Google versione del browser web ... Contemporaneamente rilascio stabile di un progetto gratuito , che funge da base per Chrome. Browser Chrome l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, la possibilità di scaricare un modulo Flash su richiesta, moduli per la riproduzione di contenuti video protetti (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione durante la ricerca . La prossima release di Chrome 87 è prevista per il 17 novembre.
:
- Aggiunta protezione contro l'invio non sicuro di moduli di input su pagine caricate tramite HTTPS ma che inviano dati tramite HTTP, che crea la minaccia di intercettazione e spoofing dei dati durante gli attacchi MITM. La protezione si riduce a tre modifiche:
- La compilazione automatica di qualsiasi modulo di input misto è stata disabilitata, in modo simile a come la compilazione automatica dei moduli di autenticazione sulle pagine aperte tramite HTTP è stata disabilitata per un bel po' di tempo. Se in precedenza l'apertura di una pagina con un modulo tramite HTTPS o HTTP veniva segnalata per la disabilitazione, ora viene preso in considerazione anche l'uso della crittografia durante l'invio di dati al gestore del modulo. Il gestore delle password per le forme miste di autenticazione non è disabilitato, poiché il rischio di utilizzare una password non sicura e di riutilizzare le password su siti diversi supera il rischio di potenziale intercettazione del traffico.
- Quando si inizia ad inserire moduli misti, viene visualizzato un avviso che informa l'utente che i dati completati vengono inviati tramite un canale di comunicazione non crittografato.
- Quando provi a inviare un modulo misto, viene visualizzata una pagina separata che ti avvisa del potenziale rischio di trasmettere dati su un canale di comunicazione non crittografato. Nelle versioni precedenti, per indicare i moduli misti veniva utilizzato un indicatore di lucchetto nella barra degli indirizzi, ma questo contrassegno non era ovvio per gli utenti e non rifletteva efficacemente i rischi connessi.
- blocco (senza crittografia) dei file eseguibili è integrato dal blocco del caricamento non sicuro degli archivi (zip, iso, ecc.) e dalla visualizzazione degli avvisi per il caricamento non sicuro
documenti (docx, pdf, ecc.). Nella prossima versione sono previsti il blocco dei documenti e gli avvisi per immagini, testo e file multimediali. Il blocco viene implementato perché il download di file senza crittografia può essere utilizzato per eseguire azioni dannose sostituendo il contenuto durante gli attacchi MITM. - Il menu contestuale predefinito visualizza l'opzione "Mostra sempre l'URL completo", che in precedenza richiedeva la modifica delle impostazioni nella pagina about:flags per essere abilitata. L'URL completo può essere visualizzato anche facendo doppio clic sulla barra degli indirizzi. Ricordiamolo a partire da Per impostazione predefinita, l'indirizzo ha iniziato a essere mostrato senza protocollo e senza il sottodominio www. IN l'impostazione per restituire il vecchio comportamento è stata rimossa, ma dopo l'insoddisfazione dell'utente È stato aggiunto un nuovo flag sperimentale che aggiunge un'opzione al menu contestuale per disabilitare l'occultamento e la visualizzazione dell'URL completo in qualsiasi condizione.
- Lanciato per una piccola percentuale di utenti su Per impostazione predefinita, la barra degli indirizzi contiene solo il dominio, senza elementi di percorso e parametri di query. Ad esempio, invece di "https://example.com/secure-google-sign-in/" verrà visualizzato "example.com". Si prevede che la modalità proposta sarà resa disponibile a tutti gli utenti in una delle prossime versioni. Per disabilitare questo comportamento, puoi utilizzare l'opzione "Mostra sempre l'URL completo" e per visualizzare l'intero URL puoi fare clic sulla barra degli indirizzi. Il motivo del cambiamento è il desiderio di proteggere gli utenti dal phishing che manipola i parametri nell'URL: gli aggressori approfittano della disattenzione degli utenti per creare l'impressione che aprano un altro sito e commettano azioni fraudolente (se tali sostituzioni sono ovvie per un utente tecnicamente competente , allora le persone inesperte cadono facilmente in una manipolazione così semplice).
- Ripresa per rimuovere il supporto FTP. In Chrome 86, FTP è disabilitato per impostazione predefinita per circa l'1% degli utenti e in Chrome 87 l'ambito della disabilitazione verrà aumentato al 50%, ma il supporto può essere ripristinato utilizzando "--enable-ftp" o "-enable -features=Protocollo FTP” flag. In Chrome 88, il supporto FTP sarà completamente disabilitato.
- Nella versione per Android, simile a quella per sistemi desktop, il gestore password implementa un controllo dei login e delle password salvati rispetto a un database di account compromessi, visualizzando un avviso se vengono rilevati problemi o si tenta di utilizzare password banali. Il controllo viene effettuato su un database che copre oltre 4 miliardi di account compromessi apparsi nei database degli utenti trapelati. Per mantenere la privacy Il prefisso hash viene verificato dal lato dell'utente e le password stesse e i loro hash completi non vengono trasmessi all'esterno.
- Disponibile anche nella versione Android il pulsante “Controllo sicurezza” e la modalità di protezione avanzata contro i siti pericolosi (Navigazione sicura avanzata). Il pulsante "Controllo sicurezza" mostra un riepilogo dei possibili problemi di sicurezza, come l'uso di password compromesse, lo stato del controllo dei siti dannosi (Navigazione sicura), la presenza di aggiornamenti disinstallati e l'identificazione di componenti aggiuntivi dannosi. La modalità di protezione avanzata attiva controlli aggiuntivi per proteggerti da phishing, attività dannose e altre minacce sul Web e include anche una protezione aggiuntiva per il tuo account Google e i servizi Google (Gmail, Drive, ecc.). Se nella normale modalità Navigazione sicura i controlli vengono eseguiti localmente utilizzando un database periodicamente caricato sul sistema del cliente, nella Navigazione sicura avanzata le informazioni sulle pagine e sui download in tempo reale vengono inviate per la verifica da parte di Google, che consente di rispondere rapidamente alle minacce subito dopo la loro identificazione, senza attendere l'aggiornamento della lista nera locale.
- supporto per il file indicatore “.well-known/change-password”, con il quale i proprietari dei siti possono specificare l'indirizzo di un modulo web per la modifica della password. Se le credenziali di un utente vengono compromesse, Chrome ora richiederà immediatamente all'utente un modulo di modifica della password in base alle informazioni contenute in questo file.
- Implementato un nuovo avviso "Suggerimento per la sicurezza" visualizzato all'apertura di siti il cui dominio è molto simile a un altro sito e l'euristica mostra che esiste un'alta probabilità di spoofing (ad esempio, viene aperto goog0le.com invece di google.com).
- supporto per la cache Back-forward, che fornisce la navigazione istantanea quando si utilizzano i pulsanti "Indietro" e "Avanti" o quando si naviga attraverso le pagine visualizzate in precedenza del sito corrente. La cache viene abilitata utilizzando l'impostazione chrome://flags/#back-forward-cache.
- È stata effettuata l'ottimizzazione del consumo di risorse della CPU da parte di Windows
fuori portata. Chrome controlla se la finestra del browser è sovrapposta ad altre finestre e impedisce di disegnare pixel nelle aree di sovrapposizione. Questa ottimizzazione è stata abilitata per una piccola percentuale di utenti in Chrome 84 e 85 e ora è abilitata ovunque. Rispetto alle versioni precedenti è stata risolta anche un'incompatibilità con i sistemi di virtualizzazione che causava la visualizzazione di pagine bianche vuote. - Troncamento delle risorse migliorato per le schede in background. Tali schede non possono più consumare più dell'1% delle risorse della CPU e possono essere attivate non più di una volta al minuto. Dopo cinque minuti in background, le schede vengono bloccate, ad eccezione delle schede che riproducono contenuti multimediali o registrano.
- Lavorare su Intestazione HTTP Agente utente. Nella nuova versione è attivato il supporto al meccanismo per tutti gli utenti , sviluppato in sostituzione di User-Agent. Il nuovo meccanismo prevede la restituzione selettiva di dati su specifici parametri del browser e del sistema (versione, piattaforma, ecc.) solo dopo una richiesta da parte del server e dando agli utenti la possibilità di fornire selettivamente tali informazioni ai proprietari del sito. Quando si utilizzano User-Agent Client Hints, l'identificatore non viene trasmesso per impostazione predefinita senza una richiesta esplicita, il che rende impossibile l'identificazione passiva (per impostazione predefinita viene indicato solo il nome del browser).
- Modificata l'indicazione della presenza di un aggiornamento e la necessità di riavviare il browser per installarlo. Invece di una freccia colorata nel campo dell'avatar dell'account, ora appare la scritta "Aggiorna".
- È stato svolto un lavoro per convertire il browser in modo che utilizzi una terminologia inclusiva. Nei nomi delle policy, le parole “whitelist” e “blacklist” sono state sostituite con “allowlist” e “blocklist” (le policy già aggiunte continueranno a funzionare, ma visualizzeranno un avviso di deprecazione). IN и i riferimenti alla "lista nera" sono stati sostituiti con "lista bloccata".
I riferimenti visibili all’utente a “blacklist” e “whitelist” sono stati sostituiti all’inizio del 2019. - Aggiunta una possibilità sperimentale di modificare le password salvate, attivata utilizzando il flag "chrome://flags/#edit-passwords-in-settings".
- Convertito in API stabile e pubblica , che consente di creare applicazioni Web che interagiscono con i file nel file system locale. Ad esempio, la nuova API potrebbe essere richiesta negli ambienti di sviluppo integrati basati su browser e negli editor di testi, immagini e video. Per poter scrivere e leggere direttamente i file o utilizzare le finestre di dialogo per aprire e salvare file, nonché per navigare nel contenuto delle directory, l'applicazione chiede all'utente una conferma speciale.
- Aggiunto selettore CSS "“, che utilizza la stessa euristica utilizzata dal browser quando decide se mostrare l'indicatore di cambio focus (quando si sposta il focus su un pulsante utilizzando le scorciatoie da tastiera, l'indicatore appare, ma quando si fa clic con il mouse, non lo fa). Il selettore CSS precedentemente disponibile ":focus" evidenzia sempre il focus.
Inoltre, è stata aggiunta alle impostazioni l'opzione “Evidenziazione rapida del focus”, quando abilitata, accanto agli elementi attivi verrà mostrato un indicatore di focus aggiuntivo, che rimane visibile anche se gli elementi di stile per l'evidenziazione visiva del focus sono disabilitati nella pagina tramite CSS. - Diverse nuove API sono state aggiunte alla modalità Origin Trials (funzionalità sperimentali che richiedono un'attivazione separata). Origin Trial implica la possibilità di lavorare con l'API specificata dalle applicazioni scaricate da localhost o 127.0.0.1, o dopo la registrazione e la ricezione di un token speciale valido per un periodo di tempo limitato per un sito specifico.
- per l'accesso di basso livello ai dispositivi HID (dispositivi di interfaccia umana, tastiere, mouse, gamepad, pannelli touch), consentendo di implementare la logica di lavoro con un dispositivo HID in JavaScript per organizzare il lavoro con dispositivi HID rari senza la presenza di driver specifici nel sistema.
Innanzitutto la nuova API mira a fornire supporto ai gamepad. - , estende l'API Window Placement per supportare configurazioni multischermo. A differenza di window.screen, la nuova API consente di manipolare il posizionamento di una finestra nello spazio complessivo dello schermo dei sistemi multi-monitor, senza essere limitato allo schermo corrente.
- Metaetichetta , con cui il sito può informare il browser della necessità di attivare modalità per ridurre il consumo energetico e ottimizzare il carico della CPU.
- API segnalare eventuali violazioni delle norme di isolamento (COEP) e (COOP), senza applicare effettive restrizioni.
- Nell'API è stato proposto un nuovo tipo di credenziali , fornendo ulteriore conferma dell'operazione di pagamento in corso. Una parte facente affidamento, come una banca, ha la capacità di generare una chiave pubblica, una PublicKeyCredential, che può essere richiesta dal commerciante per un'ulteriore conferma di pagamento sicuro.
- per l'accesso di basso livello ai dispositivi HID (dispositivi di interfaccia umana, tastiere, mouse, gamepad, pannelli touch), consentendo di implementare la logica di lavoro con un dispositivo HID in JavaScript per organizzare il lavoro con dispositivi HID rari senza la presenza di driver specifici nel sistema.
- Nell'API per determinare l'inclinazione dello stilo è stato aggiunto il supporto per gli angoli di altezza (l'angolo tra lo stilo e lo schermo) e l'azimut (l'angolo tra l'asse X e la proiezione dello stilo sullo schermo), al posto dei TiltX e Angoli di inclinazione Y (gli angoli tra il piano dello stilo e uno degli assi e il piano degli assi Y e Y Z). Aggiunte anche funzioni di conversione tra altitudine/azimut e TiltX/TiltY.
- Codifica modificata dello spazio nell'URL quando viene valutato nei gestori di protocollo: il metodo navigator.registerProtocolHandler() ora sostituisce gli spazi con "%20" invece di "+", che unifica il comportamento con altri browser come Firefox.
- Aggiunto pseudo-elemento CSS "", che consente di personalizzare il colore, la dimensione, la forma e il tipo di numeri e punti per le inserzioni in blocchi E .
- Aggiunto il supporto per l'intestazione HTTP , regole per l'accesso ai documenti, simili al meccanismo di isolamento sandbox per gli iframe, ma più universali. Ad esempio, tramite Document-Policy è possibile limitare l'uso di immagini di bassa qualità, disabilitare API JavaScript lente, configurare regole per il caricamento di iframe, immagini e script, limitare la dimensione complessiva del documento e il traffico, vietare metodi che portano al ridisegno della pagina, disabilitare la funzione .
- All'elemento aggiunto il supporto per i parametri 'inline-grid', 'grid', 'inline-flex' e 'flex' impostati tramite la proprietà CSS 'display'.
- Metodo aggiunto per sostituire tutti i figli di un nodo genitore con un altro nodo DOM. In precedenza, era possibile utilizzare una combinazione di node.removeChild() e node.append() o node.innerHTML e node.append() per sostituire i nodi.
- l'intervallo di schemi URL che è possibile sovrascrivere utilizzando RegisterProtocolHandler(). L'elenco degli schemi comprende i protocolli decentralizzati cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns e ssb, che consentono di definire collegamenti agli elementi indipendentemente dal sito o dal gateway che fornisce l'accesso alla risorsa.
- Nell'API aggiunto il supporto per il formato testo/html per copiare e incollare HTML tramite gli appunti (i costrutti HTML pericolosi vengono ripuliti durante la scrittura e la lettura negli appunti). La modifica, ad esempio, consente di organizzare l'inserimento e la copia di testo formattato con immagini e collegamenti negli editor web.
- Nel WebRTC la possibilità di connettere i propri gestori dati chiamati nelle fasi di codifica o decodifica di WebRTC MediaStreamTrack. Ad esempio, questa funzionalità può essere utilizzata per aggiungere il supporto per la crittografia end-to-end dei dati trasmessi attraverso server intermedi.
- Nel motore JavaScript V8 del 75% implementazione di Number.prototype.toString. Aggiunta la proprietà .name alle classi asincrone con un valore vuoto. È stato rimosso il metodo Atomics.wake, che un tempo era stato rinominato Atomics.notify per conformarsi alla specifica ECMA-262. Codice del toolkit di test fuzzing aperto .
- Il compilatore della linea di base Liftoff per WebAssembly, rilasciato nell'ultima versione, include la possibilità di utilizzare istruzioni vettoriali per velocizzare i calcoli. A giudicare dai test, l'ottimizzazione ha permesso di accelerare alcuni test di 2.8 volte. Un'altra ottimizzazione ha reso molto più veloce la chiamata delle funzioni JavaScript importate da WebAssembly.
- strumenti per sviluppatori web: il pannello Media ha aggiunto informazioni sui lettori utilizzati per riprodurre i video sulla pagina, inclusi dati sugli eventi, registri, valori delle proprietà e parametri di decodifica dei frame (ad esempio, è possibile determinare le cause della perdita di frame e dei problemi di interazione da JavaScript).
Nel menu contestuale del pannello Elementi è stata aggiunta la possibilità di creare screenshot dell'elemento selezionato (ad esempio è possibile creare uno screenshot del sommario o della tabella).
Nella console web, il pannello di avviso dei problemi è stato sostituito con un messaggio regolare e i problemi con i cookie di terze parti sono nascosti per impostazione predefinita nella scheda Problemi e sono abilitati con un'apposita casella di controllo.
Alla scheda Rendering è stato aggiunto il pulsante "Disabilita caratteri locali", che consente di simulare l'assenza di caratteri locali, e la scheda Sensori ha la capacità di simulare l'inattività dell'utente (per le applicazioni che utilizzano l'API Idle Detection).
Il pannello Applicazione fornisce informazioni dettagliate su ciascun iframe, finestra aperta e popup, incluse informazioni sull'isolamento multiorigine utilizzando COEP e COOP.
- sostituzione dell'implementazione del protocollo all'opzione sviluppata nella specifica IETF, invece dell'opzione Google QUIC.
Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina . Molte delle vulnerabilità sono state identificate come risultato di test automatizzati con strumenti , , , и . Una vulnerabilità (CVE-2020-15967, accesso alla memoria liberata nel codice per interagire con Google Payments) è contrassegnata come critica, ovvero consente di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Nell'ambito del programma di pagamento di premi in denaro per la scoperta di vulnerabilità per la versione attuale, Google ha pagato 27 premi del valore di 71500 dollari (un premio da 15000 dollari, tre premi da 7500 dollari, cinque premi da 5000 dollari, due premi da 3000 dollari, un premio da 200 dollari e due premi da 500 dollari). La dimensione di 13 premi non è stata ancora determinata.
Fonte: opennet.ru