Google release browser web ... bebarengan release stabil saka free project , sing dadi basis Chrome. browser Chrome panggunaan logo Google, anané sistem kanggo ngirim kabar yen ana kacilakan, kemampuan kanggo ndownload modul Flash kanthi panyuwunan, modul kanggo muter konten video sing dilindhungi (DRM), sistem kanggo nginstal nganyari lan transmisi kanthi otomatis sajrone panelusuran . Rilis sabanjure Chrome 87 dijadwalake tanggal 17 November.
:
- Perlindhungan tambahan marang kiriman formulir input sing ora aman ing kaca sing dimuat liwat HTTPS nanging ngirim data liwat HTTP, sing nggawe ancaman intersepsi data lan spoofing sajrone serangan MITM. Proteksi dumadi ing telung owah-owahan:
- Isi otomatis formulir input campuran wis dipateni, padha karo cara ngisi otomatis formulir otentikasi ing kaca sing dibukak liwat HTTP wis dipateni nganti sawetara wektu. Yen sadurunge tandha kanggo mateni mbukak kaca kanthi formulir liwat HTTPS utawa HTTP, saiki panggunaan enkripsi nalika ngirim data menyang pawang formulir uga dianggep. Pangatur tembung sandhi kanggo otentikasi campuran ora dipateni, amarga risiko nggunakake tembung sandhi sing ora aman lan nggunakake maneh sandhi ing macem-macem situs luwih gedhe tinimbang risiko intersepsi lalu lintas potensial.
- Nalika miwiti ngetik ing wangun campuran, bebaya ditampilake ngandhani pangguna yen data sing wis rampung dikirim liwat saluran komunikasi sing ora dienkripsi.
- Nalika sampeyan nyoba ngirim formulir campuran, kaca kapisah ditampilake sing menehi kabar babagan risiko potensial ngirim data liwat saluran komunikasi sing ora dienkripsi. Ing versi sadurungé, indikator padlock ing bilah alamat digunakake kanggo nunjukake formulir campuran, nanging tandha iki ora ketok kanggo pangguna lan ora nggambarake risiko sing ana.
- Pamblokiran (tanpa enkripsi) file sing bisa dieksekusi ditambah kanthi ngalangi loading arsip sing ora aman (zip, iso, lsp.) lan nampilake bebaya kanggo loading sing ora aman
dokumen (docx, pdf, lsp). Pamblokiran dokumen lan bebaya kanggo gambar, teks, lan file media samesthine ing rilis sabanjure. Pamblokiran kasebut ditindakake amarga ndownload file tanpa enkripsi bisa digunakake kanggo nindakake tumindak ala kanthi ngganti konten sajrone serangan MITM. - Menu konteks standar nampilake opsi "Tansah nuduhake URL lengkap", sing sadurunge kudu ngganti setelan ing babagan: kaca panji kanggo ngaktifake. URL lengkap uga bisa dideleng kanthi ngeklik kaping pindho ing bilah alamat. Ayo kita ngelingi sing wiwit saka Kanthi gawan, alamat kasebut wiwit ditampilake tanpa protokol lan subdomain www. ING setelan kanggo bali prilaku lawas dibusak, nanging sawise pangguna dissatisfaction karo Gendéra eksperimen anyar wis ditambahake sing nambah pilihan ing menu konteks kanggo mateni ndhelikake lan nuduhake URL lengkap ing kahanan apa wae.
- Dibukak kanggo persentase cilik pangguna ing Kanthi gawan, bilah alamat mung ngemot domain, tanpa unsur path lan paramèter pitakon. Contone, tinimbang "https://example.com/secure-google-sign-in/" bakal nuduhake "example.com". Mode sing diusulake bakal digawa menyang kabeh pangguna ing salah sawijining rilis sabanjure. Kanggo mateni prilaku iki, sampeyan bisa nggunakake pilihan "Tansah nuduhake URL lengkap", lan kanggo ndeleng kabeh URL, sampeyan bisa ngeklik ing baris alamat. Motif kanggo owah-owahan yaiku kepinginan kanggo nglindhungi pangguna saka phishing sing manipulasi paramèter ing URL - panyerang njupuk kauntungan saka pangguna sing ora nggatekake kanggo nggawe tampilan mbukak situs liyane lan nindakake tumindak curang (yen substitusi kasebut jelas kanggo pangguna sing kompeten sacara teknis. , banjur wong sing ora duwe pengalaman gampang tiba kanggo manipulasi sing prasaja).
- Diterusake kanggo mbusak dhukungan FTP. Ing Chrome 86, FTP dipateni kanthi gawan kanggo kira-kira 1% pangguna, lan ing Chrome 87 ruang lingkup panyalahgunaan bakal ditambah dadi 50%, nanging dhukungan bisa digawa maneh nggunakake "--enable-ftp" utawa "- -enable-features=FtpProtocol" flag. Ing Chrome 88, dhukungan FTP bakal dipateni.
- Ing versi kanggo Android, padha karo versi sistem desktop, pangatur sandhi nindakake mriksa login lan sandhi sing disimpen ing basis data akun sing dikompromi, nampilake bebaya yen ana masalah sing dideteksi utawa nyoba nggunakake sandhi sing ora pati penting. Pemeriksaa ditindakake marang database sing nyakup luwih saka 4 milyar akun sing dikompromi sing katon ing database pangguna sing bocor. Kanggo njaga privasi Ater-ater hash diverifikasi ing sisih pangguna, lan sandhi dhewe lan hash lengkap ora ditularake menyang njaba.
- Uga kasedhiya ing versi Android tombol "Priksa safety" lan mode pangayoman meningkat marang situs mbebayani (Browsing Aman Enhanced). Tombol "Pemeriksaan keamanan" nuduhake ringkesan masalah keamanan sing bisa ditindakake, kayata panggunaan sandhi sing dikompromi, status mriksa situs sing mbebayani (Safe Browsing), anane nganyari sing ora diinstal, lan identifikasi add-on sing mbebayani. Mode pangayoman majeng ngaktifake mriksa tambahan kanggo nglindhungi saka phishing, kegiatan angkoro lan ancaman liyane ing Web, lan uga kalebu pangayoman tambahan kanggo akun Google lan layanan Google (Gmail, Drive, etc.). Yen ing mode Safe Browsing normal, pamriksan dileksanakake sacara lokal nggunakake basis data sing dimuat sacara periodik menyang sistem klien, banjur ing Enhanced Safe Browsing informasi babagan kaca lan download ing wektu nyata dikirim kanggo verifikasi ing sisih Google, sing ngidini sampeyan nanggapi kanthi cepet. ancaman sanalika sawise padha dikenali, tanpa ngenteni nganti blacklist lokal dianyari.
- dhukungan kanggo file indikator ".kondhang / ganti-sandi", sing nduweni situs bisa nemtokake alamat formulir web kanggo ngganti tembung sandhi. Yen kredensial pangguna dikompromi, Chrome saiki bakal langsung njaluk pangguna nganggo formulir pangowahan tembung sandhi adhedhasar informasi ing file iki.
- Peringatan "Tip Keamanan" anyar wis dileksanakake, ditampilake nalika mbukak situs sing domaine meh padha karo situs liyane lan heuristik nuduhake yen ana kemungkinan spoofing (contone, goog0le.com dibukak tinimbang google.com).
- Dhukungan kanggo cache Mundur maju, sing nyedhiyakake pandhu arah cepet nalika nggunakake tombol "Mbalik" lan "Maju" utawa nalika navigasi liwat kaca sing wis dideleng ing situs saiki. Cache diaktifake nggunakake setelan chrome: // flags / #back-forward-cache.
- Optimisasi konsumsi sumber daya CPU dening windows wis ditindakake
metu saka orane katrangan. Chrome mriksa apa jendhela browser tumpang tindih karo jendhela liyane lan nyegah gambar piksel ing area tumpang tindih. Optimasi iki diaktifake kanggo persentase cilik pangguna ing Chrome 84 lan 85 lan saiki diaktifake ing endi wae. Dibandhingake karo rilis sadurunge, ora kompatibel karo sistem virtualisasi sing nyebabake kaca putih kosong katon uga wis ditanggulangi. - Tambah sumber daya trimming kanggo tab latar mburi. Tab kasebut ora bisa nggunakake luwih saka 1% sumber daya CPU lan bisa diaktifake ora luwih saka sapisan saben menit. Sawise limang menit ing latar mburi, tab bakal beku, kajaba tab sing muter konten multimedia utawa ngrekam.
- Garap HTTP header User-Agent. Ing versi anyar, dhukungan kanggo mekanisme kasebut diaktifake kanggo kabeh pangguna , dikembangake minangka panggantos kanggo User-Agent. Mekanisme anyar melu selektif bali data babagan browser tartamtu lan paramèter sistem (versi, platform, etc.) mung sawise panjalukan saka server lan menehi pangguna kesempatan kanggo selektif nyedhiyani informasi kuwi kanggo pemilik situs. Nalika nggunakake Petunjuk Klien Agen Panganggo, pengenal ora ditularake kanthi standar tanpa panjaluk sing jelas, sing ndadekake identifikasi pasif ora mungkin (kanthi standar, mung jeneng browser sing dituduhake).
- Indikasi anane nganyari lan kudu miwiti maneh browser kanggo nginstal wis diganti. Tinimbang panah berwarna, "Update" saiki katon ing kolom avatar akun.
- Pakaryan wis ditindakake kanggo ngowahi browser kanggo nggunakake terminologi inklusif. Ing jeneng kabijakan, tembung "dhaftar putih" lan "dhaptar ireng" wis diganti karo "dhaptar sing diidinake" lan "dhaptar pamblokiran" (kabijakan sing wis ditambahake bakal terus bisa digunakake, nanging bakal nampilake bebaya yen ora digunakake). ING и referensi kanggo "blacklist" wis diganti karo "blocklist".
Referensi sing katon pangguna kanggo "daftar ireng" lan "daftar putih" diganti ing awal 2019. - Nambahake kemampuan eksperimen kanggo nyunting sandhi sing disimpen, diaktifake nggunakake gendera "chrome: // flags / # edit-passwords-in-settings".
- Diowahi dadi API stabil lan umum , sing ngidini sampeyan nggawe aplikasi web sing sesambungan karo file ing sistem file lokal. Contone, API anyar bisa uga dikarepake ing lingkungan pangembangan terpadu adhedhasar browser, teks, gambar lan editor video. Supaya bisa langsung nulis lan maca file utawa nggunakake dialog kanggo mbukak lan nyimpen file, uga kanggo navigasi isi direktori, aplikasi kasebut njaluk konfirmasi khusus marang pangguna.
- Nambahake pamilih CSS "", sing nggunakake heuristik sing padha sing digunakake browser nalika mutusake arep nuduhake indikator pangowahan fokus (nalika mindhah fokus menyang tombol nggunakake trabasan keyboard, indikator kasebut katon, nanging nalika ngeklik mouse, ora ana). Pamilih CSS ": fokus" sing kasedhiya sadurunge tansah nyorot fokus.
Kajaba iku, opsi "Syrotan Fokus Cepet" wis ditambahake menyang setelan, yen diaktifake, indikator fokus tambahan bakal ditampilake ing jejere unsur aktif, sing tetep katon sanajan unsur gaya kanggo panyorot visual fokus dipateni ing kaca liwat CSS. - Sawetara API anyar wis ditambahake menyang mode Origin Trials (fitur eksperimen sing mbutuhake aktivasi sing kapisah). Origin Trial nuduhake kemampuan kanggo nggarap API sing ditemtokake saka aplikasi sing diundhuh saka localhost utawa 127.0.0.1, utawa sawise ndhaptar lan nampa token khusus sing valid kanggo wektu winates kanggo situs tartamtu.
- kanggo akses tingkat rendah menyang piranti HID (piranti antarmuka manungsa, keyboard, mouse, gamepads, panel tutul), ngidini sampeyan ngetrapake logika nggarap piranti HID ing JavaScript kanggo ngatur karya karo piranti HID langka tanpa ana driver tartamtu ing sistem.
Kaping pisanan, API anyar ditujokake kanggo nyedhiyakake dhukungan kanggo gamepads. - , ngluwihi Window Placement API kanggo ndhukung konfigurasi multi-layar. Boten kados window.screen, API anyar ngijini sampeyan kanggo ngapusi panggonan seko saka jendhela ing papan layar sakabèhé saka sistem multi-monitor, tanpa diwatesi kanggo layar saiki.
- Meta tag , kanthi situs kasebut bisa menehi informasi marang browser babagan kudu ngaktifake mode kanggo nyuda konsumsi daya lan ngoptimalake beban CPU.
- API kanggo laporan potensial nglanggar peraturan isolasi (COEP) lan (COOP), tanpa ngetrapake watesan nyata.
- Ing API jinis anyar saka Diverifikasi wis ngajokaken , nyedhiyakake konfirmasi tambahan babagan transaksi pembayaran sing ditindakake. Pihak sing gumantung, kayata bank, nduweni kemampuan kanggo ngasilake kunci umum, PublicKeyCredential, sing bisa dijaluk dening pedagang kanggo konfirmasi pembayaran tambahan sing aman.
- kanggo akses tingkat rendah menyang piranti HID (piranti antarmuka manungsa, keyboard, mouse, gamepads, panel tutul), ngidini sampeyan ngetrapake logika nggarap piranti HID ing JavaScript kanggo ngatur karya karo piranti HID langka tanpa ana driver tartamtu ing sistem.
- Ing API kanggo nemtokake kemiringan stylus, dhukungan ditambahake kanggo sudut dhuwur (sudut antarane stylus lan layar) lan azimuth (sudut antarane sumbu X lan proyeksi stylus ing layar), tinimbang TiltX lan Sudut TiltY (sudut antarane bidang saka stylus lan salah siji sumbu lan bidang saka Y lan Y sumbu Z). Uga ditambahake fungsi konversi antarane altitude / azimuth lan TiltX / TiltY.
- Ngganti enkoding spasi ing URL nalika ngetung ing panangan protokol - cara navigator.registerProtocolHandler() saiki ngganti spasi karo "%20" tinimbang "+", sing nyawiji prilaku karo browser liyane kayata Firefox.
- Nambahake unsur pseudo CSS "", sing ngidini sampeyan ngatur warna, ukuran, wujud lan jinis nomer lan poin kanggo dhaptar ing blok lan .
- Dhukungan header HTTP ditambahake , aturan kanggo ngakses dokumen, padha karo mekanisme isolasi kothak wedhi kanggo iframes, nanging luwih universal. Contone, liwat Document-Policy sampeyan bisa mbatesi panggunaan gambar sing berkualitas rendah, mateni API JavaScript sing alon, ngatur aturan kanggo ngemot iframe, gambar lan skrip, mbatesi ukuran lan lalu lintas dokumen sakabèhé, nglarang cara sing mimpin kanggo nggambar ulang kaca, mateni. fungsi kasebut .
- Kanggo unsur nambahake dhukungan kanggo paramèter 'inline-grid', 'grid', 'inline-flex' lan 'flex' liwat properti CSS 'tampilan'.
- Metode ditambahake kanggo ngganti kabeh anak saka simpul tiyang sepah karo simpul DOM liyane. Sadurunge, sampeyan bisa nggunakake kombinasi node.removeChild () lan node.append () utawa node.innerHTML lan node.append () kanggo ngganti kelenjar.
- sawetara skema URL sing diijini diganti nggunakake registerProtocolHandler (). Dhaptar skema kalebu protokol desentralisasi cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns lan ssb, sing ngidini sampeyan nemtokake pranala menyang unsur preduli saka situs utawa gateway sing nyedhiyakake akses menyang sumber kasebut.
- Ing API nambahake dhukungan kanggo format teks / html kanggo nyalin lan nempel HTML liwat clipboard (konstruksi HTML sing mbebayani diresiki nalika nulis lan maca menyang clipboard). Owah-owahan, contone, ngidini sampeyan ngatur sisipan lan nyalin teks sing diformat nganggo gambar lan tautan ing editor web.
- Ing WebRTC kemampuan kanggo nyambungake panangan data dhewe sing diarani ing tahap enkoding utawa dekoding WebRTC MediaStreamTrack. Contone, kemampuan iki bisa digunakake kanggo nambah dhukungan kanggo enkripsi end-to-end data sing dikirim liwat server penengah.
- Ing mesin JavaScript V8 kanthi 75% implementasi Number.prototype.toString. Nambahake properti .name menyang kelas bedo kanthi nilai kosong. Cara Atomics.wake wis dibusak, sing ing siji wektu diganti jeneng Atomics.notify kanggo tundhuk karo specification ECMA-262. Kode toolkit testing fuzzing mbukak .
- Compiler baseline Liftoff kanggo WebAssembly, dirilis ing rilis pungkasan, kalebu kemampuan kanggo nggunakake instruksi vektor kanggo nyepetake petungan. Miturut tes, optimasi bisa nyepetake sawetara tes kanthi 2.8 kaping. Optimasi liyane nggawe luwih cepet nelpon fungsi JavaScript sing diimpor saka WebAssembly.
- alat kanggo pangembang web: Panel Media wis nambahake informasi babagan pemain sing digunakake kanggo muter video ing kaca, kalebu data acara, log, nilai properti, lan paramèter dekoding pigura (contone, sampeyan bisa nemtokake sabab saka mundhut pigura lan masalah interaksi. saka JavaScript).
Ing menu konteks panel Unsur, kemampuan kanggo nggawe gambar saka unsur sing dipilih wis ditambahake (contone, sampeyan bisa nggawe gambar saka tabel isi utawa tabel).
Ing konsol web, panel peringatan masalah wis diganti karo pesen biasa, lan masalah karo Cookie pihak katelu didhelikake kanthi gawan ing tab Masalah lan diaktifake kanthi kothak khusus.
Ing tab Rendering, tombol "Pateni font lokal" wis ditambahake, sing ngidini sampeyan nyimulake ora ana font lokal, lan ing tab Sensor saiki sampeyan bisa nyimulake ora aktif pangguna (kanggo aplikasi nggunakake API Deteksi Idle).
Panel Aplikasi nyedhiyakake informasi rinci babagan saben iframe, jendhela sing mbukak, lan pop-up, kalebu informasi babagan isolasi Cross-Origin nggunakake COEP lan COOP.
- panggantos implementasine protokol menyang opsi sing dikembangake ing spesifikasi IETF, tinimbang pilihan Google QUIC.
Saliyane inovasi lan mbecike bug, versi anyar ngilangi . Akeh kerentanan sing diidentifikasi minangka asil tes otomatis nganggo alat , , , и . Siji kerentanan (CVE-2020-15967, akses menyang memori sing dibebasake ing kode kanggo sesambungan karo Google Payments) ditandhani minangka kritis, yaiku. ngidini sampeyan ngliwati kabeh tingkat proteksi browser lan nglakokake kode ing sistem ing njaba lingkungan kothak wedhi. Minangka bagéan saka program kanggo mbayar ganjaran awis kanggo nemokake kerentanan kanggo release saiki, Google mbayar 27 penghargaan senilai $71500 (siji penghargaan $15000, telung penghargaan $7500, limang penghargaan $5000, loro penghargaan $3000, siji penghargaan $200, lan loro penghargaan $500). Ukuran 13 ganjaran durung ditemtokake.
Source: opennet.ru