ProHoster > Blog > internetske vijesti > Chrome 86

Chrome 86

Objavljeno je sljedeće izdanje Chromea 86 i stabilno izdanje Chromiuma.

Ključne promjene u Chromeu 86:

  • zaštita od nesigurnog podnošenja obrazaca za unos na stranicama koje se učitavaju putem HTTPS-a, ali šalju podatke putem HTTP-a.
  • Blokiranje nesigurnog preuzimanja (http) izvršnih datoteka dopunjeno je blokiranjem nesigurnog preuzimanja arhiva (zip, iso itd.) i prikazivanjem upozorenja za nesigurno preuzimanje dokumenata (docx, pdf itd.). Blokiranje dokumenata i upozorenja za slike, tekst i medijske datoteke očekuju se u sljedećem izdanju. Blokiranje je implementirano jer se preuzimanje datoteka bez enkripcije može koristiti za izvođenje zlonamjernih radnji zamjenom sadržaja tijekom MITM napada.
  • Zadani kontekstni izbornik prikazuje opciju "Uvijek prikaži puni URL", koja je prethodno zahtijevala promjenu postavki na stranici about:flags da bi se omogućila. Puni URL također se može vidjeti dvostrukim klikom na adresnu traku. Podsjetimo, počevši od Chromea 76, prema zadanim postavkama adresa se počela prikazivati ​​bez protokola i www poddomene. U Chromeu 79, postavka za vraćanje starog ponašanja je uklonjena, ali nakon nezadovoljstva korisnika, nova eksperimentalna zastavica dodana je u Chrome 83 koja dodaje opciju u kontekstni izbornik za onemogućavanje skrivanja i prikazivanja punog URL-a u svim uvjetima.
    Za mali postotak korisnika pokrenut je eksperiment za prikaz samo domene u adresnoj traci prema zadanim postavkama, bez elemenata staze i parametara upita. Na primjer, umjesto "https://example.com/secure-google-sign-in/" prikazat će se "example.com". Očekuje se da će predloženi način rada biti dostupan svim korisnicima u jednom od sljedećih izdanja. Da biste onemogućili ovo ponašanje, možete upotrijebiti opciju “Uvijek prikaži cijeli URL”, a da biste vidjeli cijeli URL, možete kliknuti na adresnu traku. Motiv promjene je želja da se korisnici zaštite od phishinga koji manipulira parametrima u URL-u - napadači iskorištavaju nepažnju korisnika kako bi stvorili dojam otvaranja druge stranice i poduzimanja prijevarnih radnji (ako su takve zamjene očite tehnički kompetentnom korisniku , onda neiskusni ljudi lako nasjedaju na tako jednostavnu manipulaciju).
  • Inicijativa za uklanjanje FTP podrške je obnovljena. U Chromeu 86, FTP je prema zadanim postavkama onemogućen za oko 1% korisnika, au Chromeu 87 opseg onemogućavanja povećat će se na 50%, no podršku je moguće vratiti pomoću "--enable-ftp" ili "- -enable-features=FtpProtocol" zastavica. U Chromeu 88 podrška za FTP bit će potpuno onemogućena.
  • U verziji za Android, slično verziji za desktop sustave, upravitelj lozinki provodi provjeru spremljenih prijava i lozinki u bazi podataka kompromitiranih računa, prikazujući upozorenje ako se otkriju problemi ili se pokuša koristiti trivijalne lozinke. Provjera se provodi prema bazi podataka koja pokriva više od 4 milijarde kompromitiranih računa koji su se pojavili u procurjelim bazama podataka korisnika. Kako bi se održala privatnost, hash prefiks se provjerava na strani korisnika, a same lozinke i njihovi puni hashovi ne prenose se van.
  • Gumb “Safety check” i poboljšani način zaštite od opasnih stranica (Enhanced Safe Browsing) također su prebačeni u Android verziju. Gumb "Sigurnosna provjera" prikazuje sažetak mogućih sigurnosnih problema, kao što je upotreba ugroženih lozinki, status provjere zlonamjernih stranica (Sigurno pregledavanje), prisutnost neinstaliranih ažuriranja i identifikacija zlonamjernih dodataka. Način napredne zaštite aktivira dodatne provjere radi zaštite od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu, a uključuje i dodatnu zaštitu za vaš Google račun i Google usluge (Gmail, Drive itd.). Ako se u normalnom načinu sigurnog pregledavanja provjere provode lokalno pomoću baze podataka koja se povremeno učitava u klijentov sustav, tada se u poboljšanom sigurnom pregledavanju informacije o stranicama i preuzimanjima u stvarnom vremenu šalju na provjeru na strani Googlea, što vam omogućuje da brzo odgovorite na prijetnje odmah nakon što su identificirane, bez čekanja da se ažurira lokalna crna lista.
  • Dodana je podrška za indikatorsku datoteku ".well-known/change-password", pomoću koje vlasnici web-mjesta mogu odrediti adresu web obrasca za promjenu lozinke. Ako su korisničke vjerodajnice ugrožene, Chrome će sada od korisnika odmah zatražiti obrazac za promjenu lozinke na temelju informacija u ovoj datoteci.
  • Implementirano je novo upozorenje “Safety Tip”, koje se prikazuje prilikom otvaranja stranica čija je domena vrlo slična drugoj stranici i heuristika pokazuje da postoji velika vjerojatnost lažiranja (na primjer, otvara se goog0le.com umjesto google.com).

    * Implementirana je podrška za predmemoriju natrag i naprijed, koja omogućuje trenutnu navigaciju pri korištenju gumba "Natrag" i "Naprijed" ili pri kretanju kroz prethodno pregledane stranice trenutne stranice. Predmemorija je omogućena pomoću postavke chrome://flags/#back-forward-cache.

  • Optimiziranje potrošnje CPU resursa za prozore izvan opsega. Chrome provjerava preklapa li se prozor preglednika drugim prozorima i sprječava iscrtavanje piksela u područjima preklapanja. Ova je optimizacija bila omogućena za mali postotak korisnika u Chromeu 84 i 85, a sada je omogućena posvuda. U usporedbi s prethodnim izdanjima, riješena je i nekompatibilnost sa sustavima virtualizacije koja je uzrokovala pojavu praznih bijelih stranica.
  • Povećano skraćivanje resursa za pozadinske kartice. Takve kartice više ne mogu trošiti više od 1% CPU resursa i mogu se aktivirati najviše jednom u minuti. Nakon pet minuta rada u pozadini, kartice se zamrzavaju, s izuzetkom kartica koje reproduciraju multimedijski sadržaj ili snimaju.
  • Nastavljen je rad na unificiranju HTTP zaglavlja User-Agent. U novoj verziji, podrška za mehanizam User-Agent Client Hints, razvijen kao zamjena za User-Agent, aktivirana je za sve korisnike. Novi mehanizam uključuje selektivno vraćanje podataka o određenim parametrima preglednika i sustava (verzija, platforma, itd.) samo nakon zahtjeva poslužitelja i davanje mogućnosti korisnicima da selektivno daju takve informacije vlasnicima stranica. Kada koristite savjete klijenta korisničkog agenta, identifikator se prema zadanim postavkama ne prenosi bez eksplicitnog zahtjeva, što onemogućuje pasivnu identifikaciju (prema zadanim postavkama naznačeno je samo ime preglednika).
    Promijenjena je indikacija prisutnosti ažuriranja i potrebe ponovnog pokretanja preglednika za njegovu instalaciju. Umjesto obojene strelice, sada se u polju avatara računa pojavljuje "Ažuriraj".
  • Obavljen je rad na pretvorbi preglednika u korištenje uključive terminologije. U nazivima pravila, riječi "bijeli popis" i "crni popis" zamijenjene su s "dopušteni popis" i "blokirani popis" (već dodana pravila nastavit će raditi, ali će prikazati upozorenje da su zastarjela). U nazivima kodova i datoteka, reference na "crnu listu" zamijenjene su s "popis blokiranih". Korisnicima vidljive reference na "crnu listu" i "bijelu listu" zamijenjene su početkom 2019.
    Dodana je eksperimentalna mogućnost uređivanja spremljenih zaporki, aktivirana pomoću oznake “chrome://flags/#edit-passwords-in-settings”.
  • Native File System API prebačen je u kategoriju stabilnog i javno dostupnog API-ja, što vam omogućuje stvaranje web aplikacija koje komuniciraju s datotekama u lokalnom datotečnom sustavu. Na primjer, novi API bi mogao biti tražen u integriranim razvojnim okruženjima temeljenim na pregledniku, uređivačima teksta, slika i videa. Da biste mogli izravno pisati i čitati datoteke ili koristiti dijaloške okvire za otvaranje i spremanje datoteka, kao i za kretanje kroz sadržaj direktorija, aplikacija traži od korisnika posebnu potvrdu.
  • Dodan CSS selektor ":focus-visible", koji koristi istu heuristiku koju preglednik koristi kada odlučuje hoće li prikazati indikator promjene fokusa (kada se fokus premjesti na gumb pomoću tipkovničkih prečaca, indikator se pojavljuje, ali kada se klikne mišem , nije). Prethodno dostupan CSS selektor ":focus" uvijek ističe fokus. Dodatno, u postavke je dodana opcija “Quick Focus Highlight” kada je omogućena, pored aktivnih elemenata bit će prikazan dodatni indikator fokusa koji ostaje vidljiv čak i ako su stilski elementi za vizualno isticanje fokusa onemogućeni na stranici putem CSS.
  • Nekoliko novih API-ja dodano je načinu Origin Trials (eksperimentalne značajke koje zahtijevaju zasebnu aktivaciju). Origin Trial podrazumijeva mogućnost rada s navedenim API-jem iz aplikacija preuzetih s localhosta ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji vrijedi ograničeno vrijeme za određenu stranicu.
  • WebHID API za nisku razinu pristupa HID uređajima (uređaji s ljudskim sučeljem, tipkovnice, miševi, gamepadovi, touchpadovi), koji vam omogućuje implementaciju logike rada s HID uređajem u JavaScriptu za organiziranje rada s rijetkim HID uređajima bez prisustva specifične upravljačke programe u sustavu. Prije svega, novi API je usmjeren na pružanje podrške za gamepade.
  • API za informacije o ekranu, proširuje API za postavljanje prozora kako bi podržao konfiguracije s više zaslona. Za razliku od window.screen, novi API vam omogućuje da manipulirate postavljanjem prozora u ukupnom prostoru zaslona sustava s više monitora, bez ograničenja na trenutni zaslon.
  • Meta oznaka za uštedu baterije, s kojom web mjesto može obavijestiti preglednik o potrebi aktiviranja načina za smanjenje potrošnje energije i optimiziranje opterećenja CPU-a.
  • COOP Reporting API za prijavu mogućih kršenja načina izolacije Cross-Origin-Embedder-Policy (COEP) i Cross-Origin-Opener-Policy (COOP), bez primjene stvarnih ograničenja.
  • API za upravljanje vjerodajnicama nudi novu vrstu vjerodajnica, PaymentCredential, koja pruža dodatnu potvrdu o izvršenoj transakciji plaćanja. Pouzdana strana, poput banke, ima mogućnost generiranja javnog ključa, PublicKeyCredential, koji trgovac može zatražiti za dodatnu sigurnu potvrdu plaćanja.
  • PointerEvents API za određivanje nagiba olovke* dodao je podršku za kutove elevacije (kut između olovke i zaslona) i azimut (kut između X osi i projekcije olovke na zaslon), umjesto Kutovi TiltX i TiltY (kutovi između ravnine iz igle i jedne od osi i ravnine iz osi Y i Z). Dodane su i funkcije pretvorbe između visine/azimuta i TiltX/TiltY.
  • Promijenjeno je kodiranje razmaka u URL-ovima prilikom izračunavanja u rukovateljima protokolima - metoda navigator.registerProtocolHandler() sada zamjenjuje razmake s "%20" umjesto "+", što objedinjuje ponašanje s drugim preglednicima kao što je Firefox.
  • Pseudoelement "::marker" dodan je u CSS, što vam omogućuje da prilagodite boju, veličinu, oblik i vrstu brojeva i točaka za popise u blokovima I .
  • Dodana je podrška za HTTP zaglavlje Document-Policy, koje vam omogućuje postavljanje pravila za pristup dokumentima, slično mehanizmu izolacije sandboxa za iframeove, ali univerzalnije. Na primjer, kroz Document-Policy možete ograničiti korištenje slika niske kvalitete, onemogućiti spore JavaScript API-je, konfigurirati pravila za učitavanje iframeova, slika i skripti, ograničiti ukupnu veličinu dokumenta i promet, zabraniti metode koje dovode do ponovnog crtanja stranice i onemogućite funkciju Scroll-To-Text.
  • Za element dodana podrška za 'inline-grid', 'grid', 'inline-flex' i 'flex' parametre postavljene putem 'display' CSS svojstva.
  • Dodana metoda ParentNode.replaceChildren() za zamjenu svih potomaka nadređenog čvora drugim DOM čvorom. Ranije ste mogli koristiti kombinaciju node.removeChild() i node.append() ili node.innerHTML i node.append() za zamjenu čvorova.
  • Raspon URL shema koje se mogu nadjačati pomoću registerProtocolHandler() je proširen. Popis shema uključuje decentralizirane protokole cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, što vam omogućuje definiranje poveznica na elemente bez obzira na web mjesto ili gateway koji omogućuje pristup resursu.
  • Dodana je podrška za tekstualni/html format Asynchronous Clipboard API-ju za kopiranje i lijepljenje HTML-a putem međuspremnika (opasne HTML konstrukcije se čiste prilikom pisanja i čitanja u međuspremnik). Promjena vam, primjerice, omogućuje organiziranje umetanja i kopiranja formatiranog teksta sa slikama i poveznicama u web uređivačima.
  • WebRTC je dodao mogućnost povezivanja vlastitih rukovatelja podacima, koji se pozivaju u fazama kodiranja ili dekodiranja WebRTC MediaStreamTrack. Na primjer, ova se mogućnost može koristiti za dodavanje podrške za end-to-end enkripciju podataka koji se prenose posredničkim poslužiteljima.
    U V8 JavaScript motoru, implementacija Number.prototype.toString je ubrzana za 75%. Dodano svojstvo .name asinkronim klasama s praznom vrijednošću. Uklonjena je metoda Atomics.wake, koja je svojedobno preimenovana u Atomics.notify kako bi bila u skladu sa specifikacijom ECMA-262. Kod za alat za testiranje fuzzinga JS-Fuzzer je otvoren.
  • Osnovni kompilator Liftoff za WebAssembly objavljen u posljednjem izdanju uključuje mogućnost korištenja SIMD vektorskih instrukcija za ubrzanje izračuna. Sudeći prema testovima, optimizacija je omogućila ubrzanje nekih testova za 2.8 puta. Još jedna optimizacija znatno je ubrzala pozivanje uvezenih JavaScript funkcija iz WebAssemblyja.
  • Alati za web programere su prošireni: Medijska ploča je dodala informacije o playerima koji se koriste za reprodukciju videa na stranici, uključujući podatke o događajima, zapisnike, vrijednosti svojstava i parametre dekodiranja okvira (na primjer, možete odrediti uzroke okvira problemi gubitka i interakcije iz JavaScripta) .
  • U kontekstnom izborniku ploče Elementi dodana je mogućnost izrade snimki zaslona odabranog elementa (na primjer, možete izraditi snimku zaslona sadržaja ili tablice).
  • U web konzoli ploča s upozorenjem o problemu zamijenjena je običnom porukom, a problemi s kolačićima trećih strana prema zadanim postavkama skriveni su u kartici Problemi i omogućeni su posebnim potvrdnim okvirom.
  • Na kartici Renderiranje dodan je gumb “Onemogući lokalne fontove” koji omogućuje simulaciju odsutnosti lokalnih fontova, a na kartici Senzori sada možete simulirati neaktivnost korisnika (za aplikacije koje koriste Idle Detection API).
  • Ploča aplikacije pruža detaljne informacije o svakom iframeu, otvorenom prozoru i skočnom prozoru, uključujući informacije o izolaciji između izvora pomoću COEP-a i COOP-a.

Implementacija QUIC protokola počela se zamjenjivati ​​verzijom razvijenom u IETF specifikaciji, umjesto Google verzijom QUIC-a.
Uz inovacije i ispravke pogrešaka, nova verzija uklanja 35 ranjivosti. Mnoge od ranjivosti identificirane su kao rezultat automatiziranog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Jedna je ranjivost (CVE-2020-15967, pristup oslobođenoj memoriji u kodu za interakciju s Google Paymentsom) označena kao kritična, tj. omogućuje zaobilaženje svih razina zaštite preglednika i izvršavanje koda na sustavu izvan okruženja sandboxa. Kao dio programa isplate novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 27 nagrada u vrijednosti od 71500 USD (jednu nagradu od 15000 USD, tri nagrade od 7500 USD, pet nagrada od 5000 USD, dvije nagrade od 3000 USD, jednu nagradu od 200 USD i dvije nagrade od 500 USD). Veličina 13 nagrada još nije određena.

Preuzeto iz Opennet.ru

Izvor: linux.org.ru

Dodajte komentar