Chrome 84 saor an asgaidh

Google air a thaisbeanadh sgaoileadh brabhsair lìn Chrome 84... Aig an aon àm ri fhaighinn Taisbeanadh air pròiseact a saor an asgaidh Chromium, a tha na bhunait airson Chrome. Chrome brabhsair eadar-dhealaichte cleachdadh suaicheantasan Google, làthaireachd siostam airson fiosan a chuir ma thachras tubaist, an comas modal Flash a luchdachadh sìos ma thèid iarraidh, modalan airson a bhith a’ cluich susbaint bhidio fo dhìon (DRM), siostam airson ùrachaidhean is sgaoileadh a chuir a-steach gu fèin-ghluasadach rè an sgrùdaidh Paramadairean RLZ. Tha an ath fhoillseachadh de Chrome 85 clàraichte airson 25 Lùnastal.

prìomh atharrachadh в Chrome 84:

• Ciorramach taic airson protocolaidhean TLS 1.0 agus TLS 1.1. Gus faighinn gu làraich thairis air seanal conaltraidh tèarainte, feumaidh am frithealaiche taic a thoirt seachad airson co-dhiù TLS 1.2, air neo seallaidh am brabhsair mearachd a-nis. A rèir Google, tha timcheall air 0.5% de luchdachadh sìos duilleag lìn fhathast gan dèanamh a’ cleachdadh seann dreachan de TLS. Chaidh an dùnadh a dhèanamh a rèir molaidhean IETF (Buidheann Gnìomha Innleadaireachd Eadar-lìn). Is e an adhbhar airson a bhith a’ diùltadh TLS 1.0/1.1 an dìth taic do shìobairean an latha an-diugh (mar eisimpleir, ECDHE agus AEAD) agus an riatanas taic a thoirt do sheann ciphers, agus thathas a’ ceasnachadh dè cho earbsach sa tha iad aig an ìre làithreach de leasachadh teicneòlas coimpiutaireachd (mar eisimpleir , tha feum air taic airson TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 agus SHA-1). Thèid an suidheachadh a leigeas le tilleadh gu TLS 1.0/1.1 a chumail chun Fhaoilleach 2021.
• Bacadh air a thoirt seachad bròg neo-shàbhailte (gun chrioptachadh) de fhaidhlichean so-ghnìomhaichte agus rabhaidhean a bharrachd nuair a bhios tu a’ luchdachadh tasglannan gu mì-shàbhailte. Anns an àm ri teachd, thathas an dùil stad a chuir air taic a thoirt do luchdachadh suas faidhle gun chrioptachadh. Tha am bacadh air a chuir an gnìomh oir faodar luchdachadh sìos faidhlichean gun chrioptachadh a chleachdadh gus gnìomhan droch-rùnach a dhèanamh le bhith ag ath-chur an t-susbaint tro ionnsaighean MITM.
• Air a chur ris taic tòiseachaidh aithnichear Molaidhean Cliant, air a leasachadh mar roghainn eile an àite bann-cinn Cleachdaiche-Agent. Tha an uidheamachd Client Hints a’ tabhann sreath de chinn-cinn “Sec-CH-UA-*” an àite User-Agent, a leigeas leat lìbhrigeadh roghnach dàta a chuir air dòigh mu pharaimearan brabhsair agus siostam sònraichte (dreach, àrd-ùrlar, msaa) a-mhàin às deidh iarrtas bhon fhrithealaiche. Bidh an neach-cleachdaidh a 'faighinn cothrom faighinn a-mach dè na crìochan a tha iomchaidh airson an lìbhrigeadh agus a' toirt seachad fiosrachadh mar sin gu luchd-seilbh làraich. Nuair a bhios tu a’ cleachdadh Client Hints, chan eil an aithnichear air a ghluasad gu bunaiteach às aonais iarrtas soilleir, a tha ga dhèanamh comasach aithneachadh fulangach (gu gnàthach, chan eil ach ainm a’ bhrobhsair air a chomharrachadh). obair air a ' Aonadh cleachdaiche-àidseant air a chur dheth gus an ath bhliadhna.
• Leantainn gnìomh
  nas cruaidhe cuingealachaidhean gluasad cookies eadar làraichean, a bha air a chur dheth air sgàth COVID-19. Airson iarrtasan neo-HTTPS, thathas a’ toirmeasg giullachd bhriosgaidean treas-phàrtaidh nuair a thathar a’ faighinn cothrom air làraich a bharrachd air àrainn na duilleige làithreach. Bithear a’ cleachdadh briosgaidean mar seo gus sùil a chumail air gluasadan luchd-cleachdaidh eadar làraich ann an còd lìonraidhean sanasachd, widgets lìonra sòisealta agus siostaman anailis lìn.

  Cuimhnich, gus smachd a chumail air sgaoileadh bhriosgaidean, gu bheil am feart SameSite a tha air a shònrachadh ann am bann-cinn Set-Cookie air a chleachdadh, a thèid a shuidheachadh gu bunaiteach don luach “SameSite = Lax”, a chuireas casg air cur briosgaidean airson fo-iarrtasan thar-làraich. , leithid iarrtas ìomhaigh no luchdachadh susbaint tro iframe bho làrach eile. Faodaidh làraichean an giùlan àbhaisteach SameSite a dhol thairis air le bhith a’ suidheachadh suidheachadh nam Cookie gu SameSite=Chan eil gin. A bharrachd air an sin, chan urrainnear an luach SameSite=Chan eil gin airson cookie a shuidheachadh ach ann am modh tèarainte (dligheach airson ceanglaichean tro HTTPS). Thèid an t-atharrachadh a sgaoileadh ann an ìrean, a’ tòiseachadh le àireamh bheag sa cheud de luchd-cleachdaidh agus an uairsin a’ leudachadh a ruigsinneachd mean air mhean.

• Cur an gnìomh deuchainneach air a chur ris neach-bacadh sanasachd dian-ghoireasan, a ghabhas a chomasachadh leis an t-suidheachadh “chrome: // flags/#enable-heavy-ad-intervention”. Leigidh an neach-bacadh leat blocaichean sanasachd iframe a chuir dheth gu fèin-ghluasadach às deidh trafaic agus stairsnich luchdan CPU a dhol thairis air. Thèid am bacadh a chuir air adhart ma tha am prìomh snàithlean air barrachd air 60 diogan de ùine CPU a chaitheamh gu h-iomlan no 15 diogan ann an eadar-ama 30-diog (a ’caitheamh 50% de ghoireasan airson barrachd air 30 diogan), a bharrachd air nuair a tha barrachd air 4 MB chaidh dàta a luchdachadh sìos thairis air an lìonra.

  Chan obraich am bacadh ach ma chaidh, mus deach na crìochan thairis air na crìochan, nach do rinn an neach-cleachdaidh eadar-obrachadh leis an aonad sanasachd (mar eisimpleir, cha do bhriog e air), a leigeas, a’ toirt aire do chuingealachaidhean trafaic, ath-chluich fèin-ghluasadach de mhòran. bhideothan ann an sanasachd a bhith air am bacadh às aonais an neach-cleachdaidh gu sònraichte a’ cur an gnìomh ath-chluich. Sàbhalaidh na ceumannan a thathar a’ moladh luchd-cleachdaidh bho sanasachd le gnìomhachadh còd neo-èifeachdach no gnìomhachd dìosganach a dh’aona ghnothach (mar eisimpleir, mèinnearachd). A rèir staitistig Ghoogle, chan eil sanasachd a tha a 'coinneachadh ris na slatan-tomhais bacadh a' dèanamh suas ach 0.30% de na h-aonadan sanasachd gu lèir, ach aig an aon àm, bidh cuir a-steach sanasachd mar sin ag ithe 28% de ghoireasan CPU agus 27% de thrafaig bhon àireamh iomlan de sanasachd.

• Chaidh obair a dhèanamh gus caitheamh ghoireasan CPU a lughdachadh nuair nach eil uinneag a’ bhrobhsair ann an raon sealladh an neach-cleachdaidh. Bidh Chrome a-nis a’ sgrùdadh a bheil uinneag a’ bhrobhsair a’ dol thairis air uinneagan eile agus a’ cur casg air a bhith a’ tarraing piogsail ann an raointean tar-tharraing. Thèid am feart ùr a sgaoileadh mean air mhean: bidh optimization air a chomasachadh gu roghnach airson cuid de luchd-cleachdaidh ann an Chrome 84, agus airson feadhainn eile ann an Chrome 85.
• Tha dìon air a chomasachadh gu bunaiteach brathan neònach, mar eisimpleir, spam le iarrtasan airson fiosan putaidh fhaighinn. Leis gu bheil iarrtasan mar seo a’ cur bacadh air obair an neach-cleachdaidh agus a’ tarraing aire bho ghnìomhan ann an còmhraidhean dearbhaidh, an àite còmhradh air leth anns a’ bhàr seòlaidh, thèid sanas fiosrachaidh nach fheum gnìomh bhon neach-cleachdaidh a thaisbeanadh le rabhadh gu bheil an t-iarrtas cead air a bhacadh , a thèid a lughdachadh gu fèin-ghluasadach gu comharra le ìomhaigh clag a tha air a tharraing a-mach. Le bhith a’ cliogadh air a’ chomharra, faodaidh tu an cead iarraidh a chuir an gnìomh no a dhiùltadh aig àm iomchaidh sam bith.
  

• Bithear a’ cuimhneachadh air roghainn an neach-cleachdaidh nuair a dh’fhosglas tu innealan-làimhseachaidh airson protocolaidhean bhon taobh a-muigh - faodaidh an neach-cleachdaidh “ceadaich an-còmhnaidh don làrach seo” a thaghadh airson inneal-làimhseachaidh sònraichte agus cuimhnichidh am brabhsair an co-dhùnadh seo a thaobh na làraich làithreach.
• Dìon a bharrachd an aghaidh atharrachadh roghainnean cleachdaiche gun chead soilleir. Ma dh’ atharraicheas an tuilleadan an einnsean sgrùdaidh bunaiteach no an duilleag a tha air a thaisbeanadh airson taba ùr, seallaidh am brabhsair còmhradh a-nis ag iarraidh ort an obrachadh ainmichte a dhearbhadh no an t-atharrachadh a chuir dheth.
• Leantainn buileachadh dìon an aghaidh luchdachadh susbaint ioma-mheadhain measgaichte (nuair a tha goireasan air an luchdachadh air duilleag HTTPS tron ​​phròtacal http: //). Air duilleagan a chaidh fhosgladh tro HTTPS, thèid “https: //” a chuir an àite ceanglaichean “http: //” gu fèin-ghluasadach ann am blocaichean co-cheangailte ri luchdachadh ìomhaighean (chaidh sgriobtaichean agus iframes a chuir nan àite roimhe, tha dùil ri goireasan claisneachd is bhidio a chuir nan àite gu fèin-ghluasadach ann an an ath fhoillseachadh). Mura h-eil ìomhaigh ri fhaighinn tro https, tha an luchdachadh sìos aige air a bhacadh (faodaidh tu am bacadh a chomharrachadh le làimh tron ​​​​chlàr a tha ruigsinneach tron ​​​​chomharra glasaidh sa bhàr seòlaidh).
• Taic API air a chur ris Làrach-lìn OTP (air a leasachadh mar API Glacadair SMS), a leigeas leat cuir a-steach facal-faire aon-ùine air duilleag lìn às deidh dhut teachdaireachd SMS fhaighinn le còd dearbhaidh air a lìbhrigeadh gu fòn cliste Android an neach-cleachdaidh air a bheil am brobhsair a’ ruith. Faodar dearbhadh SMS, mar eisimpleir, a chleachdadh gus an àireamh fòn a chaidh a shònrachadh leis an neach-cleachdaidh a dhearbhadh aig àm clàraidh. Ma bha aig an neach-cleachdaidh roimhe seo an tagradh SMS fhosgladh, lethbhreac a dhèanamh den chòd bhuaithe chun a ’bhòrd bhidio, tilleadh chun bhrobhsair agus cuir a-steach an còd seo, an uairsin bidh an API ùr ga dhèanamh comasach am pròiseas seo a dhèanamh fèin-ghluasadach agus a lughdachadh gu aon suathadh.
• API air a leudachadh Beothachadh lìn
  gus smachd a chumail air ath-chluich beòthalachd lìn. Bidh an sgaoileadh ùr a’ cur taic ri gnìomhachd cruinneachaidh, a’ toirt cothrom dhut smachd a chumail air mar a tha buaidhean air an cur còmhla agus a’ toirt seachad innealan-làimhseachaidh ùra ris an canar nuair a thachras tachartasan ath-nuadhachaidh susbaint. Tha an Web Animations API cuideachd a-nis a’ toirt taic do Promise gus an òrdugh anns a bheil beòthachaidhean air an sealltainn a mhìneachadh agus smachd nas fheàrr a chumail air mar a bhios beòthachaidhean ag eadar-obrachadh le feartan tagraidh eile.

• Chaidh grunn APIan ùra a chur ris a’ mhodh Origin Trials (feartan deuchainneach a dh’ fheumas gnìomhachadh air leth). Tha Origin Trial a’ ciallachadh comas a bhith ag obair leis an API ainmichte bho thagraidhean a chaidh a luchdachadh sìos bho localhost no 127.0.0.1, no às deidh clàradh agus faighinn comharra sònraichte a tha dligheach airson ùine chuingealaichte airson làrach sònraichte.
  • API Stòr Cookie airson luchd-obrach seirbheis faighinn gu briosgaidean HTTP, a’ frithealadh mar roghainn eile asyncronach an àite a bhith a’ cleachdadh document.cookie.
  • API Dearbhadh Idle gus neo-ghnìomhachd neach-cleachdaidh a lorg, a’ toirt cothrom dhut an ùine a lorg nuair nach eil an neach-cleachdaidh ag eadar-obrachadh leis a’ mheur-chlàr / luchag, tha an sàbhalaiche-sgrìn a’ ruith, tha an scrion glaiste, no obair ga dhèanamh air monitor eile. Bithear a’ toirt fios don tagradh mu neo-ghnìomhachd le bhith a’ cur fios às deidh dha ìre neo-ghnìomhachd sònraichte a ruighinn.
  • Modh Iomallach Tùs, a 'leigeil leis an leasaiche a bhith a' cleachdadh iomallachd nas coileanta de ghiullachd susbaint ann am pròiseas air leth a thaobh an tùs (tùs - àrainn + port + protocol), seach an làrach, aig cosgais stad a chur air taic airson cuid de fheartan dìleab, leithid sioncronaich cur an gnìomh sgriobtaichean a’ cleachdadh document.domain agus a’ gairm postMessage() gus teachdaireachdan a phostadh gu suidheachaidhean WebAssembly.Module. Ann am faclan eile, leigidh Origin Isolation leat sgaradh a chuir air dòigh eadar diofar phròiseasan stèidhichte air raon a’ ghoireas, agus chan e an làrach leis a h-uile in-ghabhail a-muigh air na duilleagan.
  • API WebAsassembly SIMD airson stiùireadh vector SIMD a chleachdadh ann an tagraidhean ann an cruth WebAssembly. Gus dèanamh cinnteach à neo-eisimeileachd àrd-ùrlair, tha e a’ tabhann seòrsa ùr 128-bit a dh’ fhaodas diofar sheòrsaichean de dhàta pacaichte a riochdachadh, agus grunn obrachaidhean vector bunaiteach airson a bhith a’ giullachd dàta pacaichte. Leigidh SIMD leat cinneasachd àrdachadh le bhith a’ co-thaobhadh giollachd dàta agus bidh e feumail nuair a chuireas tu còd dùthchasach ri chèile gu WebAssembly. Gus taic SIMD a chomasachadh, faodaidh tu an suidheachadh “chrome: // flags/#enable-webassembly-simd” a chleachdadh.
• Seasta agus a-nis air a sgaoileadh taobh a-muigh Deuchainnean Tùs
  API Clàr-innse susbaint, a bheir seachad meata-dàta mu shusbaint a chaidh a thasgadh roimhe le tagraidhean lìn a bha a’ ruith ann am modh Progressive Web Apps (PWS). Faodaidh an tagradh grunn dàta a shàbhaladh air taobh a’ bhrobhsair, a ’toirt a-steach ìomhaighean, bhideothan agus artaigilean, agus nuair a thèid an ceangal lìonra a chall, cleachd e le bhith a’ cleachdadh Cache Storage agus IndexedDB APIs. Tha API Clàr-innse Susbaint ga dhèanamh comasach goireasan mar sin a chur ris, a lorg agus a dhubhadh às. Anns a’ bhrabhsair, tha an API seo air a chleachdadh mu thràth gus liosta de dhuilleagan agus dàta ioma-mheadhain a tha rim faighinn airson coimhead far loidhne a liostadh.

• Tionndadh API seasmhach Glasadh Wake stèidhichte air uidheamachd Gealladh, a tha a’ toirt seachad dòigh nas tèarainte airson smachd a chumail air cuir às do scrionaichean glasaidh fèin-ghluasadach agus innealan atharrachadh gu modhan sàbhalaidh cumhachd.
• Anns an tionndadh airson an àrd-ùrlar airson Android air a chur ris taic airson ath-ghoiridean tagraidh, a’ toirt cothrom dhut ruigsinneachd luath a thoirt do ghnìomhan àbhaisteach mòr-chòrdte san tagradh. Gus geàrr-liostaichean a chruthachadh, dìreach cuir eileamaidean ris an tagradh lìn a tha follaiseach ann an cruth PWA (Apps Web Progressive).
  

• Tha cead aig Neach-obrach Lìn API a chleachdadh Neach-amhairc aithris, a leigeas leat inneal-làimhseachaidh a mhìneachadh airson aithisg a ghineadh, ris an canar nuair a gheibh thu cothrom air comasan seann-fhasanta. Faodar an aithisg a chaidh a chruthachadh a shàbhaladh, a chuir chun t-seirbheisiche, no a phròiseasadh le sgriobt JavaScript a rèir toil an neach-cleachdaidh.
• API air ùrachadh Ath-mheudachadh Neach-amhairc, a leigeas leat inneal-làimhseachaidh a cheangal ris an tèid fiosan mu atharrachaidhean ann am meud nan eileamaidean ainmichte air an duilleag a chuir. Chaidh trì togalaichean ùra a chur ri ResizeObserverEntry: contentBoxSize, borderBoxSize agus innealPixelContentBoxSize gus barrachd fiosrachaidh granular a thoirt seachad, air a thilleadh mar raon de nithean ResizeObserverSize.
• Facal-luirg air a chur ris"thilleas» gus stoidhle an eileamaid ath-shuidheachadh chun luach bunaiteach aige.
• Thoir air falbh an ro-leasachan airson feartan CSS "-webkit-appearance" agus "-webkit-ruby-position", a tha a-nis rim faighinn mar "coltas"Agus"ruby-suidheachadh".
• Ann an JavaScript air a chur an gnìomh taic airson dòighean comharrachaidh agus feartan clas mar phrìobhaideach, agus às deidh sin bidh ruigsinneachd orra fosgailte taobh a-staigh a’ chlas a-mhàin (roimhe seo cha b’ urrainn ach raointean a bhith prìobhaideach). Gus dòighean agus feartan a chomharrachadh gu prìobhaideach: comharrachadh ro ainm an raoin tha soidhne “#”.
• Ann an JavaScript air a chur ris taic ceanglaichean lag (iomradh lag) gu nithean JavaScript a leigeas leat iomradh a chumail air an nì, ach na cuir bacadh air an neach-cruinneachaidh sgudail bho bhith a’ cuir às don nì co-cheangailte ris. Chaidh taic airson luchd-crìochnachaidh a chuir ris cuideachd, ga dhèanamh comasach inneal-làimhseachaidh a mhìneachadh ris an canar às deidh cruinneachadh sgudail den nì ainmichte a chrìochnachadh.
• Chaidh cur air bhog thagraidhean air WebAssembly a luathachadh, le taing don bhuileachadh anns a’ chiad (bun-loidhne) inneal-cruinneachaidh Liftoff stiùiridhean atamach и gnìomhan cuimhne batch. Chaidh innealan airson WebAssembly debugging a leasachadh, chaidh coileanadh deasbaid a leasachadh gu mòr nuair a thathar a’ cleachdadh puingean brisidh (roimhe seo, chaidh an eadar-theangair a chleachdadh airson debugging, agus a-nis an inneal-cruinneachaidh Liftoff).
• Ann an innealan airson luchd-leasachaidh lìn pphttps://developers.google.com/web/updates/2020/05/devtools chaidh am pannal airson mion-sgrùdadh coileanaidh ùrachadh. Chaidh fiosrachadh coitcheann a chur ris mun mheatric TBT (Àm bacaidh iomlan), a’ sealltainn dè cho fada ‘s a tha coltas gu bheil an duilleag ri fhaighinn, ach nach eil e ri fhaighinn (ie tha an duilleag air a thoirt seachad mu thràth, ach tha cur an gnìomh a’ phrìomh snàithlean fhathast air a bhacadh agus chan eil e comasach inntrigeadh dàta). Chuir sinn ris earrann Eòlas ùr airson mion-sgrùdadh meatrach CLS (Shift Cruth tionalach), a’ nochdadh seasmhachd lèirsinneach an t-susbaint. Bidh pannal sgrùdaidh stoidhlichean CSS a’ toirt seachad ro-shealladh de na h-ìomhaighean a chaidh a shònrachadh tron ​​​​togalach “ìomhaigh cùl-fhiosrachaidh”.

A bharrachd air innleachdan agus rèiteachadh bug, bidh an dreach ùr a’ cuir às 38 so-leòntachd. Chaidh mòran de na so-leòntachd a chomharrachadh mar thoradh air innealan deuchainn fèin-ghluasadach Seòladh Sanitizer, MemorySanitizer, Ionracas sruthadh smachd, LibFuzzer и AFL. Tha aon chùis (CVE-2020-6510, tar-shruth bufair anns an inneal-làimhseachaidh cùl-fhiosrachaidh) air a chomharrachadh mar chùis èiginneach, i.e. a’ leigeil leat faighinn seachad air gach ìre de dhìon brabhsair agus còd a chuir an gnìomh air an t-siostam taobh a-muigh àrainneachd bogsa gainmhich. Mar phàirt den phrògram gus duaisean airgid a phàigheadh ​​​​airson a bhith a’ lorg so-leòntachd airson an naidheachd a th’ ann an-dràsta, phàigh Google 26 duais luach $21500 (dà dhuais $5000, dà dhuais $3000, aon duais $2000, dà dhuais $1000, agus trì duaisean $500). Cha deach meud nan 16 duaisean a dhearbhadh fhathast.

Source: fosgailtenet.ru