ProHoster > Блог > интернет жаңалықтары > Chrome 86

Chrome 86

Chrome 86 келесі шығарылымы және тұрақты Chromium шығарылымы шығарылды.

Chrome 86 жүйесіндегі негізгі өзгерістер:

  • HTTPS арқылы жүктелген, бірақ деректерді HTTP арқылы жіберу беттеріндегі енгізу пішіндерін қауіпті жіберуден қорғау.
  • Орындалатын файлдардың қауіпті жүктеп алуларын (http) бұғаттау мұрағаттардың қауіпті жүктеп алуларын (zip, iso, т.б.) блоктаумен және құжаттарды (docx, pdf және т.б.) қауіпті жүктеп алу туралы ескертулерді көрсетумен толықтырылады. Келесі шығарылымда құжаттарды блоктау және кескіндерге, мәтінге және медиа файлдарға ескертулер күтіледі. Бұғаттау орындалды, себебі файлдарды шифрлаусыз жүктеп алу MITM шабуылдары кезінде мазмұнды ауыстыру арқылы зиянды әрекеттерді орындау үшін пайдаланылуы мүмкін.
  • Әдепкі мәтінмәндік мәзірде қосу үшін бұрын about: flags бетіндегі параметрлерді өзгерту қажет болатын "Әрқашан толық URL мекенжайын көрсету" опциясы көрсетіледі. Толық URL мекенжайын мекенжай жолағын екі рет басу арқылы да көруге болады. Еске сала кетейік, Chrome 76-дан бастап, әдепкі бойынша мекенжай протоколсыз және www қосалқы доменінсіз көрсетіле бастады. Chrome 79 нұсқасында ескі әрекетті қайтару параметрі жойылды, бірақ пайдаланушының қанағаттанбауынан кейін Chrome 83 жүйесінде барлық жағдайларда толық URL мекенжайын жасыру және көрсетуді өшіру үшін мәтінмәндік мәзірге опция қосатын жаңа эксперименттік жалауша қосылды.
    Пайдаланушылардың шағын пайызы үшін жол элементтері мен сұрау параметрлері жоқ, әдепкі бойынша мекенжай жолағында тек доменді көрсету эксперименті іске қосылды. Мысалы, орнына «https://example.com/secure-google-sign-in/" "example.com" көрсетіледі. Ұсынылған режим келесі шығарылымдардың бірінде барлық пайдаланушыларға жеткізіледі деп күтілуде. Бұл әрекетті өшіру үшін «Әрқашан толық URL мекенжайын көрсету» опциясын пайдалануға болады және бүкіл URL мекенжайын көру үшін мекенжай жолағын басуға болады. Өзгерістің себебі - пайдаланушыларды URL мекенжайындағы параметрлерді басқаратын фишингтен қорғау ниеті - шабуылдаушылар басқа сайтты ашу көрінісін жасау және алаяқтық әрекеттерді жасау үшін пайдаланушылардың назарын аудармайды (егер мұндай ауыстырулар техникалық жағынан сауатты пайдаланушыға анық болса). , содан кейін тәжірибесіз адамдар мұндай қарапайым манипуляцияға оңай түседі).
  • FTP қолдауын жою бастамасы жаңартылды. Chrome 86 нұсқасында FTP әдепкі бойынша пайдаланушылардың шамамен 1%-ы үшін өшірілген, ал Chrome 87 нұсқасында өшіру ауқымы 50%-ға дейін ұлғайтылады, бірақ қолдауды "--enable-ftp" немесе "-" арқылы қайтаруға болады. -enable-features=FtpProtocol» жалаушасы. Chrome 88 нұсқасында FTP қолдауы толығымен өшіріледі.
  • Жұмыс үстелі жүйелеріне арналған нұсқаға ұқсас Android нұсқасында пароль менеджері бұзылған тіркелгілердің дерекқорына қатысты сақталған логиндер мен құпия сөздерді тексеруді жүзеге асырады, ақаулар анықталса немесе тривиальды құпия сөздерді пайдалануға әрекет жасалса, ескерту көрсетеді. Тексеру ағып кеткен пайдаланушы дерекқорларында пайда болған 4 миллиардтан астам бұзылған тіркелгілерді қамтитын дерекқорға қарсы жүргізіледі. Құпиялылықты сақтау үшін хэш префиксі пайдаланушы тарапынан тексеріледі, ал құпия сөздердің өзі және олардың толық хэштері сырттан берілмейді.
  • Сондай-ақ «Қауіпсіздікті тексеру» түймесі және қауіпті сайттардан күшейтілген қорғаныс режимі (Жетілдірілген қауіпсіз шолу) Android нұсқасына да ауыстырылды. «Қауіпсіздікті тексеру» түймесі бұзылған құпия сөздерді пайдалану, зиянды сайттарды тексеру күйі (Қауіпсіз шолу), жойылған жаңартулардың болуы және зиянды қондырмаларды анықтау сияқты ықтимал қауіпсіздік мәселелерінің қысқаша мазмұнын көрсетеді. Жетілдірілген қорғау режимі интернеттегі фишингтен, зиянды әрекеттен және басқа қауіптерден қорғау үшін қосымша тексерулерді белсендіреді, сонымен қатар Google есептік жазбасы мен Google қызметтері (Gmail, Drive және т.б.) үшін қосымша қорғауды қамтиды. Егер қалыпты Safe Browsing режимінде тексерулер жергілікті түрде клиенттің жүйесіне мерзімді түрде жүктелетін дерекқор арқылы орындалса, онда Enhanced Safe Browsing қолданбасында нақты уақыт режимінде беттер мен жүктеп алынғандар туралы ақпарат Google тарапынан тексеруге жіберіледі, бұл сізге жылдам жауап беруге мүмкіндік береді. жергілікті қара тізім жаңартылғанша күтпей-ақ анықталғаннан кейін бірден қауіптерді.
  • Сайт иелері құпия сөзді өзгертуге арналған веб-пішін мекенжайын көрсете алатын «.well-known/change-password» индикаторлық файлына қолдау қосылды. Егер пайдаланушының тіркелгі деректері бұзылса, Chrome енді пайдаланушыға осы файлдағы ақпарат негізінде құпия сөзді өзгерту пішінін дереу сұрайды.
  • Жаңа «Қауіпсіздік кеңесі» ескертуі енгізілді, ол домені басқа сайтқа өте ұқсас сайттарды ашқанда көрсетіледі және эвристика жалғандық ықтималдығы жоғары екенін көрсетеді (мысалы, google.com орнына goog0le.com ашылған).

    * «Артқа» және «Алға» түймелерін пайдалану кезінде немесе ағымдағы сайттың бұрын қаралған беттерін шарлау кезінде жылдам шарлауды қамтамасыз ететін «Артқа» кэшіне қолдау енгізілді. Кэш chrome://flags/#back-forward-cache параметрі арқылы қосылады.

  • Қолданбалы терезелер үшін CPU ресурстарын тұтынуды оңтайландыру. Chrome браузер терезесінің басқа терезелермен қабаттасатынын тексереді және қабаттасу аймақтарында пиксельдерді салуға жол бермейді. Бұл оңтайландыру Chrome 84 және 85 нұсқаларында пайдаланушылардың аз ғана пайызы үшін қосылды және қазір барлық жерде қосылған. Алдыңғы шығарылымдармен салыстырғанда бос ақ беттердің пайда болуына әкеліп соқтыратын виртуалдандыру жүйелерімен үйлеспеушілік те шешілді.
  • Фондық қойындылар үшін ресурсты кесу үлкейтілді. Мұндай қойындылар бұдан былай CPU ресурстарының 1%-дан астамын тұтына алмайды және минутына бір реттен жиі емес белсендіруге болады. Фондық режимде бес минут болғаннан кейін, мультимедиалық мазмұнды ойнататын немесе жазып жатқан қойындыларды қоспағанда, қойындылар қатып қалады.
  • User-Agent HTTP тақырыбын біріктіру бойынша жұмыс қайта жалғасты. Жаңа нұсқада Пайдаланушы-Агентті ауыстыру ретінде әзірленген User-Agent Client Hints механизмін қолдау барлық пайдаланушылар үшін белсендірілген. Жаңа механизм белгілі бір браузер мен жүйе параметрлері (нұсқа, платформа және т.б.) туралы деректерді тек сервер сұрауынан кейін таңдамалы түрде қайтаруды және пайдаланушыларға сайт иелеріне осындай ақпаратты таңдаулы түрде беру мүмкіндігін беруді қамтиды. User-Agent Client Hints қолданбасын пайдаланған кезде идентификатор әдепкі бойынша анық сұраусыз берілмейді, бұл пассивті сәйкестендіруді мүмкін емес етеді (әдепкі бойынша тек браузер аты көрсетіледі).
    Жаңартудың бар екендігі және оны орнату үшін шолғышты қайта іске қосу қажеттілігі туралы көрсеткіш өзгертілді. Түсті көрсеткінің орнына енді тіркелгі аватары өрісінде «Жаңарту» пайда болады.
  • Браузерді инклюзивті терминологияны қолдануға түрлендіру бойынша жұмыс жүргізілді. Саясат атауларында "ақ тізім" және "қара тізім" сөздері "рұқсат етілген тізім" және "бұғаттау тізімі" сөздерімен ауыстырылды (қазірдің өзінде қосылған саясаттар жұмысын жалғастырады, бірақ олар ескіргені туралы ескертуді көрсетеді). Код және файл атауларында «қара тізімге» сілтемелер «блоктау тізімімен» ауыстырылды. Пайдаланушы көретін «қара тізім» және «ақ тізім» сілтемелері 2019 жылдың басында ауыстырылды.
    "chrome://flags/#edit-passwords-in-settings" жалаушасы арқылы белсендірілген, сақталған құпия сөздерді өңдеудің эксперименттік мүмкіндігі қосылды.
  • Native File System API интерфейсі тұрақты және жалпыға қолжетімді API санатына ауыстырылды, бұл сізге жергілікті файлдық жүйедегі файлдармен әрекеттесетін веб-қосымшаларды жасауға мүмкіндік береді. Мысалы, жаңа API браузерге негізделген интеграцияланған әзірлеу орталарында, мәтін, сурет және бейне редакторларында сұранысқа ие болуы мүмкін. Файлдарды тікелей жазу және оқу немесе файлдарды ашу және сақтау, сондай-ақ каталогтар мазмұны бойынша шарлау үшін диалогтарды пайдалану мүмкіндігін алу үшін қолданба пайдаланушыдан арнайы растауды сұрайды.
  • «:focus-visible» CSS селекторы қосылды, ол шолғыш фокусты өзгерту индикаторын көрсету-көрсетпеу туралы шешім қабылдағанда пайдаланатын бірдей эвристиканы пайдаланады (фокусты пернелер тіркесімдерін пайдаланып түймеге жылжытқанда, индикатор пайда болады, бірақ тінтуірмен басқанда. , олай емес). Бұрын қол жетімді CSS селекторы ":focus" әрқашан фокусты бөлектейді. Сонымен қатар, параметрлерге «Жылдам фокусты бөлектеу» опциясы қосылды, қосылған кезде белсенді элементтердің жанында қосымша фокус индикаторы көрсетіледі, ол CSS арқылы бетте фокусты көрнекі түрде бөлектеуге арналған стиль элементтері өшірілген болса да көрінетін болып қалады. .
  • Origin Trials режиміне бірнеше жаңа API қосылды (бөлек белсендіруді қажет ететін эксперименттік мүмкіндіктер). Origin Trial жергілікті хосттан немесе 127.0.0.1 жүктеп алынған қолданбалардан немесе белгілі бір сайт үшін шектеулі уақытқа жарамды арнайы таңбалауышты тіркеп, алғаннан кейін көрсетілген API-мен жұмыс істеу мүмкіндігін білдіреді.
  • HID құрылғыларына (адам интерфейсі құрылғылары, пернетақталар, тышқандар, геймпадтар, сенсорлық тақталар) төмен деңгейлі қол жеткізуге арналған WebHID API, ол JavaScript тілінде HID құрылғысымен жұмыс істеу логикасын іске асыруға мүмкіндік береді, ол сирек HID құрылғыларымен жұмысты ұйымдастыруға мүмкіндік береді. жүйедегі арнайы драйверлер. Ең алдымен, жаңа API геймпадтарға қолдау көрсетуге бағытталған.
  • Screen Information API, көп экранды конфигурацияларды қолдау үшін Window Placement API кеңейтеді. window.screen-тен айырмашылығы, жаңа API ағымдағы экранмен шектелмей, көп мониторлы жүйелердің жалпы экран кеңістігінде терезенің орналасуын басқаруға мүмкіндік береді.
  • Мета тег батареяны үнемдеу, оның көмегімен сайт браузерге қуат тұтынуды азайту және процессор жүктемесін оңтайландыру үшін режимдерді қосу қажеттілігі туралы хабарлай алады.
  • Нақты шектеулерді қолданбай, Cross-Origin-Embedder-Policy (COEP) және Cross-Origin-Opener-Policy (COOP) оқшаулау режимдерінің ықтимал бұзушылықтары туралы хабарлау үшін COOP Reporting API.
  • Credential Management API тіркелгі деректерінің жаңа түрін ұсынады, PaymentCredential, ол орындалып жатқан төлем транзакциясының қосымша растауын қамтамасыз етеді. Банк сияқты сенімді тараптың ашық кілтті, PublicKeyCredential жасау мүмкіндігі бар, оны сатушы қосымша қауіпсіз төлемді растау үшін сұрай алады.
  • Стилустың көлбеуін анықтауға арналған PointerEvents API* оның орнына биіктік бұрыштарын (қалам мен экран арасындағы бұрыш) және азимутты (X осі мен экрандағы қаламның проекциясы арасындағы бұрыш) қолдады. TiltX және TiltY бұрыштары (жазықтық стилус пен осьтердің біреуі мен Y және Z осьтерінен шыққан жазықтық арасындағы бұрыштар). Сондай-ақ биіктік/азимут және TiltX/TiltY арасындағы түрлендіру функциялары қосылды.
  • Протокол өңдегіштерінде есептеу кезінде URL мекенжайларындағы бос орынды кодтау өзгертілді - navigator.registerProtocolHandler() әдісі енді бос орындарды Firefox сияқты басқа браузерлермен әрекетті біріктіретін "+" орнына "% 20" ауыстырады.
  • CSS-ке блоктардағы тізімдер үшін сандар мен нүктелердің түсін, өлшемін, пішінін және түрін теңшеуге мүмкіндік беретін жалған элемент "::маркер" қосылды. Және .
  • Құжаттарға қатынасу ережелерін орнатуға мүмкіндік беретін Document-Policy HTTP тақырыбына қолдау қосылды, iframes үшін құм жәшігін оқшаулау механизміне ұқсас, бірақ әмбебап. Мысалы, Document-Policy арқылы сапасыз кескіндерді пайдалануды шектеуге, баяу JavaScript API интерфейстерін өшіруге, iframe файлдарын, кескіндерді және сценарийлерді жүктеу ережелерін конфигурациялауға, жалпы құжат өлшемі мен трафикті шектеуге, бетті қайта салуға әкелетін әдістерге тыйым салуға және Мәтінге айналдыру функциясын өшіріңіз.
  • Элементке 'display' CSS сипаты арқылы орнатылған 'inline-grid', 'grid', 'inline-flex' және 'flex' параметрлеріне қолдау қосылды.
  • Ата-аналық түйіннің барлық еншілестерін басқа DOM түйінімен ауыстыру үшін ParentNode.replaceChildren() әдісі қосылды. Бұрын түйіндерді ауыстыру үшін node.removeChild() және node.append() немесе node.innerHTML және node.append() тіркесімін пайдалануға болады.
  • registerProtocolHandler() арқылы қайта анықтауға болатын URL схемаларының ауқымы кеңейтілді. Схемалар тізімі ресурсқа кіруді қамтамасыз ететін сайтқа немесе шлюзге қарамастан элементтерге сілтемелерді анықтауға мүмкіндік беретін cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns және ssb орталықтандырылмаған хаттамаларын қамтиды.
  • HTML-ді алмасу буфері арқылы көшіру және қою үшін асинхронды алмасу буферінің API интерфейсіне мәтін/html пішіміне қолдау қосылды (қауіпті HTML құрылымдары алмасу буферіне жазу және оқу кезінде тазартылады). Өзгеріс, мысалы, веб-редакторларда кескіндер мен сілтемелер бар пішімделген мәтінді кірістіру мен көшіруді ұйымдастыруға мүмкіндік береді.
  • WebRTC WebRTC MediaStreamTrack кодтау немесе декодтау кезеңдерінде шақырылатын өзінің деректер өңдегіштерін қосу мүмкіндігін қосты. Мысалы, бұл мүмкіндік аралық серверлер арқылы тасымалданатын деректерді шифрлауды қолдауды қосу үшін пайдаланылуы мүмкін.
    V8 JavaScript қозғалтқышында Number.prototype.toString іске асыру 75%-ға жеделдетілді. Бос мәні бар асинхронды сыныптарға .name сипаты қосылды. Atomics.wake әдісі жойылды, ол бір уақытта ECMA-262 спецификациясына сәйкес Atomics.notify деп өзгертілді. JS-Fuzzer fuzzing сынақ құралының коды ашық.
  • Соңғы шығарылымда шығарылған WebAssembly үшін Liftoff базалық компиляторы есептеулерді жылдамдату үшін SIMD векторлық нұсқауларын пайдалану мүмкіндігін қамтиды. Тесттерге қарағанда, оңтайландыру кейбір сынақтарды 2.8 есе жылдамдатуға мүмкіндік берді. Басқа оңтайландыру WebAssembly ішінен импортталған JavaScript функцияларын шақыруды әлдеқайда жылдам етті.
  • Веб-әзірлеушілерге арналған құралдар кеңейтілді: Медиа панелі бетте бейнені ойнату үшін пайдаланылатын ойнатқыштар туралы ақпаратты, соның ішінде оқиға деректерін, журналдарды, сипат мәндерін және кадрдың декодтау параметрлерін қосты (мысалы, кадрдың себептерін анықтауға болады) JavaScript-тен жоғалту және өзара әрекеттесу мәселелері).
  • Элементтер панелінің контекстік мәзірінде таңдалған элементтің скриншоттарын жасау мүмкіндігі қосылды (мысалы, мазмұн немесе кестенің скриншотын жасауға болады).
  • Веб-консольде ақаулық туралы ескерту тақтасы кәдімгі хабармен ауыстырылды және үшінші тарап cookie файлдарына қатысты мәселелер Мәселелер қойындысында әдепкі бойынша жасырылады және арнайы құсбелгімен қосылады.
  • Көрсету қойындысында жергілікті қаріптердің жоқтығын модельдеуге мүмкіндік беретін «Жергілікті қаріптерді өшіру» түймесі қосылды, ал сенсорлар қойындысында енді пайдаланушы әрекетсіздігін имитациялауға болады (Idle Detection API пайдаланатын қолданбалар үшін).
  • Қолданбалар тақтасы әрбір iframe, ашық терезе және қалқымалы терезе туралы толық ақпаратты, соның ішінде COEP және COOP арқылы Cross-Origin оқшаулау туралы ақпаратты қамтамасыз етеді.

QUIC хаттамасын енгізу QUIC Google нұсқасының орнына IETF спецификациясында әзірленген нұсқамен ауыстырыла бастады.
Инновациялар мен қателерді түзетуден басқа, жаңа нұсқа 35 осалдықты жояды. Көптеген осалдықтар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer және AFL құралдары арқылы автоматтандырылған тестілеу нәтижесінде анықталды. Бір осалдық (CVE-2020-15967, Google Payments-пен әрекеттесу үшін кодтағы бос жадқа кіру) маңызды деп белгіленді, яғни. браузерді қорғаудың барлық деңгейлерін айналып өтуге және құм жәшігінен тыс жүйеде кодты орындауға мүмкіндік береді. Ағымдағы шығарылымның осалдықтарын анықтағаны үшін ақшалай сыйақы төлеу бағдарламасының бір бөлігі ретінде Google $27 құнына 71500 сыйлық (бір $15000 марапат, үш $7500 марапат, бес $5000 марапат, екі $3000 марапат, бір $200 сыйлық және $500) төледі. 13 сыйлықтың мөлшері әлі анықталған жоқ.

Алынған Opennet.ru

Ақпарат көзі: linux.org.ru

пікір қалдыру