Chrome 86. izlaidums

Google uzrādīts tīmekļa pārlūkprogrammas izlaidums Chrome 86... Vienlaicīgi pieejams bezmaksas projekta stabila izlaišana Hroms, kas ir pārlūka Chrome pamatā. Chrome pārlūks atšķirīgs Google logotipu izmantošana, sistēmas klātbūtne paziņojumu nosūtīšanai avārijas gadījumā, iespēja lejupielādēt Flash moduli pēc pieprasījuma, moduļi aizsargāta video satura atskaņošanai (DRM), sistēma automātiskai atjauninājumu instalēšanai un pārraidei meklēšanas laikā RLZ parametri. Nākamais Chrome 87 laidiens ir paredzēts 17. novembrī.

Galvenais izmaiņas в hroms 86:

• Pievienota aizsardzība pret nedrošu ievades veidlapu iesniegšanu lapās, kas ielādētas, izmantojot HTTPS, bet sūta datus, izmantojot HTTP, kas rada datu pārtveršanas un viltošanas draudus MITM uzbrukumu laikā. Aizsardzība ir saistīta ar trim izmaiņām:
  • Jebkuru jauktu ievades veidlapu automātiskā aizpildīšana ir atspējota, līdzīgi kā jau ilgu laiku ir atspējota autentifikācijas veidlapu automātiskā aizpildīšana lapās, kas atvērtas, izmantojot HTTP. Ja iepriekš atspējošanas zīme bija lapas atvēršana ar veidlapu, izmantojot HTTPS vai HTTP, tagad tiek ņemta vērā arī šifrēšanas izmantošana, nosūtot datus veidlapu apstrādātājam. Jauktu autentifikācijas veidu paroļu pārvaldnieks nav atspējots, jo nedrošas paroles izmantošanas un paroļu atkārtotas izmantošanas risks dažādās vietnēs pārsniedz iespējamās trafika pārtveršanas risku.
  • Uzsākot ievadi jauktās formās, tiek parādīts brīdinājums, informējot lietotāju, ka pabeigtie dati tiek nosūtīti pa nešifrētu sakaru kanālu.
  • Mēģinot iesniegt jauktu veidlapu, tiek parādīta atsevišķa lapa, kas informē par iespējamo datu pārsūtīšanas risku, izmantojot nešifrētu sakaru kanālu. Iepriekšējās versijās piekaramās slēdzenes indikators adreses joslā tika izmantots, lai norādītu jauktas formas, taču šis marķējums lietotājiem nebija acīmredzams un efektīvi neatspoguļoja ar to saistītos riskus.
    

• Bloķēšana nedroša sāknēšana (bez šifrēšanas) izpildāmie faili tiek papildināti, bloķējot nedrošu arhīvu ielādi (zip, iso utt.) un parādot brīdinājumus par nedrošu ielādi.
  dokumenti (docx, pdf utt.). Nākamajā laidienā ir gaidāma dokumentu bloķēšana un brīdinājumi par attēliem, tekstu un multivides failiem. Bloķēšana ir ieviesta, jo failu lejupielāde bez šifrēšanas var tikt izmantota ļaunprātīgu darbību veikšanai, aizstājot saturu MITM uzbrukumu laikā.

• Noklusējuma konteksta izvēlnē tiek parādīta opcija “Vienmēr rādīt pilnu URL”, kuras izmantošanai iepriekš bija jāmaina iestatījumi lapā about:flags, lai to iespējotu. Pilnu URL var arī apskatīt, veicot dubultklikšķi uz adreses joslas. Atcerēsimies, ka sākot no Chrome 76 Pēc noklusējuma adrese tika rādīta bez protokola un www apakšdomēna. IN Chrome 79 iestatījums atjaunot veco darbību tika noņemts, bet pēc lietotāja neapmierinātības ar Chrome 83 Ir pievienots jauns eksperimentāls karodziņš, kas konteksta izvēlnei pievieno opciju, lai jebkuros apstākļos atspējotu visa URL slēpšanu un rādīšanu.
• Palaista nelielai daļai lietotāju eksperiments par displejs Pēc noklusējuma adreses joslā ir tikai domēns, bez ceļa elementiem un vaicājuma parametriem. Piemēram, “https://example.com/secure-google-sign-in/” vietā tiks rādīts “example.com”. Paredzams, ka piedāvātais režīms būs pieejams visiem lietotājiem vienā no nākamajiem laidieniem. Lai atspējotu šo darbību, varat izmantot opciju “Vienmēr rādīt pilnu URL” un, lai skatītu visu URL, noklikšķiniet uz adreses joslas. Izmaiņu motīvs ir vēlme aizsargāt lietotājus no pikšķerēšanas, kas manipulē ar parametriem URL — uzbrucēji izmanto lietotāju neuzmanību, lai radītu iespaidu par citas vietnes atvēršanu un krāpniecisku darbību veikšanu (ja šādas aizstāšanas ir acīmredzamas tehniski kompetentam lietotājam , tad nepieredzējuši cilvēki viegli iekrīt tik vienkāršā manipulācijā).
• Atsākta iniciatīva lai noņemtu FTP atbalstu. Pārlūkā Chrome 86 FTP pēc noklusējuma ir atspējots aptuveni 1% lietotāju, un pārlūkā Chrome 87 atspējošanas apjoms tiks palielināts līdz 50%, taču atbalstu var atjaunot, izmantojot "--enable-ftp" vai "- -enable-features=FtpProtocol" karodziņš. Pārlūkā Chrome 88 FTP atbalsts tiks pilnībā atspējots.
• Android versijā, līdzīgi kā galddatoru sistēmu versijā, paroļu pārvaldnieks ievieš saglabāto pieteikumvārdu un paroļu pārbaudi pret uzlauztu kontu datu bāzi, parādot brīdinājumu, ja tiek atklātas problēmas vai tiek mēģināts izmantot triviālas paroles. Pārbaude tiek veikta, izmantojot datubāzi, kas aptver vairāk nekā 4 miljardus apdraudētu kontu, kas parādījās lietotāju datubāzēs, kurās ir noplūde. Lai saglabātu privātumu piemēro Jaukšanas prefikss tiek pārbaudīts lietotāja pusē, un pašas paroles un to pilnās jaucējdaļas netiek pārsūtītas ārēji.
• Pieejams arī Android versijā pārnests poga “Drošības pārbaude” un uzlabotais aizsardzības režīms pret bīstamām vietnēm (uzlabotā drošā pārlūkošana). Poga "Drošības pārbaude" parāda iespējamo drošības problēmu kopsavilkumu, piemēram, uzlauztu paroļu izmantošanu, ļaunprātīgu vietņu pārbaudes statusu (Droša pārlūkošana), atinstalētu atjauninājumu esamību un ļaunprātīgu pievienojumprogrammu identificēšanu. Papildu aizsardzības režīms aktivizē papildu pārbaudes, lai aizsargātu pret pikšķerēšanu, ļaunprātīgām darbībām un citiem draudiem tīmeklī, kā arī ietver papildu aizsardzību jūsu Google kontam un Google pakalpojumiem (Gmail, Disks utt.). Ja parastajā Drošās pārlūkošanas režīmā pārbaudes tiek veiktas lokāli, izmantojot klienta sistēmā periodiski ielādētu datu bāzi, tad uzlabotajā drošā pārlūkošanā informācija par lapām un lejupielādēm reāllaikā tiek nosūtīta pārbaudei Google pusē, kas ļauj ātri reaģēt uz draudus tūlīt pēc to identificēšanas, negaidot, līdz tiek atjaunināts vietējais melnais saraksts.
• Pievienots atbalsts indikatora failam “.well-known/change-password”, ar kuru vietņu īpašnieki var norādīt tīmekļa veidlapas adresi paroles maiņai. Ja lietotāja akreditācijas dati ir apdraudēti, pārlūks Chrome nekavējoties liks lietotājam aizpildīt paroles maiņas veidlapu, pamatojoties uz šajā failā esošo informāciju.
• Ir ieviests jauns brīdinājums “Drošības padoms”, kas tiek parādīts, atverot vietnes, kuru domēns ir ļoti līdzīgs citai vietnei, un heiristika rāda, ka pastāv liela viltošanas iespējamība (piemēram, google.com vietā tiek atvērts goog0le.com).
• Īstenots atbalsts kešatmiņai Atpakaļ uz priekšu, kas nodrošina tūlītēju navigāciju, izmantojot pogas “Atpakaļ” un “Uz priekšu” vai pārvietojoties pa pašreizējās vietnes iepriekš skatītajām lapām. Kešatmiņa ir iespējota, izmantojot iestatījumu chrome://flags/#back-forward-cache.
• Veikta CPU resursu patēriņa optimizācija pa logiem
  ārpus darbības jomas. Chrome pārbauda, ​​vai pārlūkprogrammas logs pārklājas ar citiem logiem, un neļauj zīmēt pikseļus pārklāšanās zonās. Šī optimizācija tika iespējota nelielai daļai lietotāju pārlūkprogrammā Chrome 84 un 85, un tagad tā ir iespējota visur. Salīdzinot ar iepriekšējiem laidieniem, ir novērsta arī nesaderība ar virtualizācijas sistēmām, kas izraisīja tukšu baltu lapu parādīšanos.

• Palielināta resursu apgriešana fona cilnēm. Šādas cilnes vairs nevar patērēt vairāk par 1% no CPU resursiem, un tās var aktivizēt ne biežāk kā reizi minūtē. Pēc piecām minūtēm fonā cilnes tiek iesaldētas, izņemot cilnes, kas atskaņo multivides saturu vai ieraksta.
• Strādāt pie apvienošanās HTTP galvene User-Agent. Jaunajā versijā mehānisma atbalsts ir aktivizēts visiem lietotājiem Lietotāja aģenta klienta padomi, izstrādāts kā User-Agent aizstājējs. Jaunais mehānisms paredz selektīvu datu atgriešanu par konkrētiem pārlūkprogrammas un sistēmas parametriem (versiju, platformu utt.) tikai pēc servera pieprasījuma un lietotājiem iespēju selektīvi sniegt šādu informāciju vietņu īpašniekiem. Izmantojot User-Agent Client Hints, identifikators pēc noklusējuma netiek pārsūtīts bez skaidra pieprasījuma, kas padara pasīvo identifikāciju neiespējamu (pēc noklusējuma tiek norādīts tikai pārlūkprogrammas nosaukums).
• Ir mainīta norāde par atjauninājuma esamību un nepieciešamību restartēt pārlūkprogrammu, lai to instalētu. Krāsas bultiņas vietā konta iemiesojuma laukā tagad tiek rādīts “Atjaunināt”.
  

• Ir veikts darbs, lai pārlūkprogrammu pārveidotu par iekļaujošu terminoloģiju. Politiku nosaukumos vārdi “baltais saraksts” un “melnais saraksts” ir aizstāti ar “atļaujamo sarakstu” un “bloķēšanas sarakstu” (jau pievienotās politikas turpinās darboties, taču tajās tiks parādīts brīdinājums par novecošanu). IN kods и failu nosaukumi atsauces uz "melno sarakstu" ir aizstātas ar "bloķēto sarakstu".
  Lietotājiem redzamās atsauces uz “melno sarakstu” un “balto sarakstu” tika aizstātas 2019. gada sākumā.

• Pievienota eksperimentāla iespēja rediģēt saglabātās paroles, kas aktivizēta, izmantojot karogu “chrome://flags/#edit-passwords-in-settings”.
• Pārveidots par stabilu un publisku API Vietējā failu sistēma, kas ļauj izveidot tīmekļa lietojumprogrammas, kas mijiedarbojas ar failiem vietējā failu sistēmā. Piemēram, jaunā API var būt pieprasīta pārlūkprogrammu integrētās izstrādes vidēs, teksta, attēlu un video redaktoros. Lai varētu tieši rakstīt un lasīt failus vai izmantot dialogus failu atvēršanai un saglabāšanai, kā arī pārvietoties pa direktoriju saturu, lietojumprogramma pieprasa lietotājam īpašu apstiprinājumu.
  

• Pievienots CSS atlasītājs ":fokuss-redzams“, kas izmanto to pašu heiristiku, ko pārlūkprogramma izmanto, izlemjot, vai rādīt fokusa maiņas indikatoru (pārvietojot fokusu uz pogu, izmantojot īsinājumtaustiņus, indikators parādās, bet, noklikšķinot ar peli, tas neparādās). Iepriekš pieejamais CSS atlasītājs ":focus" vienmēr izceļ fokusu.
  Turklāt iestatījumiem ir pievienota opcija “Ātrā fokusa izcelšana”, kad tā ir iespējota, blakus aktīvajiem elementiem tiks parādīts papildu fokusa indikators, kas paliek redzams pat tad, ja lapā ir atspējoti stila elementi vizuālai fokusa izcelšanai, izmantojot CSS. .

• Origin Trials režīmam ir pievienotas vairākas jaunas API (eksperimentālas funkcijas, kurām nepieciešama atsevišķa aktivizēšana). Sākotnējā izmēģinājuma versija nozīmē iespēju strādāt ar norādīto API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reģistrēšanās un īpaša marķiera saņemšanas, kas ir derīgs noteiktai vietnei ierobežotu laiku.
  • WebHID API zema līmeņa piekļuvei HID ierīcēm (cilvēka interfeisa ierīcēm, tastatūrām, pelēm, spēļu paneļiem, skārienpaneļiem), ļaujot ieviest loģiku darbam ar HID ierīci JavaScript, lai organizētu darbu ar retām HID ierīcēm bez īpašu draiveru klātbūtnes sistēmā.
    Pirmkārt, jaunā API mērķis ir nodrošināt atbalstu spēļu paneļiem.

  • API ekrāna informācija, paplašina logu izvietojuma API, lai atbalstītu vairāku ekrānu konfigurācijas. Atšķirībā no window.screen, jaunā API ļauj manipulēt ar loga izvietojumu vairāku monitoru sistēmu kopējā ekrāna telpā, neaprobežojoties tikai ar pašreizējo ekrānu.
  • Meta tags akumulatora taupīšana, ar kuru vietne var informēt pārlūkprogrammu par nepieciešamību aktivizēt režīmus, lai samazinātu enerģijas patēriņu un optimizētu CPU slodzi.
  • API COOP pārskati ziņot par iespējamiem izolācijas noteikumu pārkāpumiem Dažādas izcelsmes — iegulšanas politika (COEP) un Cross-Origin-Opener-Policy (COOP), nepiemērojot faktiskus ierobežojumus.
  • API Akreditācijas datu pārvaldība ir ierosināts jauns akreditācijas datu veids PaymentCredential, sniedzot papildu apstiprinājumu par veicamā maksājuma darījuma veikšanu. Atļautā puse, piemēram, banka, var ģenerēt publisko atslēgu PublicKeyCredential, ko tirgotājs var pieprasīt papildu droša maksājuma apstiprināšanai.
• API PointerEvents lai noteiktu irbuļa slīpumu, TiltX un irbuļa vietā ir pievienots atbalsts augstuma leņķiem (leņķim starp irbuli un ekrānu) un azimutam (leņķim starp X asi un irbuļa projekciju uz ekrāna). TiltY leņķi (leņķi starp plakni no irbuļa un vienu no asīm un plakni no Y un Y ass Z). Pievienotas arī pārveidošanas funkcijas starp augstumu/azimutu un TiltX/TiltY.
• Mainīts atstarpes kodējums vietrāžos URL, aprēķinot to protokolu apdarinātājos – metode navigator.registerProtocolHandler() tagad atstarpes aizstāj ar "%20", nevis "+", kas apvieno darbību ar citām pārlūkprogrammām, piemēram, Firefox.
• Pievienots CSS pseidoelements "::marķieris", kas ļauj pielāgot skaitļu un punktu krāsu, izmēru, formu un veidu ierakstiem blokos Un .
• Pievienots HTTP galvenes atbalsts Dokuments-politika, ļaujot jautāt noteikumi par piekļuvi dokumentiem, līdzīgi kā iframe smilškastes izolācijas mehānismam, taču universālāki. Piemēram, izmantojot dokumentu politiku, varat ierobežot zemas kvalitātes attēlu izmantošanu, atspējot lēnas JavaScript API, konfigurēt iframe, attēlu un skriptu ielādes noteikumus, ierobežot kopējo dokumenta izmēru un trafiku, aizliegt metodes, kas noved pie lapas pārzīmēšanas, atspējot. funkcija Ritināšana līdz tekstam.
• Uz elementu pievienots atbalsts "inline-grid", "grid", "inline-flex" un "flex" parametriem, kas iestatīti, izmantojot CSS rekvizītu "display".
• Pievienota metode ParentNode.replaceChildren() lai aizstātu visus vecāku mezgla atvasinājumus ar citu DOM mezglu. Iepriekš mezglu aizstāšanai varējāt izmantot node.removeChild() un node.append() vai node.innerHTML un node.append() kombināciju.
• Izvērsts URL shēmu diapazons, ko atļauts ignorēt, izmantojot registerProtocolHandler(). Shēmu sarakstā ir iekļauti decentralizētie protokoli cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns un ssb, kas ļauj definēt saites uz elementiem neatkarīgi no vietnes vai vārtejas, kas nodrošina piekļuvi resursam.
• API Asinhronā starpliktuves pievienots teksta/html formāta atbalsts HTML kopēšanai un ielīmēšanai, izmantojot starpliktuvi (bīstamās HTML konstrukcijas tiek iztīrītas, rakstot un lasot starpliktuvē). Izmaiņas, piemēram, ļauj organizēt formatēta teksta ievietošanu un kopēšanu ar attēliem un saitēm tīmekļa redaktoros.
• Vietnē WebRTC pievienots iespēja savienot savus datu apstrādātājus, kas tiek izsaukti WebRTC MediaStreamTrack kodēšanas vai dekodēšanas posmos. Piemēram, šo iespēju var izmantot, lai pievienotu atbalstu datu pilnīgai šifrēšanai, kas tiek pārsūtīti caur starpserveriem.
• JavaScript dzinējā V8 par 75% paātrināta Number.prototype.toString ieviešana. Pievienots rekvizīts .name asinhronām klasēm ar tukšu vērtību. Metode Atomics.wake ir noņemta, kas savulaik tika pārdēvēta par Atomics.notify, lai nodrošinātu atbilstību ECMA-262 specifikācijai. Atvērts izplūdušais testēšanas rīkkopas kods JS-Fuzzer.
• Liftoff bāzes kompilators WebAssembly, kas tika izlaists pēdējā laidienā, ietver iespēju izmantot vektora instrukcijas SIMD lai paātrinātu aprēķinus. Spriežot pēc testiem, optimizācija ļāva dažus testus paātrināt 2.8 reizes. Vēl viena optimizācija ļāva daudz ātrāk izsaukt importētās JavaScript funkcijas no WebAssembly.
• Izvērsts rīki tīmekļa izstrādātājiem: multivides panelī ir pievienota informācija par atskaņotājiem, kas izmantoti, lai lapā atskaņotu video, tostarp notikumu dati, žurnāli, rekvizītu vērtības un kadru dekodēšanas parametri (piemēram, varat noteikt kadru zuduma un mijiedarbības problēmu cēloņus no JavaScript).
  

  Paneļa Elements konteksta izvēlnē ir pievienota iespēja izveidot atlasītā elementa ekrānuzņēmumus (piemēram, varat izveidot satura rādītāja vai tabulas ekrānuzņēmumu).

  

  Tīmekļa konsolē problēmu brīdinājuma panelis ir aizstāts ar parastu ziņojumu, un problēmas ar trešo pušu sīkfailiem pēc noklusējuma tiek paslēptas cilnē Problēmas un ir iespējotas ar īpašu izvēles rūtiņu.

  

  Cilnē Rendering ir pievienota poga “Atspējot vietējos fontus”, kas ļauj simulēt vietējo fontu neesamību, savukārt cilnē Sensors tagad varat simulēt lietotāja neaktivitāti (lietojumprogrammām, kas izmanto dīkstāves noteikšanas API).
  

  

  Lietojumprogrammu panelis sniedz detalizētu informāciju par katru iframe, atvērto logu un uznirstošo logu, tostarp informāciju par Cross-Origin izolāciju, izmantojot COEP un COOP.
  

  

• Sākās protokola ieviešanas nomaiņa QUIC uz opciju, kas izstrādāta IETF specifikācijā, nevis Google QUIC opciju.

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērš 35 ievainojamības. Daudzas ievainojamības tika identificētas automatizētu testēšanas rīku rezultātā AdreseSanitizer, Atmiņas sanitizer, Kontrolējiet plūsmas integritāti, LibFuzzer и AFL. Viena ievainojamība (CVE-2020-15967, piekļuve kodā atbrīvotajai atmiņai, lai mijiedarbotos ar Google Payments) ir atzīmēta kā kritiska, t.i. ļauj apiet visus pārlūkprogrammas aizsardzības līmeņus un izpildīt kodu sistēmā ārpus smilškastes vides. Kā daļu no programmas, lai izmaksātu naudas atlīdzību par pašreizējā laidiena ievainojamību atklāšanu, Google samaksāja 27 balvas 71500 15000 USD vērtībā (vienu 7500 5000 USD, trīs 3000 USD, piecas 200 USD, divas 500 USD, vienu 13 USD XNUMX un divas balvas). XNUMX balvu lielums vēl nav noteikts.

Avots: opennet.ru