ProHoster > Blog > интернет жаңылыктары > Chrome 86

Chrome 86

Chrome 86нын кезектеги версиясы жана Chromium'дун туруктуу релизи жарыкка чыкты.

Chrome 86деги негизги өзгөрүүлөр:

  • HTTPS аркылуу жүктөлгөн, бирок HTTP аркылуу берилиштерди жөнөтүү барактарында киргизүү формаларын кооптуу тапшыруудан коргоо.
  • Аткарылуучу файлдардын кооптуу жүктөөлөрүн (http) бөгөттөө архивдердин кооптуу жүктөөлөрүн (zip, iso ж.б.) бөгөттөө жана документтерди (docx, pdf ж.б.) кооптуу жүктөө үчүн эскертүүлөрдү көрсөтүү менен толукталат. Кийинки чыгарылышта сүрөттөр, текст жана медиа файлдар үчүн документтерди бөгөттөө жана эскертүүлөр күтүлүүдө. Бөгөттөө ишке ашты, анткени файлдарды шифрлөөсүз жүктөө MITM чабуулдары учурунда мазмунду алмаштыруу аркылуу зыяндуу аракеттерди жасоо үчүн колдонулушу мүмкүн.
  • Демейки контексттик менюда "Ар дайым толук URL көрсөтүү" опциясы көрсөтүлөт, буга чейин күйгүзүү үчүн about:flags бетиндеги жөндөөлөрдү өзгөртүү керек болчу. Толук URL дарек тилкесин эки жолу чыкылдатуу менен да көрүүгө болот. Эске сала кетсек, Chrome 76дан баштап, демейки шартта дарек протоколсуз жана www субдоменисиз көрсөтүлө баштаган. Chrome 79да эски жүрүм-турумду кайтаруу жөндөөлөрү алынып салынды, бирок колдонуучунун нааразычылыгынан кийин Chrome 83'те жаңы эксперименталдык желек кошулду, ал бардык шарттарда толук URL'ди жашырууну жана көрсөтүүнү өчүрүү үчүн контексттик менюга опцияны кошот.
    Колдонуучулардын аз пайызы үчүн жол элементтери жана суроо параметрлери жок демейки боюнча дарек тилкесинде доменди гана көрсөтүү эксперименти башталды. Мисалы, ордуна "https://example.com/secure-google-sign-in/" "example.com" көрсөтүлөт. Сунушталган режим кийинки релиздердин биринде бардык колдонуучуларга жеткирилет. Бул жүрүм-турумду өчүрүү үчүн, "Ар дайым толук URL көрсөтүү" параметрин колдоно аласыз, жана бүт URL көрүү үчүн, сиз дарек тилкесин чыкылдатуу. Өзгөртүүнүн мотиви колдонуучуларды URL дарегинде параметрлерди башкарган фишингден коргоо каалоосу болуп саналат - чабуулчулар колдонуучулардын көңүл коштугунан пайдаланып, башка сайтты ачып, алдамчылык аракеттерди жасашат (эгерде мындай алмаштыруулар техникалык жактан компетенттүү колдонуучу үчүн ачык болсо, анда). , анда тажрыйбасыз адамдар мындай жөнөкөй манипуляцияга оңой эле түшөт).
  • FTP колдоосун алып салуу демилгеси жаңыланды. Chrome 86да FTP демейки боюнча колдонуучулардын 1%га жакыны үчүн өчүрүлгөн, ал эми Chrome 87де өчүрүүнүн көлөмү 50% чейин көбөйтүлөт, бирок колдоону "--enable-ftp" же "-" аркылуу кайра алып келүүгө болот. -enable-features=FtpProtocol" желеги. Chrome 88де FTP колдоосу толугу менен өчүрүлөт.
  • Android үчүн версияда, рабочий системалар үчүн версияга окшош, сырсөз менеджери сакталган логиндерди жана сырсөздөрдү бузулган аккаунттардын маалымат базасына текшерүүнү ишке ашырат, эгерде көйгөйлөр аныкталса же арзыбаган сырсөздөрдү колдонуу аракети жасалса, эскертүү көрсөтөт. Текшерүү колдонуучулардын маалымат базаларында пайда болгон 4 миллиарддан ашык бузулган аккаунттарды камтыган маалымат базасына каршы жүргүзүлөт. Купуялыкты сактоо үчүн хэш префикси колдонуучу тарабынан текшерилет, ал эми сырсөздөрдүн өзү жана алардын толук хэштери сырттан өткөрүлбөйт.
  • "Коопсуздукту текшерүү" баскычы жана кооптуу сайттарга каршы күчөтүлгөн коргоо режими (Жакшыланган коопсуз серептөө) да Android версиясына которулду. "Коопсуздукту текшерүү" баскычы бузулган сырсөздөрдүн колдонулушу, зыяндуу сайттарды текшерүү статусу (Коопсуз серептөө), орнотулган жаңыртуулардын бар экендиги жана зыяндуу кошумчаларды аныктоо сыяктуу мүмкүн болгон коопсуздук көйгөйлөрүнүн кыскача баяндамасын көрсөтөт. Өркүндөтүлгөн коргоо режими интернеттеги фишингден, зыяндуу аракеттерден жана башка коркунучтардан коргоо үчүн кошумча текшерүүлөрдү иштетет, ошондой эле Google каттоо эсебиңизди жана Google кызматтарын (Gmail, Drive ж.б.) кошумча коргоону камтыйт. Эгерде кадимки Safe Browsing режиминде текшерүүлөр кардардын тутумуна мезгил-мезгили менен жүктөлүп турган маалымат базасынын жардамы менен локалдык түрдө жүргүзүлсө, анда Өркүндөтүлгөн Коопсуз Серептөөдө реалдуу убакыт режиминде барактар ​​жана жүктөөлөр жөнүндө маалымат Google тарабынан текшерүүгө жөнөтүлөт, бул сизге ыкчам жооп берүүгө мүмкүндүк берет. коркунучтар аныкталгандан кийин дароо, жергиликтүү кара тизме жаңыртылганга чейин күтпөстөн.
  • ".well-known/change-password" индикатор файлына колдоо кошулду, анын жардамы менен сайттын ээлери паролду өзгөртүү үчүн веб форманын дарегин көрсөтө алышат. Колдонуучунун эсептик дайындары бузулуп калса, Chrome дароо колдонуучуга бул файлдагы маалыматтын негизинде сырсөздү өзгөртүү формасын сунуштайт.
  • Домени башка сайтка абдан окшош сайттарды ачууда көрсөтүлүүчү жаңы "Коопсуздук кеңеши" эскертүүсү ишке ашырылды жана эвристика бурмалоо ыктымалдыгы жогору экенин көрсөтүп турат (мисалы, google.com ордуна goog0le.com ачылган).

    * "Артка" жана "Алга" баскычтарын колдонууда же учурдагы сайттын мурда көрүлгөн барактарында навигациялоону камсыз кылуучу Артка алдыга кэшти колдоо ишке ашырылды. Кэш chrome://flags/#back-forward-cache жөндөөсү аркылуу иштетилген.

  • Колдонмодон тышкаркы терезелер үчүн CPU ресурстарын керектөө оптималдаштыруу. Chrome серепчи терезесинин башка терезелер менен капталганын текшерет жана бири-бирин кайталаган жерлерде пикселдерди тартууга жол бербейт. Бул оптималдаштыруу Chrome 84 жана 85 колдонуучуларынын аз пайызы үчүн иштетилген жана азыр бардык жерде иштетилген. Мурунку чыгарылыштарга салыштырмалуу, бош ак барактар ​​пайда болушуна себеп болгон виртуалдаштыруу системалары менен шайкеш келбегендик да чечилди.
  • Фондук өтмөктөр үчүн ресурсту кыскартуу көбөйдү. Мындай өтмөктөр мындан ары CPU ресурстарынын 1% дан ашыгын керектебейт жана мүнөтүнө бир жолудан ашык эмес активдештирүү мүмкүн. Фондо беш мүнөт болгондон кийин, мультимедия мазмунун ойнотуп же жаздыруу өтмөктөрүн кошпогондо, өтмөктөр тоңуп калат.
  • Колдонуучу-Агентин HTTP башын бириктирүү боюнча иштер улантылды. Жаңы версияда Колдонуучу-Агентин алмаштыруучу катары иштелип чыккан User-Agent Client Hints механизмин колдоо бардык колдонуучулар үчүн жандырылды. Жаңы механизм сервердин суроо-талабынан кийин гана белгилүү бир браузер жана системанын параметрлери (версия, платформа ж.б.) жөнүндө маалыматтарды тандап кайтарууну жана колдонуучуларга сайт ээлерине мындай маалыматты тандап берүү мүмкүнчүлүгүн берет. User-Agent Client Ins колдонууда идентификатор демейки боюнча ачык сурамсыз өткөрүлбөйт, бул пассивдүү идентификацияны мүмкүн эмес кылат (демейки боюнча, браузердин аты гана көрсөтүлөт).
    Жаңыртуунун бар экендигинин көрсөткүчү жана аны орнотуу үчүн браузерди кайра иштетүү зарылчылыгы өзгөртүлдү. Аккаунттун аватар талаасында түстүү жебенин ордуна "Жаңыртуу" азыр пайда болот.
  • Браузерди инклюзивдик терминологияга айландыруу боюнча иштер жүргүзүлдү. Саясаттын аталыштарында "ак тизме" жана "кара тизме" деген сөздөр "уруксат берилген тизме" жана "бөгөттөлгөн тизме" менен алмаштырылган (кошулган саясаттар иштей берет, бирок алар жокко чыгарылганы жөнүндө эскертүүнү көрсөтөт). Коддордо жана файл аталыштарында "кара тизмеге" шилтемелер "блок тизмеге" алмаштырылган. Колдонуучуга көрүнгөн "кара тизмеге" жана "ак тизмеге" шилтемелер 2019-жылдын башында алмаштырылган.
    "chrome://flags/#edit-passwords-in-settings" желекчеси аркылуу иштетилген, сакталган сырсөздөрдү түзөтүү үчүн эксперименталдык мүмкүнчүлүк кошулду.
  • Native File System API туруктуу жана жалпыга жеткиликтүү API категориясына которулуп, жергиликтүү файл тутумундагы файлдар менен өз ара аракеттенүүчү веб тиркемелерди түзүүгө мүмкүндүк берет. Мисалы, жаңы API браузерге негизделген интеграцияланган иштеп чыгуу чөйрөлөрүндө, текст, сүрөт жана видео редакторлордо суроо-талапка ээ болушу мүмкүн. Файлдарды түз жазуу жана окуу же файлдарды ачуу жана сактоо, ошондой эле каталогдордун мазмуну боюнча чабыттоо үчүн диалогдорду колдонуу мүмкүнчүлүгүнө ээ болуу үчүн, тиркеме колдонуучудан атайын ырастоону сурайт.
  • ":focus-visible" CSS селектору кошулду, ал браузер фокусту өзгөртүү индикаторун көрсөтүүнү чечүүдө колдонгон эвристиканы колдонот (клавиатуранын жарлыктарын пайдаланып фокусту баскычка жылдырганда индикатор пайда болот, бирок чычкан менен басканда , бул эмес). Мурда жеткиликтүү CSS селектору ":focus" дайыма фокусту баса белгилейт. Мындан тышкары, жөндөөлөргө "Тез фокус бөлүп көрсөтүү" опциясы кошулду, иштетилгенде, кошумча фокус индикатору активдүү элементтердин жанында көрсөтүлөт, ал CSS аркылуу бетте фокусту визуалдык бөлүп көрсөтүү үчүн стилдин элементтери өчүрүлгөн болсо да көрүнбөй калат. .
  • Origin Trials режимине бир нече жаңы API кошулду (өзүнчө активдештирүүнү талап кылган эксперименталдык функциялар). Origin Trial жергиликтүү хосттон же 127.0.0.1ден жүктөлүп алынган тиркемелерден же белгилүү бир сайт үчүн чектелген убакытка жарактуу атайын белгини каттап, алгандан кийин көрсөтүлгөн API менен иштөө мүмкүнчүлүгүн билдирет.
  • HID түзүлүштөрүнө (Адам интерфейсинин түзүлүштөрү, клавиатуралар, чычкандар, геймпаддар, сенсордук панелдер) төмөн деңгээлдеги кирүү үчүн WebHID API, бул сизге HID түзмөгү менен иштөө логикасын JavaScript'те ишке ашырууга мүмкүндүк берет, бул сейрек кездешүүчү HID түзмөктөрү менен ишти уюштурууга мүмкүндүк берет. системадагы атайын драйверлер. Биринчиден, жаңы API геймпаддарды колдоого багытталган.
  • Screen Information API, көп экрандуу конфигурацияларды колдоо үчүн Window Placement API кеңейтет. window.screen'тен айырмаланып, жаңы API учурдагы экран менен чектелбестен, көп мониторлуу системалардын жалпы экран мейкиндигинде терезенин жайгашуусун башкарууга мүмкүндүк берет.
  • Мета тег батареяны үнөмдөө, анын жардамы менен сайт браузерге энергияны керектөөнү азайтуу жана CPU жүгүн оптималдаштыруу үчүн режимдерди активдештирүү зарылчылыгы жөнүндө маалымат бере алат.
  • Иш жүзүндө чектөөлөрдү колдонбостон, Cross-Origin-Embedder-Policy (COEP) жана Cross-Origin-Opener-Policy (COOP) обочолонуу режимдеринин мүмкүн болуучу бузууларын кабарлоо үчүн COOP Reporting API.
  • Credential Management API эсептик дайындардын жаңы түрүн сунуштайт, PaymentCredential, ал аткарылып жаткан төлөм транзакциясынын кошумча тастыктоосун камсыз кылат. Банк сыяктуу ишенген тарап ачык ачкычты, PublicKeyCredential түзө алат, аны сатуучу кошумча коопсуз төлөмдү ырастоо үчүн сурай алат.
  • Стилустун кыйшаюусун аныктоо үчүн PointerEvents API* стилустун ордуна бийиктик бурчтарын (калем менен экрандын ортосундагы бурч) жана азимутту (X огу менен экрандагы стилустун проекциясынын ортосундагы бурч) колдойт. TiltX жана TiltY бурчтары (калемден келген тегиздик менен октордун бири менен Y жана Z огунан келген тегиздиктин ортосундагы бурчтар). Ошондой эле бийиктик/азимут жана TiltX/TiltY ортосундагы конверсия функциялары кошулду.
  • Протокол иштеткичтеринде аны эсептөөдө URL'дердеги мейкиндикти коддоо өзгөртүлдү - navigator.registerProtocolHandler() ыкмасы эми боштуктарды "+" ордуна "%20" менен алмаштырат, бул аракетти Firefox сыяктуу башка браузерлер менен бириктирет.
  • CSS'ке "::маркер" псевдо-элемент кошулду, ал сизге блоктордогу тизмелер үчүн сандар менен чекиттердин түсүн, өлчөмүн, формасын жана түрүн ыңгайлаштырууга мүмкүндүк берет Жана .
  • Document-Policy HTTP башына колдоо кошулду, ал документтерге кирүү эрежелерин коюуга мүмкүндүк берет, iframes үчүн кумдук обочолонуу механизмине окшош, бирок универсалдуу. Мисалы, Document-Policy аркылуу сиз сапаты төмөн сүрөттөрдү колдонууну чектей аласыз, жай JavaScript API'лерин өчүрө аласыз, iframes, сүрөттөр жана скрипттерди жүктөө эрежелерин конфигурациялай аласыз, документтин жалпы көлөмүн жана трафикти чектей аласыз, баракты кайра тартууга алып келген ыкмаларга тыюу сала аласыз жана Scroll-to-Text функциясын өчүрүү.
  • Элементке 'display' CSS касиети аркылуу коюлган 'inline-grid', 'grid', 'inline-flex' жана 'flex' параметрлери үчүн кошумча колдоо.
  • Ата-энелик түйүндүн бардык балдарын башка DOM түйүнү менен алмаштыруу үчүн ParentNode.replaceChildren() ыкмасы кошулду. Мурда түйүндөрдү алмаштыруу үчүн node.removeChild() жана node.append() же node.innerHTML жана node.append() комбинациясын колдонсоңуз болот.
  • registerProtocolHandler() аркылуу жокко чыгарыла турган URL схемаларынын диапазону кеңейтилди. Схемалардын тизмесине cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns жана ssb децентралдаштырылган протоколдор кирет, алар ресурска кирүүнү камсыз кылган сайтка же шлюзге карабастан элементтерге шилтемелерди аныктоого мүмкүндүк берет.
  • Алмашуу буфери аркылуу HTMLди көчүрүү жана чаптоо үчүн Асинхрондук алмашуу буферинин API'сине текст/html форматы үчүн колдоо кошулду (буферге жазуу жана окуу учурунда кооптуу HTML конструкциялары тазаланат). Өзгөртүү, мисалы, веб-редакторлордо сүрөттөр жана шилтемелер менен форматталган текстти киргизүүнү жана көчүрүүнү уюштурууга мүмкүндүк берет.
  • WebRTC WebRTC MediaStreamTrack коддоо же декоддоо баскычтарында чакырылган өзүнүн маалымат иштеткичтерин туташтыруу мүмкүнчүлүгүн кошту. Мисалы, бул мүмкүнчүлүк ортодогу серверлер аркылуу берилүүчү маалыматтардын аягына чейин шифрлөө үчүн колдоо кошуу үчүн колдонулушу мүмкүн.
    V8 JavaScript кыймылдаткычында Number.prototype.toString ишке ашыруу 75% га тездетилген. Бош мааниси бар асинхрондук класстарга .name касиети кошулду. Atomics.wake ыкмасы алынып салынды, ал бир убакта ECMA-262 спецификациясына ылайык Atomics.notify деп өзгөртүлгөн. JS-Fuzzer fuzzing тестирлөө куралынын коду ачык.
  • Акыркы чыгарылышта чыгарылган WebAssembly үчүн Liftoff базалык компилятору эсептөөлөрдү тездетүү үчүн SIMD вектордук нускамаларын колдонуу мүмкүнчүлүгүн камтыйт. Тесттерге караганда, оптималдаштыруу кээ бир тесттерди 2.8 эсеге тездетүүгө мүмкүндүк берди. Дагы бир оптималдаштыруу WebAssembly'ден импорттолгон JavaScript функцияларын чакырууну тезирээк кылды.
  • Веб-иштеп чыгуучулар үчүн куралдар кеңейтилди: Медиа панели беттеги видеону ойнотуу үчүн колдонулган оюнчулар жөнүндө маалыматты, анын ичинде окуянын маалыматтарын, журналдарды, касиеттин баалуулуктарын жана кадрдын декоддоо параметрлерин кошту (мисалы, кадрдын себептерин аныктай аласыз) жоготуу жана JavaScript'тен өз ара аракеттенүү көйгөйлөрү).
  • Элементтер панелинин контексттик менюсунда тандалган элементтин скриншотторун түзүү мүмкүнчүлүгү кошулган (мисалы, сиз мазмундун же таблицанын скриншотун түзө аласыз).
  • Веб консолунда көйгөй тууралуу эскертүү панели кадимки билдирүү менен алмаштырылган жана үчүнчү тараптын Cookie файлдары менен көйгөйлөр демейки боюнча Маселелер кошумча барагында жашырылган жана атайын белги кутучасы менен иштетилген.
  • "Рендеринг" өтмөгүндө "Жергиликтүү шрифттерди өчүрүү" баскычы кошулду, ал жергиликтүү шрифттердин жоктугун имитациялоого мүмкүндүк берет, ал эми Сенсорлор өтмөгүндө сиз азыр колдонуучунун аракетсиздигин имитациялай аласыз (Idle Detection API колдонгон тиркемелер үчүн).
  • Колдонмо панели ар бир iframe, ачык терезе жана калкыма терезелер жөнүндө толук маалыматты, анын ичинде COEP жана COOP аркылуу Cross-Origin изоляциясы жөнүндө маалыматты берет.

QUIC протоколунун ишке ашырылышы QUICтин Google версиясынын ордуна IETF спецификациясында иштелип чыккан версияга алмаштырыла баштады.
Жаңылыктардан жана мүчүлүштүктөрдү оңдоодон тышкары, жаңы версия 35 кемчиликти жок кылат. Көптөгөн алсыздыктар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer жана AFL куралдарын колдонуу менен автоматташтырылган тестирлөөнүн натыйжасында аныкталган. Бир кемчилик (CVE-2020-15967, Google Payments менен өз ара аракеттенүү үчүн коддогу бошогон эстутумга жетүү) критикалык деп белгиленген, б.а. браузерден коргоонун бардык деңгээлин айланып өтүүгө жана кумкоргон чөйрөсүнөн тышкары системадагы кодду аткарууга мүмкүндүк берет. Учурдагы релиздин кемчиликтерин тапкандыгы үчүн акчалай сыйлыктарды төлөө программасынын алкагында Google 27 71500 долларлык 15000 сыйлык (бир $ 7500 5000 сыйлык, үч $ 3000 200 сыйлык, беш $ 500 13 сыйлык, эки $ XNUMX XNUMX сыйлык, бир $ XNUMX сыйлык жана $ XNUMX) төлөгөн. XNUMX сыйлыктын өлчөмү азырынча аныктала элек.

алынган Opennet.ru

Source: linux.org.ru

Комментарий кошуу