ProHoster > Blog > netfréttir > Chrome 86

Chrome 86

Næsta útgáfa af Chrome 86 og stöðug útgáfa af Chromium hafa verið gefin út.

Helstu breytingar á Chrome 86:

  • vörn gegn óöruggri sendingu innsláttareyðublaða á síðum sem hlaðnar eru yfir HTTPS en sendar gögn yfir HTTP.
  • Lokun á óöruggt niðurhal (http) á keyranlegum skrám bætist við að loka fyrir óöruggt niðurhal á skjalasafni (zip, iso o.s.frv.) og birta viðvaranir um óöruggt niðurhal á skjölum (docx, pdf, osfrv.). Búist er við lokun skjala og viðvaranir fyrir myndir, texta og fjölmiðlaskrár í næstu útgáfu. Lokunin er útfærð vegna þess að hægt er að nota niðurhal á skrám án dulkóðunar til að framkvæma illgjarnar aðgerðir með því að skipta um innihald meðan á MITM árásum stendur.
  • Sjálfgefin samhengisvalmynd sýnir valkostinn „Sýna alltaf fulla vefslóð“, sem áður þurfti að breyta stillingum á about:flags síðunni til að virkja. Einnig er hægt að skoða alla vefslóðina með því að tvísmella á veffangastikuna. Við skulum minna þig á að frá og með Chrome 76 byrjaði sjálfgefið að birta heimilisfangið án samskiptareglunnar og www undirlénsins. Í Chrome 79 var stillingin til að skila gömlu hegðuninni fjarlægð, en eftir óánægju notenda var nýjum tilraunaflagi bætt við í Chrome 83 sem bætir valmöguleika við samhengisvalmyndina til að slökkva á því að fela og sýna alla vefslóðina við allar aðstæður.
    Fyrir lítið hlutfall notenda hefur tilraun verið sett af stað til að birta aðeins lénið á veffangastikunni sjálfgefið, án slóðaþátta og fyrirspurnarfæribreyta. Til dæmis, í stað "https://example.com/secure-google-sign-in/" „example.com“ verður sýndur. Búist er við að fyrirhugaður háttur verði færður til allra notenda í einni af næstu útgáfum. Til að slökkva á þessari hegðun geturðu notað valkostinn „Sýna alltaf fulla vefslóð“ og til að skoða alla vefslóðina geturðu smellt á veffangastikuna. Ástæðan fyrir breytingunni er löngunin til að vernda notendur gegn vefveiðum sem vinna með færibreytur í vefslóðinni - árásarmenn nýta sér athyglisleysi notenda til að sýna fram á að opna aðra síðu og fremja sviksamlega aðgerðir (ef slíkar skiptingar eru augljósar fyrir tæknilega hæfum notanda , þá falla óreynt fólk auðveldlega fyrir svona einfaldri meðferð).
  • Frumkvæði að fjarlægja FTP stuðning hefur verið endurnýjað. Í Chrome 86 er FTP sjálfgefið óvirkt fyrir um 1% notenda og í Chrome 87 verður umfang óvirkunnar aukið í 50%, en hægt er að endurheimta stuðning með því að nota "--enable-ftp" eða "- -enable-features=FtpProtocol" fána. Í Chrome 88 verður FTP stuðningur algjörlega óvirkur.
  • Í útgáfunni fyrir Android, svipað útgáfunni fyrir skjáborðskerfi, innleiðir lykilorðastjórinn athugun á vistuðum innskráningum og lykilorðum gegn gagnagrunni yfir reikninga sem hafa verið í hættu, og sýnir viðvörun ef vandamál finnast eða reynt er að nota léttvæg lykilorð. Athugunin fer fram á gagnagrunni sem nær yfir meira en 4 milljarða reikninga í hættu sem birtust í notendagagnagrunnum sem lekið var. Til að viðhalda friðhelgi einkalífsins er kjötkássaforskeytið staðfest á hlið notandans og lykilorðin sjálf og fullur kjötkássa þeirra eru ekki send utan.
  • „Öryggisskoðun“ hnappurinn og aukin verndarstilling gegn hættulegum síðum (Enhanced Safe Browsing) hafa einnig verið færðir yfir í Android útgáfuna. Hnappurinn „Öryggisathugun“ sýnir samantekt á hugsanlegum öryggisvandamálum, svo sem notkun lykilorða sem eru í hættu, stöðu athugana á skaðlegum vefsvæðum (örugg vefskoðun), tilvist óuppsettra uppfærslna og auðkenningu skaðlegra viðbóta. Háþróuð verndarstilling virkjar viðbótarathuganir til að verjast vefveiðum, illgjarnri virkni og öðrum ógnum á vefnum, og felur einnig í sér viðbótarvörn fyrir Google reikninginn þinn og þjónustu Google (Gmail, Drive, osfrv.). Ef athuganir eru framkvæmdar á staðnum í venjulegum Safe Browsing-ham með því að nota gagnagrunn sem er reglulega hlaðinn inn á kerfi viðskiptavinarins, þá eru í Enhanced Safe Browsing upplýsingar um síður og niðurhal í rauntíma sendar til staðfestingar á Google hlið, sem gerir þér kleift að bregðast fljótt við hótanir strax eftir að þær hafa borist kennsl á, án þess að bíða þar til svarti listinn á staðnum er uppfærður.
  • Bætti við stuðningi við vísiskrána „.well-known/change-password“ sem eigendur vefsíðna geta með því tilgreint heimilisfang vefeyðublaðsins til að breyta lykilorði. Ef persónuskilríki notanda er í hættu mun Chrome nú þegar í stað biðja notandann um eyðublað til að breyta lykilorði byggt á upplýsingum í þessari skrá.
  • Ný „öryggisráð“ viðvörun hefur verið innleidd, sem birtist þegar opnar eru síður þar sem lénið er mjög líkt annarri síðu og heuristics sýna að það eru miklar líkur á skopstælingum (td er goog0le.com opnuð í stað google.com).

    * Stuðningur við afturáfram skyndiminni hefur verið innleiddur, sem veitir tafarlausa leiðsögn þegar „Til baka“ og „Áfram“ hnapparnir eru notaðir eða þegar farið er í gegnum áður skoðaðar síður á núverandi síðu. Skyndiminnið er virkt með því að nota chrome://flags/#back-forward-cache stillinguna.

  • Hagræðing örgjörva auðlindanotkunar fyrir glugga utan umfangs. Chrome athugar hvort vafraglugginn skarast af öðrum gluggum og kemur í veg fyrir að punktar séu teiknaðir á svæðum þar sem skarast. Þessi fínstilling var virkjuð fyrir lítið hlutfall notenda í Chrome 84 og 85 og er nú virkjuð alls staðar. Í samanburði við fyrri útgáfur hefur einnig verið leyst úr ósamrýmanleika við sýndarvæðingarkerfi sem olli auðum hvítum síðum.
  • Aukin klipping tilfanga fyrir bakgrunnsflipa. Slíkir flipar geta ekki lengur neytt meira en 1% af CPU auðlindum og er ekki hægt að virkja þá oftar en einu sinni á mínútu. Eftir fimm mínútur að vera í bakgrunni eru flipar frosnir, að undanskildum flipa sem eru að spila margmiðlunarefni eða taka upp.
  • Vinna er hafin á ný við að sameina HTTP haus notanda-umboðsmanns. Í nýju útgáfunni er stuðningur við User-Agent Client Hints vélbúnaðurinn, þróaður í staðinn fyrir User-Agent, virkur fyrir alla notendur. Nýja fyrirkomulagið felur í sér að skila sértækum gögnum um tilteknar vafra- og kerfisfæribreytur (útgáfu, vettvang osfrv.) aðeins eftir beiðni frá þjóninum og gefa notendum tækifæri til að afhenda síðueigendum slíkar upplýsingar. Þegar notandi notendaviðskiptavinavísbendingar eru notaðar er auðkennið ekki sent sjálfgefið án skýrrar beiðni, sem gerir óvirka auðkenningu ómögulega (sjálfgefið er aðeins nafn vafrans tilgreint).
    Vísbendingunni um tilvist uppfærslu og nauðsyn þess að endurræsa vafrann til að setja hana upp hefur verið breytt. Í stað litaðrar ör birtist „Uppfærsla“ núna í reikningsmyndareitnum.
  • Unnið hefur verið að því að breyta vafranum til að nota innifalið hugtök. Í nöfnum reglna hefur orðunum „hvítlisti“ og „svartur listi“ verið skipt út fyrir „leyfislisti“ og „útilokunarlisti“ (reglur sem þegar hafa verið bættar við munu halda áfram að virka, en þær munu sýna viðvörun um að þær séu úreltar). Í kóða og skráarnöfnum hefur tilvísunum í "svartan lista" verið skipt út fyrir "blokkunarlista". Notendasýnilegum tilvísunum í „svartan lista“ og „hvítlista“ var skipt út í byrjun árs 2019.
    Bætti við tilraunagetu til að breyta vistuðum lykilorðum, virkjað með „chrome://flags/#edit-passwords-in-settings“ fánanum.
  • Native File System API hefur verið flutt í flokkinn stöðugt og almennt aðgengilegt API, sem gerir þér kleift að búa til vefforrit sem hafa samskipti við skrár í staðbundnu skráarkerfi. Til dæmis gæti nýja API verið eftirsótt í samþættu þróunarumhverfi sem byggir á vafra, texta-, mynd- og myndbandsklippurum. Til að geta beint skrifað og lesið skrár eða notað glugga til að opna og vista skrár, svo og til að fletta í gegnum innihald möppu, biður forritið notandann um sérstaka staðfestingu.
  • Bætti við CSS vali ":focus-visible", sem notar sömu heuristics og vafrinn notar þegar hann ákveður hvort hann eigi að sýna fókusbreytingavísirinn (þegar fókus er færður á hnapp með flýtilykla birtist vísirinn, en þegar smellt er með músinni , það gerir það ekki). CSS valkosturinn ":focus" sem áður var tiltækur undirstrikar alltaf fókus. Að auki hefur „Quick Focus Highlight“ valmöguleikanum verið bætt við stillingarnar, þegar kveikt er á því mun auka fókusvísir birtast við hlið virkra þátta, sem er áfram sýnilegur jafnvel þótt stílþættir til að auðkenna fókus sjónrænt séu óvirkir á síðunni í gegnum CSS .
  • Nokkrum nýjum API hefur verið bætt við upprunaprófunarhaminn (tilraunaeiginleikar sem krefjast sérstakrar virkjunar). Uppruni prufa felur í sér getu til að vinna með tilgreint API úr forritum sem hlaðið er niður frá localhost eða 127.0.0.1, eða eftir að hafa skráð og fengið sérstakan tákn sem gildir í takmarkaðan tíma fyrir tiltekna síðu.
  • WebHID API fyrir aðgang að HID tækjum á lágu stigi (mannaviðmótstæki, lyklaborð, mýs, spilborð, snertiborð), sem gerir þér kleift að innleiða rökfræði þess að vinna með HID tæki í JavaScript til að skipuleggja vinnu með sjaldgæfum HID tækjum án þess að tiltekna rekla í kerfinu. Í fyrsta lagi miðar nýja API að því að veita stuðning við leikjatölvur.
  • Skjárupplýsingar API, framlengir Window Placement API til að styðja við fjölskjástillingar. Ólíkt window.screen gerir nýja API þér kleift að stjórna staðsetningu glugga í heildarskjárými fjölskjákerfa, án þess að takmarkast við núverandi skjá.
  • Meta tag rafhlöðusparnaður, sem síðan getur upplýst vafrann um nauðsyn þess að virkja stillingar til að draga úr orkunotkun og hámarka CPU álag.
  • COOP Reporting API til að tilkynna hugsanleg brot á Cross-Origin-Embedder-Policy (COEP) og Cross-Origin-Opener-Policy (COOP) einangrunarstillingum, án þess að beita raunverulegum takmörkunum.
  • Persónuskilríkisstjórnunarforritaskilin bjóða upp á nýja tegund af skilríkjum, PaymentCredential, sem veitir viðbótarstaðfestingu á greiðslufærslunni sem verið er að framkvæma. Aðili sem treystir á, eins og banki, hefur getu til að búa til opinberan lykil, PublicKeyCredential, sem söluaðilinn getur beðið um til að fá frekari örugga greiðslustaðfestingu.
  • PointerEvents API til að ákvarða halla pennans* hefur bætt við stuðningi við hæðarhorn (hornið milli pennans og skjásins) og azimut (hornið milli X-ássins og vörpun pennans á skjánum), í stað þess að TiltX og TiltY horn (hornin milli plansins frá pennanum og eins ásanna og plansins frá Y og Z ásnum). Einnig bætt við umbreytingaraðgerðum á milli hæðar/azimuts og TiltX/TiltY.
  • Breytti kóðun pláss í vefslóðum þegar það var reiknað út í samskiptareglum - navigator.registerProtocolHandler() aðferðin kemur nú í stað bils fyrir "%20" í stað "+", sem sameinar hegðunina við aðra vafra eins og Firefox.
  • Gervieiningu "::marker" hefur verið bætt við CSS, sem gerir þér kleift að sérsníða lit, stærð, lögun og gerð talna og punkta fyrir skráningar í blokkum Og .
  • Bætti við stuðningi við Document-Policy HTTP hausinn, sem gerir þér kleift að setja reglur um aðgang að skjölum, svipað og sandkassaeinangrunarkerfi fyrir iframes, en alhliða. Til dæmis, í gegnum Document-Policy geturðu takmarkað notkun lággæða mynda, slökkt á hægum JavaScript API, stillt reglur til að hlaða iframe, myndir og forskriftir, takmarka heildarstærð skjala og umferð, banna aðferðir sem leiða til endurteikningar á síðu og slökkva á Scroll-To-Text aðgerðinni.
  • Að frumefni bætti við stuðningi við 'inline-grid', 'grid', 'inline-flex' og 'flex' færibreytur settar í gegnum 'display' CSS eignina.
  • Bætt við ParentNode.replaceChildren() aðferð til að skipta út öllum börnum foreldrahnúts fyrir annan DOM hnút. Áður var hægt að nota blöndu af node.removeChild() og node.append() eða node.innerHTML og node.append() til að skipta um hnúta.
  • Umfang vefslóðakerfa sem hægt er að hnekkja með því að nota registerProtocolHandler() hefur verið stækkað. Listinn yfir kerfin inniheldur dreifðar samskiptareglur cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, sem gerir þér kleift að skilgreina tengla á þætti óháð því hvaða síðu eða gátt veitir aðgang að auðlindinni.
  • Bætti við stuðningi fyrir texta/html sniði við ósamstilltur klemmuspjald API til að afrita og líma HTML í gegnum klemmuspjaldið (hættulegar HTML smíðar eru hreinsaðar upp þegar skrifað er og lesið á klemmuspjaldið). Breytingin gerir þér til dæmis kleift að skipuleggja innsetningu og afritun sniðins texta með myndum og tenglum í vefritstöngum.
  • WebRTC hefur bætt við möguleikanum á að tengja sína eigin gagnameðhöndlun, sem kallast á kóðun eða afkóðun stigum WebRTC MediaStreamTrack. Til dæmis er hægt að nota þessa möguleika til að bæta við stuðningi við end-to-end dulkóðun gagna sem send eru í gegnum millimiðlara.
    Í V8 JavaScript vélinni hefur innleiðingu Number.prototype.toString verið flýtt um 75%. Bætti .name eigninni við ósamstillta flokka með auðu gildi. Atomics.wake aðferðin hefur verið fjarlægð, sem á sínum tíma var endurnefnd í Atomics.notify til að uppfylla ECMA-262 forskriftina. Kóðinn fyrir óljós prófunartólið JS-Fuzzer er opinn.
  • Liftoff grunnlínuþýðandinn fyrir WebAssembly sem gefinn var út í síðustu útgáfu inniheldur möguleika á að nota SIMD vektorleiðbeiningar til að flýta fyrir útreikningum. Af prófunum að dæma gerði hagræðing það mögulegt að flýta sumum prófunum um 2.8 sinnum. Önnur hagræðing gerði það mun fljótlegra að kalla innfluttar JavaScript aðgerðir frá WebAssembly.
  • Verkfæri fyrir vefhönnuði hafa verið stækkuð: Fjölmiðlaspjaldið hefur bætt við upplýsingum um spilarana sem notaðir eru til að spila myndband á síðunni, þar á meðal atburðagögn, logs, eignagildi og rammaafkóðun færibreytur (til dæmis geturðu ákvarðað orsakir ramma tap og samskipti vandamál frá JavaScript).
  • Í samhengisvalmyndinni á Elements spjaldinu hefur möguleikanum til að búa til skjámyndir af völdum þætti verið bætt við (td getur þú búið til skjáskot af efnisyfirliti eða töflu).
  • Í vefstjórnborðinu hefur vandamálaviðvörunarspjaldinu verið skipt út fyrir venjuleg skilaboð og vandamál með vafrakökur frá þriðja aðila eru sjálfgefið falin á vandamálaflipanum og eru virkjuð með sérstökum gátreit.
  • Í Rendering flipanum hefur hnappinum „Slökkva á staðbundnum leturgerðum“ verið bætt við, sem gerir þér kleift að líkja eftir fjarveru staðbundinna leturgerða, og á flipanum Skynjarar geturðu nú líkt eftir óvirkni notenda (fyrir forrit sem nota Idle Detection API).
  • Forritaspjaldið veitir nákvæmar upplýsingar um hvern iframe, opinn glugga og sprettiglugga, þar á meðal upplýsingar um Cross-Origin einangrun með COEP og COOP.

Byrjað er að skipta út innleiðingu QUIC samskiptareglunnar fyrir útgáfuna sem þróuð er í IETF forskriftinni, í stað Google útgáfunnar af QUIC.
Til viðbótar við nýjungar og villuleiðréttingar, útrýma nýja útgáfan 35 veikleika. Margir af veikleikunum voru auðkenndir sem afleiðing af sjálfvirkum prófunum með AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL verkfærunum. Einn varnarleysi (CVE-2020-15967, aðgangur að losuðu minni í kóða fyrir samskipti við Google Payments) er merktur sem mikilvægur, þ.e. gerir þér kleift að komast framhjá öllum stigum vafraverndar og keyra kóða á kerfinu utan sandkassaumhverfisins. Sem hluti af áætluninni til að greiða peningaverðlaun fyrir að uppgötva veikleika fyrir núverandi útgáfu, greiddi Google 27 verðlaun að verðmæti $71500 (ein $15000 verðlaun, þrjú $7500 verðlaun, fimm $5000 verðlaun, tvö $3000 verðlaun, ein $200 verðlaun og tvö $500 verðlaun). Stærð 13 verðlauna hefur ekki enn verið ákveðin.

Tekið frá Opennet.ru

Heimild: linux.org.ru

Bæta við athugasemd