ProHoster > وبلاگ > اخبار اینترنتی > کروم 86

کروم 86

نسخه بعدی کروم 86 و نسخه پایدار کرومیوم منتشر شد.

تغییرات کلیدی در کروم 86:

  • محافظت در برابر ارسال ناایمن فرم های ورودی در صفحات بارگیری شده از طریق HTTPS اما ارسال داده ها از طریق HTTP.
  • مسدود کردن بارگیری‌های ناامن (http) فایل‌های اجرایی با مسدود کردن بارگیری‌های ناامن بایگانی‌ها (زیپ، ایزو و غیره) و نمایش هشدارهایی برای دانلود ناایمن اسناد (docx، pdf و غیره) تکمیل می‌شود. مسدود کردن سند و هشدار برای تصاویر، متن و فایل‌های رسانه‌ای در نسخه بعدی انتظار می‌رود. مسدودسازی به این دلیل اجرا می‌شود که از دانلود فایل‌های بدون رمزگذاری می‌توان برای انجام اقدامات مخرب با جایگزینی محتوا در طول حملات MITM استفاده کرد.
  • منوی زمینه پیش‌فرض گزینه «همیشه نشانی اینترنتی کامل نشان داده شود» را نمایش می‌دهد، که قبلاً برای فعال کردن آن نیاز به تغییر تنظیمات در صفحه about:flags داشت. آدرس کامل را نیز می توان با دوبار کلیک بر روی نوار آدرس مشاهده کرد. یادآوری می کنیم که با شروع کروم 76، به طور پیش فرض آدرس بدون پروتکل و زیر دامنه www نشان داده می شود. در Chrome 79، تنظیم بازگشت به رفتار قدیمی حذف شد، اما پس از نارضایتی کاربر، یک پرچم آزمایشی جدید در Chrome 83 اضافه شد که گزینه‌ای را به منوی زمینه اضافه می‌کند تا پنهان‌سازی و نمایش URL کامل در همه شرایط را غیرفعال کند.
    برای درصد کمی از کاربران، آزمایشی برای نمایش تنها دامنه در نوار آدرس به طور پیش فرض، بدون عناصر مسیر و پارامترهای پرس و جو راه اندازی شده است. به عنوان مثال، به جای "https://example.com/secure-google-sign-in/" "example.com" نشان داده خواهد شد. انتظار می رود حالت پیشنهادی در یکی از نسخه های بعدی برای همه کاربران آورده شود. برای غیرفعال کردن این رفتار می توانید از گزینه Always show full URL استفاده کنید و برای مشاهده کل URL می توانید بر روی نوار آدرس کلیک کنید. انگیزه این تغییر میل به محافظت از کاربران در برابر فیشینگ است که پارامترهای URL را دستکاری می کند - مهاجمان از بی توجهی کاربران برای ایجاد ظاهر باز کردن سایت دیگری و ارتکاب اقدامات متقلبانه سوء استفاده می کنند (در صورتی که چنین جایگزینی برای کاربر دارای مهارت فنی آشکار باشد. ، سپس افراد بی تجربه به راحتی گرفتار چنین دستکاری ساده ای می شوند).
  • ابتکار عمل برای حذف پشتیبانی FTP تمدید شده است. در کروم 86، FTP به طور پیش‌فرض برای حدود 1 درصد از کاربران غیرفعال است، و در کروم 87 دامنه غیرفعال کردن به 50 درصد افزایش می‌یابد، اما پشتیبانی را می‌توان با استفاده از «--enable-ftp» یا «- برگرداند. -enable-features=FtpProtocol" پرچم. در کروم 88، ​​پشتیبانی از FTP به طور کامل غیرفعال خواهد شد.
  • در نسخه اندروید، مشابه نسخه برای سیستم‌های دسکتاپ، مدیر رمز عبور لاگین‌ها و گذرواژه‌های ذخیره‌شده را در مقابل پایگاه داده حساب‌های در معرض خطر بررسی می‌کند و در صورت شناسایی مشکلات یا تلاش برای استفاده از رمزهای عبور بی‌اهمیت، هشداری را نمایش می‌دهد. این بررسی در برابر پایگاه داده ای انجام می شود که بیش از 4 میلیارد حساب در معرض خطر را پوشش می دهد که در پایگاه داده های کاربران لو رفته ظاهر شده اند. برای حفظ حریم خصوصی، پیشوند هش در سمت کاربر تأیید می شود و خود رمزهای عبور و هش کامل آنها به بیرون منتقل نمی شود.
  • دکمه «بررسی ایمنی» و حالت حفاظتی پیشرفته در برابر سایت‌های خطرناک (مرور ایمن پیشرفته) نیز به نسخه اندروید منتقل شده است. دکمه «بررسی ایمنی» خلاصه‌ای از مسائل امنیتی احتمالی مانند استفاده از رمزهای عبور در معرض خطر، وضعیت بررسی سایت‌های مخرب (مرور ایمن)، وجود به‌روزرسانی‌های حذف‌شده و شناسایی افزونه‌های مخرب را نشان می‌دهد. حالت حفاظت پیشرفته، بررسی‌های اضافی را برای محافظت در برابر فیشینگ، فعالیت‌های مخرب و سایر تهدیدات در وب فعال می‌کند و همچنین شامل حفاظت اضافی برای حساب Google و خدمات Google شما (Gmail، Drive، و غیره) می‌شود. اگر در حالت عادی مرور ایمن، بررسی‌ها به صورت محلی و با استفاده از پایگاه داده‌ای که به صورت دوره‌ای روی سیستم مشتری بارگذاری می‌شود، انجام می‌شود، در مرور ایمن پیشرفته اطلاعات مربوط به صفحات و بارگیری‌ها به صورت بلادرنگ برای تأیید در سمت Google ارسال می‌شود که به شما امکان می‌دهد به سرعت به آن پاسخ دهید. تهدیدها بلافاصله پس از شناسایی، بدون اینکه منتظر بمانید تا لیست سیاه محلی به روز شود.
  • پشتیبانی از فایل نشانگر ".well-known/change-password" اضافه شد که صاحبان سایت می توانند آدرس فرم وب را برای تغییر رمز عبور مشخص کنند. اگر اطلاعات کاربری کاربر به خطر بیفتد، کروم اکنون فوراً بر اساس اطلاعات این فایل، فرم تغییر رمز عبور را از کاربر می خواهد.
  • یک هشدار جدید "نکته ایمنی" اجرا شده است که هنگام باز کردن سایت هایی که دامنه آنها بسیار شبیه به سایت دیگری است نمایش داده می شود و اکتشافات نشان می دهد که احتمال جعل زیاد وجود دارد (به عنوان مثال، goog0le.com به جای google.com باز می شود).

    * پشتیبانی از حافظه پنهان Back-Forward اجرا شده است، و هنگام استفاده از دکمه های "Back" و "Forward" یا هنگام پیمایش در صفحات سایت فعلی که قبلاً مشاهده کرده اید، پیمایش فوری را ارائه می دهد. کش با استفاده از تنظیمات chrome://flags/#back-forward-cache فعال می شود.

  • بهینه سازی مصرف منابع CPU برای ویندوزهای خارج از محدوده. Chrome بررسی می‌کند که آیا پنجره مرورگر با پنجره‌های دیگر همپوشانی دارد یا خیر و از ترسیم پیکسل‌ها در مناطق همپوشانی جلوگیری می‌کند. این بهینه سازی برای درصد کمی از کاربران در کروم 84 و 85 فعال شد و اکنون در همه جا فعال است. در مقایسه با نسخه های قبلی، ناسازگاری با سیستم های مجازی سازی که باعث می شد صفحات سفید خالی ظاهر شوند نیز برطرف شده است.
  • افزایش برش منابع برای برگه های پس زمینه. چنین تب هایی دیگر نمی توانند بیش از 1% از منابع CPU را مصرف کنند و حداکثر یک بار در دقیقه فعال می شوند. پس از پنج دقیقه حضور در پس‌زمینه، برگه‌ها ثابت می‌شوند، به استثنای برگه‌هایی که در حال پخش محتوای چندرسانه‌ای یا ضبط هستند.
  • کار روی یکپارچه سازی هدر HTTP عامل کاربر از سر گرفته شده است. در نسخه جدید، پشتیبانی از مکانیزم User-Agent Client Hints که به عنوان جایگزینی برای User-Agent توسعه یافته است، برای همه کاربران فعال شده است. مکانیسم جدید شامل بازگرداندن انتخابی داده ها در مورد پارامترهای خاص مرورگر و سیستم (نسخه، پلتفرم و غیره) تنها پس از درخواست سرور و دادن فرصت به کاربران برای ارائه انتخابی چنین اطلاعاتی به صاحبان سایت است. هنگام استفاده از User-Agent Client Hints، شناسه به طور پیش‌فرض بدون درخواست صریح منتقل نمی‌شود، که شناسایی غیرفعال را غیرممکن می‌کند (به طور پیش‌فرض، فقط نام مرورگر نشان داده می‌شود).
    نشانگر وجود به روز رسانی و نیاز به راه اندازی مجدد مرورگر برای نصب آن تغییر کرده است. به جای یک فلش رنگی، "به روز رسانی" اکنون در قسمت آواتار حساب ظاهر می شود.
  • کار برای تبدیل مرورگر به استفاده از اصطلاحات فراگیر انجام شده است. در نام‌های خط‌مشی، کلمات «فهرست سفید» و «فهرست سیاه» با «لیست مجاز» و «فهرست مسدود» جایگزین شده‌اند (خط‌مشی‌هایی که قبلاً اضافه شده‌اند به کار خود ادامه می‌دهند، اما هشداری درباره منسوخ شدن نشان می‌دهند). در نام کد و فایل، ارجاع به "لیست سیاه" با "فهرست مسدود" جایگزین شده است. ارجاعات قابل مشاهده توسط کاربر به "لیست سیاه" و "لیست سفید" در ابتدای سال 2019 جایگزین شدند.
    یک قابلیت آزمایشی برای ویرایش گذرواژه‌های ذخیره‌شده اضافه شد که با استفاده از پرچم «chrome://flags/#edit-passwords-in-settings» فعال شد.
  • Native File System API به دسته APIهای پایدار و در دسترس عموم منتقل شده است و به شما امکان می دهد برنامه های کاربردی وب ایجاد کنید که با فایل ها در سیستم فایل محلی تعامل دارند. به عنوان مثال، API جدید ممکن است در محیط های توسعه یکپارچه مبتنی بر مرورگر، ویرایشگرهای متن، تصویر و ویدئو مورد تقاضا باشد. برای اینکه بتوانید مستقیماً فایل‌ها را بنویسید و بخوانید یا از دیالوگ‌ها برای باز کردن و ذخیره فایل‌ها استفاده کنید و همچنین برای پیمایش در محتویات دایرکتوری‌ها، برنامه از کاربر تأییدیه ویژه می‌خواهد.
  • یک انتخابگر CSS ":focus-visible" اضافه شده است، که از همان اکتشافی استفاده می کند که مرورگر هنگام تصمیم گیری برای نشان دادن نشانگر تغییر فوکوس استفاده می کند (هنگامی که فوکوس را به دکمه ای با استفاده از میانبرهای صفحه کلید منتقل می کنید، نشانگر ظاهر می شود، اما هنگام کلیک کردن با ماوس ، انجام نمیدهد). انتخابگر CSS که قبلاً موجود بود ":focus" همیشه فوکوس را برجسته می کند. علاوه بر این، گزینه “برجستگی فوکوس سریع” به تنظیمات اضافه شده است، هنگامی که فعال باشد، یک نشانگر فوکوس اضافی در کنار عناصر فعال نشان داده می شود که حتی اگر عناصر سبک برای برجسته سازی بصری فوکوس در صفحه از طریق غیرفعال شود، قابل مشاهده باقی می ماند. CSS.
  • چندین API جدید به حالت Origin Trials (ویژگی های آزمایشی که نیاز به فعال سازی جداگانه دارند) اضافه شده است. Origin Trial به معنای توانایی کار با API مشخص شده از برنامه های دانلود شده از localhost یا 127.0.0.1 یا پس از ثبت نام و دریافت یک توکن خاص است که برای مدت محدودی برای یک سایت خاص معتبر است.
  • WebHID API برای دسترسی سطح پایین به دستگاه های HID (دستگاه های رابط انسانی، صفحه کلید، موس، گیم پد، پد لمسی)، که به شما امکان می دهد منطق کار با یک دستگاه HID را در جاوا اسکریپت پیاده سازی کنید تا کار با دستگاه های HID کمیاب را بدون حضور درایورهای خاص در سیستم اول از همه، API جدید با هدف ارائه پشتیبانی از گیم پدها است.
  • Screen Information API، Windows Placement API را برای پشتیبانی از تنظیمات چند صفحه ای گسترش می دهد. برخلاف window.screen، API جدید به شما این امکان را می‌دهد که قرار دادن یک پنجره را در فضای کلی صفحه نمایش سیستم‌های چند مانیتور، بدون محدود شدن به صفحه فعلی، دستکاری کنید.
  • متا تگ صرفه جویی در باتری، که با استفاده از آن سایت می تواند مرورگر را در مورد نیاز به فعال سازی حالت ها برای کاهش مصرف انرژی و بهینه سازی بار CPU آگاه کند.
  • COOP Reporting API برای گزارش نقض احتمالی حالت‌های جداسازی Cross-Origin-Embedder-Policy (COEP) و Cross-Origin-Opener-Policy (COOP)، بدون اعمال محدودیت‌های واقعی.
  • Credential Management API نوع جدیدی از اعتبارنامه‌ها به نام PaymentCredential را ارائه می‌کند که تأییدیه اضافی تراکنش پرداخت را ارائه می‌کند. یک طرف متکی، مانند بانک، توانایی ایجاد یک کلید عمومی، PublicKeyCredential را دارد که می تواند توسط تاجر برای تایید پرداخت امن اضافی درخواست شود.
  • PointerEvents API برای تعیین شیب قلم*، به جای زوایای TiltX و TiltY (زوایای بین صفحه از قلم و یکی از محورها و صفحه از محورهای Y و Z). همچنین توابع تبدیل بین ارتفاع/زیموت و TiltX/TiltY اضافه شده است.
  • رمزگذاری فضا در URL ها هنگام محاسبه آن در کنترل کننده های پروتکل تغییر کرد - روش navigator.registerProtocolHandler() اکنون به جای "+"، فضاها را با "%20" جایگزین می کند، که رفتار را با سایر مرورگرها مانند Firefox یکسان می کند.
  • یک شبه عنصر "::مارکر" به CSS اضافه شده است که به شما امکان می دهد رنگ، اندازه، شکل و نوع اعداد و نقاط را برای لیست های موجود در بلوک ها سفارشی کنید. و .
  • پشتیبانی از هدر HTTP Document-Policy اضافه شده است که به شما امکان می دهد قوانینی را برای دسترسی به اسناد تنظیم کنید، مشابه مکانیسم جداسازی جعبه سند برای iframe، اما جهانی تر. به عنوان مثال، از طریق Document-Policy می‌توانید استفاده از تصاویر با کیفیت پایین را محدود کنید، APIهای آهسته جاوا اسکریپت را غیرفعال کنید، قوانینی را برای بارگیری iframe، تصاویر و اسکریپت‌ها پیکربندی کنید، اندازه کلی سند و ترافیک را محدود کنید، روش‌هایی را که منجر به طراحی مجدد صفحه می‌شوند، ممنوع کنید، و عملکرد Scroll-To-Text را غیرفعال کنید.
  • المان کردن پشتیبانی از پارامترهای "inline-grid"، "grid"، "inline-flex" و "flex" از طریق ویژگی CSS "display" اضافه شده است.
  • متد ()ParentNode.replaceChildren اضافه شد تا همه فرزندان یک گره والد را با گره DOM دیگری جایگزین کند. قبلاً می‌توانستید از ترکیبی از node.removeChild() و node.append() یا node.innerHTML و node.append() برای جایگزینی گره‌ها استفاده کنید.
  • دامنه طرح‌های URL که می‌توان با استفاده از registerProtocolHandler() نادیده گرفت، گسترش یافته است. لیست طرح ها شامل پروتکل های غیرمتمرکز cabal، dat، did، dweb، ethereum، hyper، ipfs، ipns و ssb است که به شما امکان می دهد بدون توجه به سایت یا دروازه ای که دسترسی به منبع را فراهم می کند، پیوندهایی را به عناصر تعریف کنید.
  • پشتیبانی از قالب متن/html به API Asynchronous Clipboard برای کپی و چسباندن HTML از طریق کلیپ بورد اضافه شد (ساختارهای خطرناک HTML هنگام نوشتن و خواندن در کلیپ بورد پاک می شوند). به عنوان مثال، این تغییر به شما امکان می دهد تا درج و کپی متن فرمت شده را با تصاویر و پیوندها در ویرایشگرهای وب سازماندهی کنید.
  • WebRTC قابلیت اتصال کنترلرهای داده خود را که در مراحل رمزگذاری یا رمزگشایی WebRTC MediaStreamTrack نامیده می شود، اضافه کرده است. به عنوان مثال، از این قابلیت می توان برای افزودن پشتیبانی از رمزگذاری سرتاسر داده های ارسال شده از طریق سرورهای میانی استفاده کرد.
    در موتور جاوا اسکریپت V8، اجرای Number.prototype.toString تا 75 درصد تسریع شده است. ویژگی .name به کلاس های ناهمزمان با مقدار خالی اضافه شد. روش Atomics.wake حذف شده است که زمانی به Atomics.notify تغییر نام داد تا با مشخصات ECMA-262 مطابقت داشته باشد. کد ابزار تست fuzzing JS-Fuzzer باز است.
  • کامپایلر پایه Liftoff برای WebAssembly که در آخرین نسخه منتشر شد، شامل توانایی استفاده از دستورالعمل های برداری SIMD برای سرعت بخشیدن به محاسبات است. با قضاوت بر اساس تست ها، بهینه سازی باعث شد تا سرعت برخی از تست ها تا 2.8 برابر افزایش یابد. بهینه‌سازی دیگر فراخوانی توابع جاوا اسکریپت وارد شده از WebAssembly را بسیار سریع‌تر کرد.
  • ابزارهای توسعه‌دهندگان وب گسترش یافته‌اند: پنل رسانه اطلاعاتی درباره پخش‌کننده‌های مورد استفاده برای پخش ویدیو در صفحه اضافه کرده است، از جمله داده‌های رویداد، گزارش‌ها، مقادیر ویژگی و پارامترهای رمزگشایی فریم (به عنوان مثال، می‌توانید دلایل فریم را تعیین کنید. مشکلات از دست دادن و تعامل از جاوا اسکریپت).
  • در منوی زمینه پنل عناصر، امکان ایجاد اسکرین شات از عنصر انتخاب شده اضافه شده است (مثلاً می توانید از فهرست مطالب یا جدول اسکرین شات بسازید).
  • در کنسول وب، پانل هشدار مشکل با یک پیام معمولی جایگزین شده است و مشکلات مربوط به کوکی‌های شخص ثالث به طور پیش‌فرض در تب Issues پنهان شده و با یک چک باکس ویژه فعال می‌شوند.
  • در تب Rendering، دکمه «غیرفعال کردن فونت‌های محلی» اضافه شده است که به شما امکان می‌دهد عدم وجود فونت‌های محلی را شبیه‌سازی کنید و در تب Sensors اکنون می‌توانید عدم فعالیت کاربر (برای برنامه‌هایی که از Idle Detection API استفاده می‌کنند) شبیه‌سازی کنید.
  • پانل Application اطلاعات دقیقی در مورد هر فریم، پنجره باز، و پاپ آپ، از جمله اطلاعاتی در مورد جداسازی Cross-Origin با استفاده از COEP و COOP ارائه می دهد.

اجرای پروتکل QUIC به جای نسخه Google QUIC با نسخه توسعه یافته در مشخصات IETF جایگزین شده است.
علاوه بر نوآوری ها و رفع اشکال، نسخه جدید 35 آسیب پذیری را از بین می برد. بسیاری از آسیب‌پذیری‌ها در نتیجه آزمایش خودکار با استفاده از ابزارهای AddressSanitizer، MemorySanitizer، Control Flow Integrity، LibFuzzer و AFL شناسایی شدند. یک آسیب‌پذیری (CVE-2020-15967، دسترسی به حافظه آزاد شده در کد برای تعامل با Google Payments) به‌عنوان بحرانی علامت‌گذاری شده است، یعنی. به شما این امکان را می دهد که تمام سطوح حفاظت از مرورگر را دور بزنید و کد را در خارج از محیط سندباکس روی سیستم اجرا کنید. به عنوان بخشی از برنامه پرداخت جوایز نقدی برای کشف آسیب‌پذیری‌ها برای نسخه فعلی، Google 27 جایزه به ارزش 71500 دلار (یک جایزه 15000 دلاری، سه جایزه 7500 دلاری، پنج جایزه 5000 دلاری، دو جایزه 3000 دلاری، یک جایزه 200 دلاری و دو جایزه 500 دلاری) پرداخت کرد. اندازه 13 جایزه هنوز مشخص نشده است.

گرفته شده از Opennet.ru

منبع: linux.org.ru

اضافه کردن نظر