🥇クロム86 | プロホスター

Chrome 86 の次のリリースと Chromium の安定版リリースがリリースされました。

Chrome 86 の主な変更点:

HTTPS 経由でロードされ、HTTP 経由でデータを送信するページでの入力フォームの安全でない送信に対する保護。
実行可能ファイルの安全でないダウンロード (http) のブロックは、アーカイブ (zip、iso など) の安全でないダウンロードをブロックし、ドキュメント (docx、pdf など) の安全でないダウンロードに対する警告を表示することで補完されます。次のリリースでは、画像、テキスト、メディアファイルに対するドキュメントのブロックと警告が予定されています。暗号化せずにファイルをダウンロードすると、MITM 攻撃中にコンテンツを置き換えて悪意のあるアクションを実行する可能性があるため、ブロックが実装されます。
デフォルトのコンテキストメニューには、[常に完全な URL を表示] オプションが表示されます。これを有効にするには、以前は about:flags ページの設定を変更する必要がありました。完全な URL は、アドレスバーをダブルクリックして表示することもできます。 Chrome 76 以降、デフォルトでアドレスがプロトコルと www サブドメインなしで表示されるようになったことに注意してください。 Chrome 79 では、古い動作に戻す設定は削除されましたが、ユーザーの不満を受けて、Chrome 83 では、すべての条件で完全な URL の非表示と表示を無効にするオプションをコンテキストメニューに追加する新しい実験的フラグが追加されました。
少数のユーザーを対象に、デフォルトでアドレスバーにパス要素やクエリパラメーターを表示せずにドメインのみを表示する実験が開始されました。たとえば、「」の代わりにhttps://example.com/secure-google-sign-in/" 「example.com」が表示されます。提案されたモードは、次のリリースのいずれかですべてのユーザーに提供される予定です。この動作を無効にするには、「常に完全な URL を表示」オプションを使用します。URL 全体を表示するには、アドレスバーをクリックします。変更の動機は、URL 内のパラメーターを操作するフィッシングからユーザーを保護することです。攻撃者は、ユーザーの不注意を利用して、別のサイトを開いて不正行為を行っているように見せかけます (そのような置換が技術的に有能なユーザーにとって明らかな場合)。、経験の浅い人はそのような単純な操作に簡単に陥ります）。
FTP サポートを削除する取り組みが更新されました。 Chrome 86 では、FTP はデフォルトで約 1% のユーザーに対して無効になっており、Chrome 87 では無効化の範囲が 50% に拡大されますが、「--enable-ftp」または「-」を使用してサポートを戻すことができます。 -enable-features=FtpProtocol」フラグ。 Chrome 88 では、FTP サポートが完全に無効になります。
Android 用のバージョンでは、デスクトップシステム用のバージョンと同様に、パスワードマネージャーは、保存されたログインとパスワードを侵害されたアカウントのデータベースと照合してチェックし、問題が検出された場合、または簡単なパスワードを使用しようとした場合に警告を表示します。このチェックは、漏洩したユーザーデータベースに含まれる 4 億を超える侵害されたアカウントを対象とするデータベースに対して実行されます。プライバシーを維持するために、ハッシュプレフィックスはユーザー側で検証され、パスワード自体とその完全なハッシュは外部に送信されません。
「安全確認」ボタンや危険サイトに対する強化保護モード（強化セーフブラウジング）もAndroid版に引き継がれています。 [安全性チェック] ボタンには、侵害されたパスワードの使用、悪意のあるサイトのチェック状況 (セーフブラウジング)、アンインストールされたアップデートの存在、悪意のあるアドオンの特定など、考えられるセキュリティ上の問題の概要が表示されます。高度な保護モードでは、Web 上のフィッシング、悪意のあるアクティビティ、その他の脅威から保護するための追加のチェックが有効になり、Google アカウントと Google サービス (Gmail、ドライブなど) に対する追加の保護も含まれます。通常のセーフブラウジングモードでは、クライアントのシステムに定期的に読み込まれるデータベースを使用してチェックがローカルで実行されますが、強化されたセーフブラウジングでは、ページとダウンロードに関する情報がリアルタイムで送信され、Google 側で検証されるため、迅速に対応できます。ローカルのブラックリストが更新されるまで待たずに、脅威が識別されるとすぐに攻撃されます。
インジケーターファイル「.well-known/change-password」のサポートが追加されました。これを使用すると、サイト所有者はパスワードを変更するための Web フォームのアドレスを指定できます。ユーザーの認証情報が侵害された場合、Chrome はこのファイル内の情報に基づいて、パスワード変更フォームをユーザーにただちに表示するようになりました。
新しい「安全に関するヒント」警告が実装されました。ドメインが別のサイトに非常に似ており、ヒューリスティックによってなりすましの可能性が高いことが示されているサイトを開いたときに表示されます (たとえば、google.com の代わりに goog0le.com が開かれます)。
* バックフォワードキャッシュのサポートが実装され、「戻る」および「進む」ボタンを使用するとき、または現在のサイトで以前に表示したページ間を移動するときに、インスタントナビゲーションが提供されます。キャッシュは、chrome://flags/#back-forward-cache 設定を使用して有効にします。
範囲外のウィンドウの CPU リソース消費を最適化します。 Chrome はブラウザウィンドウが他のウィンドウと重なっているかどうかをチェックし、重なっている領域にピクセルが描画されないようにします。この最適化は、Chrome 84 および 85 では一部のユーザーに対して有効でしたが、現在はすべてのユーザーで有効になっています。以前のリリースと比較して、空白の白いページが表示される原因となっていた仮想化システムとの非互換性も解決されました。
バックグラウンドタブのリソーストリミングの増加。このようなタブは CPU リソースの 1% を超えて消費することはできなくなり、XNUMX 分に XNUMX 回しかアクティブ化できなくなります。バックグラウンドで XNUMX 分間動作すると、マルチメディアコンテンツの再生中または録画中のタブを除き、タブがフリーズします。
User-Agent HTTP ヘッダーを統合する作業が再開されました。新しいバージョンでは、User-Agent の代替として開発された User-Agent クライアントヒントメカニズムのサポートがすべてのユーザーに対してアクティブ化されます。新しいメカニズムには、サーバーからのリクエスト後にのみ、特定のブラウザーおよびシステムパラメーター (バージョン、プラットフォームなど) に関するデータが選択的に返され、ユーザーがそのような情報をサイト所有者に選択的に提供する機会が与えられます。ユーザーエージェントクライアントヒントを使用する場合、デフォルトでは、明示的な要求がなければ識別子は送信されないため、受動的識別は不可能になります (デフォルトでは、ブラウザ名のみが示されます)。
アップデートの存在と、それをインストールするためにブラウザを再起動する必要があることの表示が変更されました。色付きの矢印の代わりに、「更新」がアカウントのアバターフィールドに表示されるようになりました。
包括的な用語を使用するようにブラウザを変換する作業が行われています。ポリシー名では、「ホワイトリスト」と「ブラックリスト」という単語が「ホワイトリスト」と「ブロックリスト」に置き換えられました（すでに追加されたポリシーは引き続き機能しますが、非推奨であるという警告が表示されます）。コード名とファイル名では、「ブラックリスト」への参照が「ブロックリスト」に置き換えられています。ユーザーに表示される「ブラックリスト」と「ホワイトリスト」への言及は、2019 年の初めに置き換えられました。
「chrome://flags/#edit-passwords-in-settings」フラグを使用してアクティブ化される、保存されたパスワードを編集する実験的な機能が追加されました。
ネイティブファイルシステム API は、安定して公開されている API のカテゴリに移行され、ローカルファイルシステム内のファイルと対話する Web アプリケーションを作成できるようになりました。たとえば、新しい API は、ブラウザベースの統合開発環境、テキスト、画像、およびビデオのエディターで需要がある可能性があります。ファイルを直接読み書きしたり、ダイアログを使用してファイルを開いたり保存したり、ディレクトリの内容を移動したりできるようにするために、アプリケーションはユーザーに特別な確認を求めます。
CSS セレクター「:focus-visible」を追加しました。これは、ブラウザーがフォーカス変更インジケーターを表示するかどうかを決定するときに使用するのと同じヒューリスティックを使用します (キーボードショートカットを使用してボタンにフォーカスを移動するとインジケーターが表示されますが、マウスでクリックするとインジケーターが表示されます)。、そうではありません）。以前に利用可能だった CSS セレクター「:focus」は常にフォーカスを強調表示します。さらに、「クイックフォーカスハイライト」オプションが設定に追加されました。有効にすると、アクティブな要素の横に追加のフォーカスインジケーターが表示されます。これは、CSS を介してページ上でフォーカスを視覚的に強調表示するスタイル要素が無効になっている場合でも、表示されたままになります。。
いくつかの新しい API が Origin トライアルモードに追加されました (別途アクティベーションが必要な実験的な機能)。オリジントライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
HID デバイス (ヒューマンインターフェイスデバイス、キーボード、マウス、ゲームパッド、タッチパッド) への低レベルアクセス用の WebHID API。これにより、JavaScript で HID デバイスを操作するロジックを実装し、システム内の特定のドライバー。まず第一に、新しい API はゲームパッドのサポートを提供することを目的としています。
Screen Information API は、Window Placement API を拡張してマルチスクリーン構成をサポートします。 window.screen とは異なり、新しい API を使用すると、現在の画面に限定されることなく、マルチモニターシステムの画面空間全体でのウィンドウの配置を操作できます。
メタタグのバッテリー節約。これを使用して、電力消費を削減し、CPU 負荷を最適化するモードをアクティブにする必要性をサイトがブラウザーに通知できます。
実際の制限を適用せずに、Cross-Origin-Embedder-Policy (COEP) および Cross-Origin-Opener-Policy (COOP) 分離モードの潜在的な違反を報告する COOP Reporting API。
Credential Management API は、実行される支払いトランザクションの追加確認を提供する新しいタイプの資格情報、PaymentCredential を提供します。銀行などの証明書利用者は、追加の安全な支払い確認のために販売者が要求できる公開キーである PublicKeyCredential を生成できます。
スタイラス* の傾きを決定するための PointerEvents API は、仰角 (スタイラスと画面の間の角度) と方位角 (X 軸と画面上のスタイラスの投影の間の角度) のサポートを追加しました。 TiltX 角度と TiltY 角度 (スタイラスといずれかの軸からの平面と Y 軸と Z 軸からの平面の間の角度)。高度/方位とTiltX/TiltY間の変換機能も追加しました。
プロトコルハンドラーで計算する際の URL 内のスペースのエンコードが変更されました。navigator.registerProtocolHandler() メソッドはスペースを「+」ではなく「%20」に置き換え、Firefox などの他のブラウザーとの動作を統一します。
疑似要素「::marker」が CSS に追加され、ブロック内のリストの色、サイズ、形状、数字とドットの種類をカスタマイズできるようになりました。そして。
Document-Policy HTTP ヘッダーのサポートが追加されました。これにより、ドキュメントにアクセスするためのルールを設定できます。これは、iframe のサンドボックス分離メカニズムに似ていますが、より汎用的です。たとえば、Document-Policy を通じて、低品質の画像の使用を制限したり、遅い JavaScript API を無効にしたり、iframe、画像、およびスクリプトをロードするためのルールを設定したり、ドキュメント全体のサイズやトラフィックを制限したり、ページの再描画につながるメソッドを禁止したりできます。スクロール・トゥ・テキスト機能を無効にします。
要素へCSS の「display」プロパティを介して設定された「inline-grid」、「grid」、「inline-flex」、および「flex」パラメータのサポートが追加されました。
親ノードのすべての子を別の DOM ノードに置き換える ParentNode.replaceChildren() メソッドを追加しました。以前は、node.removeChild() とnode.append()、またはnode.innerHTML とnode.append() の組み合わせを使用してノードを置き換えることができました。
registerProtocolHandler() を使用してオーバーライドできる URL スキームの範囲が拡張されました。スキームのリストには、分散プロトコル cabal、dat、did、dweb、ethereum、hyper、ipfs、ipns、ssb が含まれており、リソースへのアクセスを提供するサイトやゲートウェイに関係なく、要素へのリンクを定義できます。
クリップボード経由で HTML をコピーして貼り付けるための非同期クリップボード API に text/html 形式のサポートが追加されました (クリップボードへの書き込みおよび読み取り時に危険な HTML 構造がクリーンアップされます)。たとえば、この変更により、Web エディターで画像やリンクを含む書式設定されたテキストの挿入やコピーを整理できるようになります。
WebRTC には、WebRTC MediaStreamTrack のエンコードまたはデコード段階で呼び出される独自のデータハンドラーを接続する機能が追加されました。たとえば、この機能を使用して、中間サーバーを介して送信されるデータのエンドツーエンド暗号化のサポートを追加できます。
V8 JavaScript エンジンでは、Number.prototype.toString の実装が 75% 高速化されました。空の値を持つ非同期クラスに .name プロパティを追加しました。 Atomics.wake メソッドは削除され、ECMA-262 仕様に準拠するために一時は Atomics.notify に名前変更されました。ファジングテストツールJS-Fuzzerのコードが公開されています。
前回のリリースでリリースされた WebAssembly 用の Liftoff ベースラインコンパイラには、SIMD ベクトル命令を使用して計算を高速化する機能が含まれています。テストから判断すると、最適化により一部のテストを 2.8 倍高速化することができました。別の最適化により、WebAssembly からインポートされた JavaScript 関数の呼び出しが大幅に高速化されました。
Web 開発者向けのツールが拡張されました。メディアパネルには、イベントデータ、ログ、プロパティ値、フレームデコードパラメータなど、ページ上でビデオを再生するために使用されるプレーヤーに関する情報が追加されました (たとえば、フレームの原因を特定できます)。 JavaScript による損失と相互作用の問題)。
[要素] パネルのコンテキストメニューに、選択した要素のスクリーンショットを作成する機能が追加されました (たとえば、目次や表のスクリーンショットを作成できます)。
Web コンソールでは、問題警告パネルが通常のメッセージに置き換えられ、サードパーティ Cookie に関する問題は [問題] タブでデフォルトで非表示になり、特別なチェックボックスで有効になります。
[レンダリング] タブに、[ローカルフォントを無効にする] ボタンが追加されました。これにより、ローカルフォントの不在をシミュレートできるようになり、[センサー] タブで、ユーザーの非アクティブ状態をシミュレートできるようになりました (アイドル検出 API を使用するアプリケーションの場合)。
[アプリケーション] パネルには、COEP および COOP を使用したクロスオリジン分離に関する情報を含む、各 iframe、開いているウィンドウ、およびポップアップに関する詳細情報が表示されます。

QUIC プロトコルの実装は、Google バージョンの QUIC ではなく、IETF 仕様で開発されたバージョンに置き換えられ始めています。
革新とバグ修正に加えて、新しいバージョンでは 35 件の脆弱性が排除されています。脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 2020 つの脆弱性 (CVE-15967-27、Google Payments と対話するためのコード内の解放されたメモリへのアクセス) は重大としてマークされています。を使用すると、あらゆるレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステムでコードを実行できます。現在のリリースの脆弱性の発見に対して現金で報奨金を支払うプログラムの一環として、Google は 71500 ドル相当の 15000 件の賞を支払った (7500 ドルの賞が 5000 件、3000 ドルの賞が 200 件、500 ドルの賞が 13 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件)。 XNUMX の報酬の規模はまだ決定されていません。

から撮影 Opennet.ru

出所： linux.org.ru

クローム86

コメントを追加します返信をキャンセル

クローム86

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル