گوگل ارایه شده انتشار مرورگر وب کروم 86... همزمان در دسترس انتشار پایدار یک پروژه رایگان کروم، که به عنوان پایه کروم عمل می کند. مرورگر کروم متفاوت استفاده از لوگوهای گوگل، وجود سیستمی برای ارسال اعلان ها در صورت خرابی، امکان دانلود ماژول فلش در صورت درخواست، ماژول های پخش محتوای ویدئویی محافظت شده (DRM)، سیستمی برای نصب خودکار به روز رسانی ها و انتقال در هنگام جستجو پارامترهای RLZ. انتشار بعدی کروم 87 برای 17 نوامبر برنامه ریزی شده است.
محافظت در برابر ارسال ناامن فرم های ورودی در صفحات بارگیری شده از طریق HTTPS اما ارسال داده ها از طریق HTTP اضافه شده است، که در طول حملات MITM خطر رهگیری و جعل داده را ایجاد می کند. حفاظت به سه تغییر کاهش می یابد:
پر کردن خودکار هر فرم ورودی ترکیبی غیرفعال شده است، مشابه اینکه پر کردن خودکار فرمهای احراز هویت در صفحات باز شده از طریق HTTP برای مدتی غیرفعال شده است. اگر قبلاً علامتی برای غیرفعال کردن، صفحه ای را با فرم از طریق HTTPS یا HTTP باز می کرد، اکنون استفاده از رمزگذاری هنگام ارسال داده ها به کنترل کننده فرم نیز در نظر گرفته می شود. مدیر رمز عبور برای اشکال مختلط احراز هویت غیرفعال نیست، زیرا خطر استفاده از رمز عبور ناامن و استفاده مجدد از گذرواژهها در سایتهای مختلف بیشتر از خطر رهگیری ترافیک احتمالی است.
هنگام شروع ورود به فرم های ترکیبی، هشداری نمایش داده می شود که به کاربر اطلاع می دهد که داده های تکمیل شده از طریق یک کانال ارتباطی رمزگذاری نشده ارسال می شود.
هنگامی که سعی می کنید یک فرم ترکیبی ارسال کنید، صفحه جداگانه ای نمایش داده می شود که خطر احتمالی انتقال داده ها را از طریق یک کانال ارتباطی رمزگذاری نشده به شما اطلاع می دهد. در نسخههای قبلی، از نشانگر قفل در نوار آدرس برای نشان دادن فرمهای ترکیبی استفاده میشد، اما این علامتگذاری برای کاربران آشکار نبود و به طور مؤثری خطرات موجود را منعکس نمیکرد.
مسدود کردن چکمه ناامن (بدون رمزگذاری) فایل های اجرایی با مسدود کردن بارگذاری ناامن بایگانی ها (زیپ، ایزو و غیره) و نمایش هشدار برای بارگذاری ناامن تکمیل می شود.
اسناد (docx، pdf و غیره). مسدود کردن سند و هشدار برای تصاویر، متن و فایل های رسانه ای در نسخه بعدی انتظار می رود. مسدودسازی به این دلیل اجرا میشود که از دانلود فایلهای بدون رمزگذاری میتوان برای انجام اقدامات مخرب با جایگزینی محتوا در طول حملات MITM استفاده کرد.
منوی زمینه پیشفرض گزینه «همیشه نشانی اینترنتی کامل نشان داده شود» را نمایش میدهد، که قبلاً برای فعال کردن آن نیاز به تغییر تنظیمات در صفحه about:flags داشت. آدرس کامل را نیز می توان با دوبار کلیک بر روی نوار آدرس مشاهده کرد. بیایید به یاد بیاوریم که با شروع از کروم 76 به طور پیش فرض، آدرس بدون پروتکل و زیر دامنه www شروع به نشان دادن کرد. که در کروم 79 تنظیم بازگشت به رفتار قدیمی حذف شد، اما پس از نارضایتی کاربر کروم 83 یک پرچم آزمایشی جدید اضافه شده است که گزینه ای را به منوی زمینه برای غیرفعال کردن پنهان کردن و نمایش URL کامل در هر شرایطی اضافه می کند.
برای درصد کمی از کاربران راه اندازی شد یک آزمایش بر نمایش دادن به طور پیش فرض، نوار آدرس فقط شامل دامنه، بدون عناصر مسیر و پارامترهای پرس و جو است. به عنوان مثال، به جای "https://example.com/secure-google-sign-in/"، "example.com" را نشان می دهد. انتظار می رود حالت پیشنهادی در یکی از نسخه های بعدی برای همه کاربران آورده شود. برای غیرفعال کردن این رفتار می توانید از گزینه Always show full URL استفاده کنید و برای مشاهده کل URL می توانید بر روی نوار آدرس کلیک کنید. انگیزه این تغییر میل به محافظت از کاربران در برابر فیشینگ است که پارامترهای URL را دستکاری می کند - مهاجمان از بی توجهی کاربران برای ایجاد ظاهر باز کردن سایت دیگری و ارتکاب اقدامات متقلبانه سوء استفاده می کنند (در صورتی که چنین جایگزینی برای کاربر دارای مهارت فنی آشکار باشد. ، سپس افراد بی تجربه به راحتی گرفتار چنین دستکاری ساده ای می شوند).
از سر گرفته شد ابتکار عمل برای حذف پشتیبانی از FTP در کروم 86، FTP به طور پیشفرض برای حدود 1 درصد از کاربران غیرفعال است، و در کروم 87 دامنه غیرفعال کردن به 50 درصد افزایش مییابد، اما پشتیبانی را میتوان با استفاده از «--enable-ftp» یا «- برگرداند. -enable-features=FtpProtocol" پرچم. در کروم 88، پشتیبانی از FTP به طور کامل غیرفعال خواهد شد.
در نسخه اندروید، مشابه نسخه برای سیستمهای دسکتاپ، مدیر رمز عبور لاگینها و گذرواژههای ذخیرهشده را در مقابل پایگاه داده حسابهای در معرض خطر بررسی میکند و در صورت شناسایی مشکلات یا تلاش برای استفاده از رمزهای عبور بیاهمیت، هشداری را نمایش میدهد. این بررسی در برابر پایگاه داده ای انجام می شود که بیش از 4 میلیارد حساب در معرض خطر را پوشش می دهد که در پایگاه داده های کاربران لو رفته ظاهر شده اند. برای حفظ حریم خصوصی کاربردی پیشوند هش در سمت کاربر تأیید می شود و خود رمز عبور و هش کامل آنها به صورت خارجی منتقل نمی شود.
همچنین در نسخه اندروید موجود است منتقل شده است دکمه "بررسی ایمنی" و حالت حفاظت پیشرفته در برابر سایت های خطرناک (مرور ایمن پیشرفته). دکمه «بررسی ایمنی» خلاصهای از مسائل امنیتی احتمالی مانند استفاده از رمزهای عبور در معرض خطر، وضعیت بررسی سایتهای مخرب (مرور ایمن)، وجود بهروزرسانیهای حذفشده و شناسایی افزونههای مخرب را نشان میدهد. حالت حفاظت پیشرفته، بررسیهای اضافی را برای محافظت در برابر فیشینگ، فعالیتهای مخرب و سایر تهدیدات در وب فعال میکند و همچنین شامل حفاظت اضافی برای حساب Google و خدمات Google شما (Gmail، Drive، و غیره) میشود. اگر در حالت عادی مرور ایمن، بررسیها به صورت محلی و با استفاده از پایگاه دادهای که به صورت دورهای روی سیستم مشتری بارگذاری میشود، انجام میشود، در مرور ایمن پیشرفته اطلاعات مربوط به صفحات و بارگیریها به صورت بلادرنگ برای تأیید در سمت Google ارسال میشود که به شما امکان میدهد به سرعت به آن پاسخ دهید. تهدیدها بلافاصله پس از شناسایی، بدون اینکه منتظر بمانید تا لیست سیاه محلی به روز شود.
اضافه پشتیبانی از فایل شاخص ".well-known/change-password" که صاحبان سایت می توانند آدرس فرم وب را برای تغییر رمز عبور مشخص کنند. اگر اطلاعات کاربری کاربر به خطر بیفتد، کروم اکنون فوراً بر اساس اطلاعات این فایل، فرم تغییر رمز عبور را از کاربر می خواهد.
یک هشدار جدید "نکته ایمنی" اجرا شده است که هنگام باز کردن سایت هایی که دامنه آنها بسیار شبیه به سایت دیگری است نمایش داده می شود و اکتشافات نشان می دهد که احتمال جعل زیاد وجود دارد (به عنوان مثال، goog0le.com به جای google.com باز می شود).
اجرا شد پشتیبانی از کش Back-Forward، که هنگام استفاده از دکمههای «Back» و «Forward» یا هنگام پیمایش در صفحات سایت فعلی که قبلاً مشاهده شدهاید، ناوبری فوری را فراهم میکند. کش با استفاده از تنظیمات chrome://flags/#back-forward-cache فعال می شود.
بهینه سازی مصرف منابع CPU توسط ویندوز انجام شده است
خارج از دامنه. Chrome بررسی میکند که آیا پنجره مرورگر با پنجرههای دیگر همپوشانی دارد یا خیر و از ترسیم پیکسلها در مناطق همپوشانی جلوگیری میکند. این بهینه سازی برای درصد کمی از کاربران در کروم 84 و 85 فعال شد و اکنون در همه جا فعال است. در مقایسه با نسخه های قبلی، ناسازگاری با سیستم های مجازی سازی که باعث می شد صفحات سفید خالی ظاهر شوند نیز برطرف شده است.
افزایش برش منابع برای برگه های پس زمینه. چنین تب هایی دیگر نمی توانند بیش از 1% از منابع CPU را مصرف کنند و حداکثر یک بار در دقیقه فعال می شوند. پس از پنج دقیقه حضور در پسزمینه، برگهها ثابت میشوند، به استثنای برگههایی که در حال پخش محتوای چندرسانهای یا ضبط هستند.
کار کنید وحدت هدر HTTP User-Agent. در نسخه جدید، پشتیبانی از مکانیزم برای همه کاربران فعال شده است نکات مشتری عامل کاربر، به عنوان جایگزینی برای User-Agent توسعه یافته است. مکانیسم جدید شامل بازگرداندن انتخابی داده ها در مورد پارامترهای خاص مرورگر و سیستم (نسخه، پلتفرم و غیره) تنها پس از درخواست سرور و دادن فرصت به کاربران برای ارائه انتخابی چنین اطلاعاتی به صاحبان سایت است. هنگام استفاده از User-Agent Client Hints، شناسه به طور پیشفرض بدون درخواست صریح منتقل نمیشود، که شناسایی غیرفعال را غیرممکن میکند (به طور پیشفرض، فقط نام مرورگر نشان داده میشود).
نشانگر وجود به روز رسانی و نیاز به راه اندازی مجدد مرورگر برای نصب آن تغییر کرده است. به جای یک فلش رنگی، "به روز رسانی" اکنون در قسمت آواتار حساب ظاهر می شود.
کار برای تبدیل مرورگر به استفاده از اصطلاحات فراگیر انجام شده است. در نامهای خطمشی، کلمات «فهرست سفید» و «فهرست سیاه» با «لیست مجاز» و «فهرست مسدود» جایگزین شدهاند (خطمشیهایی که قبلاً اضافه شدهاند به کار خود ادامه میدهند، اما هشداری درباره منسوخ شدن نشان میدهند). که در کد и نام فایل ها ارجاع به "لیست سیاه" با "فهرست مسدود" جایگزین شده است.
ارجاعات قابل مشاهده توسط کاربر به "لیست سیاه" و "لیست سفید" در ابتدای سال 2019 جایگزین شدند.
یک قابلیت آزمایشی برای ویرایش گذرواژههای ذخیرهشده اضافه شد که با استفاده از پرچم «chrome://flags/#edit-passwords-in-settings» فعال شد.
به API پایدار و عمومی تبدیل شد سیستم فایل بومی، که به شما امکان می دهد برنامه های کاربردی وب ایجاد کنید که با فایل ها در سیستم فایل محلی تعامل دارند. به عنوان مثال، API جدید ممکن است در محیط های توسعه یکپارچه مبتنی بر مرورگر، ویرایشگرهای متن، تصویر و ویدئو مورد تقاضا باشد. برای اینکه بتوانید مستقیماً فایلها را بنویسید و بخوانید یا از دیالوگها برای باز کردن و ذخیره فایلها استفاده کنید و همچنین برای پیمایش در محتویات دایرکتوریها، برنامه از کاربر تأییدیه ویژه میخواهد.
انتخابگر CSS اضافه شد ":focus-visible"، که از همان اکتشافی استفاده می کند که مرورگر هنگام تصمیم گیری برای نشان دادن نشانگر تغییر فوکوس استفاده می کند (هنگام جابجایی فوکوس روی دکمه با استفاده از میانبرهای صفحه کلید، نشانگر ظاهر می شود، اما هنگام کلیک کردن با ماوس، اینطور نیست). انتخابگر CSS که قبلاً موجود بود ":focus" همیشه فوکوس را برجسته می کند.
علاوه بر این، گزینه “برجستگی فوکوس سریع” به تنظیمات اضافه شده است، در صورت فعال بودن، یک نشانگر فوکوس اضافی در کنار عناصر فعال نشان داده می شود که حتی اگر عناصر سبک برای برجسته سازی بصری فوکوس در صفحه از طریق CSS غیرفعال باشد، قابل مشاهده باقی می ماند. .
چندین API جدید به حالت Origin Trials (ویژگی های آزمایشی که نیاز به فعال سازی جداگانه دارند) اضافه شده است. Origin Trial به معنای توانایی کار با API مشخص شده از برنامه های دانلود شده از localhost یا 127.0.0.1 یا پس از ثبت نام و دریافت یک توکن خاص است که برای مدت محدودی برای یک سایت خاص معتبر است.
WebHID API برای دسترسی سطح پایین به دستگاه های HID (دستگاه های رابط انسانی، صفحه کلید، موس، گیم پد، پانل های لمسی)، به شما امکان می دهد منطق کار با یک دستگاه HID را در جاوا اسکریپت پیاده سازی کنید تا کار با دستگاه های HID کمیاب را بدون حضور درایورهای خاص سازماندهی کنید. در سیستم
اول از همه، API جدید با هدف ارائه پشتیبانی از گیم پدها است.
اطلاعات صفحه API، Windows Placement API را برای پشتیبانی از تنظیمات چند صفحه ای گسترش می دهد. برخلاف window.screen، API جدید به شما این امکان را میدهد که قرار دادن یک پنجره را در فضای کلی صفحه نمایش سیستمهای چند مانیتور، بدون محدود شدن به صفحه فعلی، دستکاری کنید.
متا تگ صرفه جویی در باتریکه با آن سایت می تواند نیاز به فعال سازی حالت های کاهش مصرف برق و بهینه سازی بار پردازنده را به مرورگر اطلاع دهد.
در API مدیریت اعتبار نوع جدیدی از اعتبارنامه پیشنهاد شده است اعتبار پرداخت، با ارائه تأییدیه اضافی تراکنش پرداخت در حال انجام. یک طرف متکی، مانند بانک، توانایی ایجاد یک کلید عمومی، PublicKeyCredential را دارد که می تواند توسط تاجر برای تایید پرداخت امن اضافی درخواست شود.
در API PointerEvents برای تعیین شیب قلم، به جای TiltX و زاویههای ارتفاع (زاویه بین قلم و صفحه نمایش) و آزیموت (زاویه بین محور X و برآمدگی قلم روی صفحهنمایش)، پشتیبانی اضافه شده است. زوایای TiltY (زوایای بین صفحه از قلم و یکی از محورها و صفحه از محورهای Y و Y Z). همچنین توابع تبدیل بین ارتفاع/زیموت و TiltX/TiltY اضافه شده است.
رمزگذاری فضا در URL ها هنگام محاسبه آن در کنترل کننده های پروتکل تغییر کرد - روش navigator.registerProtocolHandler() اکنون به جای "+"، فضاها را با "%20" جایگزین می کند، که رفتار را با سایر مرورگرها مانند Firefox یکسان می کند.
شبه عنصر CSS اضافه شد ":: نشانگر"، که به شما امکان می دهد رنگ، اندازه، شکل و نوع اعداد و نقاط را برای لیست های موجود در بلوک ها سفارشی کنید و .
پشتیبانی از هدر HTTP اضافه شد سند-سیاست, اجازه می دهدپرسیدن قوانین دسترسی به اسناد، شبیه به مکانیسم جداسازی جعبه سند برای iframe، اما جهانی تر. به عنوان مثال، از طریق Document-Policy میتوانید استفاده از تصاویر با کیفیت پایین را محدود کنید، APIهای آهسته جاوا اسکریپت را غیرفعال کنید، قوانین بارگیری iframe، تصاویر و اسکریپتها را پیکربندی کنید، اندازه کلی سند و ترافیک را محدود کنید، روشهایی را که منجر به طراحی مجدد صفحه میشوند را ممنوع کنید، غیرفعال کنید. کارکرد اسکرول به متن.
المان کردن پشتیبانی از پارامترهای "inline-grid"، "grid"، "inline-flex" و "flex" از طریق ویژگی CSS "display" اضافه شده است.
روش اضافه شده ParentNode.replaceChildren() برای جایگزینی همه فرزندان یک گره والد با گره DOM دیگر. قبلاً میتوانستید از ترکیبی از node.removeChild() و node.append() یا node.innerHTML و node.append() برای جایگزینی گرهها استفاده کنید.
منبسط محدوده طرح های URL مجاز است با استفاده از registerProtocolHandler(). لیست طرح ها شامل پروتکل های غیرمتمرکز cabal، dat، did، dweb، ethereum، hyper، ipfs، ipns و ssb است که به شما امکان می دهد بدون توجه به سایت یا دروازه ای که دسترسی به منبع را فراهم می کند، پیوندهایی را به عناصر تعریف کنید.
در API کلیپ بورد ناهمزمان پشتیبانی از قالب متن/html برای کپی و چسباندن HTML از طریق کلیپ بورد (ساختارهای خطرناک HTML هنگام نوشتن و خواندن در کلیپ بورد پاک می شوند). به عنوان مثال، این تغییر به شما امکان می دهد تا درج و کپی متن فرمت شده را با تصاویر و پیوندها در ویرایشگرهای وب سازماندهی کنید.
در WebRTC اضافه توانایی اتصال کنترلرهای داده خود که در مراحل رمزگذاری یا رمزگشایی WebRTC MediaStreamTrack نامیده می شوند. به عنوان مثال، از این قابلیت می توان برای افزودن پشتیبانی از رمزگذاری سرتاسر داده های ارسال شده از طریق سرورهای میانی استفاده کرد.
در موتور جاوا اسکریپت V8 با 75٪ شتاب گرفت اجرای Number.prototype.toString. ویژگی .name به کلاس های ناهمزمان با مقدار خالی اضافه شد. روش Atomics.wake حذف شده است که در یک زمان به Atomics.notify تغییر نام داد تا با مشخصات ECMA-262 مطابقت داشته باشد. کد جعبه ابزار تست فازی باز است JS-Fuzzer.
کامپایلر پایه Liftoff برای WebAssembly که در آخرین نسخه منتشر شد، شامل توانایی استفاده از دستورالعمل های برداری است. SIMD برای سرعت بخشیدن به محاسبات با قضاوت بر اساس تست ها، بهینه سازی باعث شد تا سرعت برخی از تست ها تا 2.8 برابر افزایش یابد. بهینهسازی دیگر فراخوانی توابع جاوا اسکریپت وارد شده از WebAssembly را بسیار سریعتر کرد.
منبسط ابزارهایی برای توسعه دهندگان وب: پنل رسانه اطلاعاتی درباره پخش کننده های مورد استفاده برای پخش ویدیو در صفحه اضافه کرده است، از جمله داده های رویداد، گزارش ها، مقادیر ویژگی ها و پارامترهای رمزگشایی فریم (به عنوان مثال، می توانید دلایل از دست دادن فریم و مشکلات تعامل را تعیین کنید. از جاوا اسکریپت).
در منوی زمینه پنل عناصر، امکان ایجاد اسکرین شات از عنصر انتخاب شده اضافه شده است (مثلاً می توانید از فهرست مطالب یا جدول اسکرین شات بسازید).
در کنسول وب، پانل هشدار مشکل با یک پیام معمولی جایگزین شده است و مشکلات مربوط به کوکی های شخص ثالث به طور پیش فرض در تب Issues پنهان شده و با یک چک باکس ویژه فعال می شوند.
در تب Rendering، دکمه «غیرفعال کردن فونتهای محلی» اضافه شده است که به شما امکان میدهد عدم وجود فونتهای محلی را شبیهسازی کنید و در تب Sensors اکنون میتوانید عدم فعالیت کاربر (برای برنامههایی که از Idle Detection API استفاده میکنند) شبیهسازی کنید.
پانل Application اطلاعات دقیقی در مورد هر فریم، پنجره باز، و پاپ آپ، از جمله اطلاعاتی در مورد جداسازی Cross-Origin با استفاده از COEP و COOP ارائه می دهد.
آغاز شده جایگزینی پیاده سازی پروتکل QUIC به گزینه توسعه یافته در مشخصات IETF، به جای گزینه Google QUIC.
علاوه بر نوآوری ها و رفع اشکال، نسخه جدید حذف می کند 35 آسیب پذیری. بسیاری از آسیبپذیریها در نتیجه آزمایش خودکار با ابزارها شناسایی شدند AddressSanitizer, ضد عفونی کننده حافظه, یکپارچگی جریان را کنترل کنید, LibFuzzer и AFL. یک آسیبپذیری (CVE-2020-15967، دسترسی به حافظه آزاد شده در کد برای تعامل با Google Payments) بهعنوان بحرانی علامتگذاری شده است، یعنی. به شما این امکان را می دهد که تمام سطوح حفاظت از مرورگر را دور بزنید و کد را در خارج از محیط سندباکس روی سیستم اجرا کنید. به عنوان بخشی از برنامه پرداخت جوایز نقدی برای کشف آسیبپذیریها برای نسخه فعلی، Google 27 جایزه به ارزش 71500 دلار (یک جایزه 15000 دلاری، سه جایزه 7500 دلاری، پنج جایزه 5000 دلاری، دو جایزه 3000 دلاری، یک جایزه 200 دلاری و دو جایزه 500 دلاری) پرداخت کرد. اندازه 13 جایزه هنوز مشخص نشده است.