גוגל שחרור דפדפן אינטרנט ... בּוֹ זְמַנִית שחרור יציב של פרויקט חינמי , המשמש כבסיס של Chrome. דפדפן כרום שימוש בלוגו של גוגל, נוכחות מערכת לשליחת הודעות במקרה של קריסה, יכולת הורדת מודול פלאש לפי בקשה, מודולים להפעלת תוכן וידאו מוגן (DRM), מערכת להתקנה אוטומטית של עדכונים ושידור במהלך החיפוש . המהדורה הבאה של Chrome 87 מתוכננת ל-17 בנובמבר.
:
- נוספה הגנה מפני הגשה לא בטוחה של טפסי קלט בדפים שנטענו באמצעות HTTPS אך שליחת נתונים באמצעות HTTP, מה שיוצר איום של יירוט נתונים וזיוף במהלך התקפות MITM. ההגנה מסתכמת בשלושה שינויים:
- מילוי אוטומטי של כל טפסי קלט מעורבים הושבת, בדומה לאופן שבו מילוי אוטומטי של טפסי אימות בדפים שנפתחו באמצעות HTTP הושבת במשך זמן רב. אם בעבר סימן לביטול היה פתיחת דף עם טופס באמצעות HTTPS או HTTP, כעת נלקח בחשבון גם השימוש בהצפנה בעת שליחת נתונים למטפל בטופס. מנהל הסיסמאות עבור צורות מעורבות של אימות אינו מושבת, שכן הסיכון של שימוש בסיסמה לא מאובטחת ושימוש חוזר בסיסמאות באתרים שונים עולה על הסיכון של יירוט תנועה פוטנציאלי.
- כאשר מתחילים להזין בטפסים מעורבים, מוצגת אזהרה המודיעה למשתמש כי הנתונים שהושלמו נשלחים דרך ערוץ תקשורת לא מוצפן.
- כאשר אתה מנסה לשלוח טופס מעורב, מוצג דף נפרד המודיע לך על הסיכון הפוטנציאלי של העברת נתונים בערוץ תקשורת לא מוצפן. בגרסאות קודמות, נעשה שימוש במחוון מנעול בשורת הכתובת לציון טפסים מעורבים, אך סימון זה לא היה ברור למשתמשים ולא שיקף ביעילות את הסיכונים הכרוכים בכך.
- חוסם (ללא הצפנה) של קבצי הפעלה מתווספת על ידי חסימת טעינה לא בטוחה של ארכיונים (zip, iso וכו') והצגת אזהרות על טעינה לא בטוחה
מסמכים (docx, pdf וכו'). חסימת מסמכים ואזהרות עבור תמונות, טקסט וקובצי מדיה צפויות במהדורה הבאה. החסימה מיושמת מכיוון שהורדת קבצים ללא הצפנה יכולה לשמש לביצוע פעולות זדוניות על ידי החלפת התוכן במהלך התקפות MITM. - תפריט ההקשר המוגדר כברירת מחדל מציג את האפשרות "הצג תמיד כתובת URL מלאה", שבעבר נדרשה לשנות את ההגדרות בדף about:flags כדי להפעיל. ניתן לראות את כתובת האתר המלאה גם על ידי לחיצה כפולה על שורת הכתובת. הבה נזכיר כי החל מ כברירת מחדל, הכתובת החלה להיות מוצגת ללא פרוטוקול ותת-דומיין www. IN ההגדרה להחזרת ההתנהגות הישנה הוסרה, אך לאחר חוסר שביעות רצון של המשתמש נוסף דגל ניסיוני חדש שמוסיף אפשרות לתפריט ההקשר להשבית הסתרה והצגה של כתובת האתר המלאה בכל תנאי.
- הושק עבור אחוז קטן מהמשתמשים על по умолчанию в адресной строке только домена, без элементов пути и параметров запроса. Например, вместо «https://example.com/secure-google-sign-in/» будет показано «example.com». Доведение предложенного режима до всех пользователей ожидается в одном из следующих выпусков. Для отключения указанного поведения можно использовать опцию «Всегда показывать URL полностью», а для просмотра всего URL можно кликнуть на адресной строке. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL — злоумышленники пользуются невнимательностью пользователей для создания видимости открытия другого сайта и совершения мошеннических действий (если для технически грамотного пользователя подобные подмены бросаются в глаза, то неискушённые обыватели легко покупаются на подобные простые манипуляции).
- התחדש כדי להסיר תמיכת FTP. ב-Chrome 86, FTP מושבת כברירת מחדל עבור כ-1% מהמשתמשים, וב-Chrome 87 היקף ההשבתה יוגדל ל-50%, אך ניתן להחזיר את התמיכה באמצעות "--enable-ftp" או "- דגל -enable-features=FtpProtocol". ב-Chrome 88, תמיכת FTP תושבת לחלוטין.
- בגרסה לאנדרואיד, בדומה לגרסה למערכות שולחניות, מנהל הסיסמאות מיישם בדיקה של כניסות וסיסמאות שמורות מול מסד נתונים של חשבונות שנפגעו, תוך הצגת אזהרה אם מתגלות בעיות או נעשה ניסיון להשתמש בסיסמאות טריוויאליות. הבדיקה מתבצעת מול מסד נתונים המכסה למעלה מ-4 מיליארד חשבונות שנפגעו שהופיעו במאגרי מידע של משתמשים שדלפו. כדי לשמור על פרטיות קידומת ה-hash מאומתת בצד המשתמש, והסיסמאות עצמן וה-hash המלא שלהן אינן מועברות חיצונית.
- זמין גם בגרסת אנדרואיד кнопка «Проверка безопасности» (Safety check) и расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing). Кнопка «Safety check» показывает сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. Расширенный режим защиты активирует дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web, а также включает дополнительную защиту для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновится локальный чёрный список.
- поддержка файла-индикатора «.well-known/change-password», при помощи которого владельцы сайтов могут указать адрес web-формы для смены пароля. В случае выявления компрометации учётных данных пользователя Chrome теперь сразу предложит пользователю форму для изменения пароля, определённую на основе информации из данного файла.
- אזהרת "טיפ בטיחות" חדשה הוטמעה, המוצגת בעת פתיחת אתרים שהדומיין שלהם דומה מאוד לאתר אחר והיוריסטיקה מראה שיש סבירות גבוהה לזיוף (לדוגמה, goog0le.com נפתח במקום google.com).
- תמיכה במטמון אחורה קדימה, המספק ניווט מיידי בעת שימוש בלחצנים "הקודם" ו"קדימה" או בעת ניווט בדפים שנצפו בעבר באתר הנוכחי. המטמון מופעל באמצעות ההגדרה chrome://flags/#back-forward-cache.
- בוצעה אופטימיזציה של צריכת משאבי המעבד על ידי Windows
מחוץ לכוונת. Chrome בודק אם חלון הדפדפן חופף על ידי חלונות אחרים ומונע ציור פיקסלים באזורי חפיפה. אופטימיזציה זו הופעלה עבור אחוז קטן מהמשתמשים ב-Chrome 84 ו-85 וכעת היא מופעלת בכל מקום. בהשוואה למהדורות קודמות, נפתרה גם אי התאמה למערכות וירטואליזציה שגרמה להופעת דפים לבנים ריקים. - חיתוך משאבים מוגבר עבור כרטיסיות רקע. כרטיסיות כאלה כבר לא יכולות לצרוך יותר מ-1% ממשאבי המעבד וניתן להפעיל אותן לא יותר מפעם אחת בדקה. לאחר חמש דקות של הימצאות ברקע, כרטיסיות מוקפאות, למעט כרטיסיות שמנגנות תוכן מולטימדיה או הקלטה.
- תעבוד על User-Agent כותרת HTTP. בגרסה החדשה מופעלת תמיכה במנגנון לכל המשתמשים , שפותח כתחליף ל-User-Agent. המנגנון החדש כרוך בהחזרה סלקטיבית של נתונים לגבי פרמטרים ספציפיים של דפדפן ומערכת (גרסה, פלטפורמה וכו') רק לאחר בקשה של השרת ומתן אפשרות למשתמשים לספק מידע כזה באופן סלקטיבי לבעלי האתר. בעת שימוש ב-User-Agent Client Hints, המזהה אינו מועבר כברירת מחדל ללא בקשה מפורשת, מה שהופך את הזיהוי הפסיבי לבלתי אפשרי (כברירת מחדל, רק שם הדפדפן מצוין).
- האינדיקציה לקיומו של עדכון והצורך להפעיל מחדש את הדפדפן כדי להתקין אותו שונתה. במקום חץ צבעוני, "עדכון" מופיע כעת בשדה הדמות של החשבון.
- בוצעה עבודה להמרת הדפדפן לשימוש בטרמינולוגיה כוללנית. בשמות מדיניות, המילים "רשימה לבנה" ו"רשימה שחורה" הוחלפו ב"רשימת הרשאות" ו"רשימת חסימה" (מדיניות שכבר נוספה תמשיך לפעול, אך הן יציגו אזהרה על הוצאה משימוש). IN и упоминания «blacklist» заменены на «blocklist».
הפניות גלויות למשתמש ל"רשימה שחורה" ו"רשימה לבנה" הוחלפו בתחילת 2019. - נוספה יכולת ניסיונית לעריכת סיסמאות שמורות, שהופעלה באמצעות הדגל "chrome://flags/#edit-passwords-in-settings".
- הומר ל-API יציב וציבורי , позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов или использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение.
- נוסף בורר CSS "", שמשתמש באותן היוריסטיות שבהן משתמש הדפדפן כאשר הוא מחליט אם להציג את מחוון שינוי המיקוד (כאשר מעבירים את המיקוד ללחצן באמצעות קיצורי מקלדת, המחוון מופיע, אך בלחיצה עם העכבר, הוא לא מופיע). בורר ה-CSS הזמין בעבר ":focus" תמיד מדגיש את המיקוד.
Кроме того, в настройки добавлена опция «Quick Focus Highlight», при включении которой рядом с активными элементами будет показываться дополнительный индикатор фокуса, который остаётся видимым даже если на странице через CSS отключены элементы стиля для визуального выделения фокуса. - מספר ממשקי API חדשים נוספו למצב נסיונות Origin (תכונות ניסוי הדורשות הפעלה נפרדת). ניסיון של Origin מרמז על היכולת לעבוד עם ה-API שצוין מיישומים שהורדו מ-localhost או 127.0.0.1, או לאחר רישום וקבלת אסימון מיוחד שתקף לזמן מוגבל עבור אתר ספציפי.
- לגישה ברמה נמוכה למכשירי HID (התקני ממשק אנושי, מקלדות, עכברים, משטחי משחק, לוחות מגע), המאפשרים לך ליישם את ההיגיון של עבודה עם מכשיר HID ב-JavaScript כדי לארגן עבודה עם התקני HID נדירים ללא נוכחות של מנהלי התקנים ספציפיים במערכת.
קודם כל, ה-API החדש נועד לספק תמיכה עבור משטחי משחק. - , расширяет возможности API Window Placement поддержкой конфигураций с несколькими экранами. В отличие от window.screen новый API позволяет манипулировать размещением окна в общем экранном пространстве многомониторнных систем, не ограничиваясь текущим экраном.
- מטא תג , שבאמצעותו האתר יכול ליידע את הדפדפן על הצורך בהפעלת מצבים כדי להפחית את צריכת החשמל ולייעל את עומס המעבד.
- API לדווח על הפרות אפשריות של תקנות הבידוד (COEP) ו (COOP), מבלי להחיל הגבלות ממשיות.
- ב-API הוצע סוג חדש של אישורים , מתן אישור נוסף על ביצוע עסקת התשלום. לגורם סומך, כגון בנק, יש את היכולת ליצור מפתח ציבורי, PublicKeyCredential, אותו יכול הסוחר לבקש לאישור תשלום מאובטח נוסף.
- לגישה ברמה נמוכה למכשירי HID (התקני ממשק אנושי, מקלדות, עכברים, משטחי משחק, לוחות מגע), המאפשרים לך ליישם את ההיגיון של עבודה עם מכשיר HID ב-JavaScript כדי לארגן עבודה עם התקני HID נדירים ללא נוכחות של מנהלי התקנים ספציפיים במערכת.
- ב-API כדי לקבוע את הטיית החרט, נוספה תמיכה בזוויות גובה (הזווית בין החרט למסך) ובאזימוט (הזווית בין ציר ה-X והקרנת החרט על המסך), במקום TiltX ו זוויות TiltY (הזוויות בין המישור מהעט לאחד הצירים והמישור מצירי Y ו-Y Z). נוספו גם פונקציות המרה בין גובה/אזימוט ו- TiltX/TiltY.
- שינה את קידוד הרווח בכתובות URL בעת חישובו במטפלי פרוטוקולים - השיטה navigator.registerProtocolHandler() מחליפה כעת רווחים ב-"%20" במקום ב-"+", מה שמאחד את ההתנהגות עם דפדפנים אחרים כגון Firefox.
- נוסף Pseudo-element "", המאפשר לך להתאים אישית את הצבע, הגודל, הצורה והסוג של מספרים ונקודות עבור רישומים בבלוקים ו .
- נוספה תמיכה בכותרות HTTP , כללים לגישה למסמכים, בדומה למנגנון בידוד ארגז החול עבור iframes, אך אוניברסלי יותר. לדוגמה, באמצעות Document-Policy תוכלו להגביל את השימוש בתמונות באיכות נמוכה, להשבית ממשקי API של JavaScript איטיים, להגדיר כללים לטעינת iframes, תמונות וסקריפטים, להגביל את גודל המסמך והתעבורה הכוללים, לאסור שיטות שמובילות לציור מחדש של עמודים, להשבית. הפונקציה .
- לאלמנט הוסיפה תמיכה בפרמטרים 'inline-grid', 'grid', 'inline-flex' ו-'flex' שנקבעו באמצעות מאפיין ה-CSS 'display'.
- שיטה נוספה כדי להחליף את כל הילדים של צומת אב בצומת DOM אחר. בעבר, אתה יכול להשתמש בשילוב של node.removeChild() ו-node.append() או node.innerHTML ו-node.append() כדי להחליף צמתים.
- טווח סכימות ה-URL המותר לעקוף באמצעות registerProtocolHandler(). רשימת הסכימות כוללת את הפרוטוקולים המבוזרים cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ו-ssb, המאפשרים לך להגדיר קישורים לאלמנטים ללא קשר לאתר או לשער המספק גישה למשאב.
- ב-API הוספה תמיכה בפורמט הטקסט/html להעתקה והדבקה של HTML דרך הלוח (קונסטרוקציות של HTML מסוכנות מתנקות בעת כתיבה וקריאה ללוח). השינוי, למשל, מאפשר לך לארגן את ההכנסה וההעתקה של טקסט מעוצב עם תמונות וקישורים בעורכי אינטרנט.
- ב-WebRTC возможность подключения собственных обработчиков данных, вызываемых на стадиях кодирования или декодирования WebRTC MediaStreamTrack. Например, указанную возможность можно использовать для добавления поддержки сквозного шифрования данных, передаваемых через промежуточные серверы.
- במנוע JavaScript V8 ב-75% יישום של Number.prototype.toString. מאפיין .name נוסף למחלקות אסינכרוניות עם ערך ריק. שיטת Atomics.wake הוסרה, ששמה שונה בעבר ל-Atomics.notify כדי להתאים למפרט ECMA-262. קוד ערכת כלים לבדיקה מטושטשת פתוח .
- מהדר הבסיס של Liftoff עבור WebAssembly, שפורסם במהדורה האחרונה, כולל את היכולת להשתמש בהוראות וקטוריות כדי להאיץ את החישובים. אם לשפוט לפי הבדיקות, האופטימיזציה אפשרה לזרז חלק מהבדיקות פי 2.8. אופטימיזציה נוספת עשתה את זה הרבה יותר מהיר לקרוא לפונקציות JavaScript מיובאות מ-WebAssembly.
- כלים למפתחי אינטרנט: חלונית המדיה הוסיפה מידע על הנגנים המשמשים להפעלת וידאו בדף, כולל נתוני אירועים, יומנים, ערכי מאפיינים ופרמטרים של פענוח פריימים (לדוגמה, אתה יכול לקבוע את הגורמים לאובדן פריימים ובעיות אינטראקציה מ-JavaScript).
בתפריט ההקשר של החלונית Elements, נוספה היכולת ליצור צילומי מסך של הרכיב הנבחר (לדוגמה, ניתן ליצור צילום מסך של תוכן העניינים או הטבלה).
במסוף האינטרנט, חלונית אזהרת הבעיה הוחלפה בהודעה רגילה, ובעיות בקובצי Cookie של צד שלישי מוסתרות כברירת מחדל בלשונית 'בעיות' ומופעלות עם תיבת סימון מיוחדת.
בלשונית Rendering, נוסף כפתור "השבת גופנים מקומיים", המאפשר לדמות היעדר גופנים מקומיים, ובכרטיסייה חיישנים ניתן כעת לדמות חוסר פעילות משתמש (עבור אפליקציות המשתמשות ב-Idle Detection API).
В панели Application предоставлена детальная информация о каждом iframe, открытом окне и pop-up-ах, включая данные об изоляции Cross-Origin при помощи COEP и COOP.
- החלפת יישום פרוטוקול לאופציה שפותחה במפרט IETF, במקום אפשרות Google QUIC.
בנוסף לחידושים ותיקוני באגים, הגרסה החדשה מבטלת . רבות מהחולשות זוהו כתוצאה מבדיקות אוטומטיות עם כלים , , , и . פגיעות אחת (CVE-2020-15967, גישה לזיכרון משוחרר בקוד לאינטראקציה עם Google Payments) מסומנת כקריטית, כלומר. מאפשר לך לעקוף את כל רמות ההגנה על הדפדפן ולהפעיל קוד במערכת מחוץ לסביבת ארגז החול. כחלק מהתוכנית לתגמול כספי על גילוי נקודות תורפה עבור המהדורה הנוכחית, גוגל שילמה 27 פרסים בשווי $71500 (פרס אחד של $15000, שלושה פרסים של $7500, חמישה פרסים של $5000, שני פרסים של $3000, פרס אחד של $200 ושני פרסים של $500). גודלם של 13 תגמולים טרם נקבע.
מקור: OpenNet.ru