ProHoster > blog > berita internet > Krom 86

Krom 86

Rilis Chrome 86 berikutnya dan rilis stabil Chromium telah dirilis.

Perubahan penting di Chrome 86:

  • perlindungan terhadap penyerahan formulir masukan yang tidak aman pada halaman yang dimuat melalui HTTPS tetapi mengirimkan data melalui HTTP.
  • Memblokir pengunduhan tidak aman (http) dari file yang dapat dieksekusi dilengkapi dengan memblokir pengunduhan arsip yang tidak aman (zip, iso, dll.) dan menampilkan peringatan untuk pengunduhan dokumen yang tidak aman (docx, pdf, dll.). Pemblokiran dokumen dan peringatan untuk gambar, teks, dan file media diharapkan ada pada rilis berikutnya. Pemblokiran diterapkan karena pengunduhan file tanpa enkripsi dapat digunakan untuk melakukan tindakan jahat dengan mengganti konten selama serangan MITM.
  • Menu konteks default menampilkan opsi "Selalu tampilkan URL lengkap", yang sebelumnya memerlukan perubahan pengaturan pada halaman about:flags untuk mengaktifkannya. URL lengkap juga dapat dilihat dengan mengklik dua kali pada bilah alamat. Izinkan kami mengingatkan Anda bahwa dimulai dengan Chrome 76, secara default alamat mulai ditampilkan tanpa protokol dan subdomain www. Di Chrome 79, pengaturan untuk mengembalikan perilaku lama telah dihapus, tetapi setelah ketidakpuasan pengguna, tanda eksperimental baru ditambahkan di Chrome 83 yang menambahkan opsi ke menu konteks untuk menonaktifkan penyembunyian dan menampilkan URL lengkap di semua kondisi.
    Untuk sebagian kecil pengguna, eksperimen telah diluncurkan untuk hanya menampilkan domain di bilah alamat secara default, tanpa elemen jalur dan parameter kueri. Misalnya, alih-alih "https://example.com/secure-google-sign-in/" "example.com" akan ditampilkan. Mode yang diusulkan diharapkan dapat dibawa ke semua pengguna di salah satu rilis berikutnya. Untuk menonaktifkan perilaku ini, Anda dapat menggunakan opsi “Selalu tampilkan URL lengkap”, dan untuk melihat seluruh URL, Anda dapat mengeklik bilah alamat. Motif perubahan ini adalah keinginan untuk melindungi pengguna dari phishing yang memanipulasi parameter di URL - penyerang memanfaatkan kurangnya perhatian pengguna untuk menciptakan kesan membuka situs lain dan melakukan tindakan penipuan (jika penggantian tersebut terlihat jelas oleh pengguna yang kompeten secara teknis , maka orang yang tidak berpengalaman akan mudah tertipu oleh manipulasi sederhana seperti itu).
  • Inisiatif untuk menghapus dukungan FTP telah diperbarui. Di Chrome 86, FTP dinonaktifkan secara default untuk sekitar 1% pengguna, dan di Chrome 87 cakupan penonaktifan akan ditingkatkan hingga 50%, namun dukungan dapat dikembalikan menggunakan "--enable-ftp" atau "- -enable-features=FtpProtocol" bendera. Di Chrome 88, dukungan FTP akan dinonaktifkan sepenuhnya.
  • Dalam versi untuk Android, mirip dengan versi untuk sistem desktop, pengelola kata sandi menerapkan pemeriksaan login dan kata sandi yang disimpan terhadap database akun yang disusupi, menampilkan peringatan jika masalah terdeteksi atau ada upaya untuk menggunakan kata sandi sepele. Pemeriksaan dilakukan terhadap database yang mencakup lebih dari 4 miliar akun yang disusupi yang muncul di database pengguna yang bocor. Untuk menjaga privasi, awalan hash diverifikasi di sisi pengguna, dan kata sandi itu sendiri serta hash lengkapnya tidak dikirimkan secara eksternal.
  • Tombol “Pemeriksaan keamanan” dan mode perlindungan yang ditingkatkan terhadap situs berbahaya (Penjelajahan Aman yang Disempurnakan) juga telah ditransfer ke versi Android. Tombol "Pemeriksaan keamanan" menunjukkan ringkasan kemungkinan masalah keamanan, seperti penggunaan kata sandi yang disusupi, status pemeriksaan situs berbahaya (Penjelajahan Aman), adanya pembaruan yang dihapus instalasinya, dan identifikasi add-on berbahaya. Mode perlindungan lanjutan mengaktifkan pemeriksaan tambahan untuk melindungi dari phishing, aktivitas jahat, dan ancaman lainnya di Web, dan juga mencakup perlindungan tambahan untuk akun Google Anda dan layanan Google (Gmail, Drive, dll.). Jika dalam mode Penjelajahan Aman normal, pemeriksaan dilakukan secara lokal menggunakan database yang dimuat secara berkala ke sistem klien, maka dalam Penjelajahan Aman yang Disempurnakan, informasi tentang halaman dan unduhan secara real-time dikirim untuk verifikasi di sisi Google, yang memungkinkan Anda merespons dengan cepat ancaman segera setelah diidentifikasi, tanpa menunggu hingga daftar hitam lokal diperbarui.
  • Menambahkan dukungan untuk file indikator ".well-known/change-password", yang dengannya pemilik situs dapat menentukan alamat formulir web untuk mengubah kata sandi. Jika kredensial pengguna disusupi, Chrome sekarang akan segera meminta pengguna dengan formulir perubahan kata sandi berdasarkan informasi dalam file ini.
  • Peringatan “Tip Keamanan” baru telah diterapkan, ditampilkan saat membuka situs yang domainnya sangat mirip dengan situs lain dan heuristik menunjukkan bahwa ada kemungkinan besar spoofing (misalnya, goog0le.com dibuka, bukan google.com).

    * Dukungan untuk cache Mundur-maju telah diterapkan, menyediakan navigasi instan saat menggunakan tombol "Kembali" dan "Maju" atau saat menavigasi halaman yang dilihat sebelumnya di situs saat ini. Cache diaktifkan menggunakan pengaturan chrome://flags/#back-forward-cache.

  • Mengoptimalkan konsumsi sumber daya CPU untuk jendela di luar cakupan. Chrome memeriksa apakah jendela browser tumpang tindih dengan jendela lain dan mencegah menggambar piksel di area yang tumpang tindih. Pengoptimalan ini diaktifkan untuk sebagian kecil pengguna di Chrome 84 dan 85 dan kini diaktifkan di mana saja. Dibandingkan dengan rilis sebelumnya, ketidakcocokan dengan sistem virtualisasi yang menyebabkan munculnya halaman putih kosong juga telah teratasi.
  • Peningkatan pemangkasan sumber daya untuk tab latar belakang. Tab tersebut tidak lagi dapat menggunakan lebih dari 1% sumber daya CPU dan dapat diaktifkan tidak lebih dari sekali per menit. Setelah lima menit berada di latar belakang, tab akan dibekukan, kecuali tab yang memutar konten multimedia atau rekaman.
  • Pekerjaan telah dilanjutkan untuk menyatukan header HTTP Agen-Pengguna. Dalam versi baru, dukungan untuk mekanisme Petunjuk Klien Agen-Pengguna, yang dikembangkan sebagai pengganti Agen-Pengguna, diaktifkan untuk semua pengguna. Mekanisme baru ini melibatkan pengembalian data secara selektif tentang browser tertentu dan parameter sistem (versi, platform, dll.) hanya setelah diminta oleh server dan memberikan pengguna kesempatan untuk secara selektif memberikan informasi tersebut kepada pemilik situs. Saat menggunakan Petunjuk Klien Agen Pengguna, pengidentifikasi tidak dikirimkan secara default tanpa permintaan eksplisit, sehingga identifikasi pasif tidak mungkin dilakukan (secara default, hanya nama browser yang ditunjukkan).
    Indikasi adanya pembaruan dan perlunya me-restart browser untuk menginstalnya telah diubah. Alih-alih panah berwarna, “Pembaruan” kini muncul di bidang avatar akun.
  • Pekerjaan telah dilakukan untuk mengubah browser agar menggunakan terminologi inklusif. Pada nama kebijakan, kata “daftar putih” dan “daftar hitam” telah diganti dengan “daftar yang diizinkan” dan “daftar blokir” (kebijakan yang sudah ditambahkan akan tetap berfungsi, namun kebijakan tersebut akan menampilkan peringatan bahwa kebijakan tersebut tidak berlaku lagi). Dalam kode dan nama file, referensi ke "daftar hitam" telah diganti dengan "daftar blokir". Referensi “daftar hitam” dan “daftar putih” yang terlihat oleh pengguna telah diganti pada awal tahun 2019.
    Menambahkan kemampuan eksperimental untuk mengedit kata sandi yang disimpan, diaktifkan menggunakan tanda “chrome://flags/#edit-passwords-in-settings”.
  • API Sistem File Asli telah dipindahkan ke kategori API stabil dan tersedia untuk umum, memungkinkan Anda membuat aplikasi web yang berinteraksi dengan file di sistem file lokal. Misalnya, API baru mungkin dibutuhkan di lingkungan pengembangan terintegrasi berbasis browser, editor teks, gambar, dan video. Untuk dapat langsung menulis dan membaca file atau menggunakan dialog untuk membuka dan menyimpan file, serta menavigasi isi direktori, aplikasi meminta konfirmasi khusus dari pengguna.
  • Menambahkan pemilih CSS ":focus-visible", yang menggunakan heuristik yang sama dengan yang digunakan browser saat memutuskan apakah akan menampilkan indikator perubahan fokus (saat memindahkan fokus ke tombol menggunakan pintasan keyboard, indikator muncul, tetapi saat mengklik dengan mouse , itu tidak). Pemilih CSS ":focus" yang tersedia sebelumnya selalu menyorot fokus. Selain itu, opsi "Sorotan Fokus Cepat" telah ditambahkan ke pengaturan, ketika diaktifkan, indikator fokus tambahan akan ditampilkan di sebelah elemen aktif, yang tetap terlihat meskipun elemen gaya untuk menyorot fokus secara visual dinonaktifkan pada halaman melalui CSS .
  • Beberapa API baru telah ditambahkan ke mode Origin Trials (fitur eksperimental yang memerlukan aktivasi terpisah). Percobaan Asal menyiratkan kemampuan untuk bekerja dengan API yang ditentukan dari aplikasi yang diunduh dari localhost atau 127.0.0.1, atau setelah mendaftar dan menerima token khusus yang berlaku untuk waktu terbatas untuk situs tertentu.
  • WebHID API untuk akses tingkat rendah ke perangkat HID (Perangkat antarmuka manusia, keyboard, mouse, gamepad, touchpad), yang memungkinkan Anda menerapkan logika bekerja dengan perangkat HID dalam JavaScript untuk mengatur pekerjaan dengan perangkat HID langka tanpa kehadiran driver tertentu dalam sistem. Pertama-tama, API baru ini ditujukan untuk memberikan dukungan untuk gamepad.
  • API Informasi Layar, memperluas API Penempatan Jendela untuk mendukung konfigurasi multi-layar. Tidak seperti window.screen, API baru memungkinkan Anda memanipulasi penempatan jendela di keseluruhan ruang layar sistem multi-monitor, tanpa terbatas pada layar saat ini.
  • Penghematan baterai tag meta, yang dengannya situs dapat memberi tahu browser tentang perlunya mengaktifkan mode untuk mengurangi konsumsi daya dan mengoptimalkan beban CPU.
  • COOP Reporting API untuk melaporkan potensi pelanggaran mode isolasi Cross-Origin-Embedder-Policy (COEP) dan Cross-Origin-Opener-Policy (COOP), tanpa menerapkan batasan sebenarnya.
  • API Manajemen Kredensial menawarkan jenis kredensial baru, PaymentCredential, yang memberikan konfirmasi tambahan atas transaksi pembayaran yang sedang dilakukan. Pihak yang mengandalkan, seperti bank, memiliki kemampuan untuk menghasilkan kunci publik, PublicKeyCredential, yang dapat diminta oleh pedagang untuk konfirmasi pembayaran tambahan yang aman.
  • API PointerEvents untuk menentukan kemiringan stylus* telah menambahkan dukungan untuk sudut elevasi (sudut antara stylus dan layar) dan azimuth (sudut antara sumbu X dan proyeksi stylus di layar), bukannya Sudut TiltX dan TiltY (sudut antara bidang dari stylus dan salah satu sumbu dan bidang dari sumbu Y dan Z). Juga ditambahkan fungsi konversi antara ketinggian/azimuth dan TiltX/TiltY.
  • Mengubah pengkodean spasi di URL saat menghitungnya di penangan protokol - metode navigator.registerProtocolHandler() sekarang menggantikan spasi dengan "%20" dan bukan "+", yang menyatukan perilaku dengan browser lain seperti Firefox.
  • Elemen semu "::marker" telah ditambahkan ke CSS, memungkinkan Anda menyesuaikan warna, ukuran, bentuk, dan jenis angka dan titik untuk cantuman dalam blok Dan .
  • Menambahkan dukungan untuk header HTTP Kebijakan Dokumen, yang memungkinkan Anda menetapkan aturan untuk mengakses dokumen, mirip dengan mekanisme isolasi kotak pasir untuk iframe, tetapi lebih universal. Misalnya, melalui Kebijakan Dokumen Anda dapat membatasi penggunaan gambar berkualitas rendah, menonaktifkan API JavaScript yang lambat, mengonfigurasi aturan untuk memuat iframe, gambar, dan skrip, membatasi ukuran dan lalu lintas dokumen secara keseluruhan, melarang metode yang menyebabkan menggambar ulang halaman, dan menonaktifkan fungsi Gulir-Ke-Teks.
  • Untuk elemen menambahkan dukungan untuk parameter 'inline-grid', 'grid', 'inline-flex' dan 'flex' yang disetel melalui properti CSS 'display'.
  • Menambahkan metode ParentNode.replaceChildren() untuk mengganti semua anak dari simpul induk dengan simpul DOM lain. Sebelumnya, Anda bisa menggunakan kombinasi node.removeChild() dan node.append() atau node.innerHTML dan node.append() untuk mengganti node.
  • Kisaran skema URL yang dapat diganti menggunakan registerProtocolHandler() telah diperluas. Daftar skema mencakup protokol desentralisasi cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns dan ssb, yang memungkinkan Anda menentukan tautan ke elemen terlepas dari situs atau gateway yang menyediakan akses ke sumber daya.
  • Menambahkan dukungan untuk format teks/html ke API Asynchronous Clipboard untuk menyalin dan menempelkan HTML melalui clipboard (konstruksi HTML yang berbahaya dibersihkan saat menulis dan membaca ke clipboard). Perubahan tersebut, misalnya, memungkinkan Anda mengatur penyisipan dan penyalinan teks berformat dengan gambar dan tautan di editor web.
  • WebRTC telah menambahkan kemampuan untuk menghubungkan penangan datanya sendiri, yang dipanggil pada tahap pengkodean atau penguraian kode WebRTC MediaStreamTrack. Misalnya, kemampuan ini dapat digunakan untuk menambahkan dukungan enkripsi end-to-end pada data yang dikirimkan melalui server perantara.
    Di mesin JavaScript V8, implementasi Number.prototype.toString telah dipercepat sebesar 75%. Menambahkan properti .name ke kelas asinkron dengan nilai kosong. Metode Atomics.wake telah dihapus, yang pernah diubah namanya menjadi Atomics.notify untuk memenuhi spesifikasi ECMA-262. Kode untuk alat pengujian fuzzing JS-Fuzzer terbuka.
  • Kompiler dasar Liftoff untuk WebAssembly yang dirilis pada rilis terakhir mencakup kemampuan untuk menggunakan instruksi vektor SIMD untuk mempercepat penghitungan. Dilihat dari pengujiannya, pengoptimalan memungkinkan untuk mempercepat beberapa pengujian sebanyak 2.8 kali lipat. Pengoptimalan lain membuatnya lebih cepat untuk memanggil fungsi JavaScript yang diimpor dari WebAssembly.
  • Alat untuk pengembang web telah diperluas: Panel Media telah menambahkan informasi tentang pemutar yang digunakan untuk memutar video di halaman, termasuk data peristiwa, log, nilai properti, dan parameter penguraian bingkai (misalnya, Anda dapat menentukan penyebab bingkai masalah kehilangan dan interaksi dari JavaScript) .
  • Di menu konteks panel Elemen, kemampuan untuk membuat tangkapan layar dari elemen yang dipilih telah ditambahkan (misalnya, Anda dapat membuat tangkapan layar dari daftar isi atau tabel).
  • Di konsol web, panel peringatan masalah telah diganti dengan pesan biasa, dan masalah dengan Cookie pihak ketiga disembunyikan secara default di tab Masalah dan diaktifkan dengan kotak centang khusus.
  • Di tab Rendering, tombol "Nonaktifkan font lokal" telah ditambahkan, yang memungkinkan Anda untuk mensimulasikan tidak adanya font lokal, dan di tab Sensor Anda sekarang dapat mensimulasikan ketidakaktifan pengguna (untuk aplikasi yang menggunakan Idle Detection API).
  • Panel Aplikasi memberikan informasi detail tentang setiap iframe, jendela terbuka, dan pop-up, termasuk informasi tentang isolasi Cross-Origin menggunakan COEP dan COOP.

Implementasi protokol QUIC sudah mulai digantikan oleh versi yang dikembangkan dalam spesifikasi IETF, bukan QUIC versi Google.
Selain inovasi dan perbaikan bug, versi baru ini menghilangkan 35 kerentanan. Banyak kerentanan yang diidentifikasi sebagai hasil pengujian otomatis menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Satu kerentanan (CVE-2020-15967, akses ke memori kosong dalam kode untuk berinteraksi dengan Google Payments) ditandai sebagai kritis, yaitu. memungkinkan Anda melewati semua tingkat perlindungan browser dan mengeksekusi kode pada sistem di luar lingkungan sandbox. Sebagai bagian dari program pembayaran hadiah uang tunai karena menemukan kerentanan pada rilis saat ini, Google membayar 27 penghargaan senilai $71500 (satu penghargaan $15000, tiga penghargaan $7500, lima penghargaan $5000, dua penghargaan $3000, satu penghargaan $200, dan dua penghargaan $500). Besaran 13 hadiah belum ditentukan.

Diambil dari Opennet.ru

Sumber: linux.org.ru

Tambah komentar