ProHoster > Blog > noticias de internet > Chrome 86

Chrome 86

Lanzáronse a próxima versión de Chrome 86 e a versión estable de Chromium.

Cambios clave en Chrome 86:

  • protección contra o envío inseguro de formularios de entrada en páxinas cargadas a través de HTTPS pero que envían datos a través de HTTP.
  • O bloqueo de descargas non seguras (http) de ficheiros executables compleméntase co bloqueo de descargas non seguras de arquivos (zip, iso, etc.) e a visualización de avisos para descargas non seguras de documentos (docx, pdf, etc.). Na próxima versión espéranse bloqueos de documentos e avisos para imaxes, texto e ficheiros multimedia. O bloqueo implícase porque a descarga de ficheiros sen cifrado pode usarse para realizar accións maliciosas substituíndo o contido durante ataques MITM.
  • O menú contextual predeterminado mostra a opción "Mostrar sempre o URL completo", que antes requiría cambiar a configuración da páxina about:flags para activala. O URL completo tamén se pode ver facendo dobre clic na barra de enderezos. Lembrámosche que a partir de Chrome 76, por defecto o enderezo comezou a mostrarse sen o protocolo e o subdominio www. En Chrome 79, eliminouse a configuración para devolver o comportamento antigo, pero tras a insatisfacción do usuario, engadiuse unha nova marca experimental en Chrome 83 que engade unha opción ao menú contextual para desactivar a ocultación e a mostra do URL completo en todas as condicións.
    Para unha pequena porcentaxe de usuarios, lanzouse un experimento para mostrar só o dominio na barra de enderezos por defecto, sen elementos de ruta e parámetros de consulta. Por exemplo, en lugar de "https://example.com/secure-google-sign-in/" Mostrarase "example.com". Espérase que o modo proposto sexa presentado a todos os usuarios nunha das próximas versións. Para desactivar este comportamento, pode usar a opción "Mostrar sempre o URL completo" e para ver o URL completo, pode facer clic na barra de enderezos. O motivo do cambio é o desexo de protexer aos usuarios do phishing que manipula parámetros na URL: os atacantes aproveitan a falta de atención dos usuarios para crear a aparencia de abrir outro sitio e cometer accións fraudulentas (se tales substitucións son obvias para un usuario tecnicamente competente). , entón as persoas sen experiencia caen facilmente na manipulación tan sinxela).
  • Renovouse a iniciativa para eliminar o soporte FTP. En Chrome 86, o FTP está desactivado de forma predeterminada para aproximadamente o 1 % dos usuarios, e en Chrome 87 o alcance da desactivación aumentarase ata o 50 %, pero o soporte pódese recuperar usando "--enable-ftp" ou "- Marcador -enable-features=FtpProtocol". En Chrome 88, a compatibilidade con FTP estará completamente desactivada.
  • Na versión para Android, similar á versión para sistemas de escritorio, o xestor de contrasinais implementa unha comprobación dos inicios de sesión e contrasinais gardados contra unha base de datos de contas comprometidas, mostrando un aviso se se detectan problemas ou se intenta utilizar contrasinais triviais. A comprobación realízase contra unha base de datos que abarca máis de 4 millóns de contas comprometidas que apareceron en bases de datos de usuarios filtradas. Para manter a privacidade, o prefixo hash verifícase no lado do usuario e os propios contrasinais e os seus hash completos non se transmiten externamente.
  • O botón "Comprobación de seguranza" e o modo de protección mellorada contra sitios perigosos (Navegación segura mellorada) tamén se transferiron á versión de Android. O botón "Comprobación de seguranza" mostra un resumo de posibles problemas de seguridade, como o uso de contrasinais comprometidos, o estado da comprobación de sitios maliciosos (Navegación segura), a presenza de actualizacións desinstaladas e a identificación de complementos maliciosos. O modo de protección avanzada activa comprobacións adicionais para protexerse contra phishing, actividade maliciosa e outras ameazas na web e tamén inclúe protección adicional para a túa conta de Google e os servizos de Google (Gmail, Drive, etc.). Se no modo de Navegación segura normal as comprobacións realízanse localmente usando unha base de datos cargada periodicamente no sistema do cliente, entón en Navegación segura mellorada envíase información sobre páxinas e descargas en tempo real para a verificación do lado de Google, o que lle permite responder rapidamente aos ameazas inmediatamente despois de ser identificadas, sen esperar ata que se actualice a lista negra local.
  • Engadido soporte para o ficheiro indicador ".well-known/change-password", co que os propietarios do sitio poden especificar o enderezo do formulario web para cambiar o contrasinal. Se as credenciais dun usuario están comprometidas, agora Chrome solicitará inmediatamente ao usuario un formulario de cambio de contrasinal baseado na información deste ficheiro.
  • Implementouse un novo aviso "Consello de seguridade", que se mostra ao abrir sitios cuxo dominio é moi similar a outro sitio e as heurísticas mostran que hai unha alta probabilidade de falsificación (por exemplo, ábrese goog0le.com en lugar de google.com).

    * Implementouse o soporte para a caché de retroceso, proporcionando unha navegación instantánea ao usar os botóns "Atrás" e "Adelante" ou ao navegar polas páxinas consultadas anteriormente do sitio actual. A caché está habilitada mediante a configuración chrome://flags/#back-forward-cache.

  • Optimización do consumo de recursos da CPU para as fiestras fóra do ámbito. Chrome comproba se a xanela do navegador está solapada con outras fiestras e impide debuxar píxeles nas áreas de superposición. Esta optimización habilitouse para unha pequena porcentaxe de usuarios en Chrome 84 e 85 e agora está habilitada en todas partes. En comparación con versións anteriores, tamén se resolveu unha incompatibilidade cos sistemas de virtualización que facía que aparecesen páxinas brancas en branco.
  • Aumentou o recorte de recursos para as pestanas de fondo. Tales pestanas xa non poden consumir máis do 1% dos recursos da CPU e non poden activarse máis dunha vez por minuto. Despois de cinco minutos de estar en segundo plano, as pestanas conxélanse, a excepción das pestanas que reproducen contido multimedia ou gravan.
  • Retomouse o traballo para unificar a cabeceira HTTP User-Agent. Na nova versión, o soporte para o mecanismo User-Agent Client Suxestións, desenvolvido como substituto de User-Agent, está activado para todos os usuarios. O novo mecanismo implica devolver de forma selectiva datos sobre parámetros específicos do navegador e do sistema (versión, plataforma, etc.) só despois dunha solicitude do servidor e dar aos usuarios a oportunidade de proporcionar esa información de forma selectiva aos propietarios do sitio. Cando se usan as suxestións de cliente de axente de usuario, o identificador non se transmite por defecto sen unha solicitude explícita, o que fai imposible a identificación pasiva (por defecto, só se indica o nome do navegador).
    Cambiouse a indicación da presenza dunha actualización e da necesidade de reiniciar o navegador para instalala. En lugar dunha frecha de cores, agora aparece "Actualizar" no campo do avatar da conta.
  • Traballouse para converter o navegador para utilizar unha terminoloxía inclusiva. Nos nomes das políticas, as palabras "lista branca" e "lista negra" substituíronse por "lista permitida" e "lista de bloqueo" (as políticas xa engadidas seguirán funcionando, pero mostrarán unha advertencia sobre a súa desaparición). Nos nomes de código e ficheiros, as referencias á "lista negra" foron substituídas por "lista de bloqueo". As referencias visibles para os usuarios a "lista negra" e "lista branca" substituíronse a principios de 2019.
    Engadiuse unha capacidade experimental para editar contrasinais gardados, activada mediante a marca "chrome://flags/#edit-passwords-in-settings".
  • A API do sistema de ficheiros nativo foi transferida á categoría de API estable e dispoñible publicamente, o que lle permite crear aplicacións web que interactúan cos ficheiros do sistema de ficheiros local. Por exemplo, a nova API pode ser demandada en contornos de desenvolvemento integrados baseados en navegadores, editores de texto, imaxe e vídeo. Para poder escribir e ler ficheiros directamente ou usar diálogos para abrir e gardar ficheiros, así como para navegar polo contido dos directorios, a aplicación pídelle ao usuario unha confirmación especial.
  • Engadiuse un selector CSS ":focus-visible", que utiliza as mesmas heurísticas que usa o navegador á hora de decidir se mostrar o indicador de cambio de foco (ao mover o foco a un botón mediante atallos de teclado, aparece o indicador, pero ao facer clic co rato). , non). O selector CSS dispoñible anteriormente ":focus" sempre destaca o foco. Ademais, engadiuse á configuración a opción "Destacado rápido do foco", cando está activada, un indicador de foco adicional mostrarase xunto aos elementos activos, que permanece visible aínda que os elementos de estilo para resaltar visualmente o foco estean desactivados na páxina mediante CSS. .
  • Engadíronse varias API novas ao modo Origin Trials (funcións experimentais que requiren unha activación separada). Origin Trial implica a capacidade de traballar coa API especificada desde aplicacións descargadas desde localhost ou 127.0.0.1, ou despois de rexistrarse e recibir un token especial que é válido por un tempo limitado para un sitio específico.
  • API WebHID para o acceso de baixo nivel a dispositivos HID (dispositivos de interface humana, teclados, ratos, gamepads, touchpads), que permite implementar a lóxica de traballar cun dispositivo HID en JavaScript para organizar o traballo con dispositivos HID raros sen a presenza de controladores específicos del sistema. En primeiro lugar, a nova API está dirixida a proporcionar soporte para gamepads.
  • Screen Information API, amplía a API Window Placement para admitir configuracións multipantalla. A diferenza de window.screen, a nova API permítelle manipular a colocación dunha xanela no espazo total da pantalla dos sistemas con varios monitores, sen limitarse á pantalla actual.
  • Meta-etiqueta de aforro de batería, coa que o sitio pode informar ao navegador sobre a necesidade de activar modos para reducir o consumo de enerxía e optimizar a carga da CPU.
  • API de informes de COOP para informar de posibles infraccións dos modos de illamento da política de incrustación cruzada (COEP) e da política de apertura cruzada (COOP), sen aplicar restricións reais.
  • A API de xestión de credenciais ofrece un novo tipo de credenciais, PaymentCredential, que proporciona unha confirmación adicional da transacción de pago que se está a realizar. Unha parte de confianza, como un banco, ten a capacidade de xerar unha clave pública, unha PublicKeyCredential, que o comerciante pode solicitar para obter unha confirmación adicional de pago seguro.
  • A API de PointerEvents para determinar a inclinación do estilete* engadiu soporte para ángulos de elevación (o ángulo entre o estilete e a pantalla) e o acimut (o ángulo entre o eixe X e a proxección do estilete na pantalla), en lugar do Ángulos TiltX e TiltY (os ángulos entre o plano do estilete e un dos eixes e o plano dos eixes Y e Z). Tamén se engadiron funcións de conversión entre altitude/acimut e TiltX/TiltY.
  • Cambiouse a codificación do espazo nos URL ao calculalo nos controladores de protocolos: o método navigator.registerProtocolHandler() agora substitúe os espazos por "% 20" en lugar de "+", o que unifica o comportamento con outros navegadores como Firefox.
  • Engadiuse un pseudoelemento "::marker" a CSS, o que lle permite personalizar a cor, o tamaño, a forma e o tipo de números e puntos para listas en bloques E .
  • Engadiuse compatibilidade para a cabeceira HTTP Document-Policy, que che permite establecer regras para acceder aos documentos, semellantes ao mecanismo de illamento do sandbox para iframes, pero máis universal. Por exemplo, mediante Document-Policy pode limitar o uso de imaxes de baixa calidade, desactivar as API de JavaScript lentas, configurar regras para cargar iframes, imaxes e scripts, limitar o tamaño e o tráfico global do documento, prohibir os métodos que levan ao redeseño de páxinas e desactivar a función de desprazamento ao texto.
  • Ao elemento engadiuse soporte para os parámetros "inline-grid", "grid", "inline-flex" e "flex" definidos mediante a propiedade CSS "display".
  • Engadiuse o método ParentNode.replaceChildren() para substituír todos os fillos dun nodo pai por outro nodo DOM. Anteriormente, podía usar unha combinación de node.removeChild() e node.append() ou node.innerHTML e node.append() para substituír os nós.
  • Ampliouse o rango de esquemas de URL que se poden substituír mediante registerProtocolHandler(). A lista de esquemas inclúe os protocolos descentralizados cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns e ssb, que permiten definir ligazóns a elementos independentemente do sitio ou pasarela que proporciona acceso ao recurso.
  • Engadiuse soporte para o formato de texto/html á API do portapapeis asincrónico para copiar e pegar HTML a través do portapapeis (as construcións perigosas de HTML límpanse ao escribir e ler no portapapeis). O cambio, por exemplo, permite organizar a inserción e copia de texto formateado con imaxes e ligazóns nos editores web.
  • WebRTC engadiu a posibilidade de conectar os seus propios controladores de datos, chamados nas etapas de codificación ou decodificación de WebRTC MediaStreamTrack. Por exemplo, esta capacidade pódese usar para engadir soporte para o cifrado de extremo a extremo dos datos transmitidos a través de servidores intermedios.
    No motor JavaScript V8, a implementación de Number.prototype.toString acelerouse nun 75%. Engadiuse a propiedade .name ás clases asíncronas cun valor baleiro. Eliminouse o método Atomics.wake, que nun momento cambiou o nome a Atomics.notify para cumprir coa especificación ECMA-262. O código para a ferramenta de proba de fuzzing JS-Fuzzer está aberto.
  • O compilador de liñas de base Liftoff para WebAssembly lanzado na última versión inclúe a posibilidade de usar instrucións vectoriais SIMD para acelerar os cálculos. A xulgar polas probas, a optimización permitiu acelerar algunhas probas 2.8 veces. Outra optimización fixo que fose moito máis rápido chamar a funcións JavaScript importadas desde WebAssembly.
  • Ampliáronse as ferramentas para desenvolvedores web: o panel Multimedia engadiu información sobre os reprodutores utilizados para reproducir vídeo na páxina, incluíndo datos de eventos, rexistros, valores de propiedade e parámetros de decodificación de cadros (por exemplo, pode determinar as causas do cadro). problemas de perda e interacción de JavaScript).
  • No menú contextual do panel Elementos, engadiuse a posibilidade de crear capturas de pantalla do elemento seleccionado (por exemplo, pode crear unha captura de pantalla da táboa de contidos ou da táboa).
  • Na consola web, o panel de aviso de problemas foi substituído por unha mensaxe normal, e os problemas coas cookies de terceiros escóndense por defecto na pestana Problemas e están habilitados cunha caixa de verificación especial.
  • Na pestana Representación, engadiuse un botón "Desactivar fontes locais", que permite simular a ausencia de fontes locais, e na pestana Sensores agora pode simular a inactividade do usuario (para aplicacións que utilizan a API de detección inactiva).
  • O panel da aplicación ofrece información detallada sobre cada iframe, ventá aberta e ventá emerxente, incluíndo información sobre o illamento entre orixes mediante COEP e COOP.

A implementación do protocolo QUIC comezou a ser substituída pola versión desenvolvida na especificación IETF, en lugar da versión de Google de QUIC.
Ademais de innovacións e correccións de erros, a nova versión elimina 35 vulnerabilidades. Moitas das vulnerabilidades identificáronse como resultado de probas automatizadas mediante as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Unha vulnerabilidade (CVE-2020-15967, acceso á memoria liberada en código para interactuar con Google Payments) está marcada como crítica, é dicir. permítelle ignorar todos os niveis de protección do navegador e executar código no sistema fóra do entorno sandbox. Como parte do programa para pagar recompensas en metálico por descubrir vulnerabilidades para a versión actual, Google pagou 27 premios por valor de 71500 dólares (un premio de 15000 dólares, tres premios de 7500 dólares, cinco premios de 5000 dólares, dous premios de 3000 dólares, un premio de 200 dólares e dous de 500 dólares). Aínda non se determinou o tamaño de 13 recompensas.

Tomado de Opennet.ru

Fonte: linux.org.ru

Engadir un comentario