ProHoster > Dienoraštis > interneto naujienos > "Chrome 86

"Chrome 86

Buvo išleistas kitas „Chrome 86“ leidimas ir stabilus „Chromium“ leidimas.

Pagrindiniai „Chrome 86“ pakeitimai:

  • apsauga nuo nesaugaus įvesties formų pateikimo puslapiuose, įkeltuose per HTTPS, bet siunčiant duomenis per HTTP.
  • Nesaugių vykdomųjų failų atsisiuntimų (http) blokavimas papildomas nesaugių archyvų (zip, iso ir kt.) atsisiuntimų blokavimu ir įspėjimų apie nesaugų dokumentų (docx, pdf ir kt.) atsisiuntimą rodymu. Kitame leidime tikimasi dokumentų blokavimo ir įspėjimų dėl vaizdų, teksto ir medijos failų. Blokavimas įgyvendinamas, nes atsisiunčiant failus be šifravimo galima atlikti kenkėjiškus veiksmus, pakeičiant turinį MITM atakų metu.
  • Numatytajame kontekstiniame meniu rodoma parinktis „Visada rodyti visą URL“, kuriai anksčiau reikėjo pakeisti nustatymus puslapyje about:flags. Visą URL taip pat galima peržiūrėti dukart spustelėjus adreso juostą. Priminsime, kad pradedant „Chrome 76“, pagal numatytuosius nustatymus adresas buvo pradėtas rodyti be protokolo ir www subdomeno. 79 versijos „Chrome“ buvo pašalintas nustatymas grąžinti seną elgseną, tačiau naudotojui nepasitenkinus, „Chrome 83“ buvo pridėta nauja eksperimentinė vėliavėlė, kuri prideda prie kontekstinio meniu parinkties, leidžiančią išjungti viso URL slėpimą ir rodymo visomis sąlygomis.
    Nedidelei vartotojų daliai buvo pradėtas eksperimentas, kad pagal numatytuosius nustatymus adreso juostoje būtų rodomas tik domenas, be kelio elementų ir užklausos parametrų. Pavyzdžiui, vietoj "https://example.com/secure-google-sign-in/" bus rodomas „example.com“. Tikimasi, kad siūlomas režimas bus pristatytas visiems vartotojams vienoje iš kitų leidimų. Norėdami išjungti šį veiksmą, galite naudoti parinktį „Visada rodyti visą URL“, o norėdami peržiūrėti visą URL, galite spustelėti adreso juostą. Pakeitimo motyvas – noras apsaugoti vartotojus nuo sukčiavimo, kuris manipuliuoja URL parametrais – užpuolikai pasinaudoja vartotojų nedėmesingumu, kad sukurtų įspūdį, kad jie atidaro kitą svetainę ir atlieka nesąžiningus veiksmus (jei tokie keitimai yra akivaizdūs techniškai kompetentingam vartotojui , tada nepatyrę žmonės lengvai papuola į tokią paprastą manipuliaciją).
  • Iniciatyva panaikinti FTP palaikymą buvo atnaujinta. 86 versijos „Chrome“ FTP pagal numatytuosius nustatymus yra išjungtas maždaug 1 proc. vartotojų, o „Chrome 87“ išjungimo apimtis bus padidinta iki 50 proc., tačiau palaikymas gali būti grąžintas naudojant „--enable-ftp“ arba „- -enable-features=FtpProtocol" vėliavėlė. 88 versijos „Chrome“ FTP palaikymas bus visiškai išjungtas.
  • „Android“ versijoje, panašioje į stalinių kompiuterių versiją, slaptažodžių tvarkyklė patikrina išsaugotus prisijungimo vardus ir slaptažodžius, palyginti su pažeistų paskyrų duomenų baze, rodydama įspėjimą, jei aptinkamos problemos arba bandoma naudoti nereikšmingus slaptažodžius. Patikrinama pagal duomenų bazę, apimančią daugiau nei 4 milijardus pažeistų paskyrų, kurios atsirado nutekintose vartotojų duomenų bazėse. Siekiant išlaikyti privatumą, maišos priešdėlis yra patikrinamas vartotojo pusėje, o patys slaptažodžiai ir jų visa maiša nėra perduodama išoriškai.
  • Mygtukas „Saugos patikra“ ir patobulintas apsaugos nuo pavojingų svetainių režimas (Patobulintas saugus naršymas) taip pat buvo perkelti į „Android“ versiją. Mygtukas „Saugos patikra“ rodo galimų saugos problemų, tokių kaip pažeistų slaptažodžių naudojimas, kenkėjiškų svetainių tikrinimo būsena (Saugus naršymas), pašalintų naujinimų buvimas ir kenkėjiškų priedų identifikavimas, suvestinę. Išplėstinės apsaugos režimas įjungia papildomas patikras, skirtas apsisaugoti nuo sukčiavimo, kenkėjiškos veiklos ir kitų grėsmių žiniatinklyje, taip pat apima papildomą „Google“ paskyros ir „Google“ paslaugų (Gmail, Drive ir kt.) apsaugą. Jei įprastu Saugaus naršymo režimu patikrinimai atliekami vietoje, naudojant periodiškai į kliento sistemą įkeliamą duomenų bazę, tai naudojant patobulintą saugų naršymą, informacija apie puslapius ir atsisiuntimus realiuoju laiku siunčiama patikrinti Google pusėje, o tai leidžia greitai reaguoti į grėsmės iš karto po jų nustatymo, nelaukiant, kol bus atnaujintas vietinis juodasis sąrašas.
  • Pridėtas indikatorių failo „.well-known/change-password“ palaikymas, su kuriuo svetainės savininkai gali nurodyti slaptažodžio keitimo žiniatinklio formos adresą. Jei vartotojo kredencialai pažeidžiami, „Chrome“ dabar nedelsdama paragins naudotoją pateikti slaptažodžio keitimo formą, atsižvelgdama į šiame faile esančią informaciją.
  • Įdiegtas naujas įspėjimas „Saugos patarimas“, rodomas atidarant svetaines, kurių domenas labai panašus į kitą svetainę, o euristika rodo, kad yra didelė klastojimo tikimybė (pavyzdžiui, vietoj google.com atidaromas goog0le.com).

    * Įdiegtas atgalinės talpyklos palaikymas, suteikiantis greitą naršymą naudojant mygtukus „Atgal“ ir „Pirmyn“ arba naršant anksčiau peržiūrėtus dabartinės svetainės puslapius. Talpykla įgalinama naudojant chrome://flags/#back-forward-cache nustatymą.

  • Centrinio procesoriaus išteklių suvartojimo optimizavimas nepatenkantiems langams. „Chrome“ patikrina, ar naršyklės langas yra persidengęs su kitais langais, ir neleidžia piešti pikselių persidengimo srityse. Šis optimizavimas buvo įgalintas nedidelei daliai vartotojų 84 ir 85 versijose ir dabar įgalintas visur. Palyginti su ankstesniais leidimais, taip pat buvo išspręstas nesuderinamumas su virtualizacijos sistemomis, dėl kurių atsirado tušti balti puslapiai.
  • Padidintas išteklių apkarpymas fono skirtukams. Tokie skirtukai nebegali sunaudoti daugiau nei 1% procesoriaus išteklių ir gali būti aktyvuojami ne dažniau kaip kartą per minutę. Po penkių minučių buvimo fone skirtukai sustoja, išskyrus skirtukus, kuriuose leidžiamas daugialypės terpės turinys arba įrašomas.
  • Darbas atnaujintas siekiant suvienodinti User-Agent HTTP antraštę. Naujoje versijoje visiems vartotojams suaktyvintas User-Agent Client Hints mechanizmo, sukurto kaip User-Agent pakaitalas, palaikymas. Naujasis mechanizmas numato pasirinktinai grąžinti duomenis apie konkrečias naršyklės ir sistemos parametrus (versiją, platformą ir kt.) tik gavus serverio užklausą ir suteikiant vartotojams galimybę pasirinktinai tokią informaciją teikti svetainės savininkams. Naudojant vartotojo agento kliento patarimus, identifikatorius pagal numatytuosius nustatymus neperduodamas be aiškaus prašymo, todėl pasyvus identifikavimas tampa neįmanomas (pagal numatytuosius nustatymus nurodomas tik naršyklės pavadinimas).
    Pakeistas nurodymas, kad yra naujinimas ir reikia iš naujo paleisti naršyklę norint jį įdiegti. Vietoj spalvotos rodyklės paskyros pseudoportreto lauke pasirodo „Atnaujinti“.
  • Buvo atliktas darbas, siekiant pakeisti naršyklę į įtraukiąją terminiją. Politikos pavadinimuose žodžiai „baltasis sąrašas“ ir „juodasis sąrašas“ buvo pakeisti „leistų sąrašu“ ir „blokavimo sąrašu“ (jau pridėtos strategijos veiks ir toliau, tačiau bus rodomas įspėjimas, kad jos nebenaudojamos). Kode ir failų pavadinimuose nuorodos į „juodąjį sąrašą“ buvo pakeistos į „blokavimo sąrašą“. 2019 m. pradžioje buvo pakeistos naudotojų matomos nuorodos į „juodąjį sąrašą“ ir „baltąjį sąrašą“.
    Pridėta eksperimentinė galimybė redaguoti išsaugotus slaptažodžius, suaktyvinta naudojant vėliavėlę „chrome://flags/#edit-passwords-in-settings“.
  • Native File System API buvo perkelta į stabilios ir viešai prieinamos API kategoriją, leidžiančią kurti žiniatinklio programas, kurios sąveikauja su failais vietinėje failų sistemoje. Pavyzdžiui, naujoji API gali būti paklausa naršyklėmis pagrįstose integruotose kūrimo aplinkose, teksto, vaizdų ir vaizdo įrašų rengyklėse. Kad būtų galima tiesiogiai rašyti ir skaityti failus arba naudoti dialogus failams atidaryti ir išsaugoti, taip pat naršyti katalogų turinį, programa prašo vartotojo specialaus patvirtinimo.
  • Pridėtas CSS parinkiklis „:focus-visible“, kuris naudoja tą pačią euristiką, kurią naudoja naršyklė, nuspręsdama, ar rodyti židinio keitimo indikatorių (perkeliant fokusą į mygtuką naudojant sparčiuosius klavišus, indikatorius pasirodo, bet spustelėjus pele , tai nėra). Anksčiau galimas CSS parinkiklis „:focus“ visada paryškina fokusavimą. Be to, prie nustatymų pridėta parinktis „Greitas fokusavimo paryškinimas“, kurią įjungus, šalia aktyvių elementų bus rodomas papildomas fokusavimo indikatorius, kuris išlieka matomas net jei stiliaus elementai vizualiniam fokusavimo paryškinimui puslapyje yra išjungti per CSS.
  • Prie „Origin Trials“ režimo buvo pridėtos kelios naujos API (eksperimentinės funkcijos, kurias reikia suaktyvinti atskirai). „Origin Trial“ reiškia galimybę dirbti su nurodyta API iš programų, atsisiųstų iš „localhost“ arba 127.0.0.1, arba užsiregistravus ir gavus specialų prieigos raktą, kuris galioja ribotą laiką konkrečioje svetainėje.
  • „WebHID API“, skirta žemo lygio prieigai prie HID įrenginių (žmogaus sąsajos įrenginių, klaviatūrų, pelių, žaidimų pultelių, jutiklinių planšečių), leidžianti įdiegti „JavaScript“ darbo su HID įrenginiu logiką, kad būtų galima organizuoti darbą su retais HID įrenginiais be konkrečių tvarkyklių sistemoje. Visų pirma, naujoji API skirta žaidimų pultelių palaikymui.
  • Ekrano informacijos API išplečia langų išdėstymo API, kad palaikytų kelių ekranų konfigūracijas. Kitaip nei window.screen, naujoji API leidžia manipuliuoti lango išdėstymu bendroje kelių monitorių sistemų ekrano erdvėje, neapsiribojant dabartiniu ekranu.
  • Meta žymų akumuliatoriaus taupymas, su kuriuo svetainė gali informuoti naršyklę apie būtinybę suaktyvinti režimus, siekiant sumažinti energijos suvartojimą ir optimizuoti procesoriaus apkrovą.
  • COOP ataskaitų teikimo API, skirta pranešti apie galimus kryžminės kilmės įterpimo politikos (COEP) ir kryžminės kilmės atidarytojų politikos (COOP) izoliavimo režimų pažeidimus, netaikant faktinių apribojimų.
  • Credential Management API siūlo naujo tipo kredencialus PaymentCredential, kuris suteikia papildomą patvirtinimą apie vykdomą mokėjimo operaciją. Pasikliaujanti šalis, pvz., bankas, turi galimybę sugeneruoti viešąjį raktą – „PublicKeyCredential“, kurio prekybininkas gali paprašyti papildomo saugaus mokėjimo patvirtinimo.
  • PointerEvents API, skirta nustatyti rašiklio pasvirimą*, buvo pridėta aukščio kampų (kampo tarp rašiklio ir ekrano) ir azimuto (kampo tarp X ašies ir rašiklio projekcijos ekrane) palaikymas. vietoj TiltX ir TiltY kampų (kampai tarp plokštumos nuo rašiklio ir vienos iš ašių bei plokštumos iš Y ir Z ašių). Taip pat pridėtos konvertavimo tarp aukščio / azimuto ir TiltX / TiltY funkcijos.
  • Pakeitė vietos URL kodavimą skaičiuojant jį protokolų tvarkytuvėse – metodas navigator.registerProtocolHandler() dabar pakeičia tarpus „%20“, o ne „+“, o tai suvienija elgesį su kitomis naršyklėmis, tokiomis kaip „Firefox“.
  • Prie CSS buvo pridėtas pseudoelementas „::marker“, leidžiantis tinkinti skaičių ir taškų skaičių, dydį, formą ir tipą blokuose. Ir .
  • Pridėtas dokumento politikos HTTP antraštės palaikymas, leidžiantis nustatyti prieigos prie dokumentų taisykles, panašias į „iframe“ smėlio dėžės atskyrimo mechanizmą, tačiau universalesnis. Pavyzdžiui, naudodami dokumentų politiką galite apriboti žemos kokybės vaizdų naudojimą, išjungti lėtas „JavaScript“ API, sukonfigūruoti „iframe“, vaizdų ir scenarijų įkėlimo taisykles, apriboti bendrą dokumento dydį ir srautą, uždrausti metodus, kurie veda prie puslapio perbraižymo ir išjungti funkciją Slinkimas į tekstą.
  • Į elementą pridėtas palaikymas „inline-grid“, „grid“, „inline-flex“ ir „flex“ parametrams, nustatytiems naudojant „display“ CSS nuosavybę.
  • Pridėtas ParentNode.replaceChildren() metodas, skirtas pakeisti visus pirminio mazgo antrinius elementus kitu DOM mazgu. Anksčiau galėjai naudoti node.removeChild() ir node.append() arba node.innerHTML ir node.append() derinį, kad pakeistumėte mazgus.
  • Išplėstas URL schemų, kurias galima nepaisyti naudojant registerProtocolHandler() diapazonas. Schemų sąraše yra decentralizuoti protokolai cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ir ssb, kurie leidžia apibrėžti nuorodas į elementus, neatsižvelgiant į svetainę ar šliuzą, suteikiantį prieigą prie šaltinio.
  • Asynchronous Clipboard API pridėtas teksto / html formato palaikymas, skirtas HTML kopijavimui ir įklijavimui per mainų sritį (pavojingos HTML konstrukcijos išvalomos rašant ir skaitant į mainų sritį). Pavyzdžiui, pakeitimas leidžia tvarkyti suformatuoto teksto su vaizdais ir nuorodomis įterpimą ir kopijavimą žiniatinklio rengyklėse.
  • WebRTC pridėjo galimybę prijungti savo duomenų tvarkytojus, vadinamus WebRTC MediaStreamTrack kodavimo arba dekodavimo etapais. Pavyzdžiui, ši galimybė gali būti naudojama norint pridėti duomenų, perduodamų per tarpinius serverius, šifravimą nuo galo iki galo.
    V8 JavaScript modulyje Number.prototype.toString diegimas paspartintas 75%. Pridėta .name nuosavybė asinchroninėms klasėms su tuščia reikšme. Metodas Atomics.wake buvo pašalintas, kuris vienu metu buvo pervadintas į Atomics.notify, kad atitiktų ECMA-262 specifikaciją. Atviras fuzzing testavimo įrankio JS-Fuzzer kodas.
  • Paskutiniame leidime išleistas „WebAssembly“ pagrindinio lygio kompiliatorius „Liftoff“ apima galimybę naudoti SIMD vektorines instrukcijas, kad būtų galima pagreitinti skaičiavimus. Sprendžiant iš testų, optimizavimas leido kai kuriuos testus paspartinti 2.8 karto. Kitas optimizavimas leido daug greičiau iškviesti importuotas JavaScript funkcijas iš WebAssembly.
  • Įrankiai žiniatinklio kūrėjams buvo išplėsti: Media skydelyje buvo pridėta informacija apie grotuvus, naudojamus leisti vaizdo įrašus puslapyje, įskaitant įvykių duomenis, žurnalus, ypatybių reikšmes ir kadrų dekodavimo parametrus (pavyzdžiui, galite nustatyti kadro priežastis praradimo ir sąveikos problemos iš JavaScript).
  • Skydelio Elements kontekstiniame meniu buvo pridėta galimybė kurti pasirinkto elemento ekrano kopijas (pavyzdžiui, galite sukurti turinio ar lentelės ekrano kopiją).
  • Žiniatinklio konsolėje įspėjimo apie problemą skydelis buvo pakeistas įprastu pranešimu, o trečiųjų šalių slapukų problemos pagal numatytuosius nustatymus yra paslėptos skirtuke Problemos ir įjungiamos specialiu žymimuoju laukeliu.
  • Skirtuke „Atvaizdavimas“ buvo pridėtas mygtukas „Išjungti vietinius šriftus“, leidžiantis imituoti vietinių šriftų nebuvimą, o skirtuke „Sensors“ dabar galite imituoti vartotojo neveiklumą (programoms, naudojančioms „Idle Detection“ API).
  • Programų skydelyje pateikiama išsami informacija apie kiekvieną iframe, atidarytą langą ir iššokantįjį langą, įskaitant informaciją apie kryžminės kilmės izoliavimą naudojant COEP ir COOP.

QUIC protokolo įgyvendinimas buvo pakeistas IETF specifikacijoje sukurta versija, o ne „Google“ QUIC versija.
Be naujovių ir klaidų pataisymų, naujoji versija pašalina 35 pažeidžiamumus. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Vienas pažeidžiamumas (CVE-2020-15967, prieiga prie atlaisvintos atminties kode, skirta sąveikai su Google Payments) pažymėta kaip kritinė, t.y. leidžia apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje už smėlio dėžės aplinkos. „Google“ išmokėjo 27 apdovanojimus, kurių vertė – 71500 15000 USD (vieną 7500 5000 USD, tris 3000 200 USD, penkis 500 13 USD, du XNUMX XNUMX USD, vieną XNUMX XNUMX USD apdovanojimą ir du apdovanojimus). XNUMX apdovanojimų dydis dar nenustatytas.

Paimta iš Opennet.ru

Šaltinis: linux.org.ru

Добавить комментарий