldab luua veebirakendusi, mis suhtlevad kohaliku failisüsteemi failidega. Näiteks võib uue API järele olla nõudlus brauseripõhistes integreeritud arenduskeskkondades, teksti-, pildi- ja videoredaktorites. Failide otse kirjutamiseks ja lugemiseks või dialoogide kasutamiseks failide avamiseks ja salvestamiseks ning kataloogide sisus navigeerimiseks küsib rakendus kasutajalt spetsiaalset kinnitust.
- Lisatud CSS-i valija "“, mis kasutab sama heuristikat, mida brauser kasutab fookuse muutmise indikaatori kuvamise üle otsustamisel (klaviatuuri otseteede abil fookuse liigutamisel nupule näidik ilmub, aga hiirega klõpsates mitte). Varem saadaval olnud CSS-i valija ":focus" tõstab alati fookuse esile.
Lisaks on seadetesse lisatud valik “Quick Focus Highlight”, mille lubamisel kuvatakse aktiivsete elementide kõrval täiendava fookuse indikaatorit, mis jääb nähtavaks ka siis, kui CSS-i kaudu on lehel fookuse visuaalse esiletõstmise stiilielemendid keelatud. . - Origin Trials režiimi on lisatud mitu uut API-d (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimist). Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
- madala taseme juurdepääsuks HID-seadmetele (inimliidese seadmed, klaviatuurid, hiired, mängupuldid, puutepaneelid), võimaldades teil JavaScriptis rakendada HID-seadmega töötamise loogikat, et korraldada tööd haruldaste HID-seadmetega ilma konkreetsete draiveriteta. süsteemis.
Esiteks on uue API eesmärk pakkuda tuge mängupuldidele. - , laiendab akna paigutuse API-d, et toetada mitme ekraaniga konfiguratsioone. Erinevalt aknast.screen võimaldab uus API teil manipuleerida akna paigutusega mitme monitoriga süsteemide üldises ekraaniruumis, piirdumata praeguse ekraaniga.
- Meta tag , mille abil sait saab teavitada brauserit vajadusest aktiveerida režiimid energiatarbimise vähendamiseks ja protsessori koormuse optimeerimiseks.
- API teavitada võimalikest isolatsioonireeglite rikkumistest (COEP) ja (COOP), tegelikke piiranguid rakendamata.
- API-s pakuti välja uut tüüpi volikirjad , mis annab täiendava kinnituse sooritatava maksetehingu kohta. Usaldav osapool, näiteks pank, saab luua avaliku võtme, PublicKeyCredential, mida kaupmees saab taotleda täiendava turvalise maksekinnituse saamiseks.
- madala taseme juurdepääsuks HID-seadmetele (inimliidese seadmed, klaviatuurid, hiired, mängupuldid, puutepaneelid), võimaldades teil JavaScriptis rakendada HID-seadmega töötamise loogikat, et korraldada tööd haruldaste HID-seadmetega ilma konkreetsete draiveriteta. süsteemis.
- API-s pliiatsi kalde määramiseks on lisatud kõrgusnurkade (pliiatsi ja ekraani vaheline nurk) ja asimuuti (X-telje ja pliiatsi projektsiooni vaheline nurk ekraanil) tugi, mitte TiltX ja TiltY nurgad (nurgad pliiatsi tasapinna ja ühe telje ning Y- ja Y-telje Z tasandi vahel). Lisatud on ka kõrguse/asimuti ja TiltX/TiltY teisendusfunktsioonid.
- Protokollitöötlejates arvutamisel muudeti URL-ide tühiku kodeeringut – meetod navigator.registerProtocolHandler() asendab nüüd tühikud tähe "+" asemel "%20"-ga, mis ühtlustab käitumist teiste brauserite, näiteks Firefoxiga.
- Lisatud CSS-i pseudoelement "", mis võimaldab teil kohandada plokkidena kirjete numbrite ja punktide värvi, suurust, kuju ja tüüpi Ja .
- Lisatud HTTP päise tugi , dokumentidele juurdepääsu reeglid, mis on sarnased iframe'ide liivakasti eraldamise mehhanismiga, kuid universaalsemad. Näiteks saate Document-Policy kaudu piirata madala kvaliteediga piltide kasutamist, keelata aeglased JavaScripti API-d, konfigureerida iframe'ide, piltide ja skriptide laadimise reegleid, piirata dokumendi üldist suurust ja liiklust, keelata meetodid, mis viivad lehe ümberjoonistamiseni, keelata. funktsiooni .
- Elementi lisatud tugi parameetritele 'inline-grid', 'grid', 'inline-flex' ja 'flex', mis on seatud atribuudi 'display' CSS kaudu.
- Lisatud meetod et asendada kõik emasõlme alamsõlmed teise DOM-sõlmega. Varem võisite sõlmede asendamiseks kasutada kombinatsiooni node.removeChild() ja node.append() või node.innerHTML ja node.append().
- URL-i skeemide vahemik, mida on lubatud registerProtocolHandler() abil alistada. Skeemide loend sisaldab detsentraliseeritud protokolle cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ja ssb, mis võimaldab teil määratleda linke elementidele olenemata ressursile juurdepääsu võimaldavast saidist või lüüsist.
- API-s lisatud tekst/html-vormingu tugi HTML-i kopeerimiseks ja kleepimiseks lõikepuhvrisse (ohtlikud HTML-i konstruktsioonid puhastatakse lõikepuhvrisse kirjutamisel ja lugemisel). Muudatus võimaldab näiteks korraldada vormindatud teksti sisestamist ja kopeerimist koos piltide ja linkidega veebiredaktorites.
- WebRTC-s võimalus ühendada oma andmetöötlejaid, mida kutsutakse WebRTC MediaStreamTracki kodeerimise või dekodeerimise etapis. Näiteks saab seda võimalust kasutada vaheserverite kaudu edastatavate andmete täieliku krüptimise toe lisamiseks.
- JavaScripti mootoris V8 75% Number.prototype.toString rakendamine. Lisatud tühja väärtusega asünkroonsetele klassidele atribuut .name. Meetod Atomics.wake on eemaldatud, mis omal ajal nimetati ümber Atomics.notifyks, et see vastaks spetsifikatsioonile ECMA-262. Häguse testimise tööriistakomplekti kood on avatud .
- Viimases versioonis välja antud WebAssembly Liftoffi algtaseme kompilaator sisaldab võimalust kasutada vektorjuhiseid arvutuste kiirendamiseks. Testide põhjal otsustades võimaldas optimeerimine mõnda testi kiirendada 2.8 korda. Veel üks optimeerimine muutis WebAssemblyst imporditud JavaScripti funktsioonide kutsumise palju kiiremaks.
- tööriistad veebiarendajatele: paneel Media on lisanud teavet lehel video esitamiseks kasutatud mängijate kohta, sealhulgas sündmuste andmed, logid, atribuutide väärtused ja kaadri dekodeerimise parameetrid (näiteks saate määrata kaadri kadumise ja interaktsiooniprobleemide põhjused JavaScriptist).
Paneeli Elements kontekstimenüüsse on lisatud võimalus teha valitud elemendist ekraanipilte (saad näiteks luua ekraanipildi sisukorrast või tabelist).
Veebikonsoolis on probleemihoiatuspaneel asendatud tavalise teatega ning kolmanda osapoole küpsistega seotud probleemid on vaikimisi vahekaardil Probleemid peidetud ja spetsiaalse märkeruuduga lubatud.
Renderdamise vahekaardile on lisatud nupp “Keela kohalikud fondid”, mis võimaldab simuleerida kohalike fontide puudumist ning vahekaardil Andurid saab nüüd simuleerida kasutaja passiivsust (Idle Detection API-t kasutavate rakenduste puhul).
Rakenduste paneel pakub üksikasjalikku teavet iga iframe'i, avatud akna ja hüpikakna kohta, sealhulgas teavet Cross-Origin isoleerimise kohta COEP-i ja COOP-i abil.
- protokolli rakendamise asendamine IETF-i spetsifikatsioonis välja töötatud valikule, mitte Google'i QUIC-i valikule.
Lisaks uuendustele ja veaparandustele kaotab uus versioon . Paljud haavatavused tuvastati tööriistadega automatiseeritud testimise tulemusena , , , и . Üks haavatavus (CVE-2020-15967, juurdepääs koodis vabastatud mälule Google Paymentsiga suhtlemiseks) on märgitud kriitiliseks, s.t. võimaldab mööda minna kõikidest brauseri kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. Osana rahalise preemia maksmise programmi praeguse versiooni haavatavuste avastamise eest maksis Google 27 auhinda väärtuses 71500 15000 dollarit (üks 7500 5000 dollari suurune auhind, kolm 3000 dollarit, viis 200 dollarit, kaks 500 dollarit, üks 13 dollari XNUMX dollarit ja kaks preemiat). XNUMX preemia suurust pole veel kindlaks määratud.
Allikas: opennet.ru