Chrome 86 リリース

グーグル 提示 ウェブブラウザのリリース クローム86。 同時に 利用可能です 無料プロジェクトの安定リリース クロム、Chromeの基礎です。 Chromeブラウザ 異なる Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、リクエストに応じて Flash モジュールをダウンロードする機能、保護されたビデオ コンテンツ (DRM) を再生するモジュール、更新を自動的にインストールし、検索中に送信するシステム RLZパラメータ。 Chrome 87 の次回リリースは 17 月 XNUMX 日に予定されています。

メイン 変更 в クロム 86:

• HTTPS 経由でロードされ、HTTP 経由でデータを送信するページでの入力フォームの安全でない送信に対する保護が追加されました。これにより、MITM 攻撃中のデータ傍受やなりすましの脅威が生じます。 保護は次の XNUMX つの変更によって実現されます。
  • HTTP 経由で開かれたページの認証フォームの自動入力が長い間無効になっていたのと同様に、混合入力フォームの自動入力は無効になりました。 以前は無効化のサインが HTTPS または HTTP 経由でフォームのあるページを開くことであった場合、現在はフォーム ハンドラーにデータを送信するときの暗号化の使用も考慮されます。 安全でないパスワードを使用したり、別のサイトでパスワードを再利用したりするリスクが、潜在的なトラフィック傍受のリスクを上回るため、混合形式の認証のパスワード マネージャーは無効になりません。
  • 混合フォームでの入力を開始すると、完了したデータが暗号化されていない通信チャネルを介して送信されていることをユーザーに知らせる警告が表示されます。
  • 混合フォームを送信しようとすると、暗号化されていない通信チャネルを介してデータを送信する潜在的なリスクを通知する別のページが表示されます。 以前のバージョンでは、混合フォームを示すためにアドレス バーの南京錠インジケーターが使用されていましたが、このマークはユーザーにとって明確ではなく、関連するリスクを効果的に反映していませんでした。
    

• ブロッキング 安全でないブート 実行可能ファイル (暗号化なし) は、アーカイブ (zip、iso など) の安全でないロードをブロックし、安全でないロードに対する警告を表示することで補完されます。
  ドキュメント (docx、pdf など)。 次のリリースでは、画像、テキスト、メディア ファイルに対するドキュメントのブロックと警告が予定されています。 暗号化せずにファイルをダウンロードすると、MITM 攻撃中にコンテンツを置き換えて悪意のあるアクションを実行する可能性があるため、ブロックが実装されます。

• デフォルトのコンテキスト メニューには、[常に完全な URL を表示] オプションが表示されます。これを有効にするには、以前は about:flags ページの設定を変更する必要がありました。 完全な URL は、アドレス バーをダブルクリックして表示することもできます。 から始まることを思い出してみましょう クローム76 デフォルトでは、プロトコルと www サブドメインなしでアドレスが表示されるようになりました。 で クローム79 古い動作に戻す設定は削除されましたが、ユーザーの不満を受けて クローム83 新しい実験的フラグが追加され、あらゆる条件で完全な URL の非表示と表示を無効にするオプションをコンテキスト メニューに追加しました。
• 少数のユーザー向けにリリース 実験 上の 画面 デフォルトでは、アドレス バーにはドメインのみが含まれ、パス要素やクエリ パラメーターは含まれません。 たとえば、「https://example.com/secure-google-sign-in/」の代わりに「example.com」が表示されます。 提案されたモードは、次のリリースのいずれかですべてのユーザーに提供される予定です。 この動作を無効にするには、「常に完全な URL を表示」オプションを使用します。URL 全体を表示するには、アドレス バーをクリックします。 変更の動機は、URL 内のパラメーターを操作するフィッシングからユーザーを保護することです。攻撃者は、ユーザーの不注意を利用して、別のサイトを開いて不正行為を行っているように見せかけます (そのような置換が技術的に有能なユーザーにとって明らかな場合)。 、経験の浅い人はそのような単純な操作に簡単に陥ります）。
• 再開しました イニシアチブ FTP サポートを削除するには。 Chrome 86 では、FTP はデフォルトで約 1% のユーザーに対して無効になっており、Chrome 87 では無効化の範囲が 50% に拡大されますが、「--enable-ftp」または「-」を使用してサポートを戻すことができます。 -enable-features=FtpProtocol」フラグ。 Chrome 88 では、FTP サポートが完全に無効になります。
• Android 用のバージョンでは、デスクトップ システム用のバージョンと同様に、パスワード マネージャーは、保存されたログインとパスワードを侵害されたアカウントのデータベースと照合してチェックし、問題が検出された場合、または簡単なパスワードを使用しようとした場合に警告を表示します。 このチェックは、漏洩したユーザー データベースに含まれる 4 億を超える侵害されたアカウントを対象とするデータベースに対して実行されます。 プライバシーを維持するため 適用された ハッシュ プレフィックスはユーザー側で検証され、パスワード自体とその完全なハッシュは外部に送信されません。
• Android版でも利用可能 キャリー・オーバー 「安全性チェック」ボタンと危険なサイトに対する強化された保護モード（強化されたセーフ ブラウジング）。 [安全性チェック] ボタンには、侵害されたパスワードの使用、悪意のあるサイトのチェック状況 (セーフ ブラウジング)、アンインストールされたアップデートの存在、悪意のあるアドオンの特定など、考えられるセキュリティ上の問題の概要が表示されます。 高度な保護モードでは、Web 上のフィッシング、悪意のあるアクティビティ、その他の脅威から保護するための追加のチェックが有効になり、Google アカウントと Google サービス (Gmail、ドライブなど) に対する追加の保護も含まれます。 通常のセーフ ブラウジング モードでは、クライアントのシステムに定期的に読み込まれるデータベースを使用してチェックがローカルで実行されますが、強化されたセーフ ブラウジングでは、ページとダウンロードに関する情報がリアルタイムで送信され、Google 側で検証されるため、迅速に対応できます。ローカルのブラックリストが更新されるまで待たずに、脅威が識別されるとすぐに攻撃されます。
• 追加した 「.well-known/change-password」インジケーター ファイルのサポート。これを使用すると、サイト所有者はパスワードを変更するための Web フォームのアドレスを指定できます。 ユーザーの認証情報が侵害された場合、Chrome はこのファイル内の情報に基づいて、パスワード変更フォームをユーザーにただちに表示するようになりました。
• 新しい「安全に関するヒント」警告が実装されました。ドメインが別のサイトに非常に似ており、ヒューリスティックによってなりすましの可能性が高いことが示されているサイトを開いたときに表示されます (たとえば、google.com の代わりに goog0le.com が開かれます)。
• 実装済み バックフォワード キャッシュのサポート。これにより、「戻る」ボタンと「進む」ボタンを使用するとき、または現在のサイトで以前に表示したページ間を移動するときに、インスタント ナビゲーションが提供されます。 キャッシュは、chrome://flags/#back-forward-cache 設定を使用して有効にします。
• WindowsによるCPUリソース消費の最適化が行われました。
  範囲外。 Chrome はブラウザ ウィンドウが他のウィンドウと重なっているかどうかをチェックし、重なっている領域にピクセルが描画されないようにします。 この最適化は、Chrome 84 および 85 では一部のユーザーに対して有効でしたが、現在はすべてのユーザーで有効になっています。 以前のリリースと比較して、空白の白いページが表示される原因となっていた仮想化システムとの非互換性も解決されました。

• バックグラウンドタブのリソーストリミングの増加。 このようなタブは CPU リソースの 1% を超えて消費することはできなくなり、XNUMX 分に XNUMX 回しかアクティブ化できなくなります。 バックグラウンドで XNUMX 分間動作すると、マルチメディア コンテンツの再生中または録画中のタブを除き、タブがフリーズします。
• 取り組む 統一 HTTP ヘッダー ユーザーエージェント。 新しいバージョンでは、このメカニズムのサポートがすべてのユーザーに対してアクティブ化されます ユーザーエージェントクライアントのヒント、User-Agentの代替として開発されました。 新しいメカニズムには、サーバーからのリクエスト後にのみ、特定のブラウザーおよびシステム パラメーター (バージョン、プラットフォームなど) に関するデータが選択的に返され、ユーザーがそのような情報をサイト所有者に選択的に提供する機会が与えられます。 ユーザー エージェント クライアント ヒントを使用する場合、デフォルトでは、明示的な要求がなければ識別子は送信されないため、受動的識別は不可能になります (デフォルトでは、ブラウザ名のみが示されます)。
• アップデートの存在と、それをインストールするためにブラウザを再起動する必要があることの表示が変更されました。 色付きの矢印の代わりに、「更新」がアカウントのアバターフィールドに表示されるようになりました。
  

• 包括的な用語を使用するようにブラウザを変換する作業が行われています。 ポリシー名では、「ホワイトリスト」と「ブラックリスト」という単語が「ホワイトリスト」と「ブロックリスト」に置き換えられました（すでに追加されたポリシーは引き続き機能しますが、非推奨であるという警告が表示されます）。 で コード и ファイル名 「ブラックリスト」への参照は「ブロックリスト」に置き換えられました。
  ユーザーに表示される「ブラックリスト」と「ホワイトリスト」への言及は、2019 年の初めに置き換えられました。

• 「chrome://flags/#edit-passwords-in-settings」フラグを使用してアクティブ化される、保存されたパスワードを編集する実験的な機能が追加されました。
• 安定したパブリック API に変換 ネイティブ ファイル システムを使用すると、ローカル ファイル システム内のファイルと対話する Web アプリケーションを作成できます。 たとえば、新しい API は、ブラウザベースの統合開発環境、テキスト、画像、およびビデオのエディターで需要がある可能性があります。 ファイルを直接読み書きしたり、ダイアログを使用してファイルを開いたり保存したり、ディレクトリの内容を移動したりできるようにするために、アプリケーションはユーザーに特別な確認を求めます。
  

• CSSセレクターを追加しました。:フォーカス可視これは、ブラウザーがフォーカス変更インジケーターを表示するかどうかを決定するときに使用するものと同じヒューリスティックを使用します (キーボード ショートカットを使用してボタンにフォーカスを移動するとインジケーターが表示されますが、マウスでクリックするとインジケーターは表示されません)。 以前から利用可能な CSS セレクター「:focus」は常にフォーカスを強調表示します。
  さらに、「クイック フォーカス ハイライト」オプションが設定に追加されました。有効にすると、アクティブな要素の横に追加のフォーカス インジケーターが表示されます。これは、CSS を介してページ上でフォーカスを視覚的に強調表示するスタイル要素が無効になっている場合でも、表示されたままになります。 。

• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • WebHID API HID デバイス (ヒューマン インターフェイス デバイス、キーボード、マウス、ゲームパッド、タッチ パネル) への低レベル アクセス用。JavaScript で HID デバイスを操作するロジックを実装し、特定のドライバーが存在しなくても、まれな HID デバイスでの作業を整理できます。システム内で。
    まず第一に、新しい API はゲームパッドのサポートを提供することを目的としています。

  • API画面情報、マルチスクリーン構成をサポートするために Window Placement API を拡張します。 window.screen とは異なり、新しい API を使用すると、現在の画面に限定されることなく、マルチモニター システムの画面空間全体でのウィンドウの配置を操作できます。
  • メタタグ バッテリーの節約これにより、サイトは電力消費を削減し、CPU 負荷を最適化するためにモードをアクティブにする必要性をブラウザーに通知できます。
  • API 生協レポート 隔離規制違反の可能性を報告する クロスオリジンエンベッダーポリシー (COEP) および クロスオリジンオープナーポリシー (COOP)、実際の制限は適用されません。
  • API内 クレデンシャル管理 新しいタイプの資格情報が提案されました 支払い資格情報、実行されている支払いトランザクションの追加確認を提供します。 銀行などの証明書利用者は、追加の安全な支払い確認のために販売者が要求できる公開キーである PublicKeyCredential を生成できます。
• API内 ポインターイベント スタイラスの傾きを決定するために、TiltX とスタイラスの投影の代わりに、高さ角 (スタイラスとスクリーンの間の角度) と方位角 (X 軸とスクリーン上のスタイラスの投影の間の角度) のサポートが追加されました。 TiltY 角度 (スタイラスといずれかの軸からの平面と、Y からの平面および Y 軸 Z との間の角度)。 高度/方位とT​​iltX/TiltY間の変換機能も追加しました。
• プロトコル ハンドラーで計算する際の URL 内のスペースのエンコードが変更されました。navigator.registerProtocolHandler() メソッドはスペースを「+」ではなく「%20」に置き換え、Firefox などの他のブラウザーとの動作を統一します。
• CSS疑似要素「」を追加しました。：：マーカー」を使用すると、ブロック内のリストの数字と点の色、サイズ、形、タイプをカスタマイズできます。 そして。
• HTTPヘッダーのサポートを追加しました 文書ポリシー, 許可する セット ドキュメントにアクセスするためのルール。iframe のサンドボックス分離メカニズムに似ていますが、より汎用的です。 たとえば、Document-Policy を通じて、低品質の画像の使用を制限したり、遅い JavaScript API を無効にしたり、iframe、画像、スクリプトをロードするためのルールを設定したり、ドキュメント全体のサイズやトラフィックを制限したり、ページの再描画につながるメソッドを禁止したり、無効にしたりすることができます。関数 スクロールしてテキストへ.
• 要素へ CSS の「display」プロパティを介して設定された「inline-grid」、「grid」、「inline-flex」、および「flex」パラメータのサポートが追加されました。
• 追加されたメソッド ParentNode.replaceChildren() 親ノードのすべての子を別の DOM ノードに置き換えます。 以前は、node.removeChild() とnode.append()、またはnode.innerHTML とnode.append() の組み合わせを使用してノードを置き換えることができました。
• 拡張された registerProtocolHandler() を使用してオーバーライドできる URL スキームの範囲。 スキームのリストには、分散プロトコル cabal、dat、did、dweb、ethereum、hyper、ipfs、ipns、ssb が含まれており、リソースへのアクセスを提供するサイトやゲートウェイに関係なく、要素へのリンクを定義できます。
• API内 非同期クリップボード クリップボード経由で HTML をコピーして貼り付けるための text/html 形式のサポートが追加されました (危険な HTML 構造は、クリップボードへの書き込みおよび読み取り時にクリーンアップされます)。 たとえば、この変更により、Web エディターで画像やリンクを含む書式設定されたテキストの挿入やコピーを整理できるようになります。
• WebRTC で 追加した WebRTC MediaStreamTrack のエンコードまたはデコード段階で呼び出される独自のデータ ハンドラーに接続する機能。 たとえば、この機能を使用して、中間サーバーを介して送信されるデータのエンドツーエンド暗号化のサポートを追加できます。
• JavaScript エンジン V8 では 75% 向上 加速された Number.prototype.toString の実装。 空の値を持つ非同期クラスに .name プロパティを追加しました。 Atomics.wake メソッドは削除され、ECMA-262 仕様に準拠するために一時は Atomics.notify に名前変更されました。 ファジング テスト ツールキットのコードが公開されました JS-ファザー.
• 前回のリリースでリリースされた WebAssembly 用の Liftoff ベースライン コンパイラには、ベクトル命令を使用する機能が含まれています SIMD 計算を高速化するため。 テストから判断すると、最適化により一部のテストを 2.8 倍高速化することができました。 別の最適化により、WebAssembly からインポートされた JavaScript 関数の呼び出しが大幅に高速化されました。
• 拡張された Web 開発者向けツール: [メディア] パネルには、イベント データ、ログ、プロパティ値、フレーム デコード パラメーターなど、ページ上でビデオを再生するために使用されるプレーヤーに関する情報が追加されました (たとえば、フレーム損失やインタラクションの問題の原因を特定できます) JavaScript から)。
  

  [要素] パネルのコンテキスト メニューに、選択した要素のスクリーンショットを作成する機能が追加されました (たとえば、目次や表のスクリーンショットを作成できます)。

  

  Web コンソールでは、問題警告パネルが通常のメッセージに置き換えられ、サードパーティ Cookie に関する問題は [問題] タブでデフォルトで非表示になり、特別なチェックボックスで有効になります。

  

  [レンダリング] タブに、[ローカル フォントを無効にする] ボタンが追加されました。これにより、ローカル フォントの不在をシミュレートできるようになり、[センサー] タブで、ユーザーの非アクティブ状態をシミュレートできるようになりました (アイドル検出 API を使用するアプリケーションの場合)。
  

  

  [アプリケーション] パネルには、COEP および COOP を使用したクロスオリジン分離に関する情報を含む、各 iframe、開いているウィンドウ、およびポップアップに関する詳細情報が表示されます。
  

  

• 開始 プロトコル実装の置き換え QUIC Google QUIC オプションではなく、IETF 仕様で開発されたオプションに変更されます。

新しいバージョンでは、革新とバグ修正に加えて、次のような問題が解消されています。 35 件の脆弱性。 脆弱性の多くは自動テストツールの結果として特定されました AddressSanitizer, メモリーサニタイザー, 制御フローの整合性, リブファザー и AFL。 2020 つの脆弱性 (CVE-15967-27、Google Payments と対話するためのコード内の解放されたメモリへのアクセス) は重大としてマークされています。 を使用すると、あらゆるレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステムでコードを実行できます。 現在のリリースの脆弱性を発見した場合に賞金を支払うプログラムの一環として、Google は 71500 ドル相当の 15000 件の賞を支払った (7500 ドルの賞が 5000 件、3000 ドルの賞が 200 件、500 ドルの賞が 13 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件)。 XNUMX の報酬の規模はまだ決定されていません。

出所： オープンネット.ru