ProHoster > Blog > actualités internet > Chrome 86

Chrome 86

La prochaine version de Chrome 86 et la version stable de Chromium ont été publiées.

Changements clés dans Chrome 86 :

  • protection contre la soumission dangereuse de formulaires de saisie sur des pages chargées via HTTPS mais envoyant des données via HTTP.
  • Le blocage des téléchargements dangereux (http) de fichiers exécutables est complété par le blocage des téléchargements dangereux d'archives (zip, iso, etc.) et l'affichage d'avertissements en cas de téléchargement dangereux de documents (docx, pdf, etc.). Le blocage des documents et les avertissements concernant les images, le texte et les fichiers multimédias sont attendus dans la prochaine version. Le blocage est mis en œuvre car le téléchargement de fichiers sans cryptage peut être utilisé pour effectuer des actions malveillantes en remplaçant le contenu lors d'attaques MITM.
  • Le menu contextuel par défaut affiche l'option « Toujours afficher l'URL complète », qui nécessitait auparavant de modifier les paramètres de la page about:flags pour l'activer. L'URL complète peut également être consultée en double-cliquant sur la barre d'adresse. Rappelons qu'à partir de Chrome 76, par défaut l'adresse a commencé à s'afficher sans le protocole et le sous-domaine www. Dans Chrome 79, le paramètre permettant de renvoyer l'ancien comportement a été supprimé, mais après le mécontentement de l'utilisateur, un nouvel indicateur expérimental a été ajouté dans Chrome 83 qui ajoute une option au menu contextuel pour désactiver le masquage et l'affichage de l'URL complète dans toutes les conditions.
    Pour un petit pourcentage d'utilisateurs, une expérimentation a été lancée pour afficher par défaut uniquement le domaine dans la barre d'adresse, sans éléments de chemin ni paramètres de requête. Par exemple, au lieu de "https://example.com/secure-google-sign-in/" "exemple.com" s'affichera. Le mode proposé devrait être proposé à tous les utilisateurs dans l'une des prochaines versions. Pour désactiver ce comportement, vous pouvez utiliser l'option « Toujours afficher l'URL complète », et pour afficher l'URL complète, vous pouvez cliquer sur la barre d'adresse. Le motif du changement est le désir de protéger les utilisateurs contre le phishing qui manipule les paramètres de l'URL - les attaquants profitent de l'inattention des utilisateurs pour donner l'impression qu'ils ouvrent un autre site et commettent des actions frauduleuses (si de telles substitutions sont évidentes pour un utilisateur techniquement compétent). , alors les personnes inexpérimentées tombent facilement dans le piège d'une manipulation aussi simple).
  • L'initiative visant à supprimer le support FTP a été renouvelée. Dans Chrome 86, FTP est désactivé par défaut pour environ 1 % des utilisateurs, et dans Chrome 87, la portée de la désactivation sera augmentée à 50 %, mais la prise en charge peut être rétablie à l'aide de "--enable-ftp" ou "- -enable-features=FtpProtocol". Dans Chrome 88, la prise en charge FTP sera complètement désactivée.
  • Dans la version pour Android, similaire à la version pour les systèmes de bureau, le gestionnaire de mots de passe implémente une vérification des identifiants et des mots de passe enregistrés par rapport à une base de données de comptes compromis, affichant un avertissement si des problèmes sont détectés ou si une tentative est faite d'utiliser des mots de passe triviaux. La vérification est effectuée sur une base de données couvrant plus de 4 milliards de comptes compromis apparus dans des bases de données d'utilisateurs divulguées. Pour préserver la confidentialité, le préfixe de hachage est vérifié du côté de l'utilisateur et les mots de passe eux-mêmes et leurs hachages complets ne sont pas transmis à l'extérieur.
  • Le bouton « Contrôle de sécurité » et le mode de protection renforcé contre les sites dangereux (Enhanced Safe Browsing) ont également été transférés sur la version Android. Le bouton « Contrôle de sécurité » affiche un résumé des problèmes de sécurité possibles, tels que l'utilisation de mots de passe compromis, l'état de vérification des sites malveillants (navigation sécurisée), la présence de mises à jour désinstallées et l'identification de modules complémentaires malveillants. Le mode de protection avancé active des contrôles supplémentaires pour vous protéger contre le phishing, les activités malveillantes et autres menaces sur le Web, et inclut également une protection supplémentaire pour votre compte Google et les services Google (Gmail, Drive, etc.). Si, en mode de navigation sécurisée normal, les contrôles sont effectués localement à l'aide d'une base de données chargée périodiquement sur le système du client, alors en navigation sécurisée améliorée, les informations sur les pages et les téléchargements en temps réel sont envoyées pour vérification du côté de Google, ce qui vous permet de répondre rapidement à les menaces immédiatement après leur identification, sans attendre la mise à jour de la liste noire locale.
  • Ajout de la prise en charge du fichier indicateur ".well-known/change-password", avec lequel les propriétaires de sites peuvent spécifier l'adresse du formulaire Web pour modifier le mot de passe. Si les informations d'identification d'un utilisateur sont compromises, Chrome proposera désormais immédiatement à l'utilisateur un formulaire de modification de mot de passe basé sur les informations contenues dans ce fichier.
  • Un nouvel avertissement « Conseil de sécurité » a été implémenté, affiché lors de l'ouverture de sites dont le domaine est très similaire à un autre site et les heuristiques montrent qu'il existe une forte probabilité d'usurpation d'identité (par exemple, goog0le.com est ouvert au lieu de google.com).

    * La prise en charge du cache Back-forward a été implémentée, offrant une navigation instantanée lors de l'utilisation des boutons « Précédent » et « Suivant » ou lors de la navigation dans les pages précédemment consultées du site actuel. Le cache est activé à l'aide du paramètre chrome://flags/#back-forward-cache.

  • Optimisation de la consommation des ressources CPU pour les fenêtres hors de portée. Chrome vérifie si la fenêtre du navigateur est recouverte par d'autres fenêtres et empêche de dessiner des pixels dans les zones de chevauchement. Cette optimisation a été activée pour un petit pourcentage d'utilisateurs dans Chrome 84 et 85 et est désormais activée partout. Par rapport aux versions précédentes, une incompatibilité avec les systèmes de virtualisation qui provoquait l'apparition de pages blanches vierges a également été résolue.
  • Augmentation de la réduction des ressources pour les onglets d’arrière-plan. De tels onglets ne peuvent plus consommer plus de 1 % des ressources CPU et ne peuvent être activés qu'une fois par minute. Après cinq minutes de passage en arrière-plan, les onglets sont gelés, à l'exception de ceux qui lisent du contenu multimédia ou enregistrent.
  • Les travaux ont repris sur l'unification de l'en-tête HTTP User-Agent. Dans la nouvelle version, la prise en charge du mécanisme User-Agent Client Hints, développé en remplacement de User-Agent, est activée pour tous les utilisateurs. Le nouveau mécanisme consiste à renvoyer sélectivement des données sur des paramètres spécifiques du navigateur et du système (version, plate-forme, etc.) uniquement après une demande du serveur et à donner aux utilisateurs la possibilité de fournir de manière sélective ces informations aux propriétaires de sites. Lors de l'utilisation de User-Agent Client Hints, l'identifiant n'est pas transmis par défaut sans demande explicite, ce qui rend impossible une identification passive (par défaut, seul le nom du navigateur est indiqué).
    L'indication de la présence d'une mise à jour et de la nécessité de redémarrer le navigateur pour l'installer a été modifiée. Au lieu d'une flèche colorée, « Mise à jour » apparaît désormais dans le champ de l'avatar du compte.
  • Des travaux ont été effectués pour convertir le navigateur afin qu'il utilise une terminologie inclusive. Dans les noms des politiques, les mots « liste blanche » et « liste noire » ont été remplacés par « liste autorisée » et « liste de blocage » (les politiques déjà ajoutées continueront de fonctionner, mais elles afficheront un avertissement indiquant qu'elles sont obsolètes). Dans les noms de code et de fichier, les références à « liste noire » ont été remplacées par « liste de blocage ». Les références visibles par l’utilisateur à « liste noire » et « liste blanche » ont été remplacées début 2019.
    Ajout d'une capacité expérimentale de modification des mots de passe enregistrés, activée à l'aide du drapeau « chrome://flags/#edit-passwords-in-settings ».
  • L'API Native File System a été transférée dans la catégorie des API stables et accessibles au public, vous permettant de créer des applications Web qui interagissent avec les fichiers du système de fichiers local. Par exemple, la nouvelle API peut être demandée dans les environnements de développement intégrés basés sur un navigateur, ainsi que dans les éditeurs de texte, d'images et de vidéo. Pour pouvoir écrire et lire directement des fichiers ou utiliser des boîtes de dialogue pour ouvrir et sauvegarder des fichiers, ainsi que naviguer dans le contenu des répertoires, l'application demande une confirmation spéciale à l'utilisateur.
  • Ajout d'un sélecteur CSS ":focus-visible", qui utilise la même heuristique que celle utilisée par le navigateur pour décider d'afficher ou non l'indicateur de changement de focus (lorsque vous déplacez le focus sur un bouton à l'aide de raccourcis clavier, l'indicateur apparaît, mais lorsque vous cliquez avec la souris , ce ne est pas). Le sélecteur CSS ":focus" précédemment disponible met toujours en évidence le focus. De plus, l'option « Quick Focus Highlight » a été ajoutée aux paramètres. Lorsqu'elle est activée, un indicateur de focus supplémentaire sera affiché à côté des éléments actifs, qui reste visible même si les éléments de style pour la mise en évidence visuelle du focus sont désactivés sur la page via CSS.
  • Plusieurs nouvelles API ont été ajoutées au mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée). Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
  • API WebHID pour l'accès de bas niveau aux appareils HID (périphériques à interface humaine, claviers, souris, manettes de jeu, pavés tactiles), qui vous permet d'implémenter la logique de travail avec un appareil HID en JavaScript pour organiser le travail avec des appareils HID rares sans la présence de pilotes spécifiques dans le système. Tout d’abord, la nouvelle API vise à prendre en charge les manettes de jeu.
  • L'API Screen Information étend l'API Window Placement pour prendre en charge les configurations multi-écrans. Contrairement à window.screen, la nouvelle API vous permet de manipuler le placement d'une fenêtre dans l'espace d'écran global des systèmes multi-moniteurs, sans vous limiter à l'écran actuel.
  • Balise méta d'économie de batterie, avec laquelle le site peut informer le navigateur de la nécessité d'activer des modes pour réduire la consommation d'énergie et optimiser la charge du processeur.
  • API de reporting COOP pour signaler les violations potentielles des modes d'isolement Cross-Origin-Embedder-Policy (COEP) et Cross-Origin-Opener-Policy (COOP), sans appliquer de restrictions réelles.
  • L'API Credential Management propose un nouveau type d'informations d'identification, PaymentCredential, qui fournit une confirmation supplémentaire de la transaction de paiement en cours. Une partie utilisatrice, telle qu'une banque, a la possibilité de générer une clé publique, un PublicKeyCredential, qui peut être demandée par le commerçant pour une confirmation de paiement sécurisée supplémentaire.
  • L'API PointerEvents pour déterminer l'inclinaison du stylet* a ajouté la prise en charge des angles d'élévation (l'angle entre le stylet et l'écran) et de l'azimut (l'angle entre l'axe X et la projection du stylet sur l'écran), au lieu du Angles TiltX et TiltY (les angles entre le plan du stylet et l'un des axes et le plan des axes Y et Z). Également ajouté des fonctions de conversion entre altitude/azimut et TiltX/TiltY.
  • Modification de l'encodage de l'espace dans les URL lors de son calcul dans les gestionnaires de protocole - la méthode navigator.registerProtocolHandler() remplace désormais les espaces par "%20" au lieu de "+", ce qui unifie le comportement avec d'autres navigateurs tels que Firefox.
  • Un pseudo-élément "::marker" a été ajouté au CSS, permettant de personnaliser la couleur, la taille, la forme et le type des chiffres et des points pour les listings en blocs Et .
  • Ajout de la prise en charge de l'en-tête HTTP Document-Policy, qui vous permet de définir des règles d'accès aux documents, similaires au mécanisme d'isolation sandbox pour les iframes, mais plus universelles. Par exemple, grâce à Document-Policy, vous pouvez limiter l'utilisation d'images de mauvaise qualité, désactiver les API JavaScript lentes, configurer des règles de chargement des iframes, des images et des scripts, limiter la taille globale et le trafic du document, interdire les méthodes conduisant au redessinage des pages, et désactivez la fonction Défilement vers le texte.
  • Vers l'élément ajout de la prise en charge des paramètres 'inline-grid', 'grid', 'inline-flex' et 'flex' définis via la propriété CSS 'display'.
  • Ajout de la méthode ParentNode.replaceChildren() pour remplacer tous les enfants d'un nœud parent par un autre nœud DOM. Auparavant, vous pouviez utiliser une combinaison de node.removeChild() et node.append() ou node.innerHTML et node.append() pour remplacer les nœuds.
  • La gamme de schémas d'URL pouvant être remplacés à l'aide de registerProtocolHandler() a été étendue. La liste des schémas comprend les protocoles décentralisés cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns et ssb, qui permettent de définir des liens vers des éléments quel que soit le site ou la passerelle donnant accès à la ressource.
  • Ajout de la prise en charge du format texte/html à l'API du presse-papiers asynchrone pour copier et coller du HTML via le presse-papiers (les constructions HTML dangereuses sont nettoyées lors de l'écriture et de la lecture dans le presse-papiers). Le changement, par exemple, permet d'organiser l'insertion et la copie de texte formaté avec des images et des liens dans des éditeurs Web.
  • WebRTC a ajouté la possibilité de connecter ses propres gestionnaires de données, appelés lors des étapes d'encodage ou de décodage de WebRTC MediaStreamTrack. Par exemple, cette fonctionnalité peut être utilisée pour ajouter la prise en charge du cryptage de bout en bout des données transmises via des serveurs intermédiaires.
    Dans le moteur JavaScript V8, l'implémentation de Number.prototype.toString a été accélérée de 75 %. Ajout de la propriété .name aux classes asynchrones avec une valeur vide. La méthode Atomics.wake a été supprimée, qui avait été renommée en Atomics.notify pour se conformer à la spécification ECMA-262. Le code de l'outil de test de fuzzing JS-Fuzzer est ouvert.
  • Le compilateur de base Liftoff pour WebAssembly publié dans la dernière version inclut la possibilité d'utiliser des instructions vectorielles SIMD pour accélérer les calculs. A en juger par les tests, l'optimisation a permis d'accélérer certains tests de 2.8 fois. Une autre optimisation a rendu beaucoup plus rapide l’appel des fonctions JavaScript importées depuis WebAssembly.
  • Les outils pour les développeurs Web ont été étendus : le panneau Médias a ajouté des informations sur les lecteurs utilisés pour lire la vidéo sur la page, y compris les données d'événement, les journaux, les valeurs de propriété et les paramètres de décodage d'image (par exemple, vous pouvez déterminer les causes de l'apparition d'images). problèmes de perte et d'interaction à partir de JavaScript) .
  • Dans le menu contextuel du panneau Éléments, la possibilité de créer des captures d'écran de l'élément sélectionné a été ajoutée (par exemple, vous pouvez créer une capture d'écran de la table des matières ou du tableau).
  • Dans la console Web, le panneau d'avertissement de problème a été remplacé par un message standard, et les problèmes liés aux cookies tiers sont masqués par défaut dans l'onglet Problèmes et sont activés par une case à cocher spéciale.
  • Dans l'onglet Rendu, un bouton « Désactiver les polices locales » a été ajouté, qui permet de simuler l'absence de polices locales, et dans l'onglet Capteurs, vous pouvez désormais simuler l'inactivité des utilisateurs (pour les applications utilisant l'API Idle Detection).
  • Le panneau Application fournit des informations détaillées sur chaque iframe, fenêtre ouverte et fenêtre contextuelle, y compris des informations sur l'isolation Cross-Origin à l'aide de COEP et COOP.

L'implémentation du protocole QUIC a commencé à être remplacée par la version développée dans la spécification IETF, au lieu de la version Google de QUIC.
En plus des innovations et des corrections de bugs, la nouvelle version élimine 35 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Une vulnérabilité (CVE-2020-15967, accès à la mémoire libérée dans le code pour interagir avec Google Payments) est marquée comme critique, c'est-à-dire vous permet de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte de vulnérabilités dans la version actuelle, Google a versé 27 récompenses d'une valeur de 71500 15000 $ (une récompense de 7500 5000 $, trois récompenses de 3000 200 $, cinq récompenses de 500 13 $, deux récompenses de XNUMX XNUMX $, une récompense de XNUMX $ et deux récompenses de XNUMX $). La taille de XNUMX récompenses n’a pas encore été déterminée.

Pris de Opennet.ru

Source: linux.org.ru

Ajouter un commentaire