Google web arakatzailea kaleratzea ... Aldi berean doako proiektu baten kaleratze egonkorra , Chrome-ren oinarri gisa balio duena. Chrome arakatzailea Google-ren logotipoak erabiltzea, hutsegitearen kasuan jakinarazpenak bidaltzeko sistemaren presentzia, Flash modulua eskatuz gero deskargatzeko aukera, babestutako bideo-edukia (DRM) erreproduzitzeko moduluak, eguneraketak automatikoki instalatzeko eta bilaketan zehar transmititzeko sistema bat. . Chrome 87-ren hurrengo bertsioa azaroaren 17rako aurreikusita dago.
:
- HTTPS bidez kargatutako baina datuak HTTP bidez bidaltzen dituzten orrialdeetan sarrera-inprimakiak segurtasunez bidaltzearen aurkako babesa gehitu da, eta horrek MITM erasoetan datuak atzemateko eta suplantatzeko mehatxua sortzen du. Babesa hiru aldaketetan datza:
- Sarrera mistoen inprimakien betetze automatikoa desgaitu egin da, HTTP bidez irekitako orrietako autentifikazio inprimakien betetze automatikoa denbora luzez desgaitu den bezala. Lehen desgaitzeko seinale bat HTTPS edo HTTP bidez inprimaki batekin orri bat irekitzen bazen, orain enkriptatzearen erabilera ere kontuan hartzen da inprimakien kudeatzaileari datuak bidaltzean. Autentifikazio-modu mistoen pasahitz-kudeatzailea ez dago desgaituta, pasahitz seguru bat erabiltzeko eta pasahitzak gune ezberdinetan berrerabiltzeko arriskua baino handiagoa baita trafikoa atzemateko balizko arriskua.
- Formulario mistoetan sartzen hastean, abisu bat bistaratzen da erabiltzaileari jakinaraziz osaturiko datuak zifratu gabeko komunikazio kanal baten bidez bidaltzen ari direla.
- Inprimaki misto bat bidaltzen saiatzen zarenean, enkriptatu gabeko komunikazio-kanal batetik datuak transmititzeko arrisku potentziala jakinarazten dizun orrialde bereizi bat bistaratzen da. Aurreko bertsioetan, helbide-barrako giltzarrapo-adierazlea erabiltzen zen forma mistoak adierazteko, baina marka hori ez zen begi-bistakoa erabiltzaileentzat eta ez zituen eraginkortasunez islatzen zituen arriskuak.
- blokeatzea fitxategi exekutagarrien (zifratu gabe) artxiboen karga ez-seguruak blokeatzen ditu (zip, iso, etab.) eta karga ez-seguruetarako abisuak bistaratzen ditu.
dokumentuak (docx, pdf, etab.). Hurrengo bertsioan dokumentuen blokeoa eta irudi, testu eta multimedia fitxategietarako abisuak espero dira. Blokeoa inplementatu da, enkriptatzerik gabeko fitxategiak deskargatuz ekintza gaiztoak egiteko erabil daitekeelako MITM erasoetan edukia ordezkatuz. - Testuinguru-menu lehenetsiak "Erakutsi beti URL osoa" aukera bistaratzen du, aurretik about:flags orrialdeko ezarpenak aldatzea eskatzen zuena gaitzeko. URL osoa ere ikus daiteke helbide-barran klik bikoitza eginez. Gogora dezagun hori hasita Berez, helbidea protokolorik gabe eta www azpidomeinurik gabe erakusten hasi zen. IN portaera zaharra itzultzeko ezarpena ezabatu egin da, baina erabiltzailearekin pozik egon ondoren Bandera esperimental berri bat gehitu da, testuinguru-menuan aukera bat gehitzen duena, edozein baldintzatan URL osoa ezkutatzea eta erakustea desgaitzeko.
- Erabiltzaileen ehuneko txiki baterako abian jarri da on Lehenespenez, helbide-barrak domeinua bakarrik dauka, bide-elementurik eta kontsulta-parametrorik gabe. Adibidez, "https://example.com/secure-google-sign-in/"-ren ordez "example.com" erakutsiko du. Proposatutako modua hurrengo bertsioetako batean erabiltzaile guztiei ekarriko zaiela espero da. Jokabide hori desgaitzeko, "Erakutsi beti URL osoa" aukera erabil dezakezu, eta URL osoa ikusteko, helbide barran klik egin dezakezu. Aldaketaren arrazoia erabiltzaileak URLko parametroak manipulatzen dituen phishingetik babesteko nahia da - erasotzaileek erabiltzaileen arretarik eza aprobetxatzen dute beste gune bat ireki eta iruzurrezko ekintzak egiteko itxura sortzeko (ordezkapen horiek bistakoak badira teknikoki eskumena duen erabiltzailearentzat). , orduan esperientziarik gabeko jendea erraz erortzen da manipulazio sinple hori).
- Berrezarri FTP euskarria kentzeko. Chrome 86-n, FTP lehenespenez desgaituta dago erabiltzaileen % 1 ingururentzat, eta Chrome 87-n desgaitasunaren esparrua % 50era igoko da, baina laguntza berrezarri daiteke "--enable-ftp" edo "-enable" erabiliz. -features=FtpProtocolβ bandera. Chrome 88-n, FTP laguntza guztiz desgaituta egongo da.
- Android-erako bertsioan, mahaigaineko sistemetarako bertsioaren antzera, pasahitzen kudeatzaileak gordetako saio-hasiera eta pasahitzen egiaztapena ezartzen du arriskuan dauden kontuen datu-base baten aurrean, abisua erakutsiz arazoak hautematen badira edo pasahitz hutsalak erabiltzen saiatzen bada. Egiaztapena filtrazioko erabiltzaileen datu-baseetan agertutako arriskuan dauden 4 milioi kontu baino gehiago biltzen dituen datu-base baten aurka egiten da. Pribatutasuna mantentzeko Hash-aurrizkia erabiltzailearen aldetik egiaztatzen da, eta pasahitzak beraiek eta haien hash osoa ez dira kanpotik transmititzen.
- Android bertsioan ere eskuragarri "Segurtasun-egiaztapena" botoia eta gune arriskutsuen aurkako babes-modu hobetua (Nabigazio seguru hobetua). "Segurtasun-egiaztapena" botoiak segurtasun-arazo posibleen laburpena erakusten du, hala nola, arriskuan dauden pasahitzen erabilera, gune gaiztoen egiaztapenaren egoera (Nabigazio segurua), desinstalatutako eguneraketen presentzia eta gehigarri gaiztoen identifikazioa. Babes aurreratuaren moduak egiaztapen gehigarriak aktibatzen ditu phishing-aren, jarduera gaiztoen eta sareko beste mehatxu batzuen aurka babesteko, eta babes gehigarria ere barne hartzen du Google-ko konturako eta Google-ren zerbitzuetarako (Gmail, Drive, etab.). Arakatze seguruaren modu arruntean egiaztapenak lokalean egiten badira bezeroaren sisteman aldian-aldian kargatzen den datu-base bat erabiliz, orduan orrialdeei eta deskargari buruzko denbora errealeko Arakatze seguru hobetua atalean Google-ren aldean egiaztatzeko bidaltzen da, eta horri esker azkar erantzuteko aukera izango duzu. mehatxuak identifikatu eta berehala, tokiko zerrenda beltza eguneratu arte itxaron gabe.
- ".well-known/change-password" adierazle-fitxategirako euskarria, zeinarekin guneen jabeek pasahitza aldatzeko web-inprimaki baten helbidea zehaztu ahal izateko. Erabiltzaile baten kredentzialak arriskuan jartzen badira, Chrome-k berehala eskatuko dio erabiltzaileari pasahitza aldatzeko inprimaki bat fitxategi honetako informazioan oinarrituta.
- "Segurtasun-aholkua" abisu berri bat ezarri da, domeinua beste gune baten oso antzekoa duten guneak irekitzean bistaratzen dena eta heuristikak erakusten du spoofing probabilitate handia dagoela (adibidez, goog0le.com irekitzen da google.com ordez).
- Atzera-aurrera cacherako laguntza, "Atzera" eta "Aurrera" botoiak erabiltzean edo uneko guneko aldez aurretik ikusitako orrialdeetan nabigatzean berehalako nabigazioa eskaintzen duena. Cachea chrome://flags/#back-forward-cache ezarpena erabiliz gaitzen da.
- Windowsek CPU baliabideen kontsumoaren optimizazioa egin da
eremutik kanpo. Chrome-k arakatzailearen leihoa beste leiho batzuekin gainjartzen duten ala ez egiaztatzen du eta gainjartzen diren eremuetan pixelak marraztea eragozten du. Optimizazio hau Chrome 84 eta 85-en erabiltzaileen ehuneko txiki baterako gaitu zen eta orain nonahi gaituta dago. Aurreko bertsioekin alderatuta, orri zuri zuriak agertzea eragiten zuen birtualizazio sistemekin bateraezintasuna ere konpondu da. - Atzeko planoko fitxetarako baliabideen mozketa handitu da. Fitxa horiek ezin dute CPU baliabideen % 1 baino gehiago kontsumitu eta minutuko behin baino gehiagotan aktiba daitezke. Bost minutu atzeko planoan egon ondoren, fitxak izoztuta geratzen dira, multimedia edukia erreproduzitzen edo grabatzen ari diren fitxak izan ezik.
- Lan egin HTTP goiburua Erabiltzaile-Agentea. Bertsio berrian, mekanismoaren euskarria aktibatuta dago erabiltzaile guztientzat , Erabiltzaile-Agentearen ordezko gisa garatua. Mekanismo berriak nabigatzaile eta sistemaren parametro zehatzei buruzko datuak (bertsioa, plataforma, etab.) selektiboa itzultzea dakar zerbitzariak eskatu ondoren soilik eta erabiltzaileei informazio hori gaika emateko guneen jabeei aukera ematea. Erabiltzaile-Agente Bezero-aholkuak erabiltzean, identifikatzailea ez da lehenespenez igortzen eskaera espliziturik gabe, eta horrek identifikazio pasiboa ezinezko egiten du (lehenespenez, arakatzailearen izena bakarrik adierazten da).
- Eguneratze baten presentzia eta hura instalatzeko arakatzailea berrabiarazi beharraren adierazlea aldatu da. Koloretako gezi baten ordez, "Eguneratu" agertzen da orain kontuaren avatar eremuan.
- Nabigatzailea terminologia inklusiboa erabiltzeko lana egin da. Politika-izenetan, "zerrenda zuria" eta "zerrenda beltza" hitzak "baimendutako zerrenda" eta "zerrenda blokeatua"rekin ordezkatu dira (dagoeneko gehitutako gidalerroek funtzionatzen jarraituko dute, baina zaharkituta egoteari buruzko abisua erakutsiko dute). IN ΠΈ "zerrenda beltza"ren erreferentziak "zerrenda blokeatuarekin" ordeztu dira.
Erabiltzaileek "zerrenda beltza" eta "zerrenda zuria" erreferentziak ordezkatu zituzten 2019 hasieran. - Gordetako pasahitzak editatzeko gaitasun esperimental bat gehitu da, "chrome://flags/#edit-passwords-in-settings" marka erabiliz aktibatuta.
- API egonkor eta publikora bihurtu da , fitxategi-sistema lokaleko fitxategiekin elkarreragiten duten web aplikazioak sortzeko aukera ematen duena. Esate baterako, API berria eskaria izan daiteke arakatzailean oinarritutako garapen integratuko inguruneetan, testu, irudi eta bideo editoreetan. Fitxategiak zuzenean idatzi eta irakurri ahal izateko edo fitxategiak ireki eta gordetzeko elkarrizketa-koadroak erabiltzeko, baita direktorioetako edukietan zehar nabigatzeko ere, aplikazioak berrespen berezia eskatzen dio erabiltzaileari.
- Gehitu da CSS hautatzailea "", nabigatzaileak foku aldaketaren adierazlea erakutsi ala ez erabakitzeko erabiltzen dituen heuristiko berberak erabiltzen ditu (teklatuko lasterbideak erabiliz botoi batera fokua mugitzean, adierazlea agertzen da, baina saguarekin klik egitean, ez da). Aurretik erabilgarri dagoen ":focus" CSS hautatzaileak fokua nabarmentzen du beti.
Horrez gain, "Fokatze azkarra nabarmendu" aukera gehitu da ezarpenetan, gaituta dagoenean, foku-adierazle gehigarri bat erakutsiko da elementu aktiboen ondoan, ikusgai geratzen dena, nahiz eta fokua bisualki nabarmentzeko estilo elementuak desgaituta egon orrialdean CSS bidez. . - Hainbat API berri gehitu dira Origin Trials modura (bereizi aktibazioa behar duten ezaugarri esperimentalak). Origin Trial-ek localhost edo 127.0.0.1 deskargatutako aplikazioetatik zehaztutako APIarekin lan egiteko gaitasuna dakar, edo gune jakin baterako denbora mugatu baterako balio duen token berezi bat erregistratu eta jaso ondoren.
- HID gailuetarako maila baxuko sarbidea lortzeko (Giza interfazearen gailuak, teklatuak, saguak, gamepadak, ukipen-panelak), HID gailu batekin lan egiteko logika JavaScript-en ezartzeko aukera ematen dizu, HID gailu arraroekin lana antolatzeko kontrolatzaile zehatzik gabe. sisteman.
Lehenik eta behin, API berria gamepadentzako laguntza eskaintzera zuzenduta dago. - , Window Placement APIa zabaltzen du pantaila anitzeko konfigurazioak onartzeko. window.screen ez bezala, API berriak monitore anitzeko sistemen pantaila-espazio orokorrean leiho baten kokapena manipulatzeko aukera ematen du, uneko pantailara mugatu gabe.
- Meta etiketa , zeinarekin guneak arakatzaileari jakinarazteko moduak aktibatzeko beharraz energia-kontsumoa murrizteko eta CPU karga optimizatzeko.
- API isolamendu-arauen balizko urraketak salatzeko (COEP) eta (COOP), benetako murrizketak aplikatu gabe.
- APIan kredentzial mota berri bat proposatu da , egiten ari den ordainketa-transakzioaren berrespen gehigarria emanez. Konfiantzazko alderdi batek, banku batek, adibidez, gako publiko bat sortzeko gaitasuna du, PublicKeyCredential, dendariak ordainketa seguruaren berrespen osagarria eska dezakeena.
- HID gailuetarako maila baxuko sarbidea lortzeko (Giza interfazearen gailuak, teklatuak, saguak, gamepadak, ukipen-panelak), HID gailu batekin lan egiteko logika JavaScript-en ezartzeko aukera ematen dizu, HID gailu arraroekin lana antolatzeko kontrolatzaile zehatzik gabe. sisteman.
- APIan arkatzaren okertzea zehazteko, euskarria gehitu da altuera-angeluetarako (estiloaren eta pantailaren arteko angelua) eta azimuteko (X ardatzaren eta arkatzaren proiekzioaren arteko angelua pantailan), TiltX-en ordez. TiltY angeluak (ardatz-etik eta ardatzetako baten eta Y eta Y ardatzetako planoaren arteko angeluak). Gainera, altitude/azimuth eta TiltX/TiltY arteko bihurketa funtzioak gehitu dira.
- Protokolo-kudeatzaileetan kalkulatzean espazioaren kodeketa aldatu da URLetan. Navigator.registerProtocolHandler() metodoak orain espazioak ordezkatzen ditu "%20"-rekin "+"-rekin, eta horrek portaera bateratzen du Firefox bezalako beste arakatzaile batzuekin.
- Gehitu da CSS sasi-elementua "", blokeetan zerrendetarako zenbaki eta puntuen kolorea, tamaina, forma eta mota pertsonalizatzeko aukera ematen duena. Eta .
- HTTP goiburuen euskarria gehitu da , dokumentuak atzitzeko arauak, iframeentzako sandbox isolamendu mekanismoaren antzekoak, baina unibertsalagoak. Esate baterako, Dokumentu-Politikaren bidez kalitate baxuko irudien erabilera mugatu dezakezu, JavaScript API motelak desgaitu, iframes, irudiak eta script-ak kargatzeko arauak konfiguratu, dokumentuen tamaina eta trafiko orokorra mugatu, orrialdeak birmarratzera eramaten duten metodoak debekatu, desgaitu. funtzioa .
- Elementuari 'inline-grid', 'grid', 'inline-flex' eta 'flex' parametroetarako laguntza gehitu du 'display' CSS propietatearen bidez.
- Gehitutako metodoa nodo nagusi baten seme-alaba guztiak beste DOM nodo batekin ordezkatzeko. Aurretik, node.removeChild() eta node.append() edo node.innerHTML eta node.append() konbinazio bat erabil dezakezu nodoak ordezkatzeko.
- registerProtocolHandler() erabiliz gainidazteko baimendutako URL eskemen sorta. Eskemen zerrendak cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns eta ssb protokolo deszentralizatuak biltzen ditu, eta horrek elementuetarako estekak definitzeko aukera ematen du baliabiderako sarbidea ematen duen gunea edo atea edozein dela ere.
- APIan arbelaren bidez HTML kopiatu eta itsatsirako testu/html formatuaren laguntza gehitu da (arbelean idaztean eta irakurtzean HTML eraikuntza arriskutsuak garbitzen dira). Aldaketak, adibidez, web editoreetan irudiekin eta estekekin formateatutako testuen txertaketa eta kopia antolatzeko aukera ematen du.
- WebRTC-n WebRTC MediaStreamTrack-en kodetze edo deskodetze faseetan deitutako zure datu-kudeatzaileak konektatzeko gaitasuna. Esate baterako, gaitasun hori bitarteko zerbitzarien bidez transmititzen diren datuen muturreko enkriptatzeko laguntza gehitzeko erabil daiteke.
- JavaScript motorra V8-n % 75 Number.prototype.toString-ren ezarpena. .name propietatea gehitu da balio hutsa duten klase asinkronoetan. Atomics.wake metodoa kendu da, garai batean Atomics.notify izena jarri zitzaion ECMA-262 zehaztapena betetzeko. Fuzzing probak egiteko tresna-kodea irekita .
- Azken bertsioan kaleratutako Liftoff WebAssembly-ren oinarrizko konpilatzaileak bektore-argibideak erabiltzeko gaitasuna biltzen du. kalkuluak bizkortzeko. Probak ikusita, optimizazioak proba batzuk 2.8 aldiz bizkortzea posible egin zuen. Beste optimizazio batek askoz azkarrago egin zuen inportatutako JavaScript funtzioak WebAssembly-tik deitzea.
- web garatzaileentzako tresnak: Multimedia panelak orrialdean bideoa erreproduzitzeko erabiltzen diren erreproduzitzaileei buruzko informazioa gehitu du, gertaeren datuak, erregistroak, propietate-balioak eta fotograma deskodetzeko parametroak barne (adibidez, fotograma galtzearen eta elkarrekintza-arazoen arrazoiak zehaztu ditzakezu. JavaScript-etik).
Elementuak paneleko laster-menuan, hautatutako elementuaren pantaila-argazkiak sortzeko gaitasuna gehitu da (adibidez, aurkibidearen edo taularen pantaila-argazkia sor dezakezu).
Web kontsolan, arazoen abisu-panela ohiko mezu batekin ordezkatu da, eta hirugarrenen cookieekin arazoak lehenespenez ezkutatuta daude Arazoak fitxan eta kontrol-lauki berezi batekin gaituta daude.
Errendatzea fitxan, "Desgaitu tokiko letra-tipoak" botoia gehitu da, eta horri esker, tokiko letra-tipoen eza simulatu dezakezu, eta Sentsoreak fitxan orain erabiltzailearen inaktibitatea simulatu dezakezu (Ibilaren Detekzio APIa erabiltzen duten aplikazioetarako).
Aplikazioen panelak iframe, leiho ireki eta pop-up bakoitzari buruzko informazio zehatza eskaintzen du, COEP eta COOP erabiliz Jatorrien arteko isolamenduari buruzko informazioa barne.
- protokoloaren ezarpena ordezkatzea IETF zehaztapenean garatutako aukerara, Google QUIC aukeraren ordez.
Berrikuntzak eta akatsen konponketez gain, bertsio berriak ezabatzen du . Ahultasun asko tresnekin egindako proba automatizatuen ondorioz identifikatu ziren , , , ΠΈ . Ahultasun bat (CVE-2020-15967, Google Payments-ekin elkarreragiteko kodean askatutako memoriarako sarbidea) kritiko gisa markatu da, hau da. arakatzailearen babes-maila guztiak saihestu eta sisteman kodea exekutatzeko aukera ematen du sandbox ingurunetik kanpo. Uneko bertsiorako ahuleziak aurkitzeagatik diru-sariak ordaintzeko programaren barruan, Google-k 27 $ balio duten 71500 sari ordaindu zituen (15000 $ sari bat, 7500 $ hiru sari, 5000 $ bost sari, 3000 $ bi sari, 200 $ sari bat eta 500 $ bi). 13 sarien tamaina ez da oraindik zehaztu.
Iturria: opennet.ru