ProHoster > Օրագիր > ինտերնետ նորություններ > Chrome 86

Chrome 86

Թողարկվել են Chrome 86-ի հաջորդ թողարկումը և Chromium-ի կայուն թողարկումը:

Հիմնական փոփոխությունները Chrome 86-ում.

  • պաշտպանություն HTTPS-ով բեռնված, բայց HTTP-ով տվյալներ ուղարկող էջերի մուտքագրման ձևերի անապահով ներկայացումից:
  • Գործարկվող ֆայլերի անապահով ներբեռնման (http) արգելափակումը լրացվել է արխիվների անապահով ներբեռնման արգելափակման միջոցով (zip, iso և այլն) և նախազգուշացումների ցուցադրմամբ, երբ փաստաթղթերը (docx, pdf և այլն) անապահով բեռնված են: Ակնկալվում է, որ հաջորդ թողարկումը արգելափակում է փաստաթղթերը և նախազգուշացում է տալիս պատկերների, տեքստի և մեդիա ֆայլերի համար: Արգելափակումն իրականացվել է, քանի որ ֆայլերի ներբեռնումն առանց գաղտնագրման կարող է օգտագործվել վնասակար գործողություններ կատարելու համար՝ փոխարինելով բովանդակությունը MITM հարձակումների ժամանակ:
  • Կանխադրված համատեքստի ընտրացանկը ցույց է տալիս «Միշտ ցուցադրել URL-ը ամբողջությամբ» տարբերակը, որը նախկինում պահանջում էր փոխել կարգավորումները about:flags էջում: Ամբողջական URL-ը կարող է դիտվել նաև հասցեագոտի վրա կրկնակի սեղմելով: Հիշեցնենք, որ սկսած Chrome 76-ից, լռելյայն, հասցեն սկսեց ցուցադրվել առանց արձանագրության և www ենթադոմեյնի։ Chrome 79-ում հին վարքագիծը վերադարձնելու կարգավորումը հանվել է, սակայն օգտատերերի դժգոհությունից հետո Chrome 83-ում ավելացվել է նոր փորձնական դրոշ՝ համատեքստի ընտրացանկում ավելացնելով տարր՝ թաքցնելու և ամբողջական URL-ը բոլոր պայմաններում ցուցադրելու համար:
    Օգտատերերի փոքր տոկոսի համար փորձարկվեց միայն տիրույթը հասցեագոտում ցուցադրելու լռելյայն՝ առանց ուղու տարրերի և հարցման պարամետրերի: Օրինակ, փոխարենը «https://example.com/secure-google-sign-in/" «example.com»-ը կցուցադրվի: Առաջարկվող ռեժիմը բոլոր օգտատերերին բերելը սպասվում է հաջորդ թողարկումներից մեկում: Այս վարքագիծն անջատելու համար կարող եք օգտագործել «Միշտ ցուցադրել ամբողջական URL» տարբերակը, իսկ ամբողջ URL-ը դիտելու համար կարող եք սեղմել հասցեագոտին: Փոփոխության շարժառիթը օգտատերերին ֆիշինգից պաշտպանելու ցանկությունն է, որը շահարկում է URL-ի պարամետրերը. հարձակվողներն օգտագործում են օգտատերերի անուշադրությունը՝ այլ կայք բացելու տեսք ստեղծելու և խարդախ գործողություններ կատարելու համար:
  • FTP աջակցությունը հեռացնելու նախաձեռնությունը վերածնվել է։ Chrome 86-ում FTP-ն լռելյայն անջատված է օգտատերերի մոտ 1%-ի համար, իսկ Chrome 87-ում անջատման ծածկույթը կավելացվի մինչև 50%, սակայն աջակցությունը կարող է վերադարձվել՝ օգտագործելով «--enable-ftp» կամ «» դրոշակը: --enable-features=FtpProtocol»: Chrome 88-ում FTP-ի աջակցությունն ամբողջությամբ կանջատվի:
  • Android-ի տարբերակում, աշխատասեղանի համակարգերի տարբերակի անալոգիայով, գաղտնաբառերի կառավարիչը իրականացնում է պահպանված մուտքերի և գաղտնաբառերի ստուգում վտանգված հաշիվների տվյալների բազայի նկատմամբ՝ նախազգուշացումով խնդիրների դեպքում կամ չնչին գաղտնաբառեր օգտագործելու փորձի դեպքում: Ստուգումն իրականացվում է տվյալների բազայի նկատմամբ, որն ընդգրկում է ավելի քան 4 միլիարդ վտանգված հաշիվներ, որոնք հայտնվել են օգտատերերի տվյալների բազաների արտահոսքերում: Գաղտնիությունը պահպանելու համար հեշ նախածանցը ստուգվում է օգտատիրոջ կողմից, իսկ գաղտնաբառերն ու դրանց ամբողջական հեշերը դրսում չեն փոխանցվում:
  • Android տարբերակը ներառում է նաև Անվտանգության ստուգման կոճակը և ընդլայնված անվտանգ զննարկումը: «Անվտանգության ստուգում» կոճակը ցույց է տալիս պոտենցիալ անվտանգության խնդիրների ամփոփում, ինչպիսիք են վտանգված գաղտնաբառերը, Անվտանգ զննարկման կարգավիճակը, տեղահանված թարմացումները և վնասակար հավելումների հայտնաբերումը: Ընդլայնված պաշտպանության ռեժիմը ակտիվացնում է լրացուցիչ ստուգումներ՝ պաշտպանվելու ֆիշինգից, վնասակար գործողություններից և համացանցում այլ սպառնալիքներից, ինչպես նաև ներառում է լրացուցիչ պաշտպանություն ձեր Google հաշվի և Google ծառայությունների համար (Gmail, Drive և այլն): Մինչդեռ սովորական Safe Browsing ռեժիմում ստուգումները կատարվում են տեղական տվյալների բազայի նկատմամբ, որը պարբերաբար ներբեռնվում է հաճախորդի համակարգ, Enhanced Safe Browsing-ում իրական ժամանակում էջերի և ներբեռնումների մասին տեղեկատվությունը ուղարկվում է Google-ին՝ ստուգման համար, ինչը թույլ է տալիս արագ արձագանքել սպառնալիքներին անմիջապես հետո: դրանք հայտնաբերվում են՝ չսպասելով տեղական սև ցուցակի թարմացմանը:
  • Ավելացվեց աջակցություն «.well-known/change-password» ցուցիչի ֆայլին, որի միջոցով կայքի սեփականատերերը կարող են նշել վեբ ձևի հասցեն՝ գաղտնաբառը փոխելու համար: Այն դեպքում, երբ օգտատիրոջ հավատարմագրերը վտանգված են, Chrome-ն այժմ օգտատիրոջը կպահանջի գաղտնաբառի փոփոխման ձև՝ հիմնվելով այս ֆայլի տեղեկատվության վրա:
  • Իրականացրել է նոր «Անվտանգության հուշում» նախազգուշացումը, որը ցուցադրվում է այն կայքերը բացելիս, որոնց տիրույթը շատ նման է մեկ այլ կայքի, և էվրիստիկայից ցույց է տրվում, որ կեղծելու մեծ հավանականություն կա (օրինակ, google.com-ի փոխարեն բացվում է goog0le.com):

    * Իրականացված աջակցություն անցումային քեշի համար (Back-forward cache), որն ապահովում է ակնթարթային անցում «Հետ» և «Առաջ» կոճակներն օգտագործելիս կամ ընթացիկ կայքի նախկինում դիտված էջերով նավարկելու ժամանակ: Քեշը միացված է՝ օգտագործելով chrome://flags/#back-forward-cache կարգավորումը:

  • CPU-ի ռեսուրսների սպառման օպտիմիզացում շրջանակից դուրս պատուհանների միջոցով: Chrome-ը ստուգում է՝ արդյոք դիտարկիչի պատուհանը համընկնում է այլ պատուհանների հետ և խուսափում է պիքսելներ նկարելուց համընկնման վայրերում: Այս օպտիմիզացումը միացված է Chrome 84 և 85 օգտատերերի փոքր տոկոսի համար և այժմ միացված է ամբողջ աշխարհում: Նախորդ թողարկումների համեմատ, վիրտուալացման անհամատեղելիությունը, որը հանգեցնում էր դատարկ սպիտակ էջերի ցուցադրմանը, նույնպես շտկվել է:
  • Բարելավված ռեսուրսների կրճատում ֆոնային ներդիրների համար: Նման ներդիրներն այլևս չեն կարող սպառել պրոցեսորի ռեսուրսների 1%-ից ավելին և կարող են ակտիվացվել րոպեում մեկ անգամից ոչ ավելի: Հետին պլանում հինգ րոպե անց ներդիրները սառեցվում են, բացառությամբ այն ներդիրների, որոնք նվագարկում են մուլտիմեդիա բովանդակություն կամ ձայնագրում:
  • User-Agent HTTP վերնագրի միավորման աշխատանքները վերսկսվել են: Նոր տարբերակում բոլոր օգտատերերի համար ակտիվացված է User-Agent Client Hints մեխանիզմի աջակցությունը, որը մշակվել է որպես User-Agent-ի փոխարինում: Նոր մեխանիզմը ենթադրում է բրաուզերի և համակարգի որոշակի պարամետրերի (տարբերակ, հարթակ և այլն) վերաբերյալ տվյալների ընտրովի վերադարձ միայն սերվերի հարցումից հետո և օգտատերերին հնարավորություն է տալիս ընտրողաբար նման տեղեկատվություն տրամադրել կայքի սեփականատերերին։ User-Agent Client Hints-ն օգտագործելիս նույնացուցիչը լռելյայն չի փոխանցվում առանց բացահայտ հարցման, ինչը անհնարին է դարձնում պասիվ նույնականացումը (միայն բրաուզերի անունը նշված է լռելյայն):
    Փոխվել է թարմացման առկայության նշումը և այն տեղադրելու համար զննարկիչը վերագործարկելու անհրաժեշտությունը: Հաշվի ավատարի դաշտում գունավոր սլաքի փոխարեն այժմ հայտնվում է «Թարմացնել» մակագրությունը:
  • Աշխատանքներ են տարվել բրաուզերը ներառական տերմինաբանությամբ թարգմանելու ուղղությամբ։ Քաղաքականության անվանումներում «սպիտակ ցուցակ» և «սև ցուցակ» բառերը փոխարինվել են «թույլատրելի ցուցակով» և «արգելափակման ցուցակով» (արդեն ավելացված կանոնները կշարունակեն գործել, բայց դրանց համար կցուցադրվի հնազանդության մասին նախազգուշացում): Կոդի և ֆայլերի անուններում «սև ցուցակի» հղումները փոխարինվում են «բլոկ ցուցակով»: «Սև ցուցակի» և «սպիտակ ցուցակի» օգտատերերի համար տեսանելի հղումները փոխարինվել են դեռևս 2019 թվականի սկզբին:
    Ավելացվեց պահված գաղտնաբառերը խմբագրելու փորձնական հնարավորություն՝ ակտիվացված օգտագործելով «chrome://flags/#edit-passwords-in-settings» դրոշը:
  • Տեղափոխվել է կայուն և հանրային Native File System API-ների կատեգորիա, որը թույլ է տալիս ստեղծել վեբ հավելվածներ, որոնք փոխազդում են տեղական ֆայլային համակարգի ֆայլերի հետ: Օրինակ, նոր API-ն կարող է պահանջվել բրաուզերի վրա հիմնված IDE-ներում, տեքստային խմբագրիչներում, պատկերների խմբագրիչներում և տեսանյութերի խմբագրիչներում: Որպեսզի կարողանան ուղղակիորեն գրել և կարդալ ֆայլեր կամ օգտագործել երկխոսություններ՝ ֆայլերը բացելու և պահելու համար, ինչպես նաև նավարկելու գրացուցակների բովանդակությամբ, հավելվածը օգտատերից պահանջում է հատուկ հաստատում:
  • Ավելացվեց «:focus-visible» CSS ընտրիչը, որն օգտագործում է նույն էվրիստիկա, որն օգտագործում է զննարկիչը՝ որոշելիս ցուցադրել ֆոկուսի փոփոխության ցուցիչը (ստեղնաշարի դյուրանցումներով ֆոկուսը դեպի կոճակ տեղափոխելը ցույց է տալիս, բայց ոչ մկնիկի հետ սեղմելիս: ) Նախկինում հասանելի «:focus» CSS ընտրիչը միշտ ընդգծում է ֆոկուսը: Բացի այդ, կարգավորումներին ավելացվել է «Արագ ֆոկուս ընդգծում» տարբերակը, երբ միացված է, ակտիվ տարրերի կողքին կցուցադրվի լրացուցիչ ֆոկուսի ցուցիչ, որը տեսանելի է մնում, նույնիսկ եթե էջի միջոցով տեսողական ֆոկուսի ընդգծման ոճի տարրերն անջատված են։ CSS.
  • Մի քանի նոր API-ներ ավելացվել են Origin Trials ռեժիմին (փորձարարական առանձնահատկություններ, որոնք պահանջում են առանձին ակտիվացում): Origin Trial-ը ենթադրում է նշված API-ի հետ աշխատելու հնարավորություն՝ localhost-ից կամ 127.0.0.1-ից ներբեռնված հավելվածներից, կամ գրանցվելուց և հատուկ նշան ստանալուց հետո, որը վավեր է որոշակի կայքի համար սահմանափակ ժամանակով:
  • WebHID API՝ HID սարքերին ցածր մակարդակի հասանելիության համար (Մարդկային ինտերֆեյսի սարքեր, ստեղնաշարեր, մկնիկներ, խաղային վահանակներ, հպման վահանակներ), որը թույլ է տալիս իրականացնել HID սարքի հետ աշխատելու տրամաբանությունը JavaScript-ում՝ հազվագյուտ HID սարքերի հետ աշխատանքը կազմակերպելու համար՝ առանց դրանց առկայության: կոնկրետ դրայվերներ համակարգում: Առաջին հերթին, նոր API-ն ուղղված է գեյմփադներին աջակցություն տրամադրելուն։
  • Screen Information API-ն ընդլայնում է Window Placement API-ն՝ աջակցելու բազմաէկրանային կոնֆիգուրացիաներին: Ի տարբերություն window.screen-ի, նոր API-ն թույլ է տալիս շահարկել պատուհանի տեղադրումը բազմամոնիտոր համակարգերի ընդհանուր էկրանի տարածքում՝ առանց սահմանափակվելու ընթացիկ էկրանով:
  • Մարտկոցի խնայողության մետա թեգը, որի միջոցով կայքը կարող է զննարկիչին տեղեկացնել էներգիայի սպառումը նվազեցնելու և պրոցեսորի վրա բեռը օպտիմալացնելու ռեժիմների ակտիվացման անհրաժեշտության մասին:
  • COOP Reporting API-ն զեկուցելու Cross-Origin-Embedder-Policy-ի (COEP) և Cross-Origin-Opener-Policy-ի (COOP) արգելափակումների հնարավոր խախտումների մասին՝ իրականում չկիրառելով սահմանափակումներ:
  • Credential Management API-ն առաջարկում է PaymentCredential հավատարմագրերի նոր տեսակ, որն ապահովում է վճարման գործարքի կատարման լրացուցիչ հաստատում: Վստահող կողմը, ինչպիսին է բանկը, կարող է ստեղծել PublicKeyCredential, որը կարող է պահանջվել վաճառողի կողմից լրացուցիչ անվտանգ վճարման հաստատման համար:
  • PointerEvents API-ն՝ ստիլուսի թեքությունը որոշելու համար *, TiltX-ի փոխարեն ավելացրել է բարձրացման անկյունները (գրիչի և էկրանի միջև անկյունը) և ազիմուտը (անկյուն X առանցքի և ստիլուսի պրոյեկցիան էկրանի միջև): և TiltY անկյունները (հարթության անկյունները գրիչից և առանցքներից մեկի և Y և Z առանցքներից հարթության միջև): Նաև ավելացվել է փոխակերպման գործառույթներ բարձրության/ազիմուտի և TiltX/TiltY-ի միջև:
  • URL-ում տարածության կոդավորումը փոխվել է, երբ այն գնահատվում է արձանագրությունների մշակիչներում. navigator.registerProtocolHandler() մեթոդն այժմ փոխարինում է բացատները «%20»-ով «+»-ի փոխարեն, որը միավորում է վարքագիծը այլ բրաուզերների հետ, ինչպիսին է Firefox-ը:
  • CSS-ում ավելացվել է «::marker» կեղծ տարր՝ գույնը, չափը, ձևը և տեսակի թվերն ու կետերը բլոկների ցուցակների համար հարմարեցնելու համար Եվ .
  • Ավելացված է աջակցություն Document-Policy HTTP վերնագրի համար, որը թույլ է տալիս սահմանել փաստաթղթերի մուտքի կանոններ, որոնք նման են iframe sandbox-ի մեկուսացման մեխանիզմին, բայց ավելի բազմակողմանի: Օրինակ, Document-Policy-ի միջոցով դուք կարող եք սահմանափակել ցածրորակ պատկերների օգտագործումը, անջատել դանդաղ JavaScript API-ները, կարգավորել iframe-ների, պատկերների և սցենարների բեռնման կանոնները, սահմանափակել փաստաթղթի և տրաֆիկի ընդհանուր չափը, արգելել մեթոդները, որոնք հանգեցնում են. էջի վերագծագրում և անջատեք Scroll-To-Text ֆունկցիան:
  • Տարերքի համար ավելացրել է աջակցություն «inline-grid», «grid», «inline-flex» և «flex» պարամետրերին, որոնք սահմանված են «display» CSS հատկության միջոցով:
  • Ավելացվեց ParentNode.replaceChildren() մեթոդը՝ ծնող հանգույցի բոլոր երեխաներին մեկ այլ DOM հանգույցով փոխարինելու համար: Նախկինում հանգույցները փոխարինելու համար կարող եք օգտագործել node.removeChild() և node.append() կամ node.innerHTML և node.append() համակցությունները:
  • Ընդլայնվել է URL-ի սխեմաների շրջանակը, որը թույլատրվում է վերացնել registerProtocolHandler(-ի միջոցով): Սխեմաների ցանկը ներառում է cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns և ssb ապակենտրոնացված արձանագրությունները, որոնք թույլ են տալիս սահմանել հղումներ դեպի տարրեր՝ անկախ կայքից կամ դարպասից, որն ապահովում է մուտք դեպի ռեսուրս:
  • Asynchronous Clipboard API-ն ավելացրել է տեքստի/html ձևաչափի աջակցություն՝ HTML-ը clipboard-ի միջոցով պատճենելու և տեղադրելու համար (clipboard-ում գրելը և կարդալը մաքրում է վտանգավոր HTML կառուցվածքները): Փոփոխությունը, օրինակ, թույլ է տալիս վեբ խմբագիրներին կազմակերպել ֆորմատավորված տեքստի տեղադրումն ու պատճենումը պատկերներով և հղումներով:
  • WebRTC-ն ավելացրել է սեփական տվյալների մշակման սարքերը միացնելու հնարավորությունը, որոնք կոչվում են WebRTC MediaStreamTrack կոդավորման կամ ապակոդավորման փուլերում: Օրինակ, այս հնարավորությունը կարող է օգտագործվել միջանկյալ սերվերների միջոցով փոխանցվող տվյալների ծայրից ծայր կոդավորման համար աջակցություն ավելացնելու համար:
    Number.prototype.toString-ի ներդրումը 8%-ով ավելի արագ է V75 JavaScript շարժիչում: .name հատկությունն ավելացվել է դատարկ արժեք ունեցող ասինխրոն դասերին: Հեռացրել է Atomics.wake մեթոդը, որը ժամանակին վերանվանվել է Atomics.notify՝ ECMA-262 հատկորոշմանը համապատասխանելու համար: Թողարկվել է JS-Fuzzer fuzzing փորձարկման գործիքի կոդը:
  • Վերջին թողարկումում ներառված WebAssembly-ի համար Liftoff բազային կազմողը ներառում է SIMD վեկտորի հրահանգներն օգտագործելու հնարավորություն՝ հաշվարկներն արագացնելու համար: Դատելով թեստերից՝ օպտիմալացումը հնարավորություն է տվել արագացնել որոշ թեստերի անցումը 2.8 անգամ։ Մեկ այլ օպտիմալացում թույլ տվեց զգալիորեն արագացնել WebAssembly-ից ներմուծված JavaScript գործառույթների զանգը:
  • Ընդլայնված գործիքներ վեբ ծրագրավորողների համար. Էջում տեսանյութեր նվագարկելու համար օգտագործվող խաղացողների մասին տեղեկատվությունը ավելացվել է Մեդիա վահանակին, ներառյալ իրադարձությունների տվյալները, տեղեկամատյանները, գույքի արժեքները և շրջանակների վերծանման պարամետրերը (օրինակ՝ կարող եք որոշել կադրի պատճառները։ կաթիլներ և փոխազդեցության խնդիրներ JavaScript-ից):
  • Elements վահանակի համատեքստային մենյուում ավելացվել է ընտրված տարրի սքրինշոթեր ստեղծելու հնարավորությունը (օրինակ, կարող եք ստեղծել բովանդակության աղյուսակի սքրինշոթ կամ աղյուսակ):
  • Վեբ վահանակում խնդրի նախազգուշացման վահանակը փոխարինվել է սովորական հաղորդագրությամբ, իսկ երրորդ կողմի թխուկների հետ կապված խնդիրները լռելյայնորեն թաքցված են «Խնդիրներ» ներդիրում և միացված են հատուկ վանդակով:
  • Rendering ներդիրում ավելացվել է «Անջատել տեղական տառատեսակները» կոճակը, որը թույլ է տալիս նմանակել տեղական տառատեսակների բացակայությունը, իսկ Sensors ներդիրն ունի օգտատիրոջ անգործության մոդելավորման հնարավորություն (Idle Detection API օգտագործող հավելվածների համար):
  • Հավելվածի վահանակը մանրամասն տեղեկատվություն է տրամադրում յուրաքանչյուր iframe-ի, բաց պատուհանի և թռուցիկ պատուհանների մասին, ներառյալ տվյալները՝ Cross-Origin մեկուսացման վերաբերյալ՝ օգտագործելով COEP և COOP:

Սկսվել է QUIC արձանագրության ներդրման փոխարինումը IETF-ի բնութագրում մշակված տարբերակով՝ QUIC-ի Google տարբերակի փոխարեն։
Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակում 35 խոցելիություն է շտկվել։ Խոցելիություններից շատերը հայտնաբերվել են AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer և AFL ավտոմատացված փորձարկման գործիքների արդյունքում: Մեկ խոցելիություն (CVE-2020-15967, Google Payments-ի հետ փոխգործակցության համար կոդով ազատված հիշողություն) նշվում է որպես կարևոր, այսինքն. թույլ է տալիս շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել sandbox միջավայրից դուրս: Որպես ընթացիկ թողարկման Vulnerability Bounty ծրագրի մաս, Google-ը վճարել է 27 մրցանակ՝ 71500 ԱՄՆ դոլար արժողությամբ (մեկ $15000, երեք $7500, հինգ $5000, երկու $3000, մեկը $200 և երկու $500 մրցանակ)։ 13 պարգեւատրումների չափը դեռ որոշված ​​չէ։

Վերցված ինչ - որ տեղից opennet.ru

Source: linux.org.ru

Добавить комментарий