Google izdanje web preglednika ... Istovremeno stabilno izdanje besplatnog projekta , koji služi kao osnova Chromea. Chrome preglednik korištenje Google logotipa, prisutnost sustava za slanje obavijesti u slučaju pada, mogućnost preuzimanja Flash modula na zahtjev, moduli za reprodukciju zaštićenog video sadržaja (DRM), sustav za automatsku instalaciju ažuriranja i prijenos tijekom pretraživanja . Sljedeće izdanje Chromea 87 zakazano je za 17. studenog.
:
- Dodana zaštita od nesigurnog podnošenja obrazaca za unos na stranicama koje se učitavaju putem HTTPS-a, ali šalju podatke putem HTTP-a, što stvara prijetnju presretanja podataka i lažiranja tijekom MITM napada. Zaštita se svodi na tri promjene:
- Onemogućeno je automatsko ispunjavanje obrazaca za miješani unos, slično kao što je već neko vrijeme onemogućeno automatsko ispunjavanje obrazaca za provjeru autentičnosti na stranicama otvorenim putem HTTP-a. Ako je ranije znak za onemogućavanje bilo otvaranje stranice s obrascem putem HTTPS-a ili HTTP-a, sada se uzima u obzir i korištenje enkripcije pri slanju podataka obrascu za rukovanje. Upravitelj lozinki za mješovite oblike provjere autentičnosti nije onemogućen jer je rizik od upotrebe nesigurne lozinke i ponovne upotrebe lozinki na različitim stranicama veći od rizika od potencijalnog presretanja prometa.
- Pri započinjanju unosa u mješovitim oblicima prikazuje se upozorenje koje obavještava korisnika da se ispunjeni podaci šalju nekriptiranim komunikacijskim kanalom.
- Kada pokušate poslati mješoviti obrazac, prikazuje se zasebna stranica koja vas obavještava o potencijalnom riziku prijenosa podataka putem nešifriranog komunikacijskog kanala. U prethodnim verzijama indikator lokota u adresnoj traci korišten je za označavanje mješovitih oblika, ali ta oznaka nije bila očigledna korisnicima i nije učinkovito odražavala uključene rizike.
- Blokiranje (bez enkripcije) izvršnih datoteka nadopunjena je blokiranjem nesigurnog učitavanja arhiva (zip, iso, itd.) i prikazivanjem upozorenja za nesigurno učitavanje
dokumenata (docx, pdf itd.). Blokiranje dokumenata i upozorenja za slike, tekst i medijske datoteke očekuju se u sljedećem izdanju. Blokiranje je implementirano jer se preuzimanje datoteka bez enkripcije može koristiti za izvođenje zlonamjernih radnji zamjenom sadržaja tijekom MITM napada. - Zadani kontekstni izbornik prikazuje opciju "Uvijek prikaži puni URL", koja je prethodno zahtijevala promjenu postavki na stranici about:flags da bi se omogućila. Puni URL također se može vidjeti dvostrukim klikom na adresnu traku. Podsjetimo, počevši od Standardno se adresa počela prikazivati bez protokola i www poddomene. U postavka za vraćanje starog ponašanja je uklonjena, ali nakon nezadovoljstva korisnika Dodana je nova eksperimentalna zastavica koja dodaje opciju u kontekstni izbornik za onemogućavanje skrivanja i prikazivanja punog URL-a u svim uvjetima.
- Pokrenut za mali postotak korisnika na Prema zadanim postavkama adresna traka sadrži samo domenu, bez elemenata staze i parametara upita. Na primjer, umjesto "https://example.com/secure-google-sign-in/" prikazat će se "example.com". Očekuje se da će predloženi način rada biti dostupan svim korisnicima u jednom od sljedećih izdanja. Da biste onemogućili ovo ponašanje, možete upotrijebiti opciju “Uvijek prikaži cijeli URL”, a da biste vidjeli cijeli URL, možete kliknuti na adresnu traku. Motiv promjene je želja da se korisnici zaštite od phishinga koji manipulira parametrima u URL-u - napadači iskorištavaju nepažnju korisnika kako bi stvorili dojam otvaranja druge stranice i poduzimanja prijevarnih radnji (ako su takve zamjene očite tehnički kompetentnom korisniku , onda neiskusni ljudi lako nasjedaju na tako jednostavnu manipulaciju).
- Nastavljeno za uklanjanje FTP podrške. U Chromeu 86, FTP je prema zadanim postavkama onemogućen za oko 1% korisnika, au Chromeu 87 opseg onemogućavanja povećat će se na 50%, no podršku je moguće vratiti pomoću "--enable-ftp" ili "- -enable-features=FtpProtocol" zastavica. U Chromeu 88 podrška za FTP bit će potpuno onemogućena.
- U verziji za Android, slično verziji za desktop sustave, upravitelj lozinki provodi provjeru spremljenih prijava i lozinki u bazi podataka kompromitiranih računa, prikazujući upozorenje ako se otkriju problemi ili se pokuša koristiti trivijalne lozinke. Provjera se provodi prema bazi podataka koja pokriva više od 4 milijarde kompromitiranih računa koji su se pojavili u procurjelim bazama podataka korisnika. Za očuvanje privatnosti Hash prefiks se provjerava na strani korisnika, a same lozinke i njihovi puni hashovi ne prenose se van.
- Dostupno i u verziji za Android gumb "Sigurnosna provjera" i poboljšani način zaštite od opasnih stranica (Enhanced Safe Browsing). Gumb "Sigurnosna provjera" prikazuje sažetak mogućih sigurnosnih problema, kao što je upotreba ugroženih lozinki, status provjere zlonamjernih stranica (Sigurno pregledavanje), prisutnost neinstaliranih ažuriranja i identifikacija zlonamjernih dodataka. Način napredne zaštite aktivira dodatne provjere radi zaštite od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu, a uključuje i dodatnu zaštitu za vaš Google račun i Google usluge (Gmail, Drive itd.). Ako se u normalnom načinu sigurnog pregledavanja provjere izvode lokalno pomoću baze podataka koja se povremeno učitava u klijentov sustav, tada se u poboljšanom sigurnom pregledavanju informacije o stranicama i preuzimanjima u stvarnom vremenu šalju na provjeru na Googleovoj strani, što vam omogućuje da brzo odgovorite na prijetnje odmah nakon što su identificirane, bez čekanja da se ažurira lokalna crna lista.
- podrška za indikatorsku datoteku “.well-known/change-password”, pomoću koje vlasnici web-mjesta mogu odrediti adresu web obrasca za promjenu lozinke. Ako su korisničke vjerodajnice ugrožene, Chrome će sada od korisnika odmah zatražiti obrazac za promjenu lozinke na temelju informacija u ovoj datoteci.
- Implementirano je novo upozorenje “Safety Tip”, koje se prikazuje prilikom otvaranja stranica čija je domena vrlo slična drugoj stranici i heuristika pokazuje da postoji velika vjerojatnost lažiranja (na primjer, otvara se goog0le.com umjesto google.com).
- podrška za predmemoriju Natrag i naprijed, koja omogućuje trenutnu navigaciju kada koristite gumbe "Natrag" i "Naprijed" ili kada se krećete kroz prethodno pregledane stranice trenutne stranice. Predmemorija je omogućena pomoću postavke chrome://flags/#back-forward-cache.
- Provedena je optimizacija potrošnje CPU resursa od strane windowsa
izvan dosega. Chrome provjerava preklapa li se prozor preglednika drugim prozorima i sprječava iscrtavanje piksela u područjima preklapanja. Ova je optimizacija bila omogućena za mali postotak korisnika u Chromeu 84 i 85, a sada je omogućena posvuda. U usporedbi s prethodnim izdanjima, riješena je i nekompatibilnost sa sustavima virtualizacije koja je uzrokovala pojavu praznih bijelih stranica. - Povećano skraćivanje resursa za pozadinske kartice. Takve kartice više ne mogu trošiti više od 1% CPU resursa i mogu se aktivirati najviše jednom u minuti. Nakon pet minuta rada u pozadini, kartice se zamrzavaju, s izuzetkom kartica koje reproduciraju multimedijski sadržaj ili snimaju.
- Raditi na HTTP zaglavlje User-Agent. U novoj verziji, podrška za mehanizam je aktivirana za sve korisnike , razvijen kao zamjena za User-Agent. Novi mehanizam uključuje selektivno vraćanje podataka o određenim parametrima preglednika i sustava (verzija, platforma, itd.) samo nakon zahtjeva poslužitelja i davanje mogućnosti korisnicima da selektivno daju takve informacije vlasnicima stranica. Kada koristite savjete klijenta korisničkog agenta, identifikator se prema zadanim postavkama ne prenosi bez eksplicitnog zahtjeva, što onemogućuje pasivnu identifikaciju (prema zadanim postavkama naznačeno je samo ime preglednika).
- Promijenjena je indikacija prisutnosti ažuriranja i potrebe ponovnog pokretanja preglednika za njegovu instalaciju. Umjesto obojene strelice, sada se u polju avatara računa pojavljuje "Ažuriraj".
- Obavljen je rad na pretvorbi preglednika u korištenje uključive terminologije. U nazivima pravila, riječi "bijeli popis" i "crni popis" zamijenjene su s "dopušteni popis" i "blokirani popis" (već dodana pravila nastavit će raditi, ali će prikazati upozorenje da su zastarjela). U и reference na "crnu listu" zamijenjene su s "popis blokiranih".
Korisnicima vidljive reference na "crnu listu" i "bijelu listu" zamijenjene su početkom 2019. - Dodana je eksperimentalna mogućnost uređivanja spremljenih zaporki, aktivirana pomoću oznake “chrome://flags/#edit-passwords-in-settings”.
- Pretvoreno u stabilan i javni API , koji vam omogućuje stvaranje web aplikacija koje komuniciraju s datotekama u lokalnom datotečnom sustavu. Na primjer, novi API bi mogao biti tražen u integriranim razvojnim okruženjima temeljenim na pregledniku, uređivačima teksta, slika i videa. Da biste mogli izravno pisati i čitati datoteke ili koristiti dijaloške okvire za otvaranje i spremanje datoteka, kao i za kretanje kroz sadržaj direktorija, aplikacija traži od korisnika posebnu potvrdu.
- Dodan CSS birač "“, koji koristi istu heuristiku koju preglednik koristi kada odlučuje hoće li prikazati indikator promjene fokusa (kada se fokus pomakne na gumb pomoću tipkovničkih prečaca, indikator se pojavljuje, ali kada se klikne mišem, ne). Prethodno dostupan CSS selektor ":focus" uvijek ističe fokus.
Dodatno, u postavke je dodana opcija “Quick Focus Highlight” kada je omogućena, pored aktivnih elemenata bit će prikazan dodatni indikator fokusa koji ostaje vidljiv čak i ako su stilski elementi za vizualno isticanje fokusa onemogućeni na stranici putem CSS. - Nekoliko novih API-ja dodano je načinu Origin Trials (eksperimentalne značajke koje zahtijevaju zasebnu aktivaciju). Origin Trial podrazumijeva mogućnost rada s navedenim API-jem iz aplikacija preuzetih s localhosta ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji vrijedi ograničeno vrijeme za određenu stranicu.
- za pristup niske razine HID uređajima (uređaji s ljudskim sučeljem, tipkovnice, miševi, gamepadovi, dodirne ploče), što vam omogućuje implementaciju logike rada s HID uređajem u JavaScriptu za organizaciju rada s rijetkim HID uređajima bez prisustva specifičnih upravljačkih programa u sustavu.
Prije svega, novi API je usmjeren na pružanje podrške za gamepade. - , proširuje API za postavljanje prozora kako bi podržao konfiguracije s više zaslona. Za razliku od window.screen, novi API vam omogućuje da manipulirate postavljanjem prozora u ukupnom prostoru zaslona sustava s više monitora, bez ograničenja na trenutni zaslon.
- Meta oznaka , pomoću kojeg web mjesto može obavijestiti preglednik o potrebi aktiviranja načina za smanjenje potrošnje energije i optimiziranje opterećenja CPU-a.
- API prijaviti potencijalno kršenje propisa o izolaciji (COEP) i (COOP), bez primjene stvarnih ograničenja.
- U API-ju predložena je nova vrsta vjerodajnica , uz dodatnu potvrdu o izvršenoj platnoj transakciji. Pouzdana strana, poput banke, ima mogućnost generiranja javnog ključa, PublicKeyCredential, koji trgovac može zatražiti za dodatnu sigurnu potvrdu plaćanja.
- za pristup niske razine HID uređajima (uređaji s ljudskim sučeljem, tipkovnice, miševi, gamepadovi, dodirne ploče), što vam omogućuje implementaciju logike rada s HID uređajem u JavaScriptu za organizaciju rada s rijetkim HID uređajima bez prisustva specifičnih upravljačkih programa u sustavu.
- U API-ju za određivanje nagiba olovke dodana je podrška za visinske kutove (kut između olovke i zaslona) i azimut (kut između X osi i projekcije olovke na zaslon), umjesto TiltX i Kutovi nagiba (kutovi između ravnine iz igle i jedne od osi i ravnine iz Y i Y osi Z). Dodane su i funkcije pretvorbe između visine/azimuta i TiltX/TiltY.
- Promijenjeno je kodiranje razmaka u URL-ovima prilikom izračunavanja u rukovateljima protokolima - metoda navigator.registerProtocolHandler() sada zamjenjuje razmake s "%20" umjesto "+", što objedinjuje ponašanje s drugim preglednicima kao što je Firefox.
- Dodan CSS pseudoelement "", koji vam omogućuje da prilagodite boju, veličinu, oblik i vrstu brojeva i točaka za popise u blokovima I .
- Dodana podrška za HTTP zaglavlje , pravila za pristup dokumentima, slična izolacijskom mehanizmu sandboxa za iframeove, ali univerzalnija. Na primjer, kroz Document-Policy možete ograničiti korištenje slika niske kvalitete, onemogućiti spore JavaScript API-je, konfigurirati pravila za učitavanje iframeova, slika i skripti, ograničiti ukupnu veličinu dokumenta i promet, zabraniti metode koje dovode do ponovnog crtanja stranice, onemogućiti funkcija .
- Za element dodana podrška za 'inline-grid', 'grid', 'inline-flex' i 'flex' parametre postavljene putem 'display' CSS svojstva.
- Dodana metoda za zamjenu svih potomaka nadređenog čvora drugim DOM čvorom. Ranije ste mogli koristiti kombinaciju node.removeChild() i node.append() ili node.innerHTML i node.append() za zamjenu čvorova.
- raspon URL shema koje je dopušteno nadjačati pomoću registerProtocolHandler(). Popis shema uključuje decentralizirane protokole cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, što vam omogućuje definiranje poveznica na elemente bez obzira na web mjesto ili gateway koji omogućuje pristup resursu.
- U API-ju dodana podrška za tekst/html format za kopiranje i lijepljenje HTML-a putem međuspremnika (opasne HTML konstrukcije se čiste prilikom pisanja i čitanja u međuspremnik). Promjena vam, primjerice, omogućuje organiziranje umetanja i kopiranja formatiranog teksta sa slikama i poveznicama u web uređivačima.
- U WebRTC-u mogućnost povezivanja vlastitih rukovatelja podacima koji se pozivaju u fazama kodiranja ili dekodiranja WebRTC MediaStreamTrack. Na primjer, ova se mogućnost može koristiti za dodavanje podrške za end-to-end enkripciju podataka koji se prenose posredničkim poslužiteljima.
- U JavaScript motoru V8 za 75% implementacija Number.prototype.toString. Dodano svojstvo .name asinkronim klasama s praznom vrijednošću. Uklonjena je metoda Atomics.wake, koja je svojedobno preimenovana u Atomics.notify kako bi bila u skladu sa specifikacijom ECMA-262. Otvoren kôd kompleta alata za testiranje Fuzzinga .
- Osnovni prevodilac Liftoff za WebAssembly, objavljen u posljednjem izdanju, uključuje mogućnost korištenja vektorskih instrukcija za ubrzavanje proračuna. Sudeći prema testovima, optimizacija je omogućila ubrzanje nekih testova za 2.8 puta. Još jedna optimizacija znatno je ubrzala pozivanje uvezenih JavaScript funkcija iz WebAssemblyja.
- alati za web programere: Informacije o playerima koji se koriste za reprodukciju videa na stranici dodane su na ploču Media, uključujući podatke o događajima, zapisnike, vrijednosti svojstava i parametre dekodiranja okvira (na primjer, možete odrediti uzroke gubitka okvira i problemi interakcije iz JavaScripta).
U kontekstnom izborniku ploče Elementi dodana je mogućnost izrade snimki zaslona odabranog elementa (na primjer, možete izraditi snimku zaslona sadržaja ili tablice).
U web konzoli ploča s upozorenjem o problemu zamijenjena je običnom porukom, a problemi s kolačićima trećih strana prema zadanim postavkama skriveni su u kartici Problemi i omogućeni su posebnim potvrdnim okvirom.
Na kartici Renderiranje dodan je gumb “Onemogući lokalne fontove” koji omogućuje simulaciju odsutnosti lokalnih fontova, a na kartici Senzori sada možete simulirati neaktivnost korisnika (za aplikacije koje koriste Idle Detection API).
Ploča aplikacije pruža detaljne informacije o svakom iframeu, otvorenom prozoru i skočnom prozoru, uključujući informacije o izolaciji između izvora pomoću COEP-a i COOP-a.
- zamjena implementacije protokola na opciju razvijenu u IETF specifikaciji, umjesto opcije Google QUIC.
Uz inovacije i ispravke pogrešaka, nova verzija eliminira . Mnoge su ranjivosti identificirane kao rezultat automatiziranog testiranja pomoću alata , , , и . Jedna je ranjivost (CVE-2020-15967, pristup oslobođenoj memoriji u kodu za interakciju s Google Paymentsom) označena kao kritična, tj. omogućuje zaobilaženje svih razina zaštite preglednika i izvršavanje koda na sustavu izvan okruženja sandboxa. Kao dio programa isplate novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 27 nagrada u vrijednosti od 71500 USD (jednu nagradu od 15000 USD, tri nagrade od 7500 USD, pet nagrada od 5000 USD, dvije nagrade od 3000 USD, jednu nagradu od 200 USD i dvije nagrade od 500 USD). Veličina 13 nagrada još nije određena.
Izvor: opennet.ru