ProHoster > Blogs > interneta ziņas > Chrome 86

Chrome 86

Ir izlaists nākamais Chrome 86 laidiens un stabilais Chromium laidiens.

Galvenās izmaiņas pārlÅ«kā Chrome 86:

  • aizsardzÄ«ba pret nedroÅ”u ievades veidlapu iesniegÅ”anu lapās, kas ielādētas, izmantojot HTTPS, bet datus sÅ«ta, izmantojot HTTP.
  • Izpildāmo failu nedroÅ”as lejupielādes (http) bloÄ·Ä“Å”ana tiek papildināta ar nedroÅ”u arhÄ«vu (zip, iso utt.) lejupielāžu bloÄ·Ä“Å”anu un brÄ«dinājumu rādÄ«Å”anu par nedroÅ”u dokumentu (docx, pdf utt.) lejupielādi. Nākamajā laidienā ir gaidāma dokumentu bloÄ·Ä“Å”ana un brÄ«dinājumi par attēliem, tekstu un multivides failiem. BloÄ·Ä“Å”ana ir ieviesta, jo failu lejupielāde bez Å”ifrÄ“Å”anas var tikt izmantota ļaunprātÄ«gu darbÄ«bu veikÅ”anai, aizstājot saturu MITM uzbrukumu laikā.
  • Noklusējuma konteksta izvēlnē tiek parādÄ«ta opcija ā€œVienmēr rādÄ«t pilnu URLā€, kuras izmantoÅ”anai iepriekÅ” bija jāmaina iestatÄ«jumi lapā about:flags, lai to iespējotu. Pilnu URL var arÄ« apskatÄ«t, veicot dubultklikŔķi uz adreses joslas. Atgādināsim, ka, sākot ar Chrome 76, pēc noklusējuma adrese tika rādÄ«ta bez protokola un www apakÅ”domēna. PārlÅ«kā Chrome 79 tika noņemts iestatÄ«jums atjaunot veco darbÄ«bu, taču pēc lietotāja neapmierinātÄ«bas pārlÅ«kā Chrome 83 tika pievienots jauns eksperimentāls karogs, kas konteksta izvēlnei pievieno opciju, lai visos apstākļos atspējotu slēpÅ”anu un pilna URL rādÄ«Å”anu.
    Nelielai lietotāju daļai ir uzsākts eksperiments, lai pēc noklusējuma adreses joslā tiktu rādÄ«ts tikai domēns, bez ceļa elementiem un vaicājuma parametriem. Piemēram, nevis "https://example.com/secure-google-sign-in/" Tiks parādÄ«ts "example.com". Paredzams, ka piedāvātais režīms bÅ«s pieejams visiem lietotājiem vienā no nākamajiem laidieniem. Lai atspējotu Å”o darbÄ«bu, varat izmantot opciju ā€œVienmēr rādÄ«t pilnu URLā€ un, lai skatÄ«tu visu URL, noklikŔķiniet uz adreses joslas. Izmaiņu motÄ«vs ir vēlme aizsargāt lietotājus no pikŔķerÄ“Å”anas, kas manipulē ar parametriem URL ā€” uzbrucēji izmanto lietotāju neuzmanÄ«bu, lai radÄ«tu iespaidu par citas vietnes atvērÅ”anu un krāpniecisku darbÄ«bu veikÅ”anu (ja Ŕādas aizstāŔanas ir acÄ«mredzamas tehniski kompetentam lietotājam , tad nepieredzējuÅ”i cilvēki viegli iekrÄ«t tik vienkārŔā manipulācijā).
  • IniciatÄ«va atcelt FTP atbalstu ir atjaunota. PārlÅ«kā Chrome 86 FTP pēc noklusējuma ir atspējots aptuveni 1% lietotāju, un pārlÅ«kā Chrome 87 atspējoÅ”anas apjoms tiks palielināts lÄ«dz 50%, taču atbalstu var atjaunot, izmantojot "--enable-ftp" vai "- -enable-features=FtpProtocol" karodziņŔ. PārlÅ«kā Chrome 88 FTP atbalsts tiks pilnÄ«bā atspējots.
  • Android versijā, lÄ«dzÄ«gi kā galddatoru sistēmu versijā, paroļu pārvaldnieks ievieÅ” saglabāto pieteikumvārdu un paroļu pārbaudi pret uzlauztu kontu datu bāzi, parādot brÄ«dinājumu, ja tiek atklātas problēmas vai tiek mēģināts izmantot triviālas paroles. Pārbaude tiek veikta, izmantojot datubāzi, kas aptver vairāk nekā 4 miljardus apdraudētu kontu, kas parādÄ«jās lietotāju datubāzēs, kurās ir noplÅ«de. Lai saglabātu privātumu, jaucējprefikss tiek pārbaudÄ«ts lietotāja pusē, un paÅ”as paroles un to pilnās jaucējzÄ«mes netiek pārsÅ«tÄ«tas ārēji.
  • Poga ā€œDroŔības pārbaudeā€ un uzlabotais aizsardzÄ«bas režīms pret bÄ«stamām vietnēm (uzlabotā droŔā pārlÅ«koÅ”ana) arÄ« ir pārnesti uz Android versiju. Poga "DroŔības pārbaude" parāda iespējamo droŔības problēmu kopsavilkumu, piemēram, uzlauztu paroļu izmantoÅ”anu, ļaunprātÄ«gu vietņu pārbaudes statusu (DroÅ”a pārlÅ«koÅ”ana), atinstalētu atjauninājumu esamÄ«bu un ļaunprātÄ«gu pievienojumprogrammu identificÄ“Å”anu. Papildu aizsardzÄ«bas režīms aktivizē papildu pārbaudes, lai aizsargātu pret pikŔķerÄ“Å”anu, ļaunprātÄ«gām darbÄ«bām un citiem draudiem tÄ«meklÄ«, kā arÄ« ietver papildu aizsardzÄ«bu jÅ«su Google kontam un Google pakalpojumiem (Gmail, Disks utt.). Ja parastajā DroŔās pārlÅ«koÅ”anas režīmā pārbaudes tiek veiktas lokāli, izmantojot klienta sistēmā periodiski ielādētu datu bāzi, tad uzlabotajā droŔā pārlÅ«koÅ”anā informācija par lapām un lejupielādēm reāllaikā tiek nosÅ«tÄ«ta pārbaudei Google pusē, kas ļauj ātri reaģēt uz draudus tÅ«lÄ«t pēc to identificÄ“Å”anas, negaidot, lÄ«dz tiek atjaunināts vietējais melnais saraksts.
  • Pievienots indikatora faila ".well-known/change-password" atbalsts, ar kuru vietņu Ä«paÅ”nieki var norādÄ«t tÄ«mekļa veidlapas adresi paroles maiņai. Ja lietotāja akreditācijas dati ir apdraudēti, pārlÅ«ks Chrome nekavējoties liks lietotājam aizpildÄ«t paroles maiņas veidlapu, pamatojoties uz Å”ajā failā esoÅ”o informāciju.
  • Ir ieviests jauns brÄ«dinājums ā€œDroŔības padomsā€, kas tiek parādÄ«ts, atverot vietnes, kuru domēns ir ļoti lÄ«dzÄ«gs citai vietnei, un heiristika rāda, ka pastāv liela viltoÅ”anas iespējamÄ«ba (piemēram, google.com vietā tiek atvērts goog0le.com).

    * Ir ieviests atbalsts atpakaļ uz priekÅ”u keÅ”atmiņai, nodroÅ”inot tÅ«lÄ«tēju navigāciju, izmantojot pogas ā€œAtpakaļā€ un ā€œUz priekÅ”uā€, vai pārvietojoties pa paÅ”reizējās vietnes iepriekÅ” skatÄ«tajām lapām. KeÅ”atmiņa ir iespējota, izmantojot iestatÄ«jumu chrome://flags/#back-forward-cache.

  • CPU resursu patēriņa optimizÄ“Å”ana ārpus darbÄ«bas jomas logiem. Chrome pārbauda, ā€‹ā€‹vai pārlÅ«kprogrammas logs pārklājas ar citiem logiem, un neļauj zÄ«mēt pikseļus pārklāŔanās zonās. Å Ä« optimizācija tika iespējota nelielai daļai lietotāju pārlÅ«kprogrammā Chrome 84 un 85, un tagad tā ir iespējota visur. SalÄ«dzinot ar iepriekŔējiem laidieniem, ir novērsta arÄ« nesaderÄ«ba ar virtualizācijas sistēmām, kas izraisÄ«ja tukÅ”u baltu lapu parādÄ«Å”anos.
  • Palielināta resursu apgrieÅ”ana fona cilnēm. Šādas cilnes vairs nevar patērēt vairāk par 1% no CPU resursiem, un tās var aktivizēt ne biežāk kā reizi minÅ«tē. Pēc piecām minÅ«tēm fonā cilnes tiek iesaldētas, izņemot cilnes, kas atskaņo multivides saturu vai ieraksta.
  • Darbs pie User-Agent HTTP galvenes apvienoÅ”anas ir atsākts. Jaunajā versijā visiem lietotājiem ir aktivizēts atbalsts User-Agent Client Hints mehānismam, kas izstrādāts kā User-Agent aizstājējs. Jaunais mehānisms paredz selektÄ«vu datu atgrieÅ”anu par konkrētiem pārlÅ«kprogrammas un sistēmas parametriem (versiju, platformu utt.) tikai pēc servera pieprasÄ«juma un lietotājiem iespēju selektÄ«vi sniegt Ŕādu informāciju vietņu Ä«paÅ”niekiem. Izmantojot User-Agent Client Hints, identifikators pēc noklusējuma netiek pārsÅ«tÄ«ts bez skaidra pieprasÄ«juma, kas padara pasÄ«vo identifikāciju neiespējamu (pēc noklusējuma tiek norādÄ«ts tikai pārlÅ«kprogrammas nosaukums).
    Ir mainÄ«ta norāde par atjauninājuma esamÄ«bu un nepiecieÅ”amÄ«bu restartēt pārlÅ«kprogrammu, lai to instalētu. Krāsas bultiņas vietā konta iemiesojuma laukā tagad tiek rādÄ«ts ā€œAtjauninātā€.
  • Ir veikts darbs, lai pārlÅ«kprogrammu pārveidotu par iekļaujoÅ”u terminoloÄ£iju. Politiku nosaukumos vārdi ā€œbaltais sarakstsā€ un ā€œmelnais sarakstsā€ ir aizstāti ar ā€œatļaujamo sarakstuā€ un ā€œbloÄ·Ä“Å”anas sarakstuā€ (jau pievienotās politikas turpinās darboties, taču tajās tiks parādÄ«ts brÄ«dinājums par novecoÅ”anu). Kodu un failu nosaukumos atsauces uz "melno sarakstu" ir aizstātas ar "bloķēto sarakstu". Lietotājiem redzamās atsauces uz ā€œmelno sarakstuā€ un ā€œbalto sarakstuā€ tika aizstātas 2019. gada sākumā.
    Pievienota eksperimentāla iespēja rediģēt saglabātās paroles, kas aktivizēta, izmantojot karogu ā€œchrome://flags/#edit-passwords-in-settingsā€.
  • Vietējā failu sistēmas API ir pārcelta uz stabilu un publiski pieejamu API kategoriju, ļaujot izveidot tÄ«mekļa lietojumprogrammas, kas mijiedarbojas ar failiem vietējā failu sistēmā. Piemēram, jaunā API var bÅ«t pieprasÄ«ta pārlÅ«kprogrammu integrētās izstrādes vidēs, teksta, attēlu un video redaktoros. Lai varētu tieÅ”i rakstÄ«t un lasÄ«t failus vai izmantot dialogus failu atvērÅ”anai un saglabāŔanai, kā arÄ« pārvietoties pa direktoriju saturu, lietojumprogramma pieprasa lietotājam Ä«paÅ”u apstiprinājumu.
  • Pievienots CSS atlasÄ«tājs ":focus-visible", kas izmanto to paÅ”u heiristiku, ko pārlÅ«kprogramma izmanto, izlemjot, vai rādÄ«t fokusa maiņas indikatoru (pārvietojot fokusu uz pogu, izmantojot Ä«sinājumtaustiņus, indikators parādās, bet noklikŔķinot ar peli , tā nav). IepriekÅ” pieejamais CSS atlasÄ«tājs ":focus" vienmēr izceļ fokusu. Turklāt iestatÄ«jumiem ir pievienota opcija ā€œÄ€trā fokusa izcelÅ”anaā€, kad tā ir iespējota, blakus aktÄ«vajiem elementiem tiks parādÄ«ts papildu fokusa indikators, kas paliek redzams pat tad, ja lapā ir atspējoti stila elementi fokusa vizuālai izcelÅ”anai, izmantojot CSS.
  • Origin Trials režīmam ir pievienotas vairākas jaunas API (eksperimentālas funkcijas, kurām nepiecieÅ”ama atseviŔķa aktivizÄ“Å”ana). Sākotnējā izmēģinājuma versija nozÄ«mē iespēju strādāt ar norādÄ«to API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reÄ£istrÄ“Å”anās un Ä«paÅ”a marÄ·iera saņemÅ”anas, kas ir derÄ«gs noteiktai vietnei ierobežotu laiku.
  • WebHID API zema lÄ«meņa piekļuvei HID ierÄ«cēm (cilvēka interfeisa ierÄ«cēm, tastatÅ«rām, pelēm, spēļu paneļiem, skārienpaliktņiem), kas ļauj ieviest loÄ£iku darbam ar HID ierÄ«ci JavaScript, lai organizētu darbu ar retām HID ierÄ«cēm bez konkrēti draiveri sistēmā. Pirmkārt, jaunā API mērÄ·is ir nodroÅ”ināt atbalstu spēļu paneļiem.
  • Screen Information API, paplaÅ”ina logu izvietojuma API, lai atbalstÄ«tu vairāku ekrānu konfigurācijas. AtŔķirÄ«bā no window.screen, jaunā API ļauj manipulēt ar loga izvietojumu vairāku monitoru sistēmu kopējā ekrāna telpā, neaprobežojoties tikai ar paÅ”reizējo ekrānu.
  • Metataga akumulatora taupÄ«Å”ana, ar kuru vietne var informēt pārlÅ«kprogrammu par nepiecieÅ”amÄ«bu aktivizēt režīmus, lai samazinātu enerÄ£ijas patēriņu un optimizētu CPU slodzi.
  • COOP Reporting API, lai ziņotu par iespējamiem Cross-Origin-Embedder-Policy (COEP) un Cross Origin-Opener-Policy (COOP) izolācijas režīmu pārkāpumiem, nepiemērojot faktiskus ierobežojumus.
  • Credential Management API piedāvā jauna veida akreditācijas datus PaymentCredential, kas nodroÅ”ina papildu apstiprinājumu par veikto maksājuma darÄ«jumu. Atļautā puse, piemēram, banka, var Ä£enerēt publisko atslēgu PublicKeyCredential, ko tirgotājs var pieprasÄ«t papildu droÅ”a maksājuma apstiprināŔanai.
  • PointerEvents API irbuļa slÄ«puma noteikÅ”anai* ir pievienojis atbalstu pacēluma leņķiem (leņķim starp irbuli un ekrānu) un azimutam (leņķim starp X asi un irbuļa projekciju uz ekrāna), nevis TiltX un TiltY leņķi (leņķi starp plakni no irbuli un vienu no asÄ«m un plakni no Y un Z asÄ«m). Pievienotas arÄ« pārveidoÅ”anas funkcijas starp augstumu/azimutu un TiltX/TiltY.
  • MainÄ«ts atstarpes kodējums vietrāžos URL, aprēķinot to protokolu apdarinātājos ā€“ metode navigator.registerProtocolHandler() tagad atstarpes aizstāj ar "%20", nevis "+", kas apvieno darbÄ«bu ar citām pārlÅ«kprogrammām, piemēram, Firefox.
  • CSS ir pievienots pseidoelements "::marÄ·ieris", kas ļauj pielāgot skaitļu un punktu krāsu, izmēru, formu un veidu ierakstiem blokos. Un .
  • Pievienots atbalsts HTTP galvenei Document-Policy, kas ļauj iestatÄ«t noteikumus piekļuvei dokumentiem, lÄ«dzÄ«gi kā iframe smilÅ”kastes izolācijas mehānismam, bet universālāk. Piemēram, izmantojot dokumentu politiku, varat ierobežot zemas kvalitātes attēlu izmantoÅ”anu, atspējot lēnas JavaScript API, konfigurēt iframe, attēlu un skriptu ielādes noteikumus, ierobežot kopējo dokumenta izmēru un trafiku, aizliegt metodes, kas noved pie lapas pārzÄ«mÄ“Å”anas un atspējojiet ritināŔanas lÄ«dz tekstam funkciju.
  • Uz elementu pievienots atbalsts "inline-grid", "grid", "inline-flex" un "flex" parametriem, kas iestatÄ«ti, izmantojot CSS rekvizÄ«tu "display".
  • Pievienota metode ParentNode.replaceChildren(), lai aizstātu visus vecākmezgla atvasinājumus ar citu DOM mezglu. IepriekÅ” mezglu aizstāŔanai varējāt izmantot node.removeChild() un node.append() vai node.innerHTML un node.append() kombināciju.
  • Ir paplaÅ”ināts URL shēmu klāsts, ko var ignorēt, izmantojot registerProtocolHandler(). Shēmu sarakstā ir iekļauti decentralizētie protokoli cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns un ssb, kas ļauj definēt saites uz elementiem neatkarÄ«gi no vietnes vai vārtejas, kas nodroÅ”ina piekļuvi resursam.
  • Asinhronās starpliktuves API ir pievienots teksta/html formāta atbalsts, lai kopētu un ielÄ«mētu HTML, izmantojot starpliktuvi (rakstot un lasot starpliktuvē, tiek iztÄ«rÄ«tas bÄ«stamās HTML konstrukcijas). Izmaiņas, piemēram, ļauj organizēt formatēta teksta ievietoÅ”anu un kopÄ“Å”anu ar attēliem un saitēm tÄ«mekļa redaktoros.
  • WebRTC ir pievienojis iespēju savienot savus datu apstrādātājus, kas tiek izsaukti WebRTC MediaStreamTrack kodÄ“Å”anas vai dekodÄ“Å”anas posmos. Piemēram, Å”o iespēju var izmantot, lai pievienotu atbalstu datu pilnÄ«gai Å”ifrÄ“Å”anai, kas tiek pārsÅ«tÄ«ti caur starpserveriem.
    V8 JavaScript dzinējā Number.prototype.toString ievieÅ”ana ir paātrināta par 75%. Pievienots rekvizÄ«ts .name asinhronām klasēm ar tukÅ”u vērtÄ«bu. Metode Atomics.wake ir noņemta, kas savulaik tika pārdēvēta par Atomics.notify, lai nodroÅ”inātu atbilstÄ«bu ECMA-262 specifikācijai. IzplÅ«des testÄ“Å”anas rÄ«ka JS-Fuzzer kods ir atvērts.
  • Liftoff bāzes kompilators WebAssembly, kas tika izlaists pēdējā laidienā, ietver iespēju izmantot SIMD vektora instrukcijas, lai paātrinātu aprēķinus. Spriežot pēc testiem, optimizācija ļāva dažus testus paātrināt 2.8 reizes. Vēl viena optimizācija ļāva daudz ātrāk izsaukt importētās JavaScript funkcijas no WebAssembly.
  • TÄ«mekļa izstrādātājiem paredzētie rÄ«ki ir paplaÅ”ināti: multivides panelÄ« ir pievienota informācija par atskaņotājiem, kas tiek izmantoti, lai lapā atskaņotu video, tostarp notikumu dati, žurnāli, rekvizÄ«tu vērtÄ«bas un kadru dekodÄ“Å”anas parametri (piemēram, varat noteikt kadra cēloņus zudums un mijiedarbÄ«bas problēmas no JavaScript).
  • Paneļa Elementi konteksta izvēlnē ir pievienota iespēja izveidot atlasÄ«tā elementa ekrānuzņēmumus (piemēram, varat izveidot satura rādÄ«tāja vai tabulas ekrānuzņēmumu).
  • TÄ«mekļa konsolē problēmu brÄ«dinājuma panelis ir aizstāts ar parastu ziņojumu, un problēmas ar treÅ”o puÅ”u sÄ«kfailiem pēc noklusējuma tiek paslēptas cilnē Problēmas un ir iespējotas ar Ä«paÅ”u izvēles rÅ«tiņu.
  • Cilnē Rendering ir pievienota poga ā€œAtspējot vietējos fontusā€, kas ļauj simulēt vietējo fontu neesamÄ«bu, savukārt cilnē Sensors tagad varat simulēt lietotāja neaktivitāti (lietojumprogrammām, kas izmanto dÄ«kstāves noteikÅ”anas API).
  • Lietojumprogrammu panelis sniedz detalizētu informāciju par katru iframe, atvērto logu un uznirstoÅ”o logu, tostarp informāciju par Cross-Origin izolāciju, izmantojot COEP un COOP.

QUIC protokola ievieŔana ir sākta aizstāt ar IETF specifikācijā izstrādāto versiju, nevis QUIC Google versiju.
Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērÅ” 35 ievainojamÄ«bas. Daudzas ievainojamÄ«bas tika identificētas automatizētas testÄ“Å”anas rezultātā, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rÄ«kus. Viena ievainojamÄ«ba (CVE-2020-15967, piekļuve kodā atbrÄ«votajai atmiņai, lai mijiedarbotos ar Google Payments) ir atzÄ«mēta kā kritiska, t.i. ļauj apiet visus pārlÅ«kprogrammas aizsardzÄ«bas lÄ«meņus un izpildÄ«t kodu sistēmā ārpus smilÅ”kastes vides. Kā daļu no programmas, lai izmaksātu naudas atlÄ«dzÄ«bu par paÅ”reizējā laidiena ievainojamÄ«bu atklāŔanu, Google samaksāja 27 balvas 71500 15000 USD vērtÄ«bā (vienu 7500 5000 USD, trÄ«s 3000 USD, piecas 200 USD, divas 500 USD, vienu 13 USD XNUMX un divas balvas). XNUMX balvu lielums vēl nav noteikts.

Uzņemts no plkst Opennet.ru

Avots: linux.org.ru

Pievieno komentāru