Chrome 86

De folgjende release fan Chrome 86 en de stabile release fan Chromium binne frijlitten.

Wichtige wizigingen yn Chrome 86:

• beskerming tsjin ûnfeilich yntsjinjen fan ynfierformulieren op siden laden oer HTTPS mar it ferstjoeren fan gegevens oer HTTP.
• It blokkearjen fan ûnfeilige downloads (http) fan útfierbere bestannen wurdt oanfolle troch it blokkearjen fan ûnfeilige downloads fan argiven (zip, iso, ensfh.) en it werjaan fan warskôgings foar ûnfeilich ynladen fan dokuminten (docx, pdf, ensfh.). Dokumintblokkering en warskôgingen foar ôfbyldings, tekst en mediabestannen wurde ferwachte yn 'e folgjende release. It blokkearjen wurdt ymplementearre om't it downloaden fan bestannen sûnder fersifering kin wurde brûkt om kweade aksjes út te fieren troch de ynhâld te ferfangen by MITM-oanfallen.
• It standert kontekstmenu toant de opsje "Altyd folsleine URL sjen litte", dy't earder nedich wie om de ynstellings op 'e about:flags-side te feroarjen om yn te skeakeljen. De folsleine URL kin ek besjoen wurde troch te dûbelklikken op de adresbalke. Lit ús jo herinnerje dat begjinnend mei Chrome 76, standert begon it adres te sjen sûnder it protokol en it subdomein www. Yn Chrome 79 waard de ynstelling om it âlde gedrach werom te jaan fuortsmiten, mar nei ûntefredenens fan brûkers waard in nije eksperimintele flagge tafoege yn Chrome 83 dy't in opsje taheakket oan it kontekstmenu om it ferbergjen en it werjaan fan de folsleine URL yn alle betingsten út te skeakeljen.
  Foar in lyts persintaazje brûkers is in eksperimint lansearre om standert allinich it domein yn 'e adresbalke wer te jaan, sûnder paad-eleminten en queryparameters. Bygelyks, ynstee fan "https://example.com/secure-google-sign-in/" "example.com" sil werjûn wurde. De foarstelde modus wurdt ferwachte dat se nei alle brûkers brocht wurde yn ien fan 'e folgjende releases. Om dit gedrach út te skeakeljen, kinne jo de opsje "Altyd folsleine URL sjen litte", en om de folsleine URL te besjen, kinne jo klikke op 'e adresbalke. It motyf foar de feroaring is de winsk om brûkers te beskermjen tsjin phishing dy't parameters yn 'e URL manipulearret - oanfallers profitearje fan' e ûnoptinken fan brûkers om it uterlik te meitsjen fan it iepenjen fan in oare side en it begean fan frauduleuze aksjes (as sokke substitúsjes fanselssprekkend binne foar in technysk kompetinte brûker , dan falle sûnder ûnderfining minsken maklik foar sa'n ienfâldige manipulaasje).
• It inisjatyf om FTP-stipe te ferwiderjen is fernijd. Yn Chrome 86 is FTP standert útskeakele foar sawat 1% fan brûkers, en yn Chrome 87 wurdt de omfang fan de útskeakeling ferhege nei 50%, mar stipe kin werombrocht wurde mei de "--enable-ftp" of "- -enable-features=FtpProtocol" flagge. Yn Chrome 88 sil FTP-stipe folslein útskeakele wurde.
• Yn 'e ferzje foar Android, fergelykber mei de ferzje foar buroblêdsystemen, ymplementearret de wachtwurdbehearder in kontrôle fan bewarre logins en wachtwurden tsjin in databank fan kompromittearre akkounts, en toant in warskôging as problemen wurde ûntdutsen of in besykjen wurdt makke om triviale wachtwurden te brûken. De kontrôle wurdt útfierd tsjin in database dy't mear dan 4 miljard kompromittearre akkounts beslacht dy't ferskynden yn lekke brûkersdatabases. Om privacy te behâlden, wurdt it hash-prefix ferifiearre oan 'e kant fan' e brûker, en de wachtwurden sels en har folsleine hashes wurde net ekstern oerdroegen.
• De knop "Feiligenskontrôle" en de ferbettere beskermingsmodus tsjin gefaarlike siden (Enhanced Safe Browsing) binne ek oerbrocht nei de Android-ferzje. De knop "Feiligenskontrôle" lit in gearfetting sjen fan mooglike befeiligingsproblemen, lykas it brûken fan kompromittearre wachtwurden, de status fan kontrolearjen fan kweade siden (Feilich blêdzjen), de oanwêzigens fan net-ynstallearre updates, en de identifikaasje fan kweade add-ons. Avansearre beskermingsmodus aktivearret ekstra kontrôles om te beskermjen tsjin phishing, kweade aktiviteit en oare bedrigingen op it web, en omfettet ek ekstra beskerming foar jo Google-akkount en Google-tsjinsten (Gmail, Drive, ensfh.). As yn 'e normale Safe Browsing-modus kontrôles lokaal wurde útfierd mei in databank dy't periodyk op it systeem fan 'e klant laden wurdt, dan wurdt yn Enhanced Safe Browsing ynformaasje oer siden en downloads yn realtime stjoerd foar ferifikaasje oan 'e Google-kant, wêrtroch jo fluch kinne reagearje op bedrigings fuortendaliks nei't se binne identifisearre, sûnder te wachtsjen oant de lokale swarte list is bywurke.
• Stipe tafoege foar it yndikatortriem ".well-known/change-password", wêrmei't side-eigners it adres fan it webformulier foar it wizigjen fan it wachtwurd kinne opjaan. As de referinsjes fan in brûker kompromitteare binne, sil Chrome de brûker no direkt freegje mei in formulier foar wiziging fan wachtwurd basearre op de ynformaasje yn dit bestân.
• In nije warskôging "Feiligens Tip" is ymplementearre, werjûn by it iepenjen fan siden wêrfan it domein tige ferlykber is mei in oare side en heuristyk lit sjen dat d'r in hege kâns is op spoofing (bygelyks, goog0le.com wurdt iepene ynstee fan google.com).

  * Stipe foar de Back-Forward-cache is ymplementearre, dy't direkte navigaasje leveret by it brûken fan de knoppen "Tebek" en "Foarút" of by it navigearjen troch earder besjoene siden fan 'e hjoeddeistige side. De cache is ynskeakele mei de chrome://flags/#back-forward-cache-ynstelling.

• Optimalisearjen fan CPU-boarneferbrûk foar finsters bûten it berik. Chrome kontrolearret oft it browserfinster wurdt oerlape troch oare finsters en foarkomt it tekenjen fan piksels yn gebieten fan oerlaap. Dizze optimalisaasje is ynskeakele foar in lyts persintaazje brûkers yn Chrome 84 en 85 en is no oeral ynskeakele. Yn ferliking mei eardere releases is in ynkompatibiliteit mei virtualisaasjesystemen dy't feroarsake lege wite siden ferskynden ek oplost.
• Fergrutte boarne trimmen foar eftergrûnljeppers. Sokke ljeppers kinne net mear konsumearje as 1% fan CPU-boarnen en kinne net mear as ien kear per minút aktivearre wurde. Nei fiif minuten op 'e eftergrûn binne ljeppers beferzen, mei útsûndering fan ljeppers dy't multymediale ynhâld spielje of opnimme.
• It wurk is wer begûn oan it ferienigjen fan de HTTP-header fan User-Agent. Yn 'e nije ferzje wurdt stipe foar it User-Agent Client Hints-meganisme, ûntwikkele as ferfanging foar User-Agent, aktivearre foar alle brûkers. It nije meganisme omfettet selektyf weromjaan fan gegevens oer spesifike browser- en systeemparameters (ferzje, platfoarm, ensfh.) Pas nei in fersyk fan de tsjinner en jouwe brûkers de kâns om selektyf sokke ynformaasje te jaan oan side-eigners. By it brûken fan User-Agent Client Hints, wurdt de identifier net standert oerdroegen sûnder in eksplisyt fersyk, wat passive identifikaasje ûnmooglik makket (standert wurdt allinich de browsernamme oanjûn).
  De yndikaasje fan 'e oanwêzigens fan in fernijing en de needsaak om de browser opnij te starten om it te ynstallearjen is feroare. Yn stee fan in kleurde pylk, "Update" ferskynt no yn it akkount avatar fjild.
• Der is wurk dien om de browser te konvertearjen om ynklusive terminology te brûken. Yn beliedsnammen binne de wurden "whitelist" en "swartelist" ferfongen troch "allowlist" en "blocklist" (al tafoege belied sil trochgean te wurkjen, mar se sille in warskôging werjaan oer ôfskaft wurde). Yn koade en bestânsnammen binne ferwizings nei "swarte list" ferfongen troch "bloklist". Mei brûker sichtbere ferwizings nei "swarte list" en "wite list" waarden oan it begjin fan 2019 ferfongen.
  In eksperimintele mooglikheid tafoege om bewarre wachtwurden te bewurkjen, aktivearre mei de flagge "chrome://flags/#edit-passwords-in-settings".
• De Native File System API is oerbrocht nei de kategory fan stabile en iepenbier beskikber API, wêrtroch jo webapplikaasjes kinne oanmeitsje dy't ynteraksje mei bestannen yn it lokale bestânsysteem. Bygelyks, de nije API kin yn fraach wêze yn browser-basearre yntegreare ûntwikkelingsomjouwings, tekst, ôfbylding en fideo-bewurkers. Om bestannen direkt te skriuwen en te lêzen of dialoochfinsters te brûken om bestannen te iepenjen en op te slaan, lykas om troch de ynhâld fan mappen te navigearjen, freget de applikaasje de brûker om spesjale befêstiging.
• In CSS-selektor tafoege ":focus-visible", dy't deselde heuristyk brûkt dy't de blêder brûkt by it besluten of de yndikator foar fokusferoaring sjen moat (by it ferpleatsen fan fokus nei in knop mei fluchtoetsen, ferskynt de yndikator, mar as jo mei de mûs klikke , it docht net). De earder beskikbere CSS-selektor ":focus" markearret altyd fokus. Derneist is de opsje "Quick Focus Highlight" tafoege oan 'e ynstellings, as it ynskeakele is, sil in ekstra fokusyndikator neist aktive eleminten te sjen wêze, dy't sichtber bliuwt sels as styleleminten foar visueel markearjen fan fokus op 'e side útskeakele binne fia CSS .
• Ferskate nije API's binne tafoege oan Origin Trials-modus (eksperimintele funksjes dy't aparte aktivearring nedich binne). Origin Trial ymplisearret de mooglikheid om te wurkjen mei de oantsjutte API út applikaasjes ynladen fan localhost of 127.0.0.1, of nei registrearjen en ûntfange in spesjale token dat jildich is foar in beheinde tiid foar in spesifike side.
• WebHID API foar tagong op leech nivo ta HID-apparaten (minsklike ynterface-apparaten, toetseboerden, mûzen, gamepads, touchpads), wêrtroch jo de logika kinne ymplementearje fan wurkjen mei in HID-apparaat yn JavaScript om wurk te organisearjen mei seldsume HID-apparaten sûnder de oanwêzigens fan spesifike bestjoerders yn it systeem. Alderearst is de nije API rjochte op it leverjen fan stipe foar gamepads.
• Screen Information API, wreidet de Window Placement API út om konfiguraasjes mei meardere skermen te stypjen. Oars as window.screen lit de nije API jo de pleatsing fan in finster yn 'e algemiene skermromte fan multi-monitorsystemen manipulearje, sûnder beheind ta it aktuele skerm.
• Meta-tag batterij-besparring, wêrmei't de side de browser kin ynformearje oer de needsaak om modi te aktivearjen om enerzjyferbrûk te ferminderjen en CPU-lading te optimalisearjen.
• COOP Reporting API om mooglike oertrêdings fan Cross-Origin-Embedder-Policy (COEP) en Cross-Origin-Opener-Policy (COOP) isolaasjemodi te rapportearjen, sûnder feitlike beheiningen oan te passen.
• De Credential Management API biedt in nij type bewiisbrieven, PaymentCredential, dy't ekstra befêstiging leveret fan 'e betellingstransaksje dy't wurdt útfierd. In fertroude partij, lykas in bank, hat de mooglikheid om in iepenbiere kaai te generearjen, in PublicKeyCredential, dy't kin wurde oanfrege troch de keapman foar ekstra feilige betellingsbefêstiging.
• De PointerEvents API foar it bepalen fan de tilt fan de stylus * hat stipe tafoege foar hichtehoeken (de hoeke tusken de stylus en it skerm) en azimuth (de hoeke tusken de X-as en de projeksje fan de stylus op it skerm), ynstee fan de TiltX- en TiltY-hoeken (de hoeken tusken it fleantúch fan 'e stylus en ien fan 'e assen en it fleantúch fan 'e Y- en Z-assen). Ek tafoege konverzje funksjes tusken hichte / azimuth en TiltX / TiltY.
• Feroare de kodearring fan romte yn URL's by it berekkenjen fan it yn protokolhannelers - de metoade navigator.registerProtocolHandler() ferfangt no spaasjes mei "%20" ynstee fan "+", wat it gedrach ferieniget mei oare browsers lykas Firefox.
• In pseudo-elemint "::marker" is tafoege oan CSS, wêrtroch jo de kleur, grutte, foarm en type fan nûmers en punten kinne oanpasse foar listings yn blokken En .
• Stipe tafoege foar de HTTP-header Document-Policy, wêrtroch jo regels kinne ynstelle foar tagong ta dokuminten, fergelykber mei it sânbox-isolaasjemeganisme foar iframes, mar universeler. Bygelyks, fia Document-Policy kinne jo it gebrûk fan ôfbyldings fan lege kwaliteit beheine, trage JavaScript API's útskeakelje, regels ynstelle foar it laden fan iframes, ôfbyldings en skripts, de totale dokumintgrutte en ferkear beheine, metoaden ferbiede dy't liede ta it opnij tekenjen fan side, en Skeakelje de Scroll-To-Text-funksje út.
• Om elemint tafoege stipe foar parameters 'inline-grid', 'grid', 'inline-flex' en 'flex' ynsteld fia de 'display' CSS-eigenskip.
• Added ParentNode.replaceChildren () metoade foar in ferfange alle bern fan in âlder node mei in oare DOM node. Earder kinne jo in kombinaasje fan node.removeChild () en node.append () of node.innerHTML en node.append () brûke om knopen te ferfangen.
• It berik fan URL-skema's dat kin wurde oerskreaun mei registerProtocolHandler () is útwreide. De list fan skema's omfettet de desintralisearre protokollen cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns en ssb, wêrtroch jo keppelings kinne definiearje nei eleminten, nettsjinsteande de side of poarte dy't tagong jout ta de boarne.
• Stipe tafoege foar tekst / html-formaat oan 'e Asynchronous Clipboard API foar it kopiearjen en plakjen fan HTML fia it klamboerd (gefaarlike HTML-konstruksjes wurde skjinmakke by it skriuwen en lêzen nei it klamboerd). De feroaring, bygelyks, lit jo it ynfoegje en kopiearjen fan opmakke tekst organisearje mei ôfbyldings en keppelings yn webbewurkers.
• WebRTC hat de mooglikheid tafoege om har eigen gegevensbehannelers te ferbinen, neamd by de kodearring of dekodearjen fan WebRTC MediaStreamTrack. Dizze mooglikheid kin bygelyks brûkt wurde om stipe ta te foegjen foar end-to-end fersifering fan gegevens dy't oerbrocht wurde fia tuskenlizzende servers.
  Yn 'e V8 JavaScript-motor is de ymplemintaasje fan Number.prototype.toString mei 75% fersneld. Added .name eigendom oan asynchronous klassen mei in lege wearde. De Atomics.wake-metoade is fuorthelle, dy't op in stuit waard omneamd ta Atomics.notify om te foldwaan oan de ECMA-262-spesifikaasje. De koade foar it fuzzing-testark JS-Fuzzer is iepen.
• De Liftoff-baseline-kompiler foar WebAssembly útbrocht yn 'e lêste release omfettet de mooglikheid om SIMD-fektorynstruksjes te brûken om berekkeningen te fersnellen. Te beoardieljen nei de tests makke optimalisaasje it mooglik om guon tests mei 2.8 kear te fersnellen. In oare optimalisaasje makke it folle flugger om ymporteare JavaScript-funksjes fan WebAssembly op te roppen.
• Ark foar webûntwikkelders binne útwreide: It Mediapaniel hat ynformaasje tafoege oer de spilers dy't brûkt wurde om fideo op 'e side te spyljen, ynklusyf evenemintgegevens, logboeken, eigendomswearden en frame-dekodearringsparameters (jo kinne bygelyks de oarsaken fan frame bepale ferlies en ynteraksjeproblemen fan JavaScript).
• Yn it kontekstmenu fan it Elements-paniel is de mooglikheid tafoege om skermôfbyldings fan it selekteare elemint te meitsjen (jo kinne bygelyks in skermôfbylding meitsje fan 'e ynhâldsopjefte of tabel).
• Yn 'e webkonsole is it probleem warskôgingspaniel ferfongen troch in gewoan berjocht, en problemen mei koekjes fan tredden binne standert ferburgen yn it ljepblêd Problemen en binne ynskeakele mei in spesjale karfakje.
• Yn it ljepblêd Rendering is in knop "Lokale lettertypen útskeakelje" tafoege, wêrtroch jo de ôfwêzigens fan lokale lettertypen kinne simulearje, en yn 'e ljepper Sensors kinne jo no ynaktiviteit fan brûkers simulearje (foar applikaasjes dy't de Idle Detection API brûke).
• It Applikaasjepaniel jout detaillearre ynformaasje oer elk iframe, iepen finster en pop-up, ynklusyf ynformaasje oer Cross-Origin-isolaasje mei COEP en COOP.

De ymplemintaasje fan it QUIC-protokol is begon te wurde ferfongen troch de ferzje ûntwikkele yn 'e IETF-spesifikaasje, ynstee fan de Google-ferzje fan QUIC.
Neist ynnovaasjes en bug fixes elimineert de nije ferzje 35 kwetsberens. In protte fan 'e kwetsberens waarden identifisearre as gefolch fan automatisearre testen mei de AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-ark. Ien kwetsberens (CVE-2020-15967, tagong ta befrijd ûnthâld yn koade foar ynteraksje mei Google Payments) wurdt markearre as kritysk, d.w.s. kinne jo omgean alle nivo's fan blêder beskerming en útfiere koade op it systeem bûten de sânbox omjouwing. As ûnderdiel fan it programma om cashbelonningen te beteljen foar it ûntdekken fan kwetsberens foar de hjoeddeistige release, betelle Google 27 prizen wurdich $71500 (ien $15000-priis, trije $7500-prizen, fiif $5000-prizen, twa $3000-prizen, ien $200-priis, en twa $500-prizen). De grutte fan 13 beleannings is noch net fêststeld.

Oernommen fan Opennet.ru

Boarne: linux.org.ru