Google útgáfu vefvafra ... Samtímis stöðug útgáfa af ókeypis verkefni , sem þjónar sem grunnur Chrome. Chrome vafri notkun Google lógóa, tilvist kerfis til að senda tilkynningar ef hrun er, möguleiki á að hlaða niður Flash-einingu sé þess óskað, einingar til að spila verndað myndbandsefni (DRM), kerfi til að setja upp uppfærslur sjálfkrafa og senda meðan á leit stendur. . Næsta útgáfa af Chrome 87 er áætluð 17. nóvember.
:
- Bætt við vörn gegn óöruggri sendingu innsláttareyðublaða á síðum sem hlaðnar eru í gegnum HTTPS en sendar gögn um HTTP, sem skapar hættu á gagnahlerun og skopstælingum við MITM árásir. Verndun kemur niður á þremur breytingum:
- Sjálfvirk útfylling á blönduðum innsláttareyðublöðum hefur verið gerð óvirk, svipað og sjálfvirk útfylling auðkenningareyðublaða á síðum sem opnaðar eru með HTTP hefur verið óvirk í nokkurn tíma. Ef áður var merki um að slökkva á að opna síðu með eyðublaði í gegnum HTTPS eða HTTP, er nú einnig tekið tillit til notkunar á dulkóðun þegar gögn eru send til eyðublaðastjórans. Lykilorðsstjórinn fyrir blandað form auðkenningar er ekki óvirkur, þar sem hættan á að nota óöruggt lykilorð og endurnýta lykilorð á mismunandi síðum vegur þyngra en hættan á hugsanlegri umferðarhlerun.
- Þegar byrjað er að slá inn í blönduðum formum birtist viðvörun sem tilkynnir notandanum að fullgerð gögn séu send um ódulkóðaða samskiptarás.
- Þegar þú reynir að senda inn blandað eyðublað birtist sérstök síða sem tilkynnir þér um hugsanlega hættu á að senda gögn um ódulkóðaða samskiptarás. Í fyrri útgáfum var hengilásvísir í veffangastikunni notaður til að gefa til kynna blandað form, en þessi merking var ekki augljós fyrir notendur og endurspeglaði ekki í raun áhættuna sem fylgdi.
- Lokun (án dulkóðunar) keyranlegra skráa er bætt við að hindra óörugga hleðslu skjalasafna (zip, iso, osfrv.) og birta viðvaranir um óörugga hleðslu
skjöl (docx, pdf, osfrv.). Búist er við lokun skjala og viðvaranir fyrir myndir, texta og fjölmiðlaskrár í næstu útgáfu. Lokunin er útfærð vegna þess að hægt er að nota niðurhal á skrám án dulkóðunar til að framkvæma illgjarnar aðgerðir með því að skipta um innihald meðan á MITM árásum stendur. - Sjálfgefin samhengisvalmynd sýnir valkostinn „Sýna alltaf fulla vefslóð“, sem áður þurfti að breyta stillingum á about:flags síðunni til að virkja. Einnig er hægt að skoða alla vefslóðina með því að tvísmella á veffangastikuna. Við skulum muna það frá kl Sjálfgefið var byrjað að sýna heimilisfangið án samskiptareglur og www undirlénsins. IN stillingin til að skila gömlu hegðuninni var fjarlægð, en eftir óánægju notenda með Nýrra tilraunakána hefur verið bætt við sem bætir valmöguleika við samhengisvalmyndina til að slökkva á felum og sýna alla vefslóðina við hvaða aðstæður sem er.
- Hleypt af stokkunum fyrir lítið hlutfall notenda á Sjálfgefið er að veffangastikan inniheldur aðeins lénið, án slóðaþátta og fyrirspurnarfæribreyta. Til dæmis, í stað „https://example.com/secure-google-sign-in/“ mun það sýna „example.com“. Búist er við að fyrirhugaður háttur verði færður til allra notenda í einni af næstu útgáfum. Til að slökkva á þessari hegðun geturðu notað valkostinn „Sýna alltaf fulla vefslóð“ og til að skoða alla vefslóðina geturðu smellt á veffangastikuna. Ástæðan fyrir breytingunni er löngunin til að vernda notendur gegn vefveiðum sem vinna með færibreytur í vefslóðinni - árásarmenn nýta sér athyglisleysi notenda til að láta líta út fyrir að opna aðra síðu og fremja sviksamlega aðgerðir (ef slíkar skiptingar eru augljósar fyrir tæknilega hæfum notanda , þá falla óreynt fólk auðveldlega fyrir svona einfaldri meðferð).
- Haldið áfram til að fjarlægja FTP stuðning. Í Chrome 86 er FTP sjálfgefið óvirkt fyrir um 1% notenda og í Chrome 87 verður umfang óvirkunnar aukið í 50%, en hægt er að endurheimta stuðning með „--enable-ftp“ eða „-enable -features=FtpProtocol” fána. Í Chrome 88 verður FTP stuðningur algjörlega óvirkur.
- Í útgáfunni fyrir Android, svipað útgáfunni fyrir skjáborðskerfi, innleiðir lykilorðastjórinn athugun á vistuðum innskráningum og lykilorðum gegn gagnagrunni yfir reikninga sem hafa verið í hættu, og sýnir viðvörun ef vandamál finnast eða reynt er að nota léttvæg lykilorð. Athugunin fer fram á gagnagrunni sem nær yfir meira en 4 milljarða reikninga í hættu sem birtust í notendagagnagrunnum sem lekið var. Til að viðhalda friðhelgi einkalífsins Hash forskeytið er staðfest á hlið notandans og lykilorðin sjálf og fullur kjötkássa þeirra eru ekki send utan.
- Einnig fáanlegt í Android útgáfu „Öryggisskoðun“ hnappinn og aukin verndarstilling gegn hættulegum stöðum (Enhanced Safe Browsing). Hnappurinn „Öryggisathugun“ sýnir samantekt á hugsanlegum öryggisvandamálum, svo sem notkun lykilorða sem eru í hættu, stöðu athugana á skaðlegum vefsvæðum (örugg vefskoðun), tilvist óuppsettra uppfærslna og auðkenningu skaðlegra viðbóta. Háþróuð verndarstilling virkjar viðbótarathuganir til að verjast vefveiðum, illgjarnri virkni og öðrum ógnum á vefnum, og felur einnig í sér viðbótarvörn fyrir Google reikninginn þinn og þjónustu Google (Gmail, Drive, osfrv.). Ef athuganir eru framkvæmdar á staðnum í venjulegum Safe Browsing-ham með því að nota gagnagrunn sem er reglulega hlaðinn inn á kerfi viðskiptavinarins, þá eru í Enhanced Safe Browsing upplýsingar um síður og niðurhal í rauntíma sendar til staðfestingar á Google hlið, sem gerir þér kleift að bregðast fljótt við hótanir strax eftir að þær hafa borist kennsl á, án þess að bíða þar til svarti listinn á staðnum er uppfærður.
- stuðningur við „.well-known/change-password“ vísirskrána, þar sem eigendur vefsíðna geta tilgreint heimilisfang vefeyðublaðs til að breyta lykilorði. Ef persónuskilríki notanda eru í hættu mun Chrome nú þegar í stað biðja notandann um eyðublað til að breyta lykilorði byggt á upplýsingum í þessari skrá.
- Ný „öryggisráð“ viðvörun hefur verið innleidd, sem birtist þegar opnar eru síður þar sem lénið er mjög líkt annarri síðu og heuristics sýna að það eru miklar líkur á skopstælingum (td er goog0le.com opnuð í stað google.com).
- stuðningur fyrir afturáfram skyndiminni, sem veitir tafarlausa leiðsögn þegar „Til baka“ og „Áfram“ hnapparnir eru notaðir eða þegar farið er í gegnum áður skoðaðar síður á núverandi síðu. Skyndiminnið er virkt með því að nota chrome://flags/#back-forward-cache stillinguna.
- Hagræðing á auðlindanotkun CPU með Windows hefur verið framkvæmd
utan umfangs. Chrome athugar hvort vafraglugginn skarast af öðrum gluggum og kemur í veg fyrir að punktar séu teiknaðir á svæðum þar sem skarast. Þessi fínstilling var virkjuð fyrir lítið hlutfall notenda í Chrome 84 og 85 og er nú virkjuð alls staðar. Í samanburði við fyrri útgáfur hefur einnig verið leyst úr ósamrýmanleika við sýndarvæðingarkerfi sem olli auðum hvítum síðum. - Aukin klipping tilfanga fyrir bakgrunnsflipa. Slíkir flipar geta ekki lengur neytt meira en 1% af CPU auðlindum og er ekki hægt að virkja þá oftar en einu sinni á mínútu. Eftir fimm mínútur að vera í bakgrunni eru flipar frosnir, að undanskildum flipa sem eru að spila margmiðlunarefni eða taka upp.
- Vinna í HTTP haus User-Agent. Í nýju útgáfunni er stuðningur við vélbúnaðinn virkur fyrir alla notendur , þróað í staðinn fyrir User-Agent. Nýja fyrirkomulagið felur í sér að skila sértækum gögnum um tilteknar vafra- og kerfisfæribreytur (útgáfu, vettvang osfrv.) aðeins eftir beiðni frá þjóninum og gefa notendum tækifæri til að afhenda síðueigendum slíkar upplýsingar. Þegar notandi notendaviðskiptavinavísbendingar eru notaðar er auðkennið ekki sent sjálfgefið án skýrrar beiðni, sem gerir óvirka auðkenningu ómögulega (sjálfgefið er aðeins nafn vafrans tilgreint).
- Vísbendingunni um tilvist uppfærslu og nauðsyn þess að endurræsa vafrann til að setja hana upp hefur verið breytt. Í stað litaðrar ör birtist „Uppfærsla“ núna í reikningsmyndareitnum.
- Unnið hefur verið að því að breyta vafranum til að nota innifalið hugtök. Í nöfnum reglna hefur orðunum „hvítlisti“ og „svartur listi“ verið skipt út fyrir „leyfislisti“ og „útilokunarlisti“ (reglur sem þegar hafa verið bættar við munu halda áfram að virka, en þær munu sýna viðvörun um að þær séu úreltar). IN и tilvísunum í „svartan lista“ hefur verið skipt út fyrir „blokkunarlista“.
Notendasýnilegum tilvísunum í „svartan lista“ og „hvítlista“ var skipt út í byrjun árs 2019. - Bætti við tilraunagetu til að breyta vistuðum lykilorðum, virkjað með „chrome://flags/#edit-passwords-in-settings“ fánanum.
- Umbreytt í stöðugt og opinbert API , sem gerir þér kleift að búa til vefforrit sem hafa samskipti við skrár í staðbundnu skráarkerfi. Til dæmis gæti nýja API verið eftirsótt í samþættu þróunarumhverfi sem byggir á vafra, texta-, mynd- og myndbandsklippurum. Til að geta beint skrifað og lesið skrár eða notað glugga til að opna og vista skrár, svo og til að fletta í gegnum innihald möppu, biður forritið notandann um sérstaka staðfestingu.
- Bætt við CSS vali "“, sem notar sömu heuristics og vafrinn notar þegar hann ákveður hvort sýna eigi fókusbreytingavísirinn (þegar fókus er færður yfir á hnapp með því að nota flýtilykla birtist vísirinn, en þegar smellt er með músinni gerir hann það ekki). CSS valkosturinn ":focus" sem áður var tiltækur undirstrikar alltaf fókus.
Að auki hefur „Quick Focus Highlight“ valmöguleikanum verið bætt við stillingarnar, þegar kveikt er á því mun auka fókusvísir birtast við hlið virkra þátta, sem er áfram sýnilegur jafnvel þótt stílþættir til að auðkenna fókus sjónrænt séu óvirkir á síðunni í gegnum CSS . - Nokkrum nýjum API hefur verið bætt við upprunaprófunarhaminn (tilraunaeiginleikar sem krefjast sérstakrar virkjunar). Uppruni prufa felur í sér getu til að vinna með tilgreint API úr forritum sem hlaðið er niður frá localhost eða 127.0.0.1, eða eftir að hafa skráð og fengið sérstakan tákn sem gildir í takmarkaðan tíma fyrir tiltekna síðu.
- fyrir aðgang að HID tækjum á lágu stigi (mannaviðmótstæki, lyklaborð, mýs, spilborð, snertiborð), sem gerir þér kleift að innleiða rökfræði þess að vinna með HID tæki í JavaScript til að skipuleggja vinnu með sjaldgæfum HID tækjum án þess að til staðar séu sérstakir rekla í kerfinu.
Í fyrsta lagi miðar nýja API að því að veita stuðning við leikjatölvur. - , framlengir Window Placement API til að styðja við fjölskjástillingar. Ólíkt window.screen gerir nýja API þér kleift að stjórna staðsetningu glugga í heildarskjárými fjölskjákerfa, án þess að takmarkast við núverandi skjá.
- Metamerki , sem síðan getur upplýst vafrann um nauðsyn þess að virkja stillingar til að draga úr orkunotkun og hámarka CPU álag.
- API að tilkynna hugsanleg brot á reglum um einangrun (COEP) og (COOP), án þess að beita raunverulegum takmörkunum.
- Í API hefur verið lögð til ný gerð skilríkja , veita viðbótarstaðfestingu á greiðslufærslunni sem verið er að framkvæma. Aðili sem treystir á, eins og banki, hefur getu til að búa til opinberan lykil, PublicKeyCredential, sem söluaðilinn getur beðið um til að fá frekari örugga greiðslustaðfestingu.
- fyrir aðgang að HID tækjum á lágu stigi (mannaviðmótstæki, lyklaborð, mýs, spilborð, snertiborð), sem gerir þér kleift að innleiða rökfræði þess að vinna með HID tæki í JavaScript til að skipuleggja vinnu með sjaldgæfum HID tækjum án þess að til staðar séu sérstakir rekla í kerfinu.
- Í API til að ákvarða halla pennans hefur verið bætt við stuðningi fyrir hæðarhorn (hornið milli pennans og skjásins) og azimut (hornið milli X-ássins og vörpun pennans á skjánum), í stað TiltX og TiltY horn (hornin milli plansins frá pennanum og eins ásanna og plansins frá Y og Y ásnum Z). Einnig bætt við umbreytingaraðgerðum á milli hæðar/azimuts og TiltX/TiltY.
- Breytti kóðun pláss í vefslóðum þegar það var reiknað út í samskiptareglum - navigator.registerProtocolHandler() aðferðin kemur nú í stað bils fyrir "%20" í stað "+", sem sameinar hegðunina við aðra vafra eins og Firefox.
- Bætt við CSS gervi-einingu "", sem gerir þér kleift að sérsníða lit, stærð, lögun og gerð númera og punkta fyrir skráningar í blokkum Og .
- Bætt við stuðningi við HTTP haus , reglur um aðgang að skjölum, svipað og sandkassaeinangrunarkerfi fyrir iframes, en alhliða. Til dæmis, í gegnum Document-Policy geturðu takmarkað notkun lággæða mynda, slökkt á hægum JavaScript API, stillt reglur fyrir hleðslu iframes, mynda og skrifta, takmarkað heildarstærð skjala og umferð, bannað aðferðir sem leiða til endurteikningar á síðu, slökkt á fallið .
- Að frumefni bætti við stuðningi við 'inline-grid', 'grid', 'inline-flex' og 'flex' færibreytur settar í gegnum 'display' CSS eignina.
- Aðferð bætt við til að skipta út öllum börnum foreldrahnúts fyrir annan DOM-hnút. Áður var hægt að nota blöndu af node.removeChild() og node.append() eða node.innerHTML og node.append() til að skipta um hnúta.
- svið vefslóðakerfa sem leyfilegt er að hnekkja með því að nota registerProtocolHandler(). Listinn yfir kerfin inniheldur dreifðar samskiptareglur cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, sem gerir þér kleift að skilgreina tengla á þætti óháð því hvaða síðu eða gátt veitir aðgang að auðlindinni.
- Í API bætti við stuðningi við texta/html sniðið til að afrita og líma HTML í gegnum klemmuspjaldið (hættulegar HTML smíðar eru hreinsaðar upp þegar skrifað er og lesið á klemmuspjaldið). Breytingin gerir þér til dæmis kleift að skipuleggja innsetningu og afritun sniðins texta með myndum og tenglum í vefritstöngum.
- Í WebRTC getu til að tengja þína eigin gagnameðhöndlun sem kallast á kóðunar- eða afkóðunstigum WebRTC MediaStreamTrack. Til dæmis er hægt að nota þessa möguleika til að bæta við stuðningi við end-to-end dulkóðun gagna sem send eru í gegnum millimiðlara.
- Í JavaScript vél V8 um 75% útfærsla á Number.prototype.toString. Bætti .name eigninni við ósamstillta flokka með auðu gildi. Atomics.wake aðferðin hefur verið fjarlægð, sem á sínum tíma var endurnefnd í Atomics.notify til að uppfylla ECMA-262 forskriftina. Fuzzing prófunarverkfærakóði opinn .
- Liftoff grunnlínuþýðandinn fyrir WebAssembly, gefinn út í síðustu útgáfu, inniheldur möguleika á að nota vektorleiðbeiningar til að flýta útreikningum. Af prófunum að dæma gerði hagræðing það mögulegt að flýta sumum prófunum um 2.8 sinnum. Önnur hagræðing gerði það mun fljótlegra að kalla innfluttar JavaScript aðgerðir frá WebAssembly.
- verkfæri fyrir vefhönnuði: Media spjaldið hefur bætt við upplýsingum um spilarana sem notaðir eru til að spila myndskeið á síðunni, þar á meðal atburðagögn, logs, eignagildi og ramma afkóðun færibreytur (til dæmis geturðu ákvarðað orsakir ramma taps og samskiptavandamála frá JavaScript).
Í samhengisvalmyndinni á Elements spjaldinu hefur möguleikanum til að búa til skjámyndir af völdum þætti verið bætt við (td getur þú búið til skjáskot af efnisyfirliti eða töflu).
Í vefstjórnborðinu hefur vandamálaviðvörunarspjaldinu verið skipt út fyrir venjuleg skilaboð og vandamál með vafrakökur frá þriðja aðila eru sjálfgefið falin á vandamálaflipanum og eru virkjuð með sérstökum gátreit.
Í Rendering flipanum hefur hnappinum „Slökkva á staðbundnum leturgerðum“ verið bætt við, sem gerir þér kleift að líkja eftir fjarveru staðbundinna leturgerða, og á flipanum Skynjarar geturðu nú líkt eftir óvirkni notenda (fyrir forrit sem nota Idle Detection API).
Forritaspjaldið veitir nákvæmar upplýsingar um hvern iframe, opinn glugga og sprettiglugga, þar á meðal upplýsingar um Cross-Origin einangrun með COEP og COOP.
- útfærslu samskiptareglur við valmöguleikann sem þróaður er í IETF forskriftinni, í stað Google QUIC valmöguleikans.
Til viðbótar við nýjungar og villuleiðréttingar útilokar nýja útgáfan . Margir af veikleikunum voru auðkenndir vegna sjálfvirkra prófana með verkfærum , , , и . Einn varnarleysi (CVE-2020-15967, aðgangur að losuðu minni í kóða fyrir samskipti við Google Payments) er merktur sem mikilvægur, þ.e. gerir þér kleift að komast framhjá öllum stigum vafraverndar og keyra kóða á kerfinu utan sandkassaumhverfisins. Sem hluti af áætluninni til að greiða peningaverðlaun fyrir að uppgötva veikleika fyrir núverandi útgáfu, greiddi Google 27 verðlaun að verðmæti $71500 (ein $15000 verðlaun, þrjú $7500 verðlaun, fimm $5000 verðlaun, tvö $3000 verðlaun, ein $200 verðlaun og tvö $500 verðlaun). Stærð 13 verðlauna hefur ekki enn verið ákveðin.
Heimild: opennet.ru