Google webböngésző kiadás ... Egyidejűleg ingyenes projekt stabil kiadása , amely a Chrome alapja. Chrome böngésző a Google logók használata, az összeomlás esetén értesítést küldő rendszer megléte, a Flash modul igény szerinti letöltése, a védett videotartalom (DRM) lejátszására szolgáló modulok, az automatikus frissítési rendszer és a keresési átvitel . A Chrome 87 következő kiadása november 17-re várható.
:
- Hozzáadott védelem a beviteli űrlapok nem biztonságos beküldése ellen a HTTPS-n keresztül betöltött oldalakon, de az adatokat HTTP-n keresztül küldik, ami az adatelfogás és az adathamisítás veszélyét jelenti MITM-támadások során. A védelem három változásból áll:
- A vegyes beviteli űrlapok automatikus kitöltése le van tiltva, hasonlóan ahhoz, ahogy a HTTP-n keresztül megnyitott oldalakon a hitelesítési űrlapok automatikus kitöltése már jó ideje le van tiltva. Ha korábban a letiltásra utaló jel volt az oldal megnyitása egy űrlappal HTTPS-en vagy HTTP-n keresztül, most a titkosítást is figyelembe veszik az űrlapkezelőnek való adatküldéskor. A vegyes hitelesítési formák jelszókezelője nincs letiltva, mivel a nem biztonságos jelszó használatának és a jelszavak különböző webhelyeken történő újrafelhasználásának kockázata meghaladja a lehetséges forgalomelfogás kockázatát.
- A vegyes formátumú bevitel megkezdésekor egy figyelmeztetés jelenik meg, amely tájékoztatja a felhasználót, hogy a kitöltött adatokat titkosítatlan kommunikációs csatornán küldik el.
- Amikor vegyes űrlapot próbál beküldeni, egy külön oldal jelenik meg, amely tájékoztatja Önt a titkosítatlan kommunikációs csatornán keresztüli adatátvitel lehetséges kockázatáról. A korábbi verziókban a címsorban lévő lakatjelzőt használták a vegyes űrlapok jelzésére, de ez a jelölés nem volt nyilvánvaló a felhasználók számára, és nem tükrözte hatékonyan az ezzel járó kockázatokat.
- Blokkolás A futtatható fájlok (titkosítás nélkül) az archívumok (zip, iso stb.) nem biztonságos betöltésének blokkolásával és a nem biztonságos betöltésre vonatkozó figyelmeztetések megjelenítésével egészül ki
dokumentumok (docx, pdf, stb.). A következő kiadásban várható a dokumentumok letiltása és a képekre, szövegekre és médiafájlokra vonatkozó figyelmeztetések. A blokkolást azért hajtják végre, mert a titkosítás nélküli fájlok letöltése rosszindulatú műveletek végrehajtására használható a tartalom cseréjével MITM-támadások során. - Az alapértelmezett helyi menüben megjelenik a „Mindig a teljes URL megjelenítése” opció, amelyhez korábban módosítani kellett az about:flags oldalon az engedélyezéshez. A teljes URL a címsorra duplán kattintva is megtekinthető. Emlékezzünk arra, hogy abból kiindulva Alapértelmezés szerint a cím protokoll és www aldomain nélkül kezdett megjelenni. BAN BEN a régi viselkedés visszaállítását eltávolították, de miután a felhasználó elégedetlen volt vele Új kísérleti jelző lett hozzáadva a helyi menühöz, amellyel bármilyen körülmények között letilthatja a teljes URL elrejtését és megjelenítését.
- A felhasználók kis százaléka számára indították el on A címsor alapértelmezés szerint csak a tartományt tartalmazza, elérési útelemek és lekérdezési paraméterek nélkül. Például a „https://example.com/secure-google-sign-in/” helyett az „example.com” jelenik meg. A javasolt mód várhatóan minden felhasználó számára elérhető lesz a következő kiadások egyikében. Ennek a viselkedésnek a letiltásához használja a „Mindig a teljes URL megjelenítése” lehetőséget, a teljes URL megtekintéséhez pedig kattintson a címsávra. A változtatás indítéka az a szándék, hogy megvédjék a felhasználókat az URL-ben szereplő paramétereket manipuláló adathalászattól – a támadók kihasználják a felhasználók figyelmetlenségét, hogy azt a látszatot keltsék, mintha egy másik webhelyet nyitnának meg és csalárd műveleteket hajtanának végre (ha az ilyen helyettesítések nyilvánvalóak egy technikailag hozzáértő felhasználó számára , akkor a tapasztalatlan emberek könnyen bedőlnek az ilyen egyszerű manipulációnak).
- Folytatva az FTP támogatás eltávolításához. A Chrome 86-ban az FTP alapértelmezés szerint a felhasználók körülbelül 1%-ánál le van tiltva, a Chrome 87-ben pedig a letiltás hatóköre 50%-ra nő, de a támogatás visszaállítható az "--enable-ftp" vagy "-" paranccsal. -enable-features=FtpProtocol" jelző. A Chrome 88-ban az FTP-támogatás teljesen le lesz tiltva.
- Az Android-verzióban, hasonlóan az asztali rendszerekhez, a jelszókezelő ellenőrzi a mentett bejelentkezési adatokat és jelszavakat a feltört fiókok adatbázisában, és figyelmeztetést jelenít meg, ha problémákat észlel, vagy triviális jelszavakat próbálnak használni. Az ellenőrzést egy több mint 4 milliárd feltört fiókot lefedő adatbázison hajtják végre, amelyek a kiszivárgott felhasználói adatbázisokban jelentek meg. A magánélet megőrzése érdekében A hash előtag ellenőrzése a felhasználó oldalán történik, magukat a jelszavakat és azok teljes hash-eit nem továbbítják kívülre.
- Android verzióban is elérhető a „Biztonsági ellenőrzés” gombot és a veszélyes oldalak elleni fokozott védelmi módot (továbbfejlesztett biztonságos böngészés). A „Biztonsági ellenőrzés” gomb összefoglalja a lehetséges biztonsági problémákat, mint például a feltört jelszavak használata, a rosszindulatú webhelyek ellenőrzésének állapota (Biztonságos böngészés), az eltávolított frissítések megléte és a rosszindulatú bővítmények azonosítása. A speciális védelmi mód további ellenőrzéseket aktivál az adathalászat, a rosszindulatú tevékenységek és más internetes fenyegetések elleni védelem érdekében, valamint további védelmet biztosít Google-fiókja és Google-szolgáltatásai (Gmail, Drive stb.) számára. Ha a normál Biztonságos Böngészés módban az ellenőrzéseket helyileg, az ügyfél rendszerére időnként betöltött adatbázis segítségével hajtják végre, akkor a Továbbfejlesztett Biztonságos Böngészésben az oldalakról és a letöltésekről valós idejű információ kerül ellenőrzésre a Google oldalára, ami lehetővé teszi a gyors reagálást azonosításuk után azonnal, anélkül, hogy megvárná a helyi feketelista frissítését.
- támogatja a „.well-known/change-password” jelzőfájlt, amellyel a webhelytulajdonosok megadhatják egy webes űrlap címét a jelszó megváltoztatásához. Ha egy felhasználó hitelesítő adatait feltörték, a Chrome most azonnal felszólítja a felhasználót egy jelszómódosítási űrlappal a fájlban található információk alapján.
- Új „Biztonsági tipp” figyelmeztetést alkalmaztunk, amely olyan webhelyek megnyitásakor jelenik meg, amelyek domainje nagyon hasonlít egy másik webhelyhez, és a heurisztika azt mutatja, hogy nagy a valószínűsége a hamisításnak (például a google.com helyett a goog0le.com nyílik meg).
- támogatja a Vissza-előre gyorsítótárat, amely azonnali navigációt biztosít a „Vissza” és „Előre” gombok használatakor, vagy az aktuális webhely korábban megtekintett oldalain történő navigáláskor. A gyorsítótár a chrome://flags/#back-forward-cache beállítással engedélyezve van.
- Megtörtént a CPU erőforrás-felhasználás windows általi optimalizálása
hatáskörön kívül. A Chrome ellenőrzi, hogy a böngészőablak átfedésben van-e más ablakokkal, és megakadályozza a képpontok rajzolását az átfedő területeken. Ez az optimalizálás a Chrome 84-es és 85-ös verzióiban a felhasználók egy kis százalékánál engedélyezve volt, és most már mindenhol engedélyezve van. A korábbi kiadásokhoz képest a virtualizációs rendszerekkel fennálló inkompatibilitást is megoldották, amely üres fehér oldalak megjelenését okozta. - Továbbfejlesztett erőforrás-csonkítás a háttérben lévő lapokhoz. Az ilyen lapok már nem fogyaszthatják a CPU-erőforrások 1%-ánál többet, és percenként legfeljebb egyszer aktiválhatók. Öt perc elteltével a háttérben a lapok lefagynak, kivéve azokat a lapokat, amelyek multimédiás tartalmat játszanak vagy rögzítenek.
- Dolgozik rajta HTTP-fejléc User-Agent. Az új verzióban a mechanizmus támogatása minden felhasználó számára aktiválva van , amelyet a User-Agent helyettesítésére fejlesztettek ki. Az új mechanizmus magában foglalja az egyes böngésző- és rendszerparaméterekre (verzióra, platformra stb.) vonatkozó adatok szelektív visszaadását csak a szerver kérésére, és lehetőséget ad a felhasználóknak arra, hogy ezeket az információkat szelektíven megadják a webhelytulajdonosoknak. A User-Agent Client Hints használatakor az azonosító alapértelmezés szerint nem kerül továbbításra kifejezett kérés nélkül, ami lehetetlenné teszi a passzív azonosítást (alapértelmezés szerint csak a böngésző neve kerül feltüntetésre).
- Módosult a frissítés jelenlétének jelzése és a böngésző újraindításának szükségessége a telepítéshez. A fiók avatar mezőjében lévő színes nyíl helyett most az „Update” felirat jelenik meg.
- Dolgoztak azon, hogy a böngészőt inkluzív terminológia használatára alakítsák át. Az irányelvek nevében az „fehérlista” és „feketelista” szavakat „engedélyezőlista” és „blokkolólista” szavakra cserélték (a már hozzáadott házirendek továbbra is működnek, de figyelmeztetést jelenítenek meg az elavultságról). BAN BEN и a "feketelistára" való hivatkozások helyébe a "blokklistára" kerültek.
2019 elején felváltották a „feketelistára” és „fehérlistára” vonatkozó, felhasználó által látható hivatkozásokat. - Kísérleti lehetőség hozzáadva a mentett jelszavak szerkesztéséhez, a „chrome://flags/#edit-passwords-in-settings” jelzővel aktiválva.
- Stabil és nyilvános API-vá alakítva , amely lehetővé teszi olyan webalkalmazások létrehozását, amelyek kölcsönhatásba lépnek a helyi fájlrendszer fájljaival. Az új API-ra például kereslet lehet a böngésző alapú integrált fejlesztői környezetekben, szöveg-, kép- és videószerkesztőkben. A fájlok közvetlen írásához és olvasásához, illetve párbeszédpanelek használatához fájlok megnyitásához és mentéséhez, valamint a könyvtárak tartalmában való navigáláshoz az alkalmazás külön megerősítést kér a felhasználótól.
- CSS-választó hozzáadva "“, amely ugyanazt a heurisztikát használja, mint a böngésző, amikor eldönti, hogy megjelenítse-e a fókuszváltás jelzőjét (ha billentyűparancsokkal a fókuszt egy gombra viszi, megjelenik a jelző, de az egérrel történő kattintáskor nem). A korábban elérhető ":focus" CSS-választó mindig kiemeli a fókuszt.
Ezen kívül a beállításokba bekerült a „Gyorsfókusz kiemelés” opció is, melynek bekapcsolása esetén az aktív elemek mellett egy további fókuszjelző jelenik meg, amely akkor is látható marad, ha a fókusz vizuális kiemelésére szolgáló stíluselemek CSS-en keresztül le vannak tiltva az oldalon. . - Számos új API-val bővült az Origin Trials mód (külön aktiválást igénylő kísérleti funkciók). Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
- alacsony szintű hozzáférés a HID eszközökhöz (emberi interfész eszközök, billentyűzetek, egerek, játékvezérlők, érintőpanelek), lehetővé téve a HID eszközzel való munka logikájának megvalósítását JavaScriptben a ritka HID eszközökkel való munka megszervezéséhez speciális illesztőprogramok nélkül a rendszerben.
Mindenekelőtt az új API célja a játékvezérlők támogatása. - , kiterjeszti a Window Placement API-t a többképernyős konfigurációk támogatására. A window.screen-től eltérően az új API lehetővé teszi az ablakok elhelyezésének manipulálását a többmonitoros rendszerek teljes képernyőterületén, anélkül, hogy az aktuális képernyőre korlátozódna.
- Meta tag , amellyel az oldal tájékoztathatja a böngészőt az üzemmódok aktiválásának szükségességéről az energiafogyasztás csökkentése és a CPU terhelés optimalizálása érdekében.
- API hogy jelentse az elkülönítési szabályok esetleges megsértését (COEP) és (COOP), tényleges korlátozások alkalmazása nélkül.
- Az API-ban új típusú hitelesítő okiratot javasoltak , amely további megerősítést nyújt a fizetési művelet végrehajtásáról. Egy függő fél, például egy bank, képes létrehozni egy nyilvános kulcsot, a PublicKeyCredential-t, amelyet a kereskedő további biztonságos fizetési visszaigazolás céljából kérhet.
- alacsony szintű hozzáférés a HID eszközökhöz (emberi interfész eszközök, billentyűzetek, egerek, játékvezérlők, érintőpanelek), lehetővé téve a HID eszközzel való munka logikájának megvalósítását JavaScriptben a ritka HID eszközökkel való munka megszervezéséhez speciális illesztőprogramok nélkül a rendszerben.
- Az API-ban az érintőceruza dőlésszögének meghatározásához a TiltX ill. TiltY szögek (az érintőceruzából induló sík és az egyik tengely, valamint az Y és Y tengely Z síkja közötti szögek). Szintén hozzáadott konverziós funkciók a magasság/azimut és a TiltX/TiltY között.
- Megváltozott az URL-ben lévő szóköz kódolása a protokollkezelőkben történő kiértékeléskor – a navigator.registerProtocolHandler() metódus a szóközöket a „+” helyett „%20”-ra cseréli, ami egységesíti a viselkedést más böngészőkkel, például a Firefoxtal.
- CSS pszeudoelem hozzáadva "", amely lehetővé teszi a számok és pontok színének, méretének, alakjának és típusának testreszabását a blokkban lévő listákhoz És .
- Hozzáadott HTTP-fejléc támogatás , a dokumentumok elérésére vonatkozó szabályok, hasonlóak az iframe-ek sandbox-izolációs mechanizmusához, de univerzálisabbak. Például a Document-Policy segítségével korlátozhatja a rossz minőségű képek használatát, letilthatja a lassú JavaScript API-kat, konfigurálhatja az iframe-ek, képek és szkriptek betöltésének szabályait, korlátozhatja a dokumentum teljes méretét és forgalmat, letilthatja az oldal újrarajzolásához vezető módszereket, letilthatja a funkció .
- Elemhez hozzáadva a „display” CSS tulajdonságon keresztül beállított „inline-grid”, „grid”, „inline-flex” és „flex” paraméterek támogatását.
- Hozzáadott módszer hogy egy szülőcsomópont összes gyermekét lecserélje egy másik DOM-csomópontra. Korábban a node.removeChild() és a node.append() vagy a node.innerHTML és a node.append() kombinációját használhatta a csomópontok helyettesítésére.
- a registerProtocolHandler() segítségével felülbírálható URL-sémák tartománya. A sémák listája tartalmazza a cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns és ssb decentralizált protokollokat, amelyek lehetővé teszik az elemekhez mutató hivatkozások meghatározását, függetlenül az erőforráshoz hozzáférést biztosító webhelytől vagy átjárótól.
- Az API-ban hozzáadva a szöveg/html formátum támogatását a HTML vágólapon keresztüli másolásához és beillesztéséhez (a veszélyes HTML konstrukciók a vágólapra íráskor és olvasáskor megtisztulnak). A változtatás például lehetővé teszi a formázott szöveg képekkel és hivatkozásokkal történő beszúrását és másolását webszerkesztőkben.
- A WebRTC-ben a WebRTC MediaStreamTrack kódolási vagy dekódolási szakaszában meghívott saját adatkezelők csatlakoztatásának képessége. Ez a képesség például felhasználható a közbenső szervereken keresztül továbbított adatok végpontok közötti titkosításának támogatására.
- A V8-as JavaScript motorban 75%-kal a Number.prototype.toString megvalósítása. .name tulajdonság hozzáadva az aszinkron osztályokhoz üres értékkel. Az Atomics.wake módszert eltávolítottuk, amelyet egykor Atomics.notify névre kereszteltek, hogy megfeleljen az ECMA-262 specifikációnak. Megnyílt a zavaros tesztelési eszköztár kódja .
- A WebAssembly Liftoff alapvonali fordítója, amely az utolsó kiadásban jelent meg, tartalmazza a vektoros utasítások használatának lehetőségét a számítások felgyorsítása érdekében. A tesztek alapján az optimalizálás lehetővé tette egyes tesztek 2.8-szoros felgyorsítását. Egy másik optimalizálás sokkal gyorsabbá tette a WebAssembly-ből importált JavaScript-függvények meghívását.
- eszközök webfejlesztők számára: A Média panel információkat adott az oldalon videók lejátszására használt lejátszókról, beleértve az eseményadatokat, naplókat, tulajdonságértékeket és keretdekódolási paramétereket (például meghatározhatja a képkockák elvesztésének okait és az interakciós problémákat JavaScriptből).
Az Elemek panel helyi menüjében lehetőség nyílik képernyőképek készítésére a kiválasztott elemről (például készíthet képernyőképet a tartalomjegyzékről vagy a táblázatról).
A webkonzolon a probléma figyelmeztető panelt egy normál üzenet váltotta fel, és a harmadik féltől származó cookie-kkal kapcsolatos problémák alapértelmezés szerint el vannak rejtve a Problémák lapon, és egy speciális jelölőnégyzet segítségével engedélyezve vannak.
A „Helyi betűkészletek letiltása” gomb hozzáadásra került a Rendering laphoz, amely lehetővé teszi a helyi betűtípusok hiányának szimulálását, az Érzékelők lapon pedig a felhasználói inaktivitás szimulálására van lehetőség (az Idle Detection API-t használó alkalmazásoknál).
Az Alkalmazások panelen részletes információk találhatók az egyes iframe-ekről, nyitott ablakokról és felugró ablakokról, beleértve a COEP és COOP használatával történő Cross-Origin elkülönítéssel kapcsolatos információkat is.
- protokoll megvalósítás cseréje az IETF specifikációban kifejlesztett opcióra, a Google QUIC opció helyett.
Az újítások és hibajavítások mellett az új verzió kiküszöböli . A sebezhetőségek nagy részét automatizált tesztelőeszközök eredményeként azonosították , , , и . Az egyik sérülékenység (CVE-2020-15967, hozzáférés a kódban a felszabadult memóriához a Google Payments szolgáltatással való interakcióhoz) kritikusként van megjelölve, pl. lehetővé teszi a böngészővédelem minden szintjének megkerülését és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek felfedezéséért pénzbeli jutalmat fizető program részeként a Google 27 díjat fizetett ki 71500 15000 dollár értékben (egy 7500 5000 dolláros, három 3000 dolláros, öt 200 dolláros, két 500 dolláros, egy 13 dolláros XNUMX dolláros és két díjat). A XNUMX jutalom nagyságát még nem határozták meg.
Forrás: opennet.ru