ProHoster > Blog > berita internet > Chrome 86

Chrome 86

Keluaran Chrome 86 seterusnya dan keluaran stabil Chromium telah dikeluarkan.

Perubahan utama dalam Chrome 86:

  • perlindungan terhadap penyerahan borang input yang tidak selamat pada halaman yang dimuatkan melalui HTTPS tetapi menghantar data melalui HTTP.
  • Menyekat muat turun tidak selamat (http) fail boleh laku dilengkapkan dengan menyekat muat turun arkib yang tidak selamat (zip, iso, dll.) dan memaparkan amaran untuk memuat turun dokumen yang tidak selamat (docx, pdf, dsb.). Penyekatan dokumen dan amaran untuk imej, teks dan fail media dijangka dalam keluaran seterusnya. Penyekatan dilaksanakan kerana memuat turun fail tanpa penyulitan boleh digunakan untuk melakukan tindakan berniat jahat dengan menggantikan kandungan semasa serangan MITM.
  • Menu konteks lalai memaparkan pilihan "Sentiasa tunjukkan URL penuh", yang sebelum ini memerlukan perubahan tetapan pada halaman about:flags untuk mendayakan. URL penuh juga boleh dilihat dengan mengklik dua kali pada bar alamat. Biar kami ingatkan anda bahawa bermula dengan Chrome 76, secara lalai alamat mula ditunjukkan tanpa protokol dan subdomain www. Dalam Chrome 79, tetapan untuk mengembalikan gelagat lama telah dialih keluar, tetapi selepas ketidakpuasan hati pengguna, bendera percubaan baharu telah ditambahkan dalam Chrome 83 yang menambahkan pilihan pada menu konteks untuk melumpuhkan penyembunyian dan menunjukkan URL penuh dalam semua keadaan.
    Untuk peratusan kecil pengguna, percubaan telah dilancarkan untuk memaparkan hanya domain dalam bar alamat secara lalai, tanpa elemen laluan dan parameter pertanyaan. Sebagai contoh, bukannya "https://example.com/secure-google-sign-in/" "example.com" akan dipaparkan. Mod yang dicadangkan dijangka akan dibawa kepada semua pengguna dalam salah satu keluaran seterusnya. Untuk melumpuhkan tingkah laku ini, anda boleh menggunakan pilihan "Sentiasa tunjukkan URL penuh", dan untuk melihat keseluruhan URL, anda boleh mengklik pada bar alamat. Motif perubahan adalah keinginan untuk melindungi pengguna daripada pancingan data yang memanipulasi parameter dalam URL - penyerang mengambil kesempatan daripada ketidakpedulian pengguna untuk mencipta rupa membuka tapak lain dan melakukan tindakan penipuan (jika penggantian sedemikian jelas kepada pengguna yang cekap dari segi teknikal , maka orang yang tidak berpengalaman mudah terpengaruh dengan manipulasi mudah tersebut).
  • Inisiatif untuk mengalih keluar sokongan FTP telah diperbaharui. Dalam Chrome 86, FTP dilumpuhkan secara lalai untuk kira-kira 1% pengguna dan dalam Chrome 87 skop nyahdaya akan ditingkatkan kepada 50%, tetapi sokongan boleh dibawa semula menggunakan "--enable-ftp" atau "- -enable-features=FtpProtocol" bendera. Dalam Chrome 88, sokongan FTP akan dilumpuhkan sepenuhnya.
  • Dalam versi untuk Android, serupa dengan versi untuk sistem desktop, pengurus kata laluan melaksanakan semakan log masuk dan kata laluan yang disimpan terhadap pangkalan data akaun yang terjejas, memaparkan amaran jika masalah dikesan atau percubaan dibuat untuk menggunakan kata laluan remeh. Semakan dilakukan terhadap pangkalan data yang meliputi lebih daripada 4 bilion akaun terjejas yang muncul dalam pangkalan data pengguna yang bocor. Untuk mengekalkan privasi, awalan cincang disahkan di sisi pengguna, dan kata laluan itu sendiri serta cincang penuhnya tidak dihantar secara luaran.
  • Butang "Semakan Keselamatan" dan mod perlindungan yang dipertingkatkan terhadap tapak berbahaya (Penyemakan Imbas Selamat Dipertingkat) juga telah dipindahkan ke versi Android. Butang "Semakan keselamatan" menunjukkan ringkasan isu keselamatan yang mungkin berlaku, seperti penggunaan kata laluan yang terjejas, status menyemak tapak berniat jahat (Pelayaran Selamat), kehadiran kemas kini yang dinyahpasang dan pengenalpastian alat tambah berniat jahat. Mod perlindungan lanjutan mengaktifkan semakan tambahan untuk melindungi daripada pancingan data, aktiviti berniat jahat dan ancaman lain di Web, dan juga termasuk perlindungan tambahan untuk akaun Google anda dan perkhidmatan Google (Gmail, Drive, dll.). Jika dalam mod Penyemakan Imbas Selamat biasa, semakan dilakukan secara setempat menggunakan pangkalan data yang dimuatkan secara berkala pada sistem pelanggan, maka dalam Penyemakan Imbas Selamat Dipertingkatkan maklumat tentang halaman dan muat turun dalam masa nyata dihantar untuk pengesahan di sebelah Google, yang membolehkan anda membalas dengan cepat ancaman serta-merta selepas ia dikenal pasti, tanpa menunggu sehingga senarai hitam tempatan dikemas kini.
  • Menambah sokongan untuk fail penunjuk ".well-known/change-password", yang mana pemilik tapak boleh menentukan alamat borang web untuk menukar kata laluan. Jika bukti kelayakan pengguna terjejas, Chrome kini akan segera menggesa pengguna dengan borang pertukaran kata laluan berdasarkan maklumat dalam fail ini.
  • Amaran "Petua Keselamatan" baharu telah dilaksanakan, dipaparkan apabila membuka tapak yang domainnya hampir serupa dengan tapak lain dan heuristik menunjukkan bahawa terdapat kebarangkalian yang tinggi untuk menipu (contohnya, goog0le.com dibuka bukannya google.com).

    * Sokongan untuk cache Mundur ke hadapan telah dilaksanakan, menyediakan navigasi segera apabila menggunakan butang "Kembali" dan "Maju" atau semasa menavigasi melalui halaman yang dilihat sebelum ini pada tapak semasa. Cache didayakan menggunakan tetapan chrome://flags/#back-forward-cache.

  • Mengoptimumkan penggunaan sumber CPU untuk tetingkap di luar skop. Chrome menyemak sama ada tetingkap penyemak imbas bertindih dengan tetingkap lain dan menghalang lukisan piksel di kawasan bertindih. Pengoptimuman ini telah didayakan untuk peratusan kecil pengguna dalam Chrome 84 dan 85 dan kini didayakan di mana-mana sahaja. Berbanding dengan keluaran sebelumnya, ketidakserasian dengan sistem virtualisasi yang menyebabkan halaman putih kosong muncul juga telah diselesaikan.
  • Peningkatan pemangkasan sumber untuk tab latar belakang. Tab sedemikian tidak lagi boleh menggunakan lebih daripada 1% sumber CPU dan boleh diaktifkan tidak lebih daripada sekali setiap minit. Selepas lima minit berada di latar belakang, tab dibekukan, kecuali tab yang memainkan kandungan multimedia atau rakaman.
  • Kerja telah disambung semula untuk menyatukan pengepala HTTP Ejen Pengguna. Dalam versi baharu, sokongan untuk mekanisme Petua Pelanggan Ejen Pengguna, yang dibangunkan sebagai pengganti Ejen Pengguna, diaktifkan untuk semua pengguna. Mekanisme baharu ini melibatkan pemulangan data secara terpilih mengenai parameter penyemak imbas dan sistem tertentu (versi, platform, dsb.) hanya selepas permintaan oleh pelayan dan memberi pengguna peluang untuk memberikan maklumat sedemikian secara terpilih kepada pemilik tapak. Apabila menggunakan Petua Pelanggan Ejen Pengguna, pengecam tidak dihantar secara lalai tanpa permintaan eksplisit, yang menjadikan pengenalan pasif mustahil (secara lalai, hanya nama penyemak imbas ditunjukkan).
    Petunjuk kehadiran kemas kini dan keperluan untuk memulakan semula pelayar untuk memasangnya telah diubah. Daripada anak panah berwarna, "Kemas kini" kini muncul dalam medan avatar akaun.
  • Kerja telah dijalankan untuk menukar pelayar untuk menggunakan istilah inklusif. Dalam nama dasar, perkataan "senarai putih" dan "senarai hitam" telah digantikan dengan "senarai dibenarkan" dan "senarai sekat" (dasar yang telah ditambahkan akan terus berfungsi, tetapi ia akan memaparkan amaran tentang penamatan). Dalam kod dan nama fail, rujukan kepada "senarai hitam" telah digantikan dengan "senarai sekatan". Rujukan yang boleh dilihat oleh pengguna kepada "senarai hitam" dan "senarai putih" telah diganti pada awal tahun 2019.
    Menambahkan keupayaan percubaan untuk mengedit kata laluan yang disimpan, diaktifkan menggunakan bendera "chrome://flags/#edit-passwords-in-settings".
  • API Sistem Fail Asli telah dipindahkan ke kategori API yang stabil dan tersedia secara umum, membolehkan anda mencipta aplikasi web yang berinteraksi dengan fail dalam sistem fail tempatan. Sebagai contoh, API baharu mungkin diperlukan dalam persekitaran pembangunan bersepadu berasaskan penyemak imbas, teks, imej dan editor video. Untuk dapat terus menulis dan membaca fail atau menggunakan dialog untuk membuka dan menyimpan fail, serta untuk menavigasi kandungan direktori, aplikasi meminta pengguna untuk pengesahan khas.
  • Menambahkan pemilih CSS ":focus-visible", yang menggunakan heuristik yang sama yang digunakan oleh penyemak imbas semasa memutuskan sama ada untuk menunjukkan penunjuk perubahan fokus (apabila mengalihkan fokus ke butang menggunakan pintasan papan kekunci, penunjuk muncul, tetapi apabila mengklik dengan tetikus , ia tidak). Pemilih CSS ":focus" yang tersedia sebelum ini sentiasa menyerlahkan fokus. Di samping itu, pilihan "Sorotan Fokus Pantas" telah ditambahkan pada tetapan, apabila didayakan, penunjuk fokus tambahan akan ditunjukkan di sebelah elemen aktif, yang kekal kelihatan walaupun elemen gaya untuk penyerlahan visual fokus dilumpuhkan pada halaman melalui CSS.
  • Beberapa API baharu telah ditambahkan pada mod Percubaan Asal (ciri eksperimen yang memerlukan pengaktifan berasingan). Percubaan Asal membayangkan keupayaan untuk bekerja dengan API yang ditentukan daripada aplikasi yang dimuat turun daripada localhost atau 127.0.0.1, atau selepas mendaftar dan menerima token khas yang sah untuk masa terhad untuk tapak tertentu.
  • API WebHID untuk akses peringkat rendah kepada peranti HID (peranti antara muka manusia, papan kekunci, tetikus, pad permainan, pad sentuh), yang membolehkan anda melaksanakan logik bekerja dengan peranti HID dalam JavaScript untuk mengatur kerja dengan peranti HID yang jarang berlaku tanpa kehadiran pemacu tertentu dalam sistem. Pertama sekali, API baharu ini bertujuan untuk menyediakan sokongan untuk pad permainan.
  • API Maklumat Skrin, memanjangkan API Penempatan Tetingkap untuk menyokong konfigurasi berbilang skrin. Tidak seperti window.screen, API baharu membolehkan anda memanipulasi peletakan tetingkap dalam ruang skrin keseluruhan sistem berbilang monitor, tanpa terhad kepada skrin semasa.
  • Penjimatan bateri tag meta, yang dengannya tapak boleh memaklumkan penyemak imbas tentang keperluan untuk mengaktifkan mod untuk mengurangkan penggunaan kuasa dan mengoptimumkan beban CPU.
  • COOP Reporting API untuk melaporkan kemungkinan pelanggaran mod pengasingan Cross-Origin-Embedder-Policy (COEP) dan Cross-Origin-Opener-Policy (COOP), tanpa menggunakan sekatan sebenar.
  • API Pengurusan Kredensial menawarkan jenis bukti kelayakan baharu, PaymentCredential, yang memberikan pengesahan tambahan tentang transaksi pembayaran yang dilakukan. Pihak yang bergantung, seperti bank, mempunyai keupayaan untuk menjana kunci awam, PublicKeyCredential, yang boleh diminta oleh pedagang untuk pengesahan pembayaran selamat tambahan.
  • API PointerEvents untuk menentukan kecondongan stilus* telah menambah sokongan untuk sudut ketinggian (sudut antara stilus dan skrin) dan azimut (sudut antara paksi X dan unjuran stilus pada skrin), bukannya Sudut TiltX dan TiltY (sudut antara satah dari stilus dan salah satu paksi dan satah dari paksi Y dan Z). Juga menambahkan fungsi penukaran antara ketinggian/azimut dan TiltX/TiltY.
  • Mengubah pengekodan ruang dalam URL apabila mengiranya dalam pengendali protokol - kaedah navigator.registerProtocolHandler() kini menggantikan ruang dengan "%20" dan bukannya "+", yang menyatukan gelagat dengan penyemak imbas lain seperti Firefox.
  • Elemen pseudo "::marker" telah ditambahkan pada CSS, membolehkan anda menyesuaikan warna, saiz, bentuk dan jenis nombor serta titik untuk penyenaraian dalam blok Dan .
  • Sokongan tambahan untuk pengepala HTTP Polisi-Dokumen, yang membolehkan anda menetapkan peraturan untuk mengakses dokumen, serupa dengan mekanisme pengasingan kotak pasir untuk iframe, tetapi lebih universal. Contohnya, melalui Polisi Dokumen anda boleh mengehadkan penggunaan imej berkualiti rendah, melumpuhkan API JavaScript yang perlahan, mengkonfigurasi peraturan untuk memuatkan iframe, imej dan skrip, mengehadkan saiz dan trafik dokumen keseluruhan, melarang kaedah yang membawa kepada lukisan semula halaman dan lumpuhkan fungsi Tatal-Ke-Teks.
  • Kepada unsur menambah sokongan untuk parameter 'inline-grid', 'grid', 'inline-flex' dan 'flex' yang ditetapkan melalui sifat CSS 'display'.
  • Kaedah ParentNode.replaceChildren() telah ditambahkan untuk menggantikan semua anak nod induk dengan nod DOM yang lain. Sebelum ini, anda boleh menggunakan gabungan node.removeChild() dan node.append() atau node.innerHTML dan node.append() untuk menggantikan nod.
  • Julat skema URL yang boleh ditindih menggunakan registerProtocolHandler() telah dikembangkan. Senarai skim termasuk protokol terpencar cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns dan ssb, yang membolehkan anda menentukan pautan ke elemen tanpa mengira tapak atau get laluan yang menyediakan akses kepada sumber.
  • Menambah sokongan untuk format teks/html pada API Papan Klip Asynchronous untuk menyalin dan menampal HTML melalui papan keratan (binaan HTML berbahaya dibersihkan apabila menulis dan membaca ke papan keratan). Perubahan itu, sebagai contoh, membolehkan anda mengatur penyisipan dan penyalinan teks berformat dengan imej dan pautan dalam editor web.
  • WebRTC telah menambah keupayaan untuk menyambungkan pengendali datanya sendiri, dipanggil pada peringkat pengekodan atau penyahkodan WebRTC MediaStreamTrack. Sebagai contoh, keupayaan ini boleh digunakan untuk menambah sokongan untuk penyulitan hujung-ke-hujung data yang dihantar melalui pelayan perantaraan.
    Dalam enjin JavaScript V8, pelaksanaan Number.prototype.toString telah dipercepatkan sebanyak 75%. Menambahkan sifat .name pada kelas tak segerak dengan nilai kosong. Kaedah Atomics.wake telah dialih keluar, yang pada satu masa telah dinamakan semula kepada Atomics.notify untuk mematuhi spesifikasi ECMA-262. Kod untuk alat ujian fuzzing JS-Fuzzer dibuka.
  • Pengkompil garis dasar Liftoff untuk WebAssembly yang dikeluarkan dalam keluaran terakhir termasuk keupayaan untuk menggunakan arahan vektor SIMD untuk mempercepatkan pengiraan. Berdasarkan ujian, pengoptimuman memungkinkan untuk mempercepatkan beberapa ujian sebanyak 2.8 kali. Satu lagi pengoptimuman menjadikannya lebih pantas untuk memanggil fungsi JavaScript yang diimport daripada WebAssembly.
  • Alat untuk pembangun web telah dikembangkan: Panel Media telah menambah maklumat tentang pemain yang digunakan untuk memainkan video pada halaman, termasuk data acara, log, nilai harta dan parameter penyahkod bingkai (contohnya, anda boleh menentukan punca bingkai masalah kehilangan dan interaksi daripada JavaScript) .
  • Dalam menu konteks panel Elemen, keupayaan untuk membuat tangkapan skrin bagi elemen yang dipilih telah ditambahkan (contohnya, anda boleh membuat tangkapan skrin bagi jadual kandungan atau jadual).
  • Dalam konsol web, panel amaran masalah telah digantikan dengan mesej biasa dan masalah dengan Kuki pihak ketiga disembunyikan secara lalai dalam tab Isu dan didayakan dengan kotak semak khas.
  • Dalam tab Rendering, butang "Lumpuhkan fon tempatan" telah ditambahkan, yang membolehkan anda mensimulasikan ketiadaan fon tempatan dan dalam tab Penderia kini anda boleh mensimulasikan ketidakaktifan pengguna (untuk aplikasi yang menggunakan API Pengesanan Melahu).
  • Panel Aplikasi menyediakan maklumat terperinci tentang setiap iframe, tetingkap terbuka dan pop timbul, termasuk maklumat tentang pengasingan Cross-Origin menggunakan COEP dan COOP.

Pelaksanaan protokol QUIC telah mula digantikan dengan versi yang dibangunkan dalam spesifikasi IETF, bukannya versi QUIC Google.
Selain inovasi dan pembetulan pepijat, versi baharu menghapuskan 35 kelemahan. Banyak kelemahan telah dikenal pasti hasil daripada ujian automatik menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dan AFL. Satu kerentanan (CVE-2020-15967, akses kepada memori yang dibebaskan dalam kod untuk berinteraksi dengan Google Payments) ditandakan sebagai kritikal, i.e. membolehkan anda memintas semua peringkat perlindungan penyemak imbas dan melaksanakan kod pada sistem di luar persekitaran kotak pasir. Sebagai sebahagian daripada program untuk membayar ganjaran tunai kerana menemui kelemahan untuk keluaran semasa, Google membayar 27 anugerah bernilai $71500 (satu anugerah $15000, tiga anugerah $7500, lima anugerah $5000, dua anugerah $3000, satu anugerah $200 dan dua anugerah $500). Saiz 13 ganjaran masih belum ditentukan.

Diambil daripada Opennet.ru

Sumber: linux.org.ru

Tambah komen