ProHoster > Блог > warta internet > Chrome 86

Chrome 86

Rilis sabanjure Chrome 86 lan rilis stabil Chromium wis dirilis.

Owah-owahan utama ing Chrome 86:

  • pangayoman marang kiriman formulir input sing ora aman ing kaca sing dimuat liwat HTTPS nanging ngirim data liwat HTTP.
  • Watesan undhuhan sing ora aman (http) file sing bisa dieksekusi dilengkapi kanthi ngalangi undhuhan arsip sing ora aman (zip, iso, lsp) lan nampilake bebaya kanggo ngundhuh dokumen sing ora aman (docx, pdf, lsp.). Pamblokiran dokumen lan bebaya kanggo gambar, teks, lan file media samesthine ing rilis sabanjure. Pamblokiran kasebut ditindakake amarga ndownload file tanpa enkripsi bisa digunakake kanggo nindakake tumindak ala kanthi ngganti konten sajrone serangan MITM.
  • Menu konteks standar nampilake opsi "Tansah nuduhake URL lengkap", sing sadurunge kudu ngganti setelan ing babagan: kaca panji kanggo ngaktifake. URL lengkap uga bisa dideleng kanthi ngeklik kaping pindho ing bilah alamat. Ayo kita ngelingake yen diwiwiti karo Chrome 76, kanthi standar alamat kasebut wiwit ditampilake tanpa protokol lan subdomain www. Ing Chrome 79, setelan kanggo mbalekake prilaku lawas wis dibusak, nanging sawise pangguna ora puas, gendera eksperimen anyar ditambahake ing Chrome 83 sing nambah pilihan ing menu konteks kanggo mateni ndhelikake lan nuduhake URL lengkap ing kabeh kahanan.
    Kanggo persentase cilik pangguna, eksperimen wis diluncurake kanggo nampilake mung domain ing bilah alamat kanthi standar, tanpa unsur path lan paramèter pitakon. Contone, tinimbang "https://example.com/secure-google-sign-in/" "example.com" bakal ditampilake. Mode sing diusulake bakal digawa menyang kabeh pangguna ing salah sawijining rilis sabanjure. Kanggo mateni prilaku iki, sampeyan bisa nggunakake pilihan "Tansah nuduhake URL lengkap", lan kanggo ndeleng kabeh URL, sampeyan bisa ngeklik ing baris alamat. Motif kanggo owah-owahan yaiku kepinginan kanggo nglindhungi pangguna saka phishing sing manipulasi paramèter ing URL - panyerang njupuk kauntungan saka pangguna sing ora nggatekake kanggo nggawe tampilan mbukak situs liyane lan nindakake tumindak curang (yen substitusi kasebut jelas kanggo pangguna sing kompeten sacara teknis. , banjur wong sing ora duwe pengalaman gampang tiba kanggo manipulasi sing prasaja).
  • Inisiatif kanggo mbusak dhukungan FTP wis dianyari. Ing Chrome 86, FTP dipateni kanthi gawan kanggo kira-kira 1% pangguna, lan ing Chrome 87 ruang lingkup panyalahgunaan bakal ditambah dadi 50%, nanging dhukungan bisa digawa maneh nggunakake "--enable-ftp" utawa "- -enable-features=FtpProtocol" flag. Ing Chrome 88, dhukungan FTP bakal dipateni.
  • Ing versi kanggo Android, padha karo versi sistem desktop, pangatur sandhi nindakake mriksa login lan sandhi sing disimpen ing basis data akun sing dikompromi, nampilake bebaya yen ana masalah sing dideteksi utawa nyoba nggunakake sandhi sing ora pati penting. Pemeriksaa ditindakake marang database sing nyakup luwih saka 4 milyar akun sing dikompromi sing katon ing database pangguna sing bocor. Kanggo njaga privasi, awalan hash diverifikasi ing sisih pangguna, lan sandhi dhewe lan hash lengkap ora ditularake menyang njaba.
  • Tombol "Safety check" lan mode proteksi sing ditingkatake marang situs mbebayani (Penjelajahan Aman sing Ditingkatake) uga wis ditransfer menyang versi Android. Tombol "Priksa keamanan" nuduhake ringkesan masalah keamanan sing bisa ditindakake, kayata panggunaan sandhi sing dikompromi, status mriksa situs sing mbebayani (Safe Browsing), anane nganyari sing wis dibusak, lan identifikasi add-on sing mbebayani. Mode pangayoman majeng ngaktifake mriksa tambahan kanggo nglindhungi saka phishing, kegiatan angkoro lan ancaman liyane ing Web, lan uga kalebu pangayoman tambahan kanggo akun Google lan layanan Google (Gmail, Drive, etc.). Yen ing mode Safe Browsing normal, pamriksan ditindakake sacara lokal kanthi nggunakake database sing dimuat sacara periodik menyang sistem klien, banjur ing Enhanced Safe Browsing informasi babagan kaca lan download ing wektu nyata dikirim kanggo verifikasi ing sisih Google, sing ngidini sampeyan nanggapi kanthi cepet. ancaman sanalika sawise padha dikenali, tanpa ngenteni nganti dhaftar ireng lokal dianyari.
  • Ditambahake dhukungan kanggo file indikator ".kondhang / ganti-sandi", sing nduweni situs bisa nemtokake alamat formulir web kanggo ngganti tembung sandhi. Yen kredensial pangguna dikompromi, Chrome saiki bakal langsung njaluk pangguna nganggo formulir pangowahan tembung sandhi adhedhasar informasi ing file iki.
  • Peringatan "Tip Keamanan" anyar wis dileksanakake, ditampilake nalika mbukak situs sing domaine meh padha karo situs liyane lan heuristik nuduhake yen ana kemungkinan spoofing (contone, goog0le.com dibukak tinimbang google.com).

    * Dhukungan kanggo cache Back-forward wis dileksanakake, nyedhiyakake pandhu arah cepet nalika nggunakake tombol "Mbalik" lan "Maju" utawa nalika navigasi liwat kaca sing wis dideleng ing situs saiki. Cache diaktifake nggunakake setelan chrome: // flags / #back-forward-cache.

  • Ngoptimalake konsumsi sumber daya CPU kanggo jendhela sing ora ana ruang lingkup. Chrome mriksa apa jendhela browser tumpang tindih karo jendhela liyane lan nyegah gambar piksel ing area tumpang tindih. Optimasi iki diaktifake kanggo persentase cilik pangguna ing Chrome 84 lan 85 lan saiki diaktifake ing endi wae. Dibandhingake karo rilis sadurunge, ora kompatibel karo sistem virtualisasi sing nyebabake kaca putih kosong katon uga wis ditanggulangi.
  • Tambah sumber daya trimming kanggo tab latar mburi. Tab kasebut ora bisa nggunakake luwih saka 1% sumber daya CPU lan bisa diaktifake ora luwih saka sapisan saben menit. Sawise limang menit ing latar mburi, tab bakal beku, kajaba tab sing muter konten multimedia utawa ngrekam.
  • Pakaryan wis diterusake kanggo nggabungake header HTTP Agen-Pengguna. Ing versi anyar, dhukungan kanggo mekanisme Petunjuk Klien Agen-Pengguna, sing dikembangake minangka pengganti Agen-Pengguna, diaktifake kanggo kabeh pangguna. Mekanisme anyar melu selektif bali data babagan browser tartamtu lan paramèter sistem (versi, platform, etc.) mung sawise panjalukan saka server lan menehi pangguna kesempatan kanggo selektif nyedhiyani informasi kuwi kanggo pemilik situs. Nalika nggunakake Petunjuk Klien Agen Panganggo, pengenal ora ditularake kanthi standar tanpa panjaluk sing jelas, sing ndadekake identifikasi pasif ora mungkin (kanthi standar, mung jeneng browser sing dituduhake).
    Indikasi anane nganyari lan kudu miwiti maneh browser kanggo nginstal wis diganti. Tinimbang panah berwarna, "Update" saiki katon ing kolom avatar akun.
  • Pakaryan wis ditindakake kanggo ngowahi browser kanggo nggunakake terminologi inklusif. Ing jeneng kabijakan, tembung "dhaftar putih" lan "dhaptar ireng" wis diganti karo "dhaptar sing diidinake" lan "dhaptar pamblokiran" (kabijakan sing wis ditambahake bakal terus digarap, nanging bakal nampilake bebaya yen ora digunakake). Ing kode lan jeneng berkas, referensi kanggo "blacklist" wis diganti karo "blocklist". Referensi sing katon pangguna kanggo "daftar ireng" lan "daftar putih" diganti ing awal 2019.
    Nambahake kemampuan eksperimen kanggo nyunting sandhi sing disimpen, diaktifake nggunakake gendera "chrome: // flags / # edit-passwords-in-settings".
  • API Sistem File Asli wis ditransfer menyang kategori API sing stabil lan kasedhiya kanggo umum, ngidini sampeyan nggawe aplikasi web sing sesambungan karo file ing sistem file lokal. Contone, API anyar bisa uga dikarepake ing lingkungan pangembangan terpadu adhedhasar browser, teks, gambar lan editor video. Supaya bisa langsung nulis lan maca file utawa nggunakake dialog kanggo mbukak lan nyimpen file, uga kanggo navigasi isi direktori, aplikasi kasebut njaluk konfirmasi khusus marang pangguna.
  • Nambahake pamilih CSS ": fokus-katon", sing nggunakake heuristik sing padha digunakake browser nalika mutusake arep nuduhake indikator pangowahan fokus (nalika mindhah fokus menyang tombol nggunakake trabasan keyboard, indikator kasebut katon, nanging nalika ngeklik mouse. , iku ora). Pamilih CSS ": fokus" sing kasedhiya sadurunge tansah nyorot fokus. Kajaba iku, opsi "Syrotan Fokus Cepet" wis ditambahake menyang setelan, yen diaktifake, indikator fokus tambahan bakal ditampilake ing jejere unsur aktif, sing tetep katon sanajan unsur gaya kanggo panyorot visual fokus dipateni ing kaca liwat CSS.
  • Sawetara API anyar wis ditambahake menyang mode Origin Trials (fitur eksperimen sing mbutuhake aktivasi sing kapisah). Origin Trial nuduhake kemampuan kanggo nggarap API sing ditemtokake saka aplikasi sing diundhuh saka localhost utawa 127.0.0.1, utawa sawise ndhaptar lan nampa token khusus sing valid kanggo wektu winates kanggo situs tartamtu.
  • API WebHID kanggo akses tingkat rendah menyang piranti HID (piranti antarmuka manungsa, keyboard, mouse, gamepads, touchpads), sing ngidini sampeyan ngetrapake logika nggarap piranti HID ing JavaScript kanggo ngatur karya karo piranti HID langka tanpa ana driver tartamtu ing sistem. Kaping pisanan, API anyar ditujokake kanggo nyedhiyakake dhukungan kanggo gamepads.
  • API Informasi Layar, ngluwihi Window Placement API kanggo ndhukung konfigurasi multi-layar. Boten kados window.screen, API anyar ngijini sampeyan kanggo ngapusi panggonan seko saka jendhela ing papan layar sakabèhé saka sistem multi-monitor, tanpa diwatesi kanggo layar saiki.
  • Meta tag baterei-irit, karo kang situs bisa ngandhani browser bab perlu kanggo ngaktifake mode kanggo ngurangi konsumsi daya lan ngoptimalake beban CPU.
  • COOP Reporting API kanggo nglaporake potensial nglanggar Cross-Origin-Embedder-Policy (COEP) lan Cross-Origin-Opener-Policy (COOP) mode isolasi, tanpa nglamar watesan nyata.
  • API Manajemen Kredensial nawakake jinis kredensial anyar, PaymentCredential, sing menehi konfirmasi tambahan babagan transaksi pembayaran sing ditindakake. Pihak sing gumantung, kayata bank, nduweni kemampuan kanggo ngasilake kunci umum, PublicKeyCredential, sing bisa dijaluk dening pedagang kanggo konfirmasi pembayaran aman tambahan.
  • API PointerEvents kanggo nemtokake kemiringan stylus* wis nambahake dhukungan kanggo sudut elevasi (sudut antarane stylus lan layar) lan azimuth (sudut antarane sumbu X lan proyeksi stylus ing layar), tinimbang Sudut TiltX lan TiltY (sudut antarane bidang saka stylus lan siji sumbu lan bidang saka sumbu Y lan Z). Uga ditambahake fungsi konversi antarane altitude / azimuth lan TiltX / TiltY.
  • Ngganti enkoding spasi ing URL nalika ngetung ing panangan protokol - cara navigator.registerProtocolHandler() saiki ngganti spasi karo "%20" tinimbang "+", sing nyawiji prilaku karo browser liyane kayata Firefox.
  • Unsur pseudo "::marker" wis ditambahake menyang CSS, ngidini sampeyan ngatur warna, ukuran, wangun lan jinis nomer lan titik kanggo dhaptar ing blok. lan .
  • Dhukungan tambahan kanggo header HTTP Dokumen-Kebijakan, sing ngidini sampeyan nyetel aturan kanggo ngakses dokumen, padha karo mekanisme isolasi kothak wedhi kanggo iframe, nanging luwih universal. Contone, liwat Document-Policy sampeyan bisa mbatesi panggunaan gambar sing berkualitas rendah, mateni API JavaScript sing alon, ngatur aturan kanggo ngemot iframe, gambar lan skrip, mbatesi ukuran lan lalu lintas dokumen sakabèhé, nglarang cara sing mimpin kanggo nggambar ulang kaca, lan mateni fungsi Gulung-Menyang-Teks.
  • Kanggo unsur nambahake dhukungan kanggo paramèter 'inline-grid', 'grid', 'inline-flex' lan 'flex' liwat properti CSS 'tampilan'.
  • Added ParentNode.replaceChildren () cara kanggo ngganti kabeh anak saka simpul tiyang sepah karo simpul DOM liyane. Sadurunge, sampeyan bisa nggunakake kombinasi node.removeChild () lan node.append () utawa node.innerHTML lan node.append () kanggo ngganti kelenjar.
  • Jangkoan skema URL sing bisa diganti nggunakake registerProtocolHandler () wis ditambahi. Dhaptar skema kalebu protokol desentralisasi cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns lan ssb, sing ngidini sampeyan nemtokake pranala menyang unsur preduli saka situs utawa gateway sing nyedhiyakake akses menyang sumber kasebut.
  • Nambahake dhukungan kanggo format teks / html menyang API Clipboard Asynchronous kanggo nyalin lan nempel HTML liwat clipboard (konstruksi HTML sing mbebayani diresiki nalika nulis lan maca menyang clipboard). Owah-owahan, contone, ngidini sampeyan ngatur sisipan lan nyalin teks sing diformat nganggo gambar lan tautan ing editor web.
  • WebRTC wis nambahake kemampuan kanggo nyambungake panangan data dhewe, sing diarani ing tahap enkoding utawa dekoding WebRTC MediaStreamTrack. Contone, kemampuan iki bisa digunakake kanggo nambah dhukungan kanggo enkripsi end-to-end data sing dikirim liwat server penengah.
    Ing mesin JavaScript V8, implementasi Number.prototype.toString wis digawe cepet nganti 75%. Nambahake properti .name menyang kelas asinkron kanthi nilai kosong. Cara Atomics.wake wis dibusak, sing ing siji wektu diganti jeneng Atomics.notify kanggo tundhuk karo specification ECMA-262. Kode kanggo alat uji fuzzing JS-Fuzzer mbukak.
  • Compiler baseline Liftoff kanggo WebAssembly dirilis ing release pungkasan kalebu kemampuan kanggo nggunakake instruksi vektor SIMD kanggo nyepetake petungan. Miturut tes, optimasi bisa nyepetake sawetara tes kanthi 2.8 kaping. Optimasi liyane nggawe luwih cepet nelpon fungsi JavaScript sing diimpor saka WebAssembly.
  • Piranti kanggo pangembang web wis ditambahi: Panel Media wis nambahake informasi babagan pemain sing digunakake kanggo muter video ing kaca, kalebu data acara, log, nilai properti lan paramèter dekoding pigura (contone, sampeyan bisa nemtokake sabab saka pigura. masalah mundhut lan interaksi saka JavaScript).
  • Ing menu konteks panel Unsur, kemampuan kanggo nggawe gambar saka unsur sing dipilih wis ditambahake (contone, sampeyan bisa nggawe gambar saka tabel isi utawa tabel).
  • Ing konsol web, panel peringatan masalah wis diganti karo pesen biasa, lan masalah karo Cookie pihak katelu didhelikake kanthi gawan ing tab Masalah lan diaktifake kanthi kothak khusus.
  • Ing tab Rendering, tombol "Pateni font lokal" wis ditambahake, sing ngidini sampeyan nyimulake ora ana font lokal, lan ing tab Sensor saiki sampeyan bisa nyimulake ora aktif pangguna (kanggo aplikasi nggunakake API Deteksi Idle).
  • Panel Aplikasi nyedhiyakake informasi rinci babagan saben iframe, jendhela sing mbukak, lan pop-up, kalebu informasi babagan isolasi Cross-Origin nggunakake COEP lan COOP.

Implementasi protokol QUIC wis wiwit diganti karo versi sing dikembangake ing spesifikasi IETF, tinimbang versi Google QUIC.
Saliyane inovasi lan koreksi bug, versi anyar ngilangi 35 kerentanan. Akeh kerentanan sing diidentifikasi minangka asil tes otomatis nggunakake AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer lan alat AFL. Siji kerentanan (CVE-2020-15967, akses menyang memori sing dibebasake ing kode kanggo sesambungan karo Google Payments) ditandhani minangka kritis, yaiku. ngidini sampeyan ngliwati kabeh tingkat proteksi browser lan nglakokake kode ing sistem ing njaba lingkungan kothak wedhi. Minangka bagéan saka program kanggo mbayar ganjaran awis kanggo nemokake kerentanan kanggo release saiki, Google mbayar 27 penghargaan senilai $71500 (siji penghargaan $15000, telung penghargaan $7500, limang penghargaan $5000, loro penghargaan $3000, siji penghargaan $200, lan loro penghargaan $500). Ukuran 13 ganjaran durung ditemtokake.

Dijupuk saka Opennet.ru

Source: linux.org.ru

Add a comment