محافظت در برابر ارسال ناایمن فرم های ورودی در صفحات بارگیری شده از طریق HTTPS اما ارسال داده ها از طریق HTTP.
مسدود کردن بارگیریهای ناامن (http) فایلهای اجرایی با مسدود کردن بارگیریهای ناامن بایگانیها (زیپ، ایزو و غیره) و نمایش هشدارهایی برای دانلود ناایمن اسناد (docx، pdf و غیره) تکمیل میشود. مسدود کردن سند و هشدار برای تصاویر، متن و فایلهای رسانهای در نسخه بعدی انتظار میرود. مسدودسازی به این دلیل اجرا میشود که از دانلود فایلهای بدون رمزگذاری میتوان برای انجام اقدامات مخرب با جایگزینی محتوا در طول حملات MITM استفاده کرد.
منوی زمینه پیشفرض گزینه «همیشه نشانی اینترنتی کامل نشان داده شود» را نمایش میدهد، که قبلاً برای فعال کردن آن نیاز به تغییر تنظیمات در صفحه about:flags داشت. آدرس کامل را نیز می توان با دوبار کلیک بر روی نوار آدرس مشاهده کرد. یادآوری می کنیم که با شروع کروم 76، به طور پیش فرض آدرس بدون پروتکل و زیر دامنه www نشان داده می شود. در Chrome 79، تنظیم بازگشت به رفتار قدیمی حذف شد، اما پس از نارضایتی کاربر، یک پرچم آزمایشی جدید در Chrome 83 اضافه شد که گزینهای را به منوی زمینه اضافه میکند تا پنهانسازی و نمایش URL کامل در همه شرایط را غیرفعال کند. برای درصد کمی از کاربران، آزمایشی برای نمایش تنها دامنه در نوار آدرس به طور پیش فرض، بدون عناصر مسیر و پارامترهای پرس و جو راه اندازی شده است. به عنوان مثال، به جای "https://example.com/secure-google-sign-in/" "example.com" نشان داده خواهد شد. انتظار می رود حالت پیشنهادی در یکی از نسخه های بعدی برای همه کاربران آورده شود. برای غیرفعال کردن این رفتار می توانید از گزینه Always show full URL استفاده کنید و برای مشاهده کل URL می توانید بر روی نوار آدرس کلیک کنید. انگیزه این تغییر میل به محافظت از کاربران در برابر فیشینگ است که پارامترهای URL را دستکاری می کند - مهاجمان از بی توجهی کاربران برای ایجاد ظاهر باز کردن سایت دیگری و ارتکاب اقدامات متقلبانه سوء استفاده می کنند (در صورتی که چنین جایگزینی برای کاربر دارای مهارت فنی آشکار باشد. ، سپس افراد بی تجربه به راحتی گرفتار چنین دستکاری ساده ای می شوند).
ابتکار عمل برای حذف پشتیبانی FTP تمدید شده است. در کروم 86، FTP به طور پیشفرض برای حدود 1 درصد از کاربران غیرفعال است، و در کروم 87 دامنه غیرفعال کردن به 50 درصد افزایش مییابد، اما پشتیبانی را میتوان با استفاده از «--enable-ftp» یا «- برگرداند. -enable-features=FtpProtocol" پرچم. در کروم 88، پشتیبانی از FTP به طور کامل غیرفعال خواهد شد.
در نسخه اندروید، مشابه نسخه برای سیستمهای دسکتاپ، مدیر رمز عبور لاگینها و گذرواژههای ذخیرهشده را در مقابل پایگاه داده حسابهای در معرض خطر بررسی میکند و در صورت شناسایی مشکلات یا تلاش برای استفاده از رمزهای عبور بیاهمیت، هشداری را نمایش میدهد. این بررسی در برابر پایگاه داده ای انجام می شود که بیش از 4 میلیارد حساب در معرض خطر را پوشش می دهد که در پایگاه داده های کاربران لو رفته ظاهر شده اند. برای حفظ حریم خصوصی، پیشوند هش در سمت کاربر تأیید می شود و خود رمزهای عبور و هش کامل آنها به بیرون منتقل نمی شود.
دکمه «بررسی ایمنی» و حالت حفاظتی پیشرفته در برابر سایتهای خطرناک (مرور ایمن پیشرفته) نیز به نسخه اندروید منتقل شده است. دکمه «بررسی ایمنی» خلاصهای از مسائل امنیتی احتمالی مانند استفاده از رمزهای عبور در معرض خطر، وضعیت بررسی سایتهای مخرب (مرور ایمن)، وجود بهروزرسانیهای حذفشده و شناسایی افزونههای مخرب را نشان میدهد. حالت حفاظت پیشرفته، بررسیهای اضافی را برای محافظت در برابر فیشینگ، فعالیتهای مخرب و سایر تهدیدات در وب فعال میکند و همچنین شامل حفاظت اضافی برای حساب Google و خدمات Google شما (Gmail، Drive، و غیره) میشود. اگر در حالت عادی مرور ایمن، بررسیها به صورت محلی و با استفاده از پایگاه دادهای که به صورت دورهای روی سیستم مشتری بارگذاری میشود، انجام میشود، در مرور ایمن پیشرفته اطلاعات مربوط به صفحات و بارگیریها به صورت بلادرنگ برای تأیید در سمت Google ارسال میشود که به شما امکان میدهد به سرعت به آن پاسخ دهید. تهدیدها بلافاصله پس از شناسایی، بدون اینکه منتظر بمانید تا لیست سیاه محلی به روز شود.
پشتیبانی از فایل نشانگر ".well-known/change-password" اضافه شد که صاحبان سایت می توانند آدرس فرم وب را برای تغییر رمز عبور مشخص کنند. اگر اطلاعات کاربری کاربر به خطر بیفتد، کروم اکنون فوراً بر اساس اطلاعات این فایل، فرم تغییر رمز عبور را از کاربر می خواهد.
یک هشدار جدید "نکته ایمنی" اجرا شده است که هنگام باز کردن سایت هایی که دامنه آنها بسیار شبیه به سایت دیگری است نمایش داده می شود و اکتشافات نشان می دهد که احتمال جعل زیاد وجود دارد (به عنوان مثال، goog0le.com به جای google.com باز می شود).
* پشتیبانی از حافظه پنهان Back-Forward اجرا شده است، و هنگام استفاده از دکمه های "Back" و "Forward" یا هنگام پیمایش در صفحات سایت فعلی که قبلاً مشاهده کرده اید، پیمایش فوری را ارائه می دهد. کش با استفاده از تنظیمات chrome://flags/#back-forward-cache فعال می شود.
بهینه سازی مصرف منابع CPU برای ویندوزهای خارج از محدوده. Chrome بررسی میکند که آیا پنجره مرورگر با پنجرههای دیگر همپوشانی دارد یا خیر و از ترسیم پیکسلها در مناطق همپوشانی جلوگیری میکند. این بهینه سازی برای درصد کمی از کاربران در کروم 84 و 85 فعال شد و اکنون در همه جا فعال است. در مقایسه با نسخه های قبلی، ناسازگاری با سیستم های مجازی سازی که باعث می شد صفحات سفید خالی ظاهر شوند نیز برطرف شده است.
افزایش برش منابع برای برگه های پس زمینه. چنین تب هایی دیگر نمی توانند بیش از 1% از منابع CPU را مصرف کنند و حداکثر یک بار در دقیقه فعال می شوند. پس از پنج دقیقه حضور در پسزمینه، برگهها ثابت میشوند، به استثنای برگههایی که در حال پخش محتوای چندرسانهای یا ضبط هستند.
کار روی یکپارچه سازی هدر HTTP عامل کاربر از سر گرفته شده است. در نسخه جدید، پشتیبانی از مکانیزم User-Agent Client Hints که به عنوان جایگزینی برای User-Agent توسعه یافته است، برای همه کاربران فعال شده است. مکانیسم جدید شامل بازگرداندن انتخابی داده ها در مورد پارامترهای خاص مرورگر و سیستم (نسخه، پلتفرم و غیره) تنها پس از درخواست سرور و دادن فرصت به کاربران برای ارائه انتخابی چنین اطلاعاتی به صاحبان سایت است. هنگام استفاده از User-Agent Client Hints، شناسه به طور پیشفرض بدون درخواست صریح منتقل نمیشود، که شناسایی غیرفعال را غیرممکن میکند (به طور پیشفرض، فقط نام مرورگر نشان داده میشود).
نشانگر وجود به روز رسانی و نیاز به راه اندازی مجدد مرورگر برای نصب آن تغییر کرده است. به جای یک فلش رنگی، "به روز رسانی" اکنون در قسمت آواتار حساب ظاهر می شود.
کار برای تبدیل مرورگر به استفاده از اصطلاحات فراگیر انجام شده است. در نامهای خطمشی، کلمات «فهرست سفید» و «فهرست سیاه» با «لیست مجاز» و «فهرست مسدود» جایگزین شدهاند (خطمشیهایی که قبلاً اضافه شدهاند به کار خود ادامه میدهند، اما هشداری درباره منسوخ شدن نشان میدهند). در نام کد و فایل، ارجاع به "لیست سیاه" با "فهرست مسدود" جایگزین شده است. ارجاعات قابل مشاهده توسط کاربر به "لیست سیاه" و "لیست سفید" در ابتدای سال 2019 جایگزین شدند.
یک قابلیت آزمایشی برای ویرایش گذرواژههای ذخیرهشده اضافه شد که با استفاده از پرچم «chrome://flags/#edit-passwords-in-settings» فعال شد.
Native File System API به دسته APIهای پایدار و در دسترس عموم منتقل شده است و به شما امکان می دهد برنامه های کاربردی وب ایجاد کنید که با فایل ها در سیستم فایل محلی تعامل دارند. به عنوان مثال، API جدید ممکن است در محیط های توسعه یکپارچه مبتنی بر مرورگر، ویرایشگرهای متن، تصویر و ویدئو مورد تقاضا باشد. برای اینکه بتوانید مستقیماً فایلها را بنویسید و بخوانید یا از دیالوگها برای باز کردن و ذخیره فایلها استفاده کنید و همچنین برای پیمایش در محتویات دایرکتوریها، برنامه از کاربر تأییدیه ویژه میخواهد.
یک انتخابگر CSS ":focus-visible" اضافه شده است، که از همان اکتشافی استفاده می کند که مرورگر هنگام تصمیم گیری برای نشان دادن نشانگر تغییر فوکوس استفاده می کند (هنگامی که فوکوس را به دکمه ای با استفاده از میانبرهای صفحه کلید منتقل می کنید، نشانگر ظاهر می شود، اما هنگام کلیک کردن با ماوس ، انجام نمیدهد). انتخابگر CSS که قبلاً موجود بود ":focus" همیشه فوکوس را برجسته می کند. علاوه بر این، گزینه “برجستگی فوکوس سریع” به تنظیمات اضافه شده است، هنگامی که فعال باشد، یک نشانگر فوکوس اضافی در کنار عناصر فعال نشان داده می شود که حتی اگر عناصر سبک برای برجسته سازی بصری فوکوس در صفحه از طریق غیرفعال شود، قابل مشاهده باقی می ماند. CSS.
چندین API جدید به حالت Origin Trials (ویژگی های آزمایشی که نیاز به فعال سازی جداگانه دارند) اضافه شده است. Origin Trial به معنای توانایی کار با API مشخص شده از برنامه های دانلود شده از localhost یا 127.0.0.1 یا پس از ثبت نام و دریافت یک توکن خاص است که برای مدت محدودی برای یک سایت خاص معتبر است.
WebHID API برای دسترسی سطح پایین به دستگاه های HID (دستگاه های رابط انسانی، صفحه کلید، موس، گیم پد، پد لمسی)، که به شما امکان می دهد منطق کار با یک دستگاه HID را در جاوا اسکریپت پیاده سازی کنید تا کار با دستگاه های HID کمیاب را بدون حضور درایورهای خاص در سیستم اول از همه، API جدید با هدف ارائه پشتیبانی از گیم پدها است.
Screen Information API، Windows Placement API را برای پشتیبانی از تنظیمات چند صفحه ای گسترش می دهد. برخلاف window.screen، API جدید به شما این امکان را میدهد که قرار دادن یک پنجره را در فضای کلی صفحه نمایش سیستمهای چند مانیتور، بدون محدود شدن به صفحه فعلی، دستکاری کنید.
متا تگ صرفه جویی در باتری، که با استفاده از آن سایت می تواند مرورگر را در مورد نیاز به فعال سازی حالت ها برای کاهش مصرف انرژی و بهینه سازی بار CPU آگاه کند.
COOP Reporting API برای گزارش نقض احتمالی حالتهای جداسازی Cross-Origin-Embedder-Policy (COEP) و Cross-Origin-Opener-Policy (COOP)، بدون اعمال محدودیتهای واقعی.
Credential Management API نوع جدیدی از اعتبارنامهها به نام PaymentCredential را ارائه میکند که تأییدیه اضافی تراکنش پرداخت را ارائه میکند. یک طرف متکی، مانند بانک، توانایی ایجاد یک کلید عمومی، PublicKeyCredential را دارد که می تواند توسط تاجر برای تایید پرداخت امن اضافی درخواست شود.
PointerEvents API برای تعیین شیب قلم*، به جای زوایای TiltX و TiltY (زوایای بین صفحه از قلم و یکی از محورها و صفحه از محورهای Y و Z). همچنین توابع تبدیل بین ارتفاع/زیموت و TiltX/TiltY اضافه شده است.
رمزگذاری فضا در URL ها هنگام محاسبه آن در کنترل کننده های پروتکل تغییر کرد - روش navigator.registerProtocolHandler() اکنون به جای "+"، فضاها را با "%20" جایگزین می کند، که رفتار را با سایر مرورگرها مانند Firefox یکسان می کند.
یک شبه عنصر "::مارکر" به CSS اضافه شده است که به شما امکان می دهد رنگ، اندازه، شکل و نوع اعداد و نقاط را برای لیست های موجود در بلوک ها سفارشی کنید. و .
پشتیبانی از هدر HTTP Document-Policy اضافه شده است که به شما امکان می دهد قوانینی را برای دسترسی به اسناد تنظیم کنید، مشابه مکانیسم جداسازی جعبه سند برای iframe، اما جهانی تر. به عنوان مثال، از طریق Document-Policy میتوانید استفاده از تصاویر با کیفیت پایین را محدود کنید، APIهای آهسته جاوا اسکریپت را غیرفعال کنید، قوانینی را برای بارگیری iframe، تصاویر و اسکریپتها پیکربندی کنید، اندازه کلی سند و ترافیک را محدود کنید، روشهایی را که منجر به طراحی مجدد صفحه میشوند، ممنوع کنید، و عملکرد Scroll-To-Text را غیرفعال کنید.
المان کردن پشتیبانی از پارامترهای "inline-grid"، "grid"، "inline-flex" و "flex" از طریق ویژگی CSS "display" اضافه شده است.
متد ()ParentNode.replaceChildren اضافه شد تا همه فرزندان یک گره والد را با گره DOM دیگری جایگزین کند. قبلاً میتوانستید از ترکیبی از node.removeChild() و node.append() یا node.innerHTML و node.append() برای جایگزینی گرهها استفاده کنید.
دامنه طرحهای URL که میتوان با استفاده از registerProtocolHandler() نادیده گرفت، گسترش یافته است. لیست طرح ها شامل پروتکل های غیرمتمرکز cabal، dat، did، dweb، ethereum، hyper، ipfs، ipns و ssb است که به شما امکان می دهد بدون توجه به سایت یا دروازه ای که دسترسی به منبع را فراهم می کند، پیوندهایی را به عناصر تعریف کنید.
پشتیبانی از قالب متن/html به API Asynchronous Clipboard برای کپی و چسباندن HTML از طریق کلیپ بورد اضافه شد (ساختارهای خطرناک HTML هنگام نوشتن و خواندن در کلیپ بورد پاک می شوند). به عنوان مثال، این تغییر به شما امکان می دهد تا درج و کپی متن فرمت شده را با تصاویر و پیوندها در ویرایشگرهای وب سازماندهی کنید.
WebRTC قابلیت اتصال کنترلرهای داده خود را که در مراحل رمزگذاری یا رمزگشایی WebRTC MediaStreamTrack نامیده می شود، اضافه کرده است. به عنوان مثال، از این قابلیت می توان برای افزودن پشتیبانی از رمزگذاری سرتاسر داده های ارسال شده از طریق سرورهای میانی استفاده کرد.
در موتور جاوا اسکریپت V8، اجرای Number.prototype.toString تا 75 درصد تسریع شده است. ویژگی .name به کلاس های ناهمزمان با مقدار خالی اضافه شد. روش Atomics.wake حذف شده است که زمانی به Atomics.notify تغییر نام داد تا با مشخصات ECMA-262 مطابقت داشته باشد. کد ابزار تست fuzzing JS-Fuzzer باز است.
کامپایلر پایه Liftoff برای WebAssembly که در آخرین نسخه منتشر شد، شامل توانایی استفاده از دستورالعمل های برداری SIMD برای سرعت بخشیدن به محاسبات است. با قضاوت بر اساس تست ها، بهینه سازی باعث شد تا سرعت برخی از تست ها تا 2.8 برابر افزایش یابد. بهینهسازی دیگر فراخوانی توابع جاوا اسکریپت وارد شده از WebAssembly را بسیار سریعتر کرد.
ابزارهای توسعهدهندگان وب گسترش یافتهاند: پنل رسانه اطلاعاتی درباره پخشکنندههای مورد استفاده برای پخش ویدیو در صفحه اضافه کرده است، از جمله دادههای رویداد، گزارشها، مقادیر ویژگی و پارامترهای رمزگشایی فریم (به عنوان مثال، میتوانید دلایل فریم را تعیین کنید. مشکلات از دست دادن و تعامل از جاوا اسکریپت).
در منوی زمینه پنل عناصر، امکان ایجاد اسکرین شات از عنصر انتخاب شده اضافه شده است (مثلاً می توانید از فهرست مطالب یا جدول اسکرین شات بسازید).
در کنسول وب، پانل هشدار مشکل با یک پیام معمولی جایگزین شده است و مشکلات مربوط به کوکیهای شخص ثالث به طور پیشفرض در تب Issues پنهان شده و با یک چک باکس ویژه فعال میشوند.
در تب Rendering، دکمه «غیرفعال کردن فونتهای محلی» اضافه شده است که به شما امکان میدهد عدم وجود فونتهای محلی را شبیهسازی کنید و در تب Sensors اکنون میتوانید عدم فعالیت کاربر (برای برنامههایی که از Idle Detection API استفاده میکنند) شبیهسازی کنید.
پانل Application اطلاعات دقیقی در مورد هر فریم، پنجره باز، و پاپ آپ، از جمله اطلاعاتی در مورد جداسازی Cross-Origin با استفاده از COEP و COOP ارائه می دهد.
اجرای پروتکل QUIC به جای نسخه Google QUIC با نسخه توسعه یافته در مشخصات IETF جایگزین شده است.
علاوه بر نوآوری ها و رفع اشکال، نسخه جدید 35 آسیب پذیری را از بین می برد. بسیاری از آسیبپذیریها در نتیجه آزمایش خودکار با استفاده از ابزارهای AddressSanitizer، MemorySanitizer، Control Flow Integrity، LibFuzzer و AFL شناسایی شدند. یک آسیبپذیری (CVE-2020-15967، دسترسی به حافظه آزاد شده در کد برای تعامل با Google Payments) بهعنوان بحرانی علامتگذاری شده است، یعنی. به شما این امکان را می دهد که تمام سطوح حفاظت از مرورگر را دور بزنید و کد را در خارج از محیط سندباکس روی سیستم اجرا کنید. به عنوان بخشی از برنامه پرداخت جوایز نقدی برای کشف آسیبپذیریها برای نسخه فعلی، Google 27 جایزه به ارزش 71500 دلار (یک جایزه 15000 دلاری، سه جایزه 7500 دلاری، پنج جایزه 5000 دلاری، دو جایزه 3000 دلاری، یک جایزه 200 دلاری و دو جایزه 500 دلاری) پرداخت کرد. اندازه 13 جایزه هنوز مشخص نشده است.