ProHoster > Blog > internetes hírek > Chrome 86

Chrome 86

Megjelent a Chrome 86 következő kiadása és a Chromium stabil kiadása.

Főbb változások a Chrome 86-ban:

  • védelem a beviteli űrlapok nem biztonságos beküldése ellen a HTTPS-en keresztül betöltött, de HTTP-n keresztül adatokat küldő oldalakon.
  • A futtatható fájlok nem biztonságos letöltésének (http) blokkolása kiegészült az archívumok (zip, iso, stb.) nem biztonságos letöltésének blokkolásával és a dokumentumok (docx, pdf, stb.) nem biztonságos betöltése esetén figyelmeztetések megjelenítésével. A következő kiadás várhatóan blokkolja a dokumentumokat, és figyelmeztetést ad a képekre, szövegekre és médiafájlokra. A blokkolást azért hajtják végre, mert a titkosítás nélküli fájlok letöltése rosszindulatú műveletek végrehajtására használható a tartalom cseréjével MITM-támadások során.
  • Az alapértelmezett helyi menüben a „Mindig teljes URL-cím megjelenítése” opció látható, amelyhez korábban módosítani kellett az about:flags oldalon. A teljes URL a címsorra duplán kattintva is megtekinthető. Emlékezzünk vissza, hogy a Chrome 76-tól kezdve alapértelmezés szerint a cím a protokoll és a www aldomain nélkül jelenik meg. A Chrome 79-ben eltávolították a régi viselkedés visszaállítására vonatkozó beállítást, de a felhasználó elégedetlensége után a Chrome 83-ban egy új kísérleti jelzőt adtak hozzá, amely hozzáadott egy elemet a helyi menühöz, amely minden körülmények között letiltja az elrejtést és a teljes URL megjelenítését.
    A felhasználók egy kis százalékánál elindítottunk egy kísérletet, amely alapértelmezés szerint csak a tartományt jeleníti meg a címsorban, elérési útelemek és lekérdezési paraméterek nélkül. Például a "https://example.com/secure-google-sign-in/" "example.com" jelenik meg. A javasolt mód minden felhasználó számára elérhetővé válik a következő kiadások egyikében. Ennek a viselkedésnek a letiltásához használja a "Mindig a teljes URL megjelenítése" lehetőséget, a teljes URL megtekintéséhez pedig kattintson a címsávra. A változtatás indítéka a felhasználók védelme az URL-ben szereplő paramétereket manipuláló adathalászattól – a támadók a felhasználók figyelmetlenségét arra használják fel, hogy egy másik webhely megnyitásának látszatát keltsék, és csalárd műveleteket hajtanak végre (ha az ilyen helyettesítések feltűnőek egy technikailag hozzáértő felhasználó számára, majd tapasztalatlan laikus manipulációk).
  • Újjáéledt az FTP támogatás megszüntetésére irányuló kezdeményezés. A Chrome 86-ban az FTP alapértelmezés szerint a felhasználók körülbelül 1%-ánál le van tiltva, a Chrome 87-ben pedig a letiltás lefedettsége 50%-ra nő, de a támogatás visszaadható az "--enable-ftp" vagy a " jelzővel. --enable-features=FtpProtocol". A Chrome 88-ban az FTP-támogatás teljesen le lesz tiltva.
  • Az Android-verzióban, az asztali rendszerekhez készült verzióhoz hasonlóan, a jelszókezelő ellenőrzi a mentett bejelentkezési adatokat és jelszavakat a feltört fiókok adatbázisában, és figyelmeztetést ad probléma vagy triviális jelszavak használatának kísérlete esetén. Az ellenőrzést egy több mint 4 milliárd feltört fiókot lefedő adatbázison hajtják végre, amelyek felhasználói adatbázisok kiszivárgása során jelentek meg. Az adatvédelem megőrzése érdekében a hash előtagot a felhasználói oldalon ellenőrzik, magukat a jelszavakat és azok teljes kivonatát nem továbbítják kívülre.
  • Az Android verzió tartalmazza a Biztonsági ellenőrzés gombot és a Továbbfejlesztett biztonságos böngészést is. A „Biztonsági ellenőrzés” gomb összefoglalja a lehetséges biztonsági problémákat, például a feltört jelszavakat, a Biztonságos böngészés állapotát, az eltávolított frissítéseket és a rosszindulatú bővítmények észlelését. A speciális védelmi mód további ellenőrzéseket aktivál az adathalászat, a rosszindulatú tevékenységek és más internetes fenyegetések elleni védelem érdekében, valamint további védelmet biztosít Google-fiókja és Google-szolgáltatásai (Gmail, Drive stb.) számára. Míg a normál Biztonságos Böngészés módban az ellenőrzések helyben, az ügyfél rendszerére időről időre letöltött adatbázisban zajlanak, a Továbbfejlesztett Biztonságos Böngészés funkcióban az oldalakkal és letöltésekkel kapcsolatos valós idejű információkat küldenek a Google-nak ellenőrzésre, ami lehetővé teszi, hogy gyorsan reagáljon a fenyegetésekre. észlelik anélkül, hogy megvárnák a helyi feketelista frissítését.
  • Támogatás hozzáadva a ".well-known/change-password" jelzőfájlhoz, amellyel a webhelytulajdonosok megadhatják a webes űrlap címét a jelszó megváltoztatásához. Abban az esetben, ha egy felhasználó hitelesítő adatait feltörték, a Chrome a fájlban található információk alapján jelszómódosítási űrlapot küld a felhasználónak.
  • Új „Biztonsági tipp” figyelmeztetést alkalmaztunk, amely olyan webhelyek megnyitásakor jelenik meg, amelyek domainje nagyon hasonlít egy másik webhelyhez, és a heurisztika azt mutatja, hogy nagy a valószínűsége a hamisításnak (például a google.com helyett a goog0le.com nyílik meg).

    * Megvalósított támogatás az átmeneti gyorsítótárhoz (vissza-előre gyorsítótár), amely azonnali átmenetet biztosít a "Vissza" és "Előre" gombok használatakor, vagy az aktuális webhely korábban megtekintett oldalain való navigálás során. A gyorsítótár a chrome://flags/#back-forward-cache beállítással engedélyezve van.

  • A CPU-erőforrás-fogyasztás optimalizálása a hatókörön kívül eső ablakokkal. A Chrome ellenőrzi, hogy a böngészőablak átfedésben van-e más ablakokkal, és elkerüli a képpontok rajzolását az átfedő területeken. Ez az optimalizálás a Chrome 84-es és 85-ös verzióiban a felhasználók egy kis százalékánál engedélyezve volt, és mára globálisan engedélyezve van. A korábbi kiadásokhoz képest kijavítottunk egy olyan inkompatibilitást is a virtualizációs rendszerekkel, amelyek miatt üres fehér oldalak jelennek meg.
  • Továbbfejlesztett erőforrás-csonkítás a háttérben lévő lapokhoz. Az ilyen lapok már nem fogyaszthatják a CPU-erőforrások 1%-ánál többet, és percenként legfeljebb egyszer aktiválhatók. Öt perc elteltével a háttérben a lapok lefagynak, kivéve azokat a lapokat, amelyek multimédiás tartalmat játszanak vagy rögzítenek.
  • A User-Agent HTTP-fejléc egyesítésével kapcsolatos munka folytatódott. Az új verzióban a User-Agent Client Hints mechanizmus támogatása, amelyet a User-Agent helyettesítésére fejlesztettek ki, minden felhasználó számára aktiválva van. Az új mechanizmus azt jelenti, hogy csak a szerver kérésére adják vissza az egyes böngésző- és rendszerparaméterekre (verzióra, platformra stb.) vonatkozó adatokat, és lehetőséget ad a felhasználóknak arra, hogy ezeket az információkat szelektíven átadják a webhelytulajdonosoknak. A User-Agent Client Hints használatakor az azonosító alapértelmezés szerint nem kerül átadásra kifejezett kérés nélkül, ami lehetetlenné teszi a passzív azonosítást (alapértelmezés szerint csak a böngésző neve van megadva).
    Módosult a frissítés jelenlétének jelzése és a böngésző újraindításának szükségessége a telepítéshez. A fiók avatar mezőjében lévő színes nyíl helyett most az „Update” felirat jelenik meg.
  • Dolgoztunk a böngésző lefordításán a befogadó terminológia használatára. Az irányelvek nevében a „fehérlista” és a „feketelista” szavakat az „engedélyezőlista” és a „blokkolólista” szavakra cserélték (a már hozzáadott házirendek továbbra is működnek, de az elavulásra vonatkozó figyelmeztetés jelenik meg náluk). A kódban és a fájlnevekben a „feketelista” hivatkozások helyébe a „blokkolista” lép. A felhasználók által látható „feketelistára” és „fehérlistára” vonatkozó hivatkozásokat 2019 elején lecserélték.
    Kísérleti lehetőség hozzáadva a mentett jelszavak szerkesztéséhez, a „chrome://flags/#edit-passwords-in-settings” jelzővel aktiválva.
  • Átkerült a stabil és nyilvános natív fájlrendszer API-k kategóriájába, amely lehetővé teszi olyan webalkalmazások létrehozását, amelyek kölcsönhatásba lépnek a helyi fájlrendszer fájljaival. Az új API-ra például szükség lehet böngészőalapú IDE-kben, szövegszerkesztőkben, képszerkesztőkben és videószerkesztőkben. A fájlok közvetlen írásához és olvasásához, illetve párbeszédpanelek használatához fájlok megnyitásához és mentéséhez, valamint a könyvtárak tartalmában való navigáláshoz az alkalmazás külön megerősítést kér a felhasználótól.
  • Hozzáadtuk a ":focus-visible" CSS-választót, amely ugyanazt a heurisztikát használja, mint a böngésző, amikor eldönti, hogy megjelenjen-e a fókuszváltás jelzője (ha a fókuszt a gombra mozgatja billentyűparancsokkal, akkor a jelző megjelenik, de nem az egérrel való kattintáskor ). A korábban elérhető ":focus" CSS-választó mindig kiemeli a fókuszt. Ezen kívül a beállításokba bekerült a „Gyorsfókusz kiemelés” opció is, melynek engedélyezése esetén az aktív elemek mellett egy további fókuszjelző jelenik meg, amely akkor is látható marad, ha a vizuális fókusz kiemelésére szolgáló stíluselemek le vannak tiltva az oldalon keresztül. CSS.
  • Számos új API-val bővült az Origin Trials mód (külön aktiválást igénylő kísérleti funkciók). Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
  • WebHID API a HID-eszközök (emberi interfész-eszközök, billentyűzetek, egerek, játékvezérlők, érintőpadok) alacsony szintű elérésére, amely lehetővé teszi a HID-eszközzel végzett munka logikájának megvalósítását JavaScriptben, hogy megszervezhesse a ritka HID-eszközökkel végzett munkát anélkül meghatározott illesztőprogramok a rendszerben. Mindenekelőtt az új API célja a játékvezérlők támogatása.
  • A Screen Information API kiterjeszti a Window Placement API-t a többképernyős konfigurációk támogatására. A window.screen-től eltérően az új API lehetővé teszi az ablakok elhelyezését a többmonitoros rendszerek megosztott képernyőterületén anélkül, hogy az aktuális képernyőre korlátozódna.
  • Az akkumulátorkímélő metacímke, amellyel a webhely tájékoztathatja a böngészőt az üzemmódok aktiválásának szükségességéről az energiafogyasztás csökkentése és a CPU terhelés optimalizálása érdekében.
  • COOP Reporting API a Cross-Origin-Embedder-Policy (COEP) és a Cross-Origin-Opener-Policy (COOP) korlátozások lehetséges megsértésének bejelentésére anélkül, hogy ténylegesen korlátozásokat alkalmazna.
  • A Credential Management API egy új PaymentCredential hitelesítő adattípust kínál, amely további megerősítést biztosít a fizetési tranzakció végrehajtásáról. Az érintett fél, például egy bank, képes létrehozni egy PublicKeyCredential-t, amelyet a kereskedő további biztonságos fizetési visszaigazolás céljából kérhet.
  • A PointerEvents API az érintőceruza dőlésszögének meghatározásához * a magassági szögek (az érintőceruza és a képernyő közötti szög) és az azimut (az X tengely és az érintőceruza képernyőre vetítése közötti szög) támogatását adta. a TiltX és TiltY szögek (az érintőceruzából induló sík és az egyik tengely, valamint az Y és Z tengelyek síkja közötti szögek). Szintén hozzáadott konverziós funkciók a magasság/azimut és a TiltX/TiltY között.
  • Megváltozott az URL-ben lévő szóköz kódolása a protokollkezelőkben történő kiértékeléskor – a navigator.registerProtocolHandler() metódus a szóközöket a „+” helyett „%20”-ra cseréli, ami egységesíti a viselkedést más böngészőkkel, például a Firefoxtal.
  • "::marker" pszeudoelem hozzáadva a CSS-hez a számok és pontok színének, méretének, alakjának és típusának testreszabásához a blokkban lévő listákhoz És .
  • Támogatás hozzáadva a Document-Policy HTTP fejléchez, amely lehetővé teszi az iframe sandbox elkülönítési mechanizmushoz hasonló, de sokoldalúbb dokumentum-hozzáférési szabályok beállítását. Például a Dokumentumszabályzaton keresztül korlátozhatja az alacsony minőségű képek használatát, letilthatja a lassú JavaScript API-kat, konfigurálhatja az iframe-ek, képek és szkriptek betöltésének szabályait, korlátozhatja a dokumentum és a forgalom teljes méretét, letilthatja az olyan módszereket, amelyek oldal újrarajzolása, és tiltsa le a Görgetés szövegig funkciót.
  • Elemhez hozzáadtuk a „display” CSS tulajdonságon keresztül beállított „inline-grid”, „grid”, „inline-flex” és „flex” paramétereket.
  • Hozzáadott ParentNode.replaceChildren() metódus a szülőcsomópont összes gyermekének másik DOM-csomópontra való lecseréléséhez. Korábban a node.removeChild() és a node.append() vagy a node.innerHTML és a node.append() kombinációját használhatta a csomópontok helyettesítésére.
  • Kibővítette a registerProtocolHandler() segítségével felülbírálható URL-sémák körét. A sémák listája tartalmazza a cabal, a dat, a did, a dweb, az ethereum, a hyper, az ipfs, az ipns és az ssb decentralizált protokollokat, amelyek lehetővé teszik az elemekre mutató hivatkozások meghatározását, függetlenül az erőforráshoz hozzáférést biztosító webhelytől vagy átjárótól.
  • Az Asynchronous Clipboard API hozzáadta a szöveg/html formátum támogatását a HTML vágólapon keresztüli másolásához és beillesztéséhez (a vágólapra írás és olvasás megtisztítja a veszélyes HTML-konstrukciókat). A változtatás például lehetővé teszi a webszerkesztők számára, hogy megszervezzék a formázott szövegek beszúrását és másolását képekkel és hivatkozásokkal.
  • A WebRTC hozzáadta a saját adatkezelők csatlakoztatásának lehetőségét, amelyeket a WebRTC MediaStreamTrack kódolás vagy dekódolás szakaszában hívnak meg. Ez a képesség például felhasználható a közbenső szervereken keresztül továbbított adatok végpontok közötti titkosításának támogatására.
    A Number.prototype.toString megvalósítása 8%-kal gyorsabb a V75 JavaScript motorban. A .name tulajdonság üres értékű aszinkron osztályokhoz lett hozzáadva. Eltávolította az Atomics.wake metódust, amelyet egykor Atomics.notify névre kereszteltek, hogy megfeleljen az ECMA-262 specifikációnak. Megjelent a JS-Fuzzer fuzzing tesztelő eszköz kódja.
  • Az utolsó kiadásban található WebAssembly Liftoff alapvonali fordítója magában foglalja a SIMD vektoros utasítások használatát a számítások felgyorsítása érdekében. A tesztek alapján az optimalizálás lehetővé tette egyes tesztek 2.8-szoros áthaladását. Egy másik optimalizálás lehetővé tette a WebAssembly-ből importált JavaScript függvények hívásának jelentős felgyorsítását.
  • Kibővített eszközök webfejlesztők számára: Az oldalon videók lejátszására használt lejátszók információi hozzáadásra kerültek a Média panelhez, beleértve az eseményadatokat, naplókat, tulajdonságértékeket és keretdekódolási paramétereket (például meghatározhatja a képkocka okait esések és interakciós problémák a JavaScriptből).
  • Az Elemek panel helyi menüjében lehetőség van a kiválasztott elemről képernyőképek készítésére (pl. készíthet képernyőképet a tartalomjegyzékről vagy táblázatról).
  • A webkonzolon a probléma figyelmeztető panelt egy normál üzenet váltotta fel, és a harmadik féltől származó cookie-kkal kapcsolatos problémák alapértelmezés szerint el vannak rejtve a Problémák lapon, és egy speciális jelölőnégyzet engedélyezi őket.
  • A „Helyi betűkészletek letiltása” gomb hozzáadásra került a Rendering laphoz, amely lehetővé teszi a helyi betűtípusok hiányának szimulálását, az Érzékelők lapon pedig a felhasználói inaktivitás szimulálására van lehetőség (az Idle Detection API-t használó alkalmazásoknál).
  • Az Alkalmazások panel részletes információkat tartalmaz az egyes iframe-ekről, nyitott ablakokról és előugró ablakokról, beleértve a Cross-Origin izoláció adatait a COEP és COOP használatával.

Megkezdődött a QUIC protokoll megvalósításának cseréje az IETF specifikációban kifejlesztett verzióra, a QUIC Google verziója helyett.
Az új verzióban az újítások és hibajavítások mellett 35 sérülékenységet javítottak ki. A sebezhetőségek nagy részét az AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL automatizált tesztelőeszközök eredményeként azonosították. Az egyik biztonsági rés (CVE-2020-15967, felszabadult memória-hozzáférés a kódban a Google Payments szolgáltatással való interakcióhoz) kritikusként van megjelölve, pl. lehetővé teszi a böngészővédelem minden szintjének megkerülését és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás Vulnerability Bounty programjának részeként a Google 27 díjat fizetett ki 71500 15000 dollár értékben (egy 7500 5000 dolláros, három 3000 dolláros, öt 200 dolláros, két 500 dolláros, egy 13 dolláros és két XNUMX dolláros díjat). A XNUMX jutalom összegét még nem határozták meg.

-Tól / -től opennet.ru

Forrás: linux.org.ru

Hozzászólás