Google rilis browser web ... Serentak rilis stabil dari proyek gratis , yang merupakan dasar dari Chrome. Peramban Chrome penggunaan logo Google, adanya sistem pengiriman notifikasi jika terjadi crash, kemampuan mendownload modul Flash berdasarkan permintaan, modul untuk memutar konten video yang dilindungi (DRM), sistem untuk menginstal pembaruan dan transmisi secara otomatis selama pencarian . Rilis Chrome 87 berikutnya dijadwalkan pada 17 November.
:
- Menambahkan perlindungan terhadap penyerahan formulir masukan yang tidak aman pada halaman yang dimuat melalui HTTPS tetapi mengirimkan data melalui HTTP, yang menciptakan ancaman intersepsi data dan spoofing selama serangan MITM. Perlindungan turun ke tiga perubahan:
- Pengisian otomatis formulir masukan campuran apa pun telah dinonaktifkan, serupa dengan pengisian otomatis formulir autentikasi pada halaman yang dibuka melalui HTTP telah dinonaktifkan selama beberapa waktu. Jika sebelumnya tanda penonaktifan adalah dibukanya halaman berisi form melalui HTTPS atau HTTP, kini penggunaan enkripsi saat mengirimkan data ke form handler juga diperhitungkan. Pengelola kata sandi untuk bentuk autentikasi campuran tidak dinonaktifkan, karena risiko penggunaan kata sandi yang tidak aman dan penggunaan kembali kata sandi di situs berbeda lebih besar daripada risiko potensi intersepsi lalu lintas.
- Saat mulai memasukkan formulir campuran, peringatan ditampilkan untuk memberi tahu pengguna bahwa data lengkap dikirim melalui saluran komunikasi yang tidak terenkripsi.
- Saat Anda mencoba mengirimkan formulir campuran, halaman terpisah ditampilkan yang memberi tahu Anda tentang potensi risiko transmisi data melalui saluran komunikasi yang tidak terenkripsi. Pada versi sebelumnya, indikator gembok di bilah alamat digunakan untuk menunjukkan formulir campuran, namun penandaan ini tidak jelas bagi pengguna dan tidak secara efektif mencerminkan risiko yang ada.
- Pemblokiran (tanpa enkripsi) file yang dapat dieksekusi dilengkapi dengan memblokir pemuatan arsip yang tidak aman (zip, iso, dll.) dan menampilkan peringatan untuk pemuatan yang tidak aman
dokumen (docx, pdf, dll.). Pemblokiran dokumen dan peringatan untuk gambar, teks, dan file media diharapkan ada pada rilis berikutnya. Pemblokiran diterapkan karena pengunduhan file tanpa enkripsi dapat digunakan untuk melakukan tindakan jahat dengan mengganti konten selama serangan MITM. - Menu konteks default menampilkan opsi "Selalu tampilkan URL lengkap", yang sebelumnya memerlukan perubahan pengaturan pada halaman about:flags untuk mengaktifkannya. URL lengkap juga dapat dilihat dengan mengklik dua kali pada bilah alamat. Mari kita ingat kembali hal itu mulai dari Secara default, alamat mulai ditampilkan tanpa protokol dan subdomain www. DI DALAM pengaturan untuk mengembalikan perilaku lama telah dihapus, tetapi setelah pengguna merasa tidak puas Bendera eksperimental baru telah ditambahkan yang menambahkan opsi ke menu konteks untuk menonaktifkan penyembunyian dan menampilkan URL lengkap dalam kondisi apa pun.
- Diluncurkan untuk sebagian kecil pengguna pada Secara default, bilah alamat hanya berisi domain, tanpa elemen jalur dan parameter kueri. Misalnya, alih-alih "https://example.com/secure-google-sign-in/", yang akan ditampilkan adalah "example.com". Mode yang diusulkan diharapkan dapat dibawa ke semua pengguna di salah satu rilis berikutnya. Untuk menonaktifkan perilaku ini, Anda dapat menggunakan opsi “Selalu tampilkan URL lengkap”, dan untuk melihat seluruh URL, Anda dapat mengklik bilah alamat. Motif perubahan ini adalah keinginan untuk melindungi pengguna dari phishing yang memanipulasi parameter di URL - penyerang memanfaatkan kurangnya perhatian pengguna untuk menciptakan kesan membuka situs lain dan melakukan tindakan penipuan (jika penggantian tersebut terlihat jelas oleh pengguna yang kompeten secara teknis , maka orang yang tidak berpengalaman akan mudah tertipu oleh manipulasi sederhana seperti itu).
- Dilanjutkan untuk menghapus dukungan FTP. Di Chrome 86, FTP dinonaktifkan secara default untuk sekitar 1% pengguna, dan di Chrome 87 cakupan penonaktifan akan ditingkatkan hingga 50%, namun dukungan dapat dikembalikan menggunakan "--enable-ftp" atau "- -enable-features=FtpProtocol" bendera. Di Chrome 88, dukungan FTP akan dinonaktifkan sepenuhnya.
- Dalam versi untuk Android, mirip dengan versi untuk sistem desktop, pengelola kata sandi menerapkan pemeriksaan login dan kata sandi yang disimpan terhadap database akun yang disusupi, menampilkan peringatan jika masalah terdeteksi atau ada upaya untuk menggunakan kata sandi sepele. Pemeriksaan dilakukan terhadap database yang mencakup lebih dari 4 miliar akun yang disusupi yang muncul di database pengguna yang bocor. Untuk menjaga privasi Awalan hash diverifikasi di sisi pengguna, dan kata sandi itu sendiri serta hash lengkapnya tidak dikirimkan secara eksternal.
- Juga tersedia dalam versi Android tombol "Pemeriksaan keamanan" dan mode perlindungan yang ditingkatkan terhadap situs berbahaya (Penjelajahan Aman yang Disempurnakan). Tombol "Pemeriksaan keamanan" menunjukkan ringkasan kemungkinan masalah keamanan, seperti penggunaan kata sandi yang disusupi, status pemeriksaan situs berbahaya (Penjelajahan Aman), adanya pembaruan yang dihapus instalasinya, dan identifikasi add-on berbahaya. Mode perlindungan lanjutan mengaktifkan pemeriksaan tambahan untuk melindungi dari phishing, aktivitas jahat, dan ancaman lainnya di Web, dan juga mencakup perlindungan tambahan untuk akun Google Anda dan layanan Google (Gmail, Drive, dll.). Jika dalam mode Penjelajahan Aman normal, pemeriksaan dilakukan secara lokal menggunakan database yang dimuat secara berkala ke sistem klien, maka dalam Penjelajahan Aman yang Disempurnakan, informasi tentang halaman dan unduhan secara real-time dikirim untuk verifikasi di sisi Google, yang memungkinkan Anda merespons dengan cepat ancaman segera setelah diidentifikasi, tanpa menunggu hingga daftar hitam lokal diperbarui.
- dukungan untuk file indikator “.well-known/change-password”, yang dengannya pemilik situs dapat menentukan alamat formulir web untuk mengubah kata sandi. Jika kredensial pengguna disusupi, Chrome sekarang akan segera meminta pengguna dengan formulir perubahan kata sandi berdasarkan informasi dalam file ini.
- Peringatan “Tip Keamanan” baru telah diterapkan, ditampilkan saat membuka situs yang domainnya sangat mirip dengan situs lain dan heuristik menunjukkan bahwa ada kemungkinan besar spoofing (misalnya, goog0le.com dibuka, bukan google.com).
- dukungan untuk cache Mundur-maju, yang menyediakan navigasi instan saat menggunakan tombol "Kembali" dan "Maju" atau saat menavigasi halaman yang dilihat sebelumnya di situs saat ini. Cache diaktifkan menggunakan pengaturan chrome://flags/#back-forward-cache.
- Optimalisasi konsumsi sumber daya CPU oleh windows telah dilakukan
keluar dari ruang lingkup. Chrome memeriksa apakah jendela browser tumpang tindih dengan jendela lain dan mencegah menggambar piksel di area yang tumpang tindih. Pengoptimalan ini diaktifkan untuk sebagian kecil pengguna di Chrome 84 dan 85 dan kini diaktifkan di mana saja. Dibandingkan dengan rilis sebelumnya, ketidakcocokan dengan sistem virtualisasi yang menyebabkan munculnya halaman putih kosong juga telah teratasi. - Peningkatan pemangkasan sumber daya untuk tab latar belakang. Tab tersebut tidak lagi dapat menggunakan lebih dari 1% sumber daya CPU dan dapat diaktifkan tidak lebih dari sekali per menit. Setelah lima menit berada di latar belakang, tab akan dibekukan, kecuali tab yang memutar konten multimedia atau rekaman.
- Mengerjakan Agen Pengguna header HTTP. Di versi baru, dukungan mekanisme diaktifkan untuk semua pengguna , dikembangkan sebagai pengganti Agen-Pengguna. Mekanisme baru ini melibatkan pengembalian data secara selektif tentang browser tertentu dan parameter sistem (versi, platform, dll.) hanya setelah diminta oleh server dan memberikan pengguna kesempatan untuk secara selektif memberikan informasi tersebut kepada pemilik situs. Saat menggunakan Petunjuk Klien Agen Pengguna, pengidentifikasi tidak dikirimkan secara default tanpa permintaan eksplisit, sehingga identifikasi pasif tidak mungkin dilakukan (secara default, hanya nama browser yang ditunjukkan).
- Indikasi adanya pembaruan dan perlunya me-restart browser untuk menginstalnya telah diubah. Alih-alih panah berwarna, “Pembaruan” kini muncul di bidang avatar akun.
- Pekerjaan telah dilakukan untuk mengubah browser agar menggunakan terminologi inklusif. Pada nama kebijakan, kata “daftar putih” dan “daftar hitam” telah diganti dengan “daftar yang diizinkan” dan “daftar blokir” (kebijakan yang sudah ditambahkan akan tetap berfungsi, namun kebijakan tersebut akan menampilkan peringatan bahwa kebijakan tersebut tidak berlaku lagi). DI DALAM и referensi ke "daftar hitam" telah diganti dengan "daftar blokir".
Referensi “daftar hitam” dan “daftar putih” yang terlihat oleh pengguna telah diganti pada awal tahun 2019. - Menambahkan kemampuan eksperimental untuk mengedit kata sandi yang disimpan, diaktifkan menggunakan tanda “chrome://flags/#edit-passwords-in-settings”.
- Dikonversi menjadi API stabil dan publik , yang memungkinkan Anda membuat aplikasi web yang berinteraksi dengan file di sistem file lokal. Misalnya, API baru mungkin dibutuhkan di lingkungan pengembangan terintegrasi berbasis browser, editor teks, gambar, dan video. Untuk dapat langsung menulis dan membaca file atau menggunakan dialog untuk membuka dan menyimpan file, serta menavigasi isi direktori, aplikasi meminta konfirmasi khusus dari pengguna.
- Menambahkan pemilih CSS "“, yang menggunakan heuristik yang sama dengan yang digunakan browser saat memutuskan apakah akan menampilkan indikator perubahan fokus (saat memindahkan fokus ke tombol menggunakan pintasan keyboard, indikator tersebut muncul, namun saat mengklik dengan mouse, indikator tersebut tidak muncul). Pemilih CSS ":focus" yang tersedia sebelumnya selalu menyorot fokus.
Selain itu, opsi "Sorotan Fokus Cepat" telah ditambahkan ke pengaturan, ketika diaktifkan, indikator fokus tambahan akan ditampilkan di sebelah elemen aktif, yang tetap terlihat meskipun elemen gaya untuk menyorot fokus secara visual dinonaktifkan pada halaman melalui CSS . - Beberapa API baru telah ditambahkan ke mode Origin Trials (fitur eksperimental yang memerlukan aktivasi terpisah). Percobaan Asal menyiratkan kemampuan untuk bekerja dengan API yang ditentukan dari aplikasi yang diunduh dari localhost atau 127.0.0.1, atau setelah mendaftar dan menerima token khusus yang berlaku untuk waktu terbatas untuk situs tertentu.
- untuk akses tingkat rendah ke perangkat HID (Perangkat antarmuka manusia, keyboard, mouse, gamepad, panel sentuh), memungkinkan Anda menerapkan logika bekerja dengan perangkat HID dalam JavaScript untuk mengatur pekerjaan dengan perangkat HID langka tanpa kehadiran driver tertentu didalam sistem.
Pertama-tama, API baru ini ditujukan untuk memberikan dukungan untuk gamepad. - , memperluas API Penempatan Jendela untuk mendukung konfigurasi multi-layar. Tidak seperti window.screen, API baru memungkinkan Anda memanipulasi penempatan jendela di keseluruhan ruang layar sistem multi-monitor, tanpa terbatas pada layar saat ini.
- Tag meta , yang dengannya situs dapat memberi tahu browser tentang perlunya mengaktifkan mode untuk mengurangi konsumsi daya dan mengoptimalkan beban CPU.
- API untuk melaporkan potensi pelanggaran peraturan isolasi (COEP) dan (COOP), tanpa menerapkan batasan yang sebenarnya.
- Di API jenis kredensial baru telah diusulkan , memberikan konfirmasi tambahan atas transaksi pembayaran yang dilakukan. Pihak yang mengandalkan, seperti bank, memiliki kemampuan untuk menghasilkan kunci publik, PublicKeyCredential, yang dapat diminta oleh pedagang untuk konfirmasi pembayaran tambahan yang aman.
- untuk akses tingkat rendah ke perangkat HID (Perangkat antarmuka manusia, keyboard, mouse, gamepad, panel sentuh), memungkinkan Anda menerapkan logika bekerja dengan perangkat HID dalam JavaScript untuk mengatur pekerjaan dengan perangkat HID langka tanpa kehadiran driver tertentu didalam sistem.
- Di API untuk menentukan kemiringan stylus, dukungan telah ditambahkan untuk sudut ketinggian (sudut antara stylus dan layar) dan azimuth (sudut antara sumbu X dan proyeksi stylus di layar), bukan TiltX dan Sudut kemiringan (sudut antara bidang dari stylus dan salah satu sumbu dan bidang dari sumbu Y dan Y Z). Juga ditambahkan fungsi konversi antara ketinggian/azimuth dan TiltX/TiltY.
- Mengubah pengkodean spasi di URL saat menghitungnya di penangan protokol - metode navigator.registerProtocolHandler() sekarang menggantikan spasi dengan "%20" dan bukan "+", yang menyatukan perilaku dengan browser lain seperti Firefox.
- Menambahkan elemen semu CSS "", yang memungkinkan Anda menyesuaikan warna, ukuran, bentuk, dan jenis angka serta titik untuk daftar dalam blok Dan .
- Menambahkan dukungan tajuk HTTP , aturan untuk mengakses dokumen, mirip dengan mekanisme isolasi kotak pasir untuk iframe, tetapi lebih universal. Misalnya, melalui Kebijakan Dokumen Anda dapat membatasi penggunaan gambar berkualitas rendah, menonaktifkan API JavaScript yang lambat, mengonfigurasi aturan untuk memuat iframe, gambar, dan skrip, membatasi ukuran dan lalu lintas dokumen secara keseluruhan, melarang metode yang menyebabkan menggambar ulang halaman, menonaktifkan fungsinya .
- Untuk elemen menambahkan dukungan untuk parameter 'inline-grid', 'grid', 'inline-flex' dan 'flex' yang disetel melalui properti CSS 'display'.
- Metode tambahan untuk mengganti semua anak dari simpul induk dengan simpul DOM lainnya. Sebelumnya, Anda bisa menggunakan kombinasi node.removeChild() dan node.append() atau node.innerHTML dan node.append() untuk mengganti node.
- rentang skema URL yang diizinkan untuk diganti menggunakan registerProtocolHandler(). Daftar skema mencakup protokol desentralisasi cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns dan ssb, yang memungkinkan Anda menentukan tautan ke elemen terlepas dari situs atau gateway yang menyediakan akses ke sumber daya.
- Di API menambahkan dukungan untuk format teks/html untuk menyalin dan menempelkan HTML melalui clipboard (konstruksi HTML yang berbahaya dibersihkan saat menulis dan membaca ke clipboard). Perubahan tersebut, misalnya, memungkinkan Anda mengatur penyisipan dan penyalinan teks berformat dengan gambar dan tautan di editor web.
- Di WebRTC kemampuan untuk menghubungkan penangan data Anda sendiri yang dipanggil pada tahap pengkodean atau penguraian kode WebRTC MediaStreamTrack. Misalnya, kemampuan ini dapat digunakan untuk menambahkan dukungan enkripsi end-to-end pada data yang dikirimkan melalui server perantara.
- Di mesin JavaScript V8 sebesar 75% implementasi Number.prototype.toString. Menambahkan properti .name ke kelas asinkron dengan nilai kosong. Metode Atomics.wake telah dihapus, yang pernah diubah namanya menjadi Atomics.notify untuk memenuhi spesifikasi ECMA-262. Kode toolkit pengujian fuzzing terbuka .
- Kompiler dasar Liftoff untuk WebAssembly, yang dirilis pada rilis terakhir, mencakup kemampuan untuk menggunakan instruksi vektor untuk mempercepat perhitungan. Dilihat dari pengujiannya, pengoptimalan memungkinkan untuk mempercepat beberapa pengujian sebanyak 2.8 kali lipat. Pengoptimalan lain membuatnya lebih cepat untuk memanggil fungsi JavaScript yang diimpor dari WebAssembly.
- alat untuk pengembang web: Panel Media telah menambahkan informasi tentang pemutar yang digunakan untuk memutar video di halaman, termasuk data peristiwa, log, nilai properti, dan parameter pengodean bingkai (misalnya, Anda dapat menentukan penyebab hilangnya bingkai dan masalah interaksi dari JavaScript).
Di menu konteks panel Elemen, kemampuan untuk membuat tangkapan layar dari elemen yang dipilih telah ditambahkan (misalnya, Anda dapat membuat tangkapan layar dari daftar isi atau tabel).
Di konsol web, panel peringatan masalah telah diganti dengan pesan biasa, dan masalah dengan Cookie pihak ketiga disembunyikan secara default di tab Masalah dan diaktifkan dengan kotak centang khusus.
Di tab Rendering, tombol "Nonaktifkan font lokal" telah ditambahkan, yang memungkinkan Anda untuk mensimulasikan tidak adanya font lokal, dan di tab Sensor Anda sekarang dapat mensimulasikan ketidakaktifan pengguna (untuk aplikasi yang menggunakan Idle Detection API).
Panel Aplikasi memberikan informasi detail tentang setiap iframe, jendela terbuka, dan pop-up, termasuk informasi tentang isolasi Cross-Origin menggunakan COEP dan COOP.
- penggantian implementasi protokol ke opsi yang dikembangkan dalam spesifikasi IETF, bukan opsi Google QUIC.
Selain inovasi dan perbaikan bug, versi baru menghilangkan . Banyak kerentanan diidentifikasi sebagai hasil dari alat pengujian otomatis , , , и . Satu kerentanan (CVE-2020-15967, akses ke memori kosong dalam kode untuk berinteraksi dengan Google Payments) ditandai sebagai kritis, yaitu. memungkinkan Anda melewati semua tingkat perlindungan browser dan mengeksekusi kode pada sistem di luar lingkungan sandbox. Sebagai bagian dari program pembayaran hadiah uang tunai karena menemukan kerentanan pada rilis saat ini, Google membayar 27 penghargaan senilai $71500 (satu penghargaan $15000, tiga penghargaan $7500, lima penghargaan $5000, dua penghargaan $3000, satu penghargaan $200, dan dua penghargaan $500). Besaran 13 hadiah belum ditentukan.
Sumber: opennet.ru