ProHoster > Blogi > netin uutisia > Chrome 86

Chrome 86

Chrome 86:n seuraava julkaisu ja Chromiumin vakaa julkaisu on julkaistu.

Tärkeimmät muutokset Chrome 86:ssa:

  • suojaus syöttölomakkeiden turvattomalta lähettämiseltä sivuilla, jotka on ladattu HTTPS:n kautta mutta lähettävät tietoja HTTP:n kautta.
  • Suoritettavien tiedostojen vaarallisten latausten (http) estämistä täydentää arkistojen (zip, iso jne.) vaarallisten latausten estäminen ja varoituksia asiakirjojen (docx, pdf jne.) vaarallisesta lataamisesta. Asiakirjojen estämistä ja varoituksia kuville, tekstille ja mediatiedostoille odotetaan seuraavassa julkaisussa. Esto toteutetaan, koska tiedostojen lataamista ilman salausta voidaan käyttää haitallisiin toimiin korvaamalla sisältö MITM-hyökkäysten aikana.
  • Oletuskontekstivalikossa näkyy Näytä aina koko URL-osoite -vaihtoehto, joka edellytti aiemmin about:flags-sivun asetusten ottamista käyttöön. Koko URL-osoite voidaan tarkastella myös kaksoisnapsauttamalla osoitepalkkia. Muistutetaan, että Chrome 76:sta alkaen osoite alettiin näyttää oletusarvoisesti ilman protokollaa ja www-aliverkkotunnusta. Chrome 79:ssä poistettiin asetus palauttaa vanha toimintatapa, mutta käyttäjien tyytymättömyyden jälkeen Chrome 83:een lisättiin uusi kokeellinen lippu, joka lisää kontekstivalikkoon vaihtoehdon, jolla voidaan estää koko URL-osoitteen piilottaminen ja näyttäminen kaikissa olosuhteissa.
    Pienelle osalle käyttäjistä on käynnistetty kokeilu näyttää vain verkkotunnus oletusarvoisesti osoitepalkissa ilman polkuelementtejä ja kyselyparametreja. Esimerkiksi ""https://example.com/secure-google-sign-in/" "example.com" näytetään. Ehdotetun tilan odotetaan olevan kaikkien käyttäjien saatavilla jossakin seuraavista julkaisuista. Voit poistaa tämän toiminnan käytöstä käyttämällä Näytä aina koko URL-osoite -vaihtoehtoa ja nähdäksesi koko URL-osoitteen napsauttamalla osoitepalkkia. Muutoksen motiivi on halu suojella käyttäjiä tietojenkalastelulta, joka manipuloi URL-osoitteen parametreja - hyökkääjät käyttävät hyväkseen käyttäjien välinpitämättömyyttä luodakseen vaikutelman toisen sivuston avaamisesta ja vilpillisistä toimista (jos tällaiset korvaukset ovat ilmeisiä teknisesti pätevälle käyttäjälle , niin kokemattomat ihmiset sortuvat helposti tällaiseen yksinkertaiseen manipulointiin).
  • Aloite FTP-tuen poistamisesta on uusittu. Chrome 86:ssa FTP on oletuksena poistettu käytöstä noin 1 %:lla käyttäjistä, ja Chrome 87:ssä käytöstäpoiston laajuus kasvaa 50 prosenttiin, mutta tuki voidaan palauttaa käyttämällä "--enable-ftp" tai "- -enable-features=FtpProtocol" lippu. Chrome 88:ssa FTP-tuki poistetaan kokonaan käytöstä.
  • Android-versiossa, kuten työpöytäjärjestelmien versiossa, salasanojen hallinta suorittaa tallennettujen kirjautumistunnusten ja salasanojen tarkistuksen vaarantuneiden tilien tietokantaan ja näyttää varoituksen, jos ongelmia havaitaan tai yritetään käyttää triviaaleja salasanoja. Tarkastus suoritetaan tietokannassa, joka kattaa yli 4 miljardia vaarantunutta tiliä, jotka esiintyivät vuotaneissa käyttäjätietokantoissa. Yksityisyyden säilyttämiseksi hash-etuliite varmistetaan käyttäjän puolelta, eikä itse salasanoja ja niiden täydellisiä tiivisteitä välitetä ulkoisesti.
  • Myös "Turvatarkistus"-painike ja parannettu suojaustila vaarallisia sivustoja vastaan ​​(Enhanced Safe Browsing) on ​​siirretty Android-versioon. "Turvatarkistus"-painike näyttää yhteenvedon mahdollisista tietoturvaongelmista, kuten vaarantuneiden salasanojen käytöstä, haitallisten sivustojen tarkistamisen tilan (selaussuoja), asentamattomien päivitysten olemassaolosta ja haitallisten lisäosien tunnistamisesta. Lisäsuojaustila aktivoi lisätarkistuksia, jotka suojaavat tietojenkalastelulta, haitallisilta toimilta ja muilta verkon uhilta, ja sisältää myös lisäsuojauksen Google-tilillesi ja Google-palveluille (Gmail, Drive jne.). Jos normaalissa Selaussuojatilassa tarkistukset suoritetaan paikallisesti käyttämällä ajoittain asiakkaan järjestelmään ladattua tietokantaa, niin tehostetussa selaussuojassa tiedot sivuista ja latauksista lähetetään reaaliajassa tarkistettavaksi Googlen puolelle, jolloin voit vastata nopeasti uhkia välittömästi niiden tunnistamisen jälkeen, odottamatta paikallisen mustan listan päivitystä.
  • Lisätty tuki osoitintiedostolle ".well-known/change-password", jolla sivuston omistajat voivat määrittää verkkolomakkeen osoitteen salasanan vaihtamista varten. Jos käyttäjän tunnistetiedot vaarantuvat, Chrome pyytää nyt käyttäjää välittömästi salasananvaihtolomakkeella tämän tiedoston tietojen perusteella.
  • Uusi "Turvavinkki" -varoitus on otettu käyttöön, kun avataan sivustoja, joiden verkkotunnus on hyvin samankaltainen kuin toisella sivustolla, ja heuristiikka osoittaa, että huijauksen todennäköisyys on suuri (esimerkiksi goog0le.com avataan google.comin sijaan).

    * Takaisin eteenpäin -välimuistin tuki on otettu käyttöön, mikä tarjoaa välittömän navigoinnin käytettäessä "Takaisin"- ja "Eteenpäin"-painikkeita tai kun selaat nykyisen sivuston aiemmin katsottuja sivuja. Välimuisti otetaan käyttöön käyttämällä chrome://flags/#back-forward-cache-asetusta.

  • Suorittimen resurssien kulutuksen optimointi soveltumattomille ikkunoille. Chrome tarkistaa, onko selainikkuna päällekkäin muiden ikkunoiden kanssa, ja estää pikseleiden piirtämisen päällekkäisille alueille. Tämä optimointi otettiin käyttöön pienelle osalle käyttäjistä Chrome 84:ssä ja 85:ssä, ja se on nyt käytössä kaikkialla. Edellisiin julkaisuihin verrattuna on myös ratkaistu yhteensopimattomuus virtualisointijärjestelmien kanssa, joka aiheutti tyhjien valkoisten sivujen ilmestymisen.
  • Lisätty taustavälilehtien resurssien leikkaus. Tällaiset välilehdet eivät voi enää kuluttaa enempää kuin 1 % CPU-resursseista, ja ne voidaan aktivoida enintään kerran minuutissa. Viiden minuutin taustalla olon jälkeen välilehdet jäätyvät, lukuun ottamatta välilehtiä, jotka toistavat multimediasisältöä tai tallennusta.
  • User-Agent HTTP-otsikon yhdistämistä on jatkettu. Uudessa versiossa tuki User-Agent Client Hints -mekanismille, joka on kehitetty korvaamaan User-Agentin, on aktivoitu kaikille käyttäjille. Uudessa mekanismissa palautetaan valikoivasti tietoja tietyistä selain- ja järjestelmäparametreista (versio, alusta jne.) vain palvelimen pyynnöstä ja käyttäjille annetaan mahdollisuus valikoivasti toimittaa tällaisia ​​tietoja sivuston omistajille. User-Agent Client Hints -vihjeitä käytettäessä tunnistetta ei lähetetä oletusarvoisesti ilman nimenomaista pyyntöä, mikä tekee passiivisen tunnistamisen mahdottomaksi (oletusarvoisesti vain selaimen nimi ilmoitetaan).
    Ilmoitus päivityksen olemassaolosta ja tarpeesta käynnistää selain uudelleen sen asentamiseksi on muutettu. Värillisen nuolen sijaan tilin avatar-kentässä näkyy nyt "Päivitä".
  • Selainta on tehty kattavan terminologian muuttamiseksi. Käytäntöjen nimissä sanat "valkoinen lista" ja "musta lista" on korvattu sanoilla "allowlist" ja "blocklist" (jo lisätyt käytännöt toimivat edelleen, mutta niissä näkyy varoitus käytöstä poistamisesta). Koodi- ja tiedostonimissä viittaukset "musta listaan" on korvattu "estolistalla". Käyttäjille näkyvät viittaukset "mustalle listalle" ja "valkoiselle listalle" korvattiin vuoden 2019 alussa.
    Lisätty kokeellinen kyky muokata tallennettuja salasanoja, joka aktivoitiin "chrome://flags/#edit-passwords-in-settings" -lipulla.
  • Native File System API on siirretty vakaan ja julkisesti saatavilla olevan API:n luokkaan, jolloin voit luoda verkkosovelluksia, jotka ovat vuorovaikutuksessa paikallisen tiedostojärjestelmän tiedostojen kanssa. Uudelle API:lle voi olla kysyntää esimerkiksi selainpohjaisissa integroiduissa kehitysympäristöissä, teksti-, kuva- ja videoeditoreissa. Jotta sovellus voi kirjoittaa ja lukea tiedostoja suoraan tai käyttää valintaikkunoita tiedostojen avaamiseen ja tallentamiseen sekä navigointiin hakemistojen sisällössä, sovellus pyytää käyttäjältä erityistä vahvistusta.
  • Lisätty CSS-valitsin ":focus-visible", joka käyttää samaa heuristiikkaa, jota selain käyttää päättäessään näyttääkö tarkennuksen muutoksen ilmaisin (siirrettäessä tarkennusta painikkeeseen pikanäppäimillä, ilmaisin tulee näkyviin, mutta hiirellä klikatessa , se ei). Aiemmin saatavilla oleva CSS-valitsin ":focus" korostaa aina kohdistuksen. Lisäksi asetuksiin on lisätty "Quick Focus Highlight" -vaihtoehto, jonka ollessa käytössä, aktiivisten elementtien vieressä näkyy ylimääräinen tarkennusilmaisin, joka jää näkyviin, vaikka visuaalisesti korostettavat fokuksen tyylielementit on poistettu käytöstä sivulla CSS:n kautta. .
  • Useita uusia API:ita on lisätty Origin Trials -tilaan (kokeelliset ominaisuudet, jotka vaativat erillisen aktivoinnin). Origin Trial tarkoittaa kykyä työskennellä määritetyn API:n kanssa localhostista tai 127.0.0.1:stä ladatuista sovelluksista tai rekisteröitymisen ja erityisen tunnuksen vastaanottamisen jälkeen, joka on voimassa rajoitetun ajan tietyllä sivustolla.
  • WebHID-sovellusliittymä matalan tason pääsyyn HID-laitteisiin (ihmisen käyttöliittymälaitteet, näppäimistöt, hiiret, peliohjaimet, kosketuslevyt), jonka avulla voit toteuttaa HID-laitteen kanssa työskentelyn logiikan JavaScriptissä järjestääksesi työskentelyn harvinaisten HID-laitteiden kanssa ilman tietyt ajurit järjestelmässä. Ensinnäkin uusi API on tarkoitettu tukemaan peliohjaimia.
  • Screen Information API laajentaa Window Placement API:ta tukemaan usean näytön määrityksiä. Toisin kuin window.screen, uuden API:n avulla voit manipuloida ikkunan sijoittelua usean näytön järjestelmien yleisessä näyttötilassa ilman, että se rajoittuu nykyiseen näyttöön.
  • Sisällönkuvauskenttä akun säästö, jonka avulla sivusto voi ilmoittaa selaimelle tarpeesta aktivoida tilat virrankulutuksen vähentämiseksi ja prosessorin kuormituksen optimoimiseksi.
  • COOP Reporting API ilmoittaa mahdollisista Cross-Origin-Embedder-Policy (COEP)- ja Cross-Origin-Opener-Policy (COOP) -eristystilojen rikkomuksista ilman todellisia rajoituksia.
  • Credential Management API tarjoaa uudentyyppiset tunnistetiedot, PaymentCredential, joka tarjoaa lisävahvistuksen suoritettavasta maksutapahtumasta. Luotettava osapuoli, kuten pankki, pystyy luomaan julkisen avaimen, PublicKeyCredentialin, jota kauppias voi pyytää lisävahvistusta varten.
  • PointerEvents API kynän kallistuksen määrittämiseen* on lisännyt tuen korkeuskulmille (kynän ja näytön välinen kulma) ja atsimuutille (X-akselin ja kynän heijastuksen välinen kulma näytöllä) sen sijaan, että TiltX- ja TiltY-kulmat (kynästä tulevan tason ja yhden akselin sekä Y- ja Z-akseleiden tason väliset kulmat). Lisätty myös muunnostoiminnot korkeuden/atsimuutin ja TiltX/TiltY välillä.
  • URL-osoitteiden tilan koodaus on muutettu laskettaessa sitä protokollakäsittelijöissä - menetelmä navigator.registerProtocolHandler() korvaa nyt välilyönnit "%20":lla "+":n sijaan, mikä yhtenäistää toiminnan muiden selainten, kuten Firefoxin, kanssa.
  • CSS:ään on lisätty pseudoelementti "::marker", jonka avulla voit mukauttaa numeroiden ja pisteiden väriä, kokoa, muotoa ja tyyppiä lohkoissa olevien listausten osalta. Ja .
  • Lisätty tuki Document-Policy HTTP-otsikolle, jonka avulla voit asettaa sääntöjä asiakirjojen käyttämiselle, jotka ovat samanlaisia ​​kuin iframe-kehysten hiekkalaatikon eristysmekanismi, mutta yleisempiä. Esimerkiksi Document-Policyn kautta voit rajoittaa heikkolaatuisten kuvien käyttöä, poistaa hitaat JavaScript API:t käytöstä, määrittää iframe-kehysten, kuvien ja komentosarjojen lataussääntöjä, rajoittaa asiakirjan kokonaiskokoa ja liikennettä, estää menetelmät, jotka johtavat sivun uudelleenpiirtämiseen ja poista Scroll-To-Text -toiminto käytöstä.
  • Elementtiin lisätty tuki "inline-grid", "grid", "inline-flex" ja "flex" parametreille, jotka on asetettu "display" CSS-ominaisuuden kautta.
  • Lisätty ParentNode.replaceChildren()-metodi, jolla korvataan kaikki emosolmun lapsia toisella DOM-solmulla. Aikaisemmin voit korvata solmut käyttämällä yhdistelmää node.removeChild() ja node.append() tai node.innerHTML ja node.append().
  • URL-mallien valikoimaa, jotka voidaan ohittaa registerProtocolHandler():llä, on laajennettu. Kaavojen luettelo sisältää hajautetut protokollat ​​cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ja ssb, joiden avulla voit määrittää linkkejä elementteihin riippumatta sivustosta tai yhdyskäytävästä, joka tarjoaa pääsyn resurssiin.
  • Lisätty tuki teksti-/html-muodolle Asynchronous Clipboard API:lle HTML:n kopioimista ja liittämistä varten leikepöydän kautta (vaaralliset HTML-rakenteet siivotaan leikepöydälle kirjoitettaessa ja luettaessa). Muutoksen avulla voit esimerkiksi järjestää muotoillun tekstin lisäyksen ja kopioimisen kuvien ja linkkien kanssa web-editoreissa.
  • WebRTC on lisännyt mahdollisuuden yhdistää omat tiedonkäsittelijät, joita kutsutaan WebRTC MediaStreamTrackin koodaus- tai dekoodausvaiheissa. Tätä ominaisuutta voidaan käyttää esimerkiksi lisäämään tuki välipalvelimien kautta lähetettyjen tietojen päästä päähän -salaukselle.
    V8 JavaScript -moottorissa Number.prototype.toStringin käyttöönottoa on nopeutettu 75 %. Lisätty .name-ominaisuus asynkronisiin luokkiin, joiden arvo on tyhjä. Atomics.wake-menetelmä on poistettu, ja se nimettiin aikoinaan uudelleen nimellä Atomics.notify ECMA-262-spesifikaation mukaiseksi. Fuzzing-testaustyökalun JS-Fuzzer koodi on auki.
  • Edellisessä julkaisussa julkaistu WebAssemblyn Liftoff-peruskääntäjä sisältää mahdollisuuden käyttää SIMD-vektoriohjeita laskelmien nopeuttamiseksi. Testien perusteella optimointi mahdollisti joidenkin testien nopeuttamisen 2.8-kertaiseksi. Toinen optimointi nopeutti tuotujen JavaScript-toimintojen kutsumista WebAssemblysta.
  • Verkkokehittäjille tarkoitettuja työkaluja on laajennettu: Media-paneeliin on lisätty tietoja soittimista, joilla sivulla toistetaan videota, mukaan lukien tapahtumatiedot, lokit, ominaisuusarvot ja kehysten dekoodausparametrit (voit esimerkiksi määrittää kehyksen syyt menetys ja vuorovaikutusongelmat JavaScriptistä).
  • Elementit-paneelin kontekstivalikkoon on lisätty mahdollisuus luoda kuvakaappauksia valitusta elementistä (voit esimerkiksi luoda kuvakaappauksen sisällysluettelosta tai taulukosta).
  • Verkkokonsolissa ongelmavaroituspaneeli on korvattu tavallisella viestillä, ja kolmannen osapuolen evästeisiin liittyvät ongelmat piilotetaan oletusarvoisesti Ongelmat-välilehdellä ja ne otetaan käyttöön erityisellä valintaruudulla.
  • Renderöinti-välilehdelle on lisätty "Poista paikalliset kirjasimet käytöstä" -painike, jonka avulla voit simuloida paikallisten fonttien puuttumista, ja Anturit-välilehdellä voit nyt simuloida käyttäjän passiivisuutta (Idle Detection API -sovellusliittymää käyttäville sovelluksille).
  • Sovelluspaneeli tarjoaa yksityiskohtaisia ​​tietoja kustakin iframe-kehyksestä, avoimesta ikkunasta ja ponnahdusikkunasta, mukaan lukien tiedot Cross-Origin-eristyksestä COEP:n ja COOP:n avulla.

QUIC-protokollan toteutusta on alettu korvata IETF-spesifikaatiossa kehitetyllä versiolla QUIC:n Google-version sijaan.
Innovaatioiden ja virheenkorjausten lisäksi uusi versio eliminoi 35 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisen testauksen tuloksena AddressSanitizer-, MemorySanitizer-, Control Flow Integrity-, LibFuzzer- ja AFL-työkaluilla. Yksi haavoittuvuus (CVE-2020-15967, pääsy koodissa vapautuneeseen muistiin Google Paymentsin kanssa vuorovaikutusta varten) on merkitty kriittiseksi, ts. voit ohittaa kaikki selaimen suojaustasot ja suorittaa koodia järjestelmässä hiekkalaatikkoympäristön ulkopuolella. Osana ohjelmaa, jolla maksettiin käteispalkkioita nykyisen julkaisun haavoittuvuuksien löytämisestä, Google maksoi 27 palkintoa, joiden arvo on 71500 15000 dollaria (yksi 7500 5000 dollarin palkinto, kolme 3000 200 dollarin palkintoa, viisi 500 13 dollaria, kaksi XNUMX XNUMX dollaria, yksi XNUMX XNUMX dollarin palkinto ja kaksi palkintoa). XNUMX palkinnon kokoa ei ole vielä päätetty.

Otettu Opennet.ru

Lähde: linux.org.ru

Lisää kommentti