ProHoster > Blog > Interneteko albisteak > Chrome 86

Chrome 86

Chrome 86-ren hurrengo bertsioa eta Chromium-en bertsio egonkorra kaleratu dira.

Chrome 86-n funtsezko aldaketak:

  • HTTPS bidez kargatutako baina datuak HTTP bidez bidaltzen dituzten orrialdeetan sarrera-inprimakiak bidalketa arriskutsuetatik babestea.
  • Fitxategi exekutagarrien deskarga arriskutsuak (http) blokeatzea, artxiboen deskarga arriskutsuak blokeatzearekin osatzen da (zip, iso, etab.) eta dokumentuak deskargatzeko abisuak (docx, pdf, etab.). Hurrengo bertsioan dokumentuen blokeoa eta irudi, testu eta multimedia fitxategietarako abisuak espero dira. Blokeoa inplementatu da, enkriptatzerik gabeko fitxategiak deskargatuz ekintza gaiztoak egiteko erabil daitekeelako MITM erasoetan edukia ordezkatuz.
  • Testuinguru-menu lehenetsiak "Erakutsi beti URL osoa" aukera bistaratzen du, aurretik about:flags orrialdeko ezarpenak aldatzea eskatzen zuena gaitzeko. URL osoa ere ikus daiteke helbide-barran klik bikoitza eginez. Gogora dezagun Chrome 76tik hasita, lehenespenez helbidea protokolorik eta www azpidomeinurik gabe erakusten hasi zela. Chrome 79-n, portaera zaharra itzultzeko ezarpena kendu zen, baina erabiltzailea ezegotearen ondoren, marka esperimental berri bat gehitu zen Chrome 83-n, testuinguru-menuan aukera bat gehitzen duena ezkutatzea eta URL osoa baldintza guztietan erakustea desgaitzeko.
    Erabiltzaileen ehuneko txiki baterako, esperimentu bat jarri da martxan helbide-barran domeinua soilik bistaratzeko modu lehenetsian, bide-elementurik eta kontsulta-parametrorik gabe. Adibidez, "https://example.com/secure-google-sign-in/" "example.com" erakutsiko da. Proposatutako modua hurrengo bertsioetako batean erabiltzaile guztiei ekarriko zaiela espero da. Jokabide hori desgaitzeko, "Erakutsi beti URL osoa" aukera erabil dezakezu, eta URL osoa ikusteko, helbide barran klik egin dezakezu. Aldaketaren arrazoia erabiltzaileak URLko parametroak manipulatzen dituen phishingetik babesteko nahia da - erasotzaileek erabiltzaileen arretarik eza aprobetxatzen dute beste gune bat ireki eta iruzurrezko ekintzak egiteko itxura sortzeko (ordezkapen horiek bistakoak badira teknikoki eskumena duen erabiltzailearentzat). , orduan esperientziarik gabeko jendea erraz erortzen da manipulazio sinple hori).
  • FTP euskarria kentzeko ekimena berritu da. Chrome 86-n, FTP lehenespenez desgaituta dago erabiltzaileen % 1 ingururentzat, eta Chrome 87-n desgaitasunaren esparrua % 50era igoko da, baina laguntza berreskuratu daiteke "--enable-ftp" edo "-" erabiliz. -enable-features=FtpProtocol" bandera. Chrome 88-n, FTP laguntza guztiz desgaituta egongo da.
  • Android-erako bertsioan, mahaigaineko sistemetarako bertsioaren antzera, pasahitzen kudeatzaileak gordetako saio-hasiera eta pasahitzen egiaztapena ezartzen du arriskuan dauden kontuen datu-base baten aurrean, abisua erakutsiz arazoak hautematen badira edo pasahitz hutsalak erabiltzen saiatzen bada. Egiaztapena filtrazioko erabiltzaileen datu-baseetan agertutako arriskuan dauden 4 milioi kontu baino gehiago biltzen dituen datu-base baten aurka egiten da. Pribatutasuna mantentzeko, hash-aurrizkia erabiltzailearen aldean egiaztatzen da, eta pasahitzak beraiek eta haien hash osoa ez dira kanpotik transmititzen.
  • "Segurtasun-egiaztapena" botoia eta gune arriskutsuen aurkako babes-modu hobetua (Nabigazio seguru hobetua) Android bertsiora ere transferitu dira. "Segurtasun-egiaztapena" botoiak segurtasun-arazo posibleen laburpena erakusten du, hala nola, arriskuan dauden pasahitzen erabilera, gune gaiztoen egiaztapenaren egoera (Nabigazio segurua), desinstalatutako eguneratzeen presentzia eta gehigarri gaiztoen identifikazioa. Babes aurreratuaren moduak egiaztapen gehigarriak aktibatzen ditu phishing-aren, jarduera gaiztoen eta sareko beste mehatxu batzuen aurka babesteko, eta babes gehigarria ere barne hartzen du Google-ko konturako eta Google-ren zerbitzuetarako (Gmail, Drive, etab.). Arakatze seguruaren modu arruntean egiaztapenak lokalean egiten badira bezeroaren sisteman aldian-aldian kargatzen den datu-base bat erabiliz, orduan orrialdeei eta deskargari buruzko denbora errealeko Arakatze seguru hobetua atalean Google-ren aldean egiaztatzeko bidaltzen da, eta horri esker azkar erantzuteko aukera izango duzu. mehatxuak identifikatu eta berehala, tokiko zerrenda beltza eguneratu arte itxaron gabe.
  • ".well-known/change-password" adierazle-fitxategirako euskarria gehitu da, eta horrekin guneen jabeek pasahitza aldatzeko web-inprimakiaren helbidea zehaztu dezakete. Erabiltzaile baten kredentzialak arriskuan jartzen badira, Chrome-k berehala eskatuko dio erabiltzaileari pasahitza aldatzeko inprimaki bat fitxategi honetako informazioan oinarrituta.
  • "Segurtasun-aholkua" abisu berri bat ezarri da, domeinua beste gune baten oso antzekoa duten guneak irekitzean bistaratzen dena eta heuristikak erakusten du spoofing probabilitate handia dagoela (adibidez, goog0le.com irekitzen da google.com ordez).

    * Atzera Aurrera cacherako euskarria ezarri da, berehalako nabigazioa eskainiz "Atzera" eta "Aurrera" botoiak erabiltzean edo uneko guneko aldez aurretik ikusitako orrialdeetan nabigatzean. Cachea chrome://flags/#back-forward-cache ezarpena erabiliz gaitzen da.

  • Eremutik kanpoko leihoetarako CPU baliabideen kontsumoa optimizatzea. Chrome-k arakatzailearen leihoa beste leiho batzuekin gainjartzen duten ala ez egiaztatzen du eta gainjartzen diren eremuetan pixelak marraztea eragozten du. Optimizazio hau Chrome 84 eta 85-en erabiltzaileen ehuneko txiki baterako gaitu zen eta orain nonahi gaituta dago. Aurreko bertsioekin alderatuta, orri zuri zuriak agertzea eragiten zuen birtualizazio sistemekin bateraezintasuna ere konpondu da.
  • Atzeko planoko fitxetarako baliabideen mozketa handitu da. Fitxa horiek ezin dute CPU baliabideen % 1 baino gehiago kontsumitu eta minutuko behin baino gehiagotan aktiba daitezke. Bost minutu atzeko planoan egon ondoren, fitxak izoztuta geratzen dira, multimedia edukia erreproduzitzen edo grabatzen ari diren fitxak izan ezik.
  • Erabiltzaile-agente HTTP goiburua bateratzeko lanak berriro hasi dira. Bertsio berrian, User-Agent Client Hints mekanismoaren euskarria, Erabiltzaile-Agentearen ordezko gisa garatua, erabiltzaile guztientzat aktibatzen da. Mekanismo berriak arakatzaile eta sistemaren parametro zehatzei buruzko datuak (bertsioa, plataforma, etab.) selektiboa itzultzea dakar zerbitzariak eskatu ondoren soilik eta erabiltzaileei informazio hori aukera ematen die guneen jabeei. Erabiltzaile-Agente Bezeroaren aholkuak erabiltzean, identifikatzailea ez da lehenespenez igortzen eskaera espliziturik gabe, eta horrek identifikazio pasiboa ezinezko egiten du (lehenespenez, arakatzailearen izena bakarrik adierazten da).
    Eguneratze baten presentzia eta hura instalatzeko arakatzailea berrabiarazi beharraren adierazlea aldatu da. Koloretako gezi baten ordez, "Eguneratu" agertzen da orain kontuaren avatar eremuan.
  • Nabigatzailea terminologia inklusiboa erabiltzeko lana egin da. Politika-izenetan, "zerrenda zuria" eta "zerrenda beltza" hitzak "baimendutako zerrenda" eta "zerrenda blokeatua"rekin ordezkatu dira (dagoeneko gehitutako gidalerroek funtzionatzen jarraituko dute, baina zaharkituta egoteari buruzko abisua erakutsiko dute). Kode eta fitxategi-izenetan, "zerrenda beltza"-ren erreferentziak "bloke-zerrenda"-rekin ordezkatu dira. Erabiltzaileek "zerrenda beltza" eta "zerrenda zuria" erreferentziak ordezkatu zituzten 2019 hasieran.
    Gordetako pasahitzak editatzeko gaitasun esperimental bat gehitu da, "chrome://flags/#edit-passwords-in-settings" marka erabiliz aktibatuta.
  • Native File System API egonkor eta publikoki eskuragarri dagoen API kategoriara transferitu da, fitxategi-sistema lokaleko fitxategiekin elkarreragiten duten web aplikazioak sortzeko aukera emanez. Esate baterako, API berria eskaria izan daiteke arakatzailean oinarritutako garapen integratuko inguruneetan, testu, irudi eta bideo editoreetan. Fitxategiak zuzenean idatzi eta irakurri ahal izateko edo fitxategiak ireki eta gordetzeko elkarrizketa-koadroak erabiltzeko, baita direktorioetako edukietan zehar nabigatzeko ere, aplikazioak berrespen berezia eskatzen dio erabiltzaileari.
  • ":focus-visible" CSS hautatzailea gehitu da, nabigatzaileak foku aldaketaren adierazlea erakutsi ala ez erabakitzeko erabiltzen dituen heuristiko berdinak erabiltzen dituena (fokua teklatuko lasterbideak erabiliz botoi batera mugitzean, adierazlea agertzen da, baina saguarekin klik egitean. , ez du). Aurretik erabilgarri dagoen ":focus" CSS hautatzaileak fokua nabarmentzen du beti. Horrez gain, "Fokatze bizkorreko Nabarmendu" aukera gehitu da ezarpenetan, gaituta dagoenean, foku-adierazle gehigarri bat erakutsiko da elementu aktiboen ondoan, ikusgai geratzen dena, nahiz eta fokua bisualki nabarmentzeko estilo elementuak desgaituta egon orrialdean. CSS.
  • Hainbat API berri gehitu dira Origin Trials modura (bereizi aktibazioa behar duten ezaugarri esperimentalak). Origin Trial-ek localhost edo 127.0.0.1 deskargatutako aplikazioetatik zehaztutako APIarekin lan egiteko gaitasuna dakar, edo gune jakin baterako denbora mugatu baterako balio duen token berezi bat erregistratu eta jaso ondoren.
  • WebHID APIa HID gailuetarako maila baxuko sarbidea izateko (Giza interfazearen gailuak, teklatuak, saguak, gamepadak, ukipen-pantailak), JavaScript-en HID gailu batekin lan egiteko logika ezartzeko aukera ematen duena, HID gailu arraroekin lana antolatzeko. sistemako gidari zehatzak. Lehenik eta behin, API berria gamepadentzako laguntza eskaintzera zuzenduta dago.
  • Screen Information APIa, Window Placement APIa zabaltzen du pantaila anitzeko konfigurazioak onartzeko. window.screen ez bezala, API berriak monitore anitzeko sistemen pantaila-espazio orokorrean leiho baten kokapena manipulatzeko aukera ematen du, uneko pantailara mugatu gabe.
  • Meta-etiketa bateria-aurreztea, zeinekin guneak arakatzaileari jakinarazteko moduak aktibatzeko beharraz energia-kontsumoa murrizteko eta CPU karga optimizatzeko.
  • COOP Reporting APIa, Jatorrien arteko txertatze-politika (COEP) eta jatorri arteko irekitzaile-politika (COOP) isolamendu moduen balizko urraketak salatzeko, benetako murrizketak aplikatu gabe.
  • Kredentzialak kudeatzeko APIak kredentzial mota berri bat eskaintzen du, PaymentCredential, egiten ari den ordainketa-transakzioaren berrespen gehigarria ematen duena. Konfiantzazko alderdi batek, banku batek, adibidez, gako publiko bat sortzeko gaitasuna du, PublicKeyCredential, dendariak ordainketa seguruaren berrespen osagarria eska dezakeena.
  • PunterEvents API-ak arkatzaren okertzea zehazteko* laguntza gehitu du altuera-angeluetarako (estiloaren eta pantailaren arteko angelua) eta azimuteko (X ardatzaren eta arkatzaren proiekzioaren arteko angelua pantailan), ordez. TiltX eta TiltY angeluak (planoaren eta ardatzetako baten eta Y eta Z ardatzen planoaren arteko angeluak). Altitud/azimuth eta TiltX/TiltY arteko bihurketa funtzioak ere gehitu ditu.
  • Protokolo-kudeatzaileetan kalkulatzean espazioaren kodeketa aldatu da URLetan. Navigator.registerProtocolHandler() metodoak orain espazioak ordezkatzen ditu "%20"-rekin "+"-rekin, eta horrek portaera bateratzen du Firefox bezalako beste arakatzaile batzuekin.
  • "::marker" sasi-elementu bat gehitu da CSS-ra, blokeetan zerrendak egiteko kolorea, tamaina, forma eta zenbaki eta puntu motak pertsonalizatzeko aukera emanez. Eta .
  • Dokumentu-politika HTTP goibururako euskarria gehitu da, dokumentuak atzitzeko arauak ezartzeko aukera ematen duena, iframeentzako sandbox isolamendu mekanismoaren antzekoa, baina unibertsalagoa. Adibidez, Dokumentu-politikaren bidez kalitate baxuko irudien erabilera mugatu dezakezu, JavaScript API motelak desgaitu, iframes, irudiak eta script-ak kargatzeko arauak konfiguratu, dokumentuen tamaina eta trafiko orokorra mugatu, orrialdeak birmarratzera eramaten dituzten metodoak debekatu eta desgaitu Scroll-To-Text funtzioa.
  • Elementuari 'inline-grid', 'grid', 'inline-flex' eta 'flex' parametroetarako laguntza gehitu du 'display' CSS propietatearen bidez.
  • ParentNode.replaceChildren() metodoa gehitu da nodo nagusi baten seme-alaba guztiak beste DOM nodo batekin ordezkatzeko. Aurretik, node.removeChild() eta node.append() edo node.innerHTML eta node.append() konbinazio bat erabil dezakezu nodoak ordezkatzeko.
  • registerProtocolHandler() erabiliz gainidatzi daitezkeen URL eskemen sorta zabaldu da. Eskemen zerrendak cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns eta ssb protokolo deszentralizatuak biltzen ditu, eta horrek elementuetarako estekak definitzeko aukera ematen du baliabiderako sarbidea ematen duen gunea edo atea edozein dela ere.
  • Testu/html formatuaren euskarria gehitu da Asynchronous Clipboard APIan HTML arbelaren bidez kopiatu eta itsatsi ahal izateko (arbelean idaztean eta irakurtzean garbitzen dira HTML eraikuntza arriskutsuak). Aldaketak, adibidez, web editoreetan irudiekin eta estekekin formateatutako testuen txertaketa eta kopia antolatzeko aukera ematen du.
  • WebRTC-k bere datu-kudeatzaileak konektatzeko gaitasuna gehitu du, WebRTC MediaStreamTrack-en kodetze edo deskodetze faseetan deitutakoa. Esaterako, gaitasun hori bitarteko zerbitzarien bidez transmititzen diren datuen muturreko enkriptatzeari euskarria gehitzeko erabil daiteke.
    V8 JavaScript motorean, Number.prototype.toString inplementazioa %75 azkartu da. .name propietatea gehitu da balio hutsa duten klase asinkronoetan. Atomics.wake metodoa kendu da, garai batean Atomics.notify izena jarri zitzaion ECMA-262 zehaztapena betetzeko. Fuzzing probak egiteko JS-Fuzzer tresnaren kodea irekita dago.
  • Azken bertsioan kaleratutako WebAssembly-ren Liftoff oinarrizko konpilatzaileak SIMD bektore-argibideak erabiltzeko gaitasuna barne hartzen du kalkuluak bizkortzeko. Probak ikusita, optimizazioak proba batzuk 2.8 aldiz bizkortzea posible egin zuen. Beste optimizazio batek askoz azkarrago egin zuen inportatutako JavaScript funtzioak WebAssembly-tik deitzea.
  • Web garatzaileentzako tresnak zabaldu dira: Media panelak orrialdean bideoa erreproduzitzeko erabiltzen diren erreproduzitzaileei buruzko informazioa gehitu du, gertaeren datuak, erregistroak, propietate balioak eta fotograma deskodetzeko parametroak barne (adibidez, fotogramaren kausak zehaztu ditzakezu. JavaScript-en galera eta elkarrekintza arazoak).
  • Elementuak paneleko laster-menuan, hautatutako elementuaren pantaila-argazkiak sortzeko gaitasuna gehitu da (adibidez, aurkibidearen edo taularen pantaila-argazkia sor dezakezu).
  • Web kontsolan, arazoen abisu-panela ohiko mezu batekin ordezkatu da, eta hirugarrenen cookieekin arazoak lehenespenez ezkutatuta daude Arazoak fitxan eta kontrol-lauki berezi batekin gaituta daude.
  • Errendatzea fitxan, "Desgaitu tokiko letra-tipoak" botoia gehitu da, eta horri esker, tokiko letra-tipoen eza simulatu dezakezu, eta Sentsoreak fitxan orain erabiltzailearen inaktibitatea simulatu dezakezu (Ibilaren Detekzio APIa erabiltzen duten aplikazioetarako).
  • Aplikazioen panelak iframe, leiho ireki eta pop-up bakoitzari buruzko informazio zehatza eskaintzen du, COEP eta COOP erabiliz Jatorrien arteko isolamenduari buruzko informazioa barne.

QUIC protokoloaren ezarpena IETF zehaztapenean garatutako bertsioarekin ordezkatzen hasi da, QUIC-en Google bertsioaren ordez.
Berrikuntzez eta akatsen konponketez gain, bertsio berriak 35 ahultasun ezabatzen ditu. Ahultasun asko AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer eta AFL tresnak erabiliz proba automatizatuen ondorioz identifikatu ziren. Ahultasun bat (CVE-2020-15967, Google Payments-ekin elkarreragiteko kodean askatutako memoriarako sarbidea) kritiko gisa markatu da, hau da. arakatzailearen babes-maila guztiak saihestu eta sisteman kodea exekutatzeko aukera ematen du sandbox ingurunetik kanpo. Uneko bertsiorako ahuleziak aurkitzeagatik diru-sariak ordaintzeko programaren barruan, Google-k 27 $ balio duten 71500 sari ordaindu zituen (15000 $ sari bat, 7500 $ hiru sari, 5000 $ bost sari, 3000 $ bi sari, 200 $ sari bat eta 500 $ bi). 13 sarien tamaina ez da oraindik zehaztu.

Handik hartua Opennet.ru

Iturria: linux.org.ru

Gehitu iruzkin berria