ProHoster > Блог > интернет мэдээ > Chrome 86

Chrome 86

Chrome 86-н дараагийн хувилбар болон Chromium-ийн тогтвортой хувилбар гарлаа.

Chrome 86 дээрх үндсэн өөрчлөлтүүд:

  • HTTPS-ээр ачаалагдсан хуудсууд дээр оролтын маягтыг аюулгүйгээр илгээхээс хамгаалах, гэхдээ HTTP-ээр өгөгдөл илгээх.
  • Гүйцэтгэх боломжтой файлуудын аюултай татан авалтыг (http) блоклох нь архивын аюултай татан авалтыг (zip, iso гэх мэт) хаах, баримт бичгийг (docx, pdf гэх мэт) аюултай татаж авах анхааруулгыг харуулах замаар нэмэгддэг. Дараагийн хувилбарт зураг, текст болон медиа файлд зориулсан баримт бичгийг хаах, анхааруулга өгөх болно. Шифрлэлтгүйгээр файлуудыг татаж авах нь MITM халдлагын үед агуулгыг солих замаар хорлонтой үйлдэл хийхэд ашиглагдаж болох тул уг хаалтыг хэрэгжүүлсэн.
  • Өгөгдмөл контекст цэс нь "Үргэлж бүтэн URL харуулах" сонголтыг харуулдаг бөгөөд үүнийг идэвхжүүлэхийн тулд тухай: туг хуудасны тохиргоог өөрчлөх шаардлагатай болдог. Бүрэн URL-г хаягийн талбар дээр давхар товшиж үзэх боломжтой. Chrome 76-аас эхлэн анхдагч байдлаар хаягийг протокол болон www дэд домайнгүйгээр харуулж эхэлснийг сануулъя. Chrome 79-д хуучин үйлдлийг буцаах тохиргоог устгасан боловч хэрэглэгчийн сэтгэл ханамжгүй байдлын дараа Chrome 83-д шинэ туршилтын туг нэмсэн бөгөөд энэ нь бүх нөхцөлд URL-г бүрэн нуух, харуулахыг идэвхгүй болгох сонголтыг контекст цэсэнд нэмсэн.
    Хэрэглэгчдийн багахан хувьд анхдагчаар хаягийн мөрөнд зөвхөн домэйныг замын элемент болон асуулгын параметргүйгээр харуулах туршилтыг эхлүүлсэн. Жишээлбэл, оронд нь "https://example.com/secure-google-sign-in/" "example.com" харагдах болно. Санал болгож буй горимыг дараагийн хувилбаруудын аль нэгэнд нь бүх хэрэглэгчдэд хүргэх төлөвтэй байна. Энэ үйлдлийг идэвхгүй болгохын тулд та "Үргэлж бүтэн URL харуулах" сонголтыг ашиглаж, URL-г бүхэлд нь үзэхийн тулд хаягийн талбар дээр дарж болно. Өөрчлөлт хийх сэдэл нь хэрэглэгчдийг URL дахь параметрүүдийг өөрчилдөг фишингээс хамгаалах хүсэл юм - халдагчид хэрэглэгчдийн хайхрамжгүй байдлыг ашиглан өөр сайт нээж байгаа дүр төрхийг бий болгож, залилан мэхлэх үйлдэл хийдэг (хэрэв ийм орлуулалт нь техникийн чадвартай хэрэглэгчдэд ойлгомжтой бол) , дараа нь туршлагагүй хүмүүс ийм энгийн заль мэхэнд амархан ордог).
  • FTP дэмжлэгийг устгах санаачлага шинэчлэгдсэн. Chrome 86-д FTP-г хэрэглэгчдийн 1% орчимд нь анхдагчаар идэвхгүй болгосон бөгөөд Chrome 87-д идэвхгүй байдлын хамрах хүрээг 50% хүртэл нэмэгдүүлэх боловч "--enable-ftp" эсвэл "-" ашиглан дэмжлэгийг буцааж авчрах боломжтой. -enable-features=FtpProtocol" туг. Chrome 88 дээр FTP дэмжлэгийг бүрэн идэвхгүй болгоно.
  • Ширээний системд зориулсан хувилбартай адил Android үйлдлийн системд зориулсан хувилбарт нууц үгийн менежер нь эвдэрсэн бүртгэлүүдийн мэдээллийн санд хадгалсан нэвтрэх нэр, нууц үгээ шалгаж, асуудал илэрсэн эсвэл энгийн нууц үг ашиглах оролдлого хийсэн тохиолдолд анхааруулга харуулдаг. Шалгалт нь задруулсан хэрэглэгчийн мэдээллийн санд илэрсэн 4 тэрбум гаруй нууц дансыг хамарсан мэдээллийн баазтай холбоотой юм. Нууцлалыг хадгалахын тулд хэш угтварыг хэрэглэгчийн талд баталгаажуулдаг бөгөөд нууц үг нь өөрөө болон тэдгээрийн бүрэн хэшийг гаднаас дамжуулдаггүй.
  • "Аюулгүй байдлыг шалгах" товчлуур болон аюултай сайтуудаас хамгаалах сайжруулсан горим (Сайжруулсан аюулгүй хайлт) мөн Android хувилбарт шилжсэн. "Аюулгүй байдлыг шалгах" товчлуур нь нууц үг алдагдсан, хортой сайтуудыг шалгаж байгаа байдал (Аюулгүй хайлт), устгаагүй шинэчлэлт байгаа эсэх, хортой нэмэлтүүдийг илрүүлэх зэрэг аюулгүй байдлын болзошгүй асуудлуудын хураангуйг харуулдаг. Дэвшилтэт хамгаалалтын горим нь фишинг, хорлонтой үйлдэл болон вэб дээрх бусад аюулаас хамгаалах нэмэлт шалгалтуудыг идэвхжүүлэхээс гадна таны Google акаунт болон Google үйлчилгээнүүдийн (Gmail, Drive гэх мэт) нэмэлт хамгаалалтыг багтаадаг. Хэрэв ердийн Safe Browsing горимд үйлчлүүлэгчийн системд үе үе ачаалагддаг мэдээллийн баазыг ашиглан дотооддоо шалгалт хийдэг бол Сайжруулсан Safe Browsing-д бодит цаг хугацаанд хуудсууд болон татан авалтын талаарх мэдээллийг Google-ийн талд баталгаажуулахаар илгээдэг бөгөөд энэ нь танд хурдан хариу өгөх боломжийг олгоно. орон нутгийн хар жагсаалт шинэчлэгдэх хүртэл хүлээлгүйгээр аюул заналыг илрүүлсний дараа шууд.
  • Сайтын эзэд нууц үг солих вэб маягтын хаягийг зааж өгөх боломжтой ".well-known/change-password" индикатор файлын дэмжлэгийг нэмсэн. Хэрэв хэрэглэгчийн итгэмжлэл алдагдсан бол Chrome одоо энэ файл дахь мэдээлэлд үндэслэн нууц үг солих маягтыг хэрэглэгчээс нэн даруй асуух болно.
  • Домэйн нь өөр сайттай маш төстэй сайтуудыг нээхэд "Аюулгүй байдлын зөвлөмж"-ийн шинэ анхааруулга хэрэгжсэн бөгөөд хуурамчаар үйлдэх магадлал өндөр байгааг эвристик харуулж байна (жишээлбэл, google.com-ын оронд goog0le.com нээгдсэн).

    * "Буцах" болон "Урагшаа" товчлуурыг ашиглах эсвэл одоогийн сайтын өмнө нь үзсэн хуудсуудаар шилжих үед шууд чиглүүлэх боломжийг олгодог ухрах кэшийг дэмжсэн. Кэшийг chrome://flags/#back-forward-cache тохиргоог ашиглан идэвхжүүлсэн.

  • Хамрах хүрээнээс гадуурх цонхнуудад CPU-ийн нөөцийн зарцуулалтыг оновчтой болгох. Chrome нь хөтчийн цонх бусад цонхтой давхцаж байгаа эсэхийг шалгаж, давхцсан хэсэгт пиксел зурахаас сэргийлдэг. Энэ оновчлолыг Chrome 84 болон 85-ын хэрэглэгчдийн багахан хувьд идэвхжүүлсэн бөгөөд одоо хаа сайгүй идэвхжсэн. Өмнөх хувилбаруудтай харьцуулахад хоосон цагаан хуудас гарч ирэхэд хүргэдэг виртуалчлалын системд үл нийцэх асуудлыг мөн шийдвэрлэсэн.
  • Дэвсгэр табуудын нөөцийн тайралтыг нэмэгдүүлсэн. Ийм табууд нь CPU-ийн нөөцийн 1% -иас илүүг ашиглах боломжгүй бөгөөд минутанд нэгээс илүүгүй удаа идэвхжүүлэх боломжтой. Мультимедиа контент тоглуулж байгаа эсвэл бичлэг хийж байгаа табуудыг эс тооцвол арын дэвсгэр дээр таван минут ажилласны дараа цонхнууд царцна.
  • User-Agent HTTP толгой хэсгийг нэгтгэх ажлыг дахин эхлүүллээ. Шинэ хувилбарт Хэрэглэгч-Агентыг орлох байдлаар боловсруулсан Хэрэглэгч-Агент Үйлчлүүлэгчийн Санамж механизмын дэмжлэгийг бүх хэрэглэгчдэд идэвхжүүлсэн. Шинэ механизм нь зөвхөн серверийн хүсэлтийн дараа хөтөч болон системийн тодорхой параметрүүдийн (хувилбар, платформ гэх мэт) өгөгдлийг сонгон буцааж өгөх бөгөөд хэрэглэгчдэд сайт эзэмшигчдэд ийм мэдээллийг сонгох боломжийг олгодог. User-Agent Client зөвлөмжийг ашиглах үед танигч нь тодорхой хүсэлтгүйгээр анхдагч байдлаар дамждаггүй бөгөөд энэ нь идэвхгүй таних боломжгүй болгодог (анхдагч байдлаар, зөвхөн хөтөчийн нэрийг зааж өгсөн).
    Шинэчлэлт байгаа эсэх, түүнийг суулгахын тулд хөтчийг дахин эхлүүлэх шаардлагатай гэсэн заалт өөрчлөгдсөн. Бүртгэлийн аватар талбарт өнгөт сумны оронд "Шинэчлэлт" гарч ирнэ.
  • Хөтөчийг багтаасан нэр томьёог ашиглахын тулд хөрвүүлэх ажил хийгдсэн. Бодлогын нэрсийн "цагаан жагсаалт" болон "хар жагсаалт" гэсэн үгсийг "зөвшөөрөх жагсаалт" болон "хаах жагсаалт" гэж сольсон (аль хэдийн нэмсэн бодлого ажиллах болно, гэхдээ тэдгээр нь хүчингүй болсон тухай анхааруулгыг харуулах болно). Код болон файлын нэрэнд "хар жагсаалт"-ын лавлагааг "хаах жагсаалт"-аар сольсон. Хэрэглэгчдэд харагдах "хар жагсаалт" болон "цагаан жагсаалт"-ын лавлагааг 2019 оны эхээр сольсон.
    “chrome://flags/#edit-passwords-in-settings” дарцаг ашиглан идэвхжүүлсэн, хадгалсан нууц үгээ засах туршилтын чадварыг нэмсэн.
  • Native File System API нь тогтвортой, нийтэд нээлттэй API ангилалд шилжсэнээр локал файлын систем дэх файлуудтай харьцах вэб програмуудыг үүсгэх боломжийг танд олгоно. Жишээлбэл, шинэ API нь хөтөч дээр суурилсан нэгдсэн хөгжүүлэлтийн орчин, текст, зураг, видео засварлагчдад эрэлт хэрэгцээтэй байж болно. Файлуудыг шууд бичих, унших эсвэл харилцах цонхыг ашиглан файл нээх, хадгалах, мөн лавлах агуулгыг үзэх боломжтой байхын тулд програм нь хэрэглэгчээс тусгай баталгаажуулалтыг шаарддаг.
  • ":focus-visible" CSS сонгогчийг нэмсэн бөгөөд энэ нь хөтөчийн фокусын өөрчлөлтийн индикаторыг харуулах эсэхээ шийдэхдээ ашигладаг ижил эвристикийг ашигладаг (гарын товчлолыг ашиглан фокусыг товчлуур руу шилжүүлэх үед индикатор гарч ирэх боловч хулганаар дарах үед) , энэ биш). Өмнө нь байсан CSS сонгогч ":focus" нь фокусыг үргэлж онцолж өгдөг. Нэмж дурдахад, тохиргоонд "Түргэн анхаарлаа төвлөрүүлэх" сонголтыг нэмсэн бөгөөд идэвхжүүлсэн үед идэвхтэй элементүүдийн хажууд нэмэлт фокусын индикатор гарч ирэх бөгөөд энэ нь CSS-ээр хуудсан дээр фокусыг нүдээр тодруулах загварын элементүүдийг идэвхгүй болгосон ч харагдах болно. .
  • Origin Trials горимд хэд хэдэн шинэ API нэмэгдсэн (тусдаа идэвхжүүлэх шаардлагатай туршилтын функцууд). Origin Trial гэдэг нь localhost эсвэл 127.0.0.1-ээс татаж авсан програмуудаас заасан API-тай ажиллах, эсвэл тодорхой сайтад хязгаарлагдмал хугацаанд хүчинтэй тусгай токеныг бүртгүүлж, хүлээн авсны дараа ажиллах чадварыг хэлнэ.
  • HID төхөөрөмжүүдэд (Хүний интерфейсийн төхөөрөмж, гар, хулгана, тоглоомын самбар, мэдрэгчтэй самбар) доод түвшний хандалт хийх WebHID API нь танд JavaScript дээр HID төхөөрөмжтэй ажиллах логикийг хэрэгжүүлэх боломжийг олгодог бөгөөд энэ нь ховор HID төхөөрөмжтэй ажиллахгүйгээр зохион байгуулах боломжийг олгодог. систем дэх тодорхой драйверууд. Юуны өмнө шинэ API нь тоглоомын самбарт дэмжлэг үзүүлэх зорилготой юм.
  • Дэлгэцийн мэдээллийн API нь олон дэлгэцийн тохиргоог дэмжихийн тулд Window Placement API-г өргөтгөдөг. window.screen-ээс ялгаатай нь шинэ API нь одоогийн дэлгэцээр хязгаарлагдахгүйгээр олон хяналтын системийн дэлгэцийн нийт зайд цонхны байршлыг өөрчлөх боломжийг танд олгоно.
  • Мета шошго нь батерейны хэмнэлт бөгөөд үүний тусламжтайгаар сайт нь эрчим хүчний зарцуулалтыг бууруулж, CPU-ийн ачааллыг оновчтой болгох горимуудыг идэвхжүүлэх шаардлагатай байгаа талаар хөтчид мэдээлэх боломжтой.
  • COOP Reporting API нь Cross-Origin-Embedder- Policy (COEP) болон Cross-Origin-Opener-Policy (COOP) тусгаарлах горимуудын болзошгүй зөрчлийг бодит хязгаарлалтгүйгээр мэдээлэх болно.
  • Credential Management API нь төлбөрийн гүйлгээний нэмэлт баталгаа болох PaymentCredential хэмээх шинэ төрлийн итгэмжлэлийг санал болгодог. Банк гэх мэт итгэмжлэгдсэн тал нь нийтийн түлхүүр болох PublicKeyCredential үүсгэх чадвартай бөгөөд үүнийг худалдаачин нэмэлт аюулгүй төлбөрийн баталгаажуулалтыг авахын тулд хүсэлт гаргаж болно.
  • Зүүгний хазайлтыг тодорхойлох PointerEvents API нь*-ийн оронд өндрийн өнцөг (зүүг ба дэлгэцийн хоорондох өнцөг) болон азимут (X тэнхлэг ба дэлгэц дээрх зүүгийн төсөөллийн хоорондох өнцөг)-ийн дэмжлэгийг нэмсэн. TiltX ба TiltY өнцөг (зүүг болон тэнхлэгүүдийн аль нэгнийх нь хавтгай ба Y ба Z тэнхлэгүүдийн хоорондох өнцөг). Мөн өндөр/азимут болон TiltX/TiltY хооронд хувиргах функцийг нэмсэн.
  • Протокол зохицуулагчид үүнийг тооцоолохдоо URL дахь зайны кодчилолыг өөрчилсөн - navigator.registerProtocolHandler() арга нь орон зайг "+"-ийн оронд "%20"-ээр сольж, Firefox гэх мэт бусад хөтчүүдийн үйлдлийг нэгтгэдэг.
  • CSS-д псевдо-элемент "::маркер" нэмэгдсэн бөгөөд энэ нь блок доторх жагсаалтын тоо, цэгийн өнгө, хэмжээ, хэлбэр, төрлийг өөрчлөх боломжийг танд олгоно. Тэгээд .
  • Document-Policy HTTP толгой хэсэгт нэмэлт дэмжлэг нэмсэн бөгөөд энэ нь баримт бичигт хандах дүрмийг тогтоох боломжийг олгодог бөгөөд iframes-ийн хамгаалагдсан хязгаарлагдмал орчинд тусгаарлах механизмтай төстэй боловч илүү түгээмэл байдаг. Жишээлбэл, Баримт бичгийн бодлого ашиглан та чанар муутай зургийн хэрэглээг хязгаарлах, удаан JavaScript API-г идэвхгүй болгох, iframe, зураг, скрипт ачаалах дүрмийг тохируулах, баримт бичгийн нийт хэмжээ, урсгалыг хязгаарлах, хуудсыг дахин зурахад хүргэдэг аргуудыг хориглох, мөн Scroll-to-Text функцийг идэвхгүй болгох.
  • Элемент рүү 'inline-grid', 'grid', 'inline-flex' болон 'flex' параметрүүдийг 'display' CSS өмчөөр тохируулсан нэмэлт дэмжлэг.
  • Эцэг эхийн зангилааны бүх хүүхдийг өөр DOM зангилаагаар солихын тулд ParentNode.replaceChildren() аргыг нэмсэн. Өмнө нь та зангилааг солихын тулд node.removeChild() болон node.append() эсвэл node.innerHTML болон node.append() хослолыг ашиглаж болно.
  • RegisterProtocolHandler() ашиглан дарж болох URL схемийн хүрээг өргөтгөсөн. Схемийн жагсаалтад төвлөрсөн бус cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns болон ssb протоколууд багтсан бөгөөд энэ нь нөөцөд нэвтрэх боломжийг олгодог сайт эсвэл гарцаас үл хамааран элементүүдийн холбоосыг тодорхойлох боломжийг олгодог.
  • Түр санах ойгоор HTML-г хуулж буулгахад зориулсан Асинхрон санах ойн санах ойн API-д текст/html форматын дэмжлэгийг нэмсэн (түр санах ойд бичих, унших үед аюултай HTML бүтцийг цэвэрлэдэг). Жишээлбэл, өөрчлөлт нь вэб засварлагчдад зураг, холбоос бүхий форматтай текст оруулах, хуулах ажлыг зохион байгуулах боломжийг олгодог.
  • WebRTC нь WebRTC MediaStreamTrack-ийн кодчилол эсвэл тайлах үе шатанд дуудагдсан өөрийн өгөгдөл боловсруулагчийг холбох чадварыг нэмсэн. Жишээлбэл, энэ чадварыг завсрын серверүүдээр дамжуулж буй өгөгдлийн төгсгөлөөс төгсгөл хүртэл шифрлэх дэмжлэгийг нэмэхэд ашиглаж болно.
    V8 JavaScript хөдөлгүүрт Number.prototype.toString-ийн хэрэгжилт 75%-иар хурдассан. Хоосон утгатай асинхрон ангиудад .name шинж чанарыг нэмсэн. Atomics.wake аргыг устгасан бөгөөд энэ аргыг ECMA-262-ийн тодорхойлолтод нийцүүлэн Atomics.notify гэж нэрлэсэн. JS-Fuzzer fuzzing тестийн хэрэгслийн код нээлттэй байна.
  • Сүүлийн хувилбарт гарсан WebAssembly-д зориулсан Liftoff үндсэн хөрвүүлэгч нь тооцооллыг хурдасгахын тулд SIMD вектор зааварчилгааг ашиглах боломжийг агуулдаг. Туршилтаас харахад оновчлол нь зарим туршилтыг 2.8 дахин хурдасгах боломжтой болсон. Өөр нэг оновчлол нь WebAssembly-аас импортлогдсон JavaScript функцуудыг дуудах ажлыг илүү хурдан болгосон.
  • Вэб хөгжүүлэгчдэд зориулсан хэрэгслүүдийг өргөжүүлсэн: Медиа самбар нь үйл явдлын өгөгдөл, бүртгэл, өмчийн үнэ цэнэ, фрэймийн код тайлах параметр зэрэг хуудсан дээрх видеог тоглуулахад ашигладаг тоглогчдын талаарх мэдээллийг нэмсэн (жишээлбэл, та хүрээний шалтгааныг тодорхойлох боломжтой) JavaScript-ийн алдагдал болон харилцан үйлчлэлийн асуудлууд).
  • Элементүүдийн самбарын контекст цэсэнд сонгосон элементийн дэлгэцийн агшинг үүсгэх боломжийг нэмсэн (жишээлбэл, та агуулгын хүснэгт эсвэл хүснэгтийн дэлгэцийн агшинг үүсгэж болно).
  • Вэб консол дээр асуудлын анхааруулах самбарыг ердийн мессежээр сольсон бөгөөд гуравдагч этгээдийн күүкитэй холбоотой асуудлуудыг "Асуудал" таб дээр анхдагч байдлаар нуусан бөгөөд тусгай нүдээр идэвхжүүлсэн байна.
  • "Rendering" таб дээр "Дотоодын фонтуудыг идэвхгүй болгох" товчийг нэмсэн бөгөөд энэ нь танд локал фонт байхгүйг дуурайлган хийх боломжийг олгодог бөгөөд Мэдрэгч таб дээр та одоо хэрэглэгчийн идэвхгүй байдлыг дуурайж болно (Idle Detection API ашигладаг програмуудад).
  • Хэрэглээний самбар нь iframe, нээлттэй цонх, гарч ирэх цонх бүрийн талаар дэлгэрэнгүй мэдээлэл, үүнд COEP болон COOP ашиглан Cross-Origin тусгаарлах тухай мэдээлэл өгдөг.

QUIC протоколын хэрэгжилтийг QUIC-ийн Google хувилбарын оронд IETF-ийн тодорхойлолтод боловсруулсан хувилбараар сольж эхэлсэн.
Инноваци, алдаа засахаас гадна шинэ хувилбар нь 35 сул талыг арилгасан. Ихэнх эмзэг байдлыг AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer болон AFL хэрэгслийг ашиглан автоматжуулсан туршилтын үр дүнд тодорхойлсон. Нэг эмзэг байдлыг (CVE-2020-15967, Google Payments-тэй харилцах код дахь сул санах ойд хандах эрх) чухал гэж тэмдэглэсэн, i.e. нь хөтчийн бүх түвшний хамгаалалтыг алгасаж, хамгаалагдсан хязгаарлагдмал орчны орчноос гадуур систем дээр код ажиллуулах боломжийг олгодог. Одоогийн хувилбарын сул талыг илрүүлсний төлөө мөнгөн урамшуулал олгох хөтөлбөрийн хүрээнд Google 27 долларын үнэ бүхий 71500 шагнал (нэг нь 15000 долларын шагнал, 7500, 5000 долларын шагнал, 3000 долларын шагнал, хоёр 200 долларын шагнал, нэг 500 долларын шагнал, нэг 13 доллар) олгосон. XNUMX шагналын хэмжээг хараахан тогтоогоогүй байна.

-аас авсан Opennet.ru

Эх сурвалж: linux.org.ru

сэтгэгдэл нэмэх