ProHoster > blog > internetnieuws > Chrome 86

Chrome 86

De volgende release van Chrome 86 en de stabiele release van Chromium zijn uitgebracht.

Belangrijkste wijzigingen in Chrome 86:

  • bescherming tegen onveilige indiening van invoerformulieren op pagina's die via HTTPS zijn geladen maar gegevens via HTTP verzenden.
  • Het blokkeren van onveilig downloaden (http) van uitvoerbare bestanden is aangevuld met het blokkeren van onveilig downloaden van archieven (zip, iso, etc.) en het tonen van waarschuwingen bij het onveilig laden van documenten (docx, pdf, etc.). De volgende release zal naar verwachting documenten blokkeren en een waarschuwing geven voor afbeeldingen, tekst en mediabestanden. De blokkering wordt geïmplementeerd omdat het downloaden van bestanden zonder codering kan worden gebruikt om kwaadaardige acties uit te voeren door de inhoud te vervangen tijdens MITM-aanvallen.
  • Het standaard contextmenu toont de optie "URL altijd volledig weergeven", waarvoor voorheen instellingen op de about:flags-pagina moesten worden gewijzigd. De volledige URL kan ook worden bekeken door te dubbelklikken op de adresbalk. Bedenk dat vanaf Chrome 76 het adres standaard werd weergegeven zonder het protocol en het www-subdomein. In Chrome 79 werd de instelling om het oude gedrag terug te brengen verwijderd, maar na ontevredenheid van de gebruiker werd een nieuwe experimentele vlag toegevoegd in Chrome 83, waarbij een item aan het contextmenu werd toegevoegd om verbergen uit te schakelen en de volledige URL onder alle omstandigheden weer te geven.
    Voor een klein percentage van de gebruikers is een experiment gestart om standaard alleen het domein in de adresbalk weer te geven, zonder padelementen en queryparameters. Bijvoorbeeld in plaats van "https://example.com/secure-google-sign-in/" "example.com" wordt weergegeven. De voorgestelde modus wordt naar alle gebruikers verwacht in een van de volgende releases. Om dit gedrag uit te schakelen, kunt u de optie "Altijd volledige URL weergeven" gebruiken en om de volledige URL te bekijken, kunt u op de adresbalk klikken. Het motief voor de wijziging is de wens om gebruikers te beschermen tegen phishing die parameters in de URL manipuleert. dan onervaren lekenmanipulaties).
  • Het initiatief om FTP-ondersteuning te verwijderen is nieuw leven ingeblazen. In Chrome 86 is FTP standaard uitgeschakeld voor ongeveer 1% van de gebruikers, en in Chrome 87 wordt de dekking van de uitschakeling verhoogd tot 50%, maar ondersteuning kan worden geretourneerd met behulp van de vlag "--enable-ftp" of " --enable-features=FtpProtocol". In Chrome 88 wordt FTP-ondersteuning volledig uitgeschakeld.
  • In de versie voor Android, naar analogie met de versie voor desktopsystemen, voert de wachtwoordbeheerder een controle uit van opgeslagen logins en wachtwoorden tegen een database van gecompromitteerde accounts met een waarschuwing in geval van problemen of een poging om triviale wachtwoorden te gebruiken. De controle wordt uitgevoerd op een database met meer dan 4 miljard gecompromitteerde accounts die verschenen in lekken van gebruikersdatabases. Om de privacy te behouden, wordt het hash-voorvoegsel aan de gebruikerszijde geverifieerd en worden de wachtwoorden zelf en hun volledige hashes niet naar buiten verzonden.
  • De Android-versie bevat ook de veiligheidscontroleknop en verbeterde Safe Browsing. De knop "Veiligheidscontrole" toont een overzicht van mogelijke beveiligingsproblemen, zoals gecompromitteerde wachtwoorden, Safe Browsing-status, verwijderde updates en detectie van kwaadaardige add-ons. De geavanceerde beveiligingsmodus activeert extra controles ter bescherming tegen phishing, kwaadaardige activiteiten en andere bedreigingen op internet, en biedt ook extra bescherming voor uw Google-account en Google-services (Gmail, Drive, enz.). Terwijl in de normale Safe Browsing-modus controles lokaal worden uitgevoerd aan de hand van een database die periodiek naar het systeem van de klant wordt gedownload, wordt in Verbeterde Safe Browsing real-time informatie over pagina's en downloads ter verificatie naar Google verzonden, waardoor u direct daarna snel kunt reageren op bedreigingen. ze worden gedetecteerd, zonder te wachten tot de lokale zwarte lijst is bijgewerkt.
  • Ondersteuning toegevoegd voor het indicatorbestand ".well-known/change-password", waarmee site-eigenaren het adres van het webformulier kunnen specificeren om het wachtwoord te wijzigen. In het geval dat de inloggegevens van een gebruiker zijn gecompromitteerd, vraagt ​​Chrome de gebruiker nu een formulier voor het wijzigen van het wachtwoord op basis van de informatie in dit bestand.
  • Er is een nieuwe "Veiligheidstip"-waarschuwing geïmplementeerd die wordt weergegeven bij het openen van sites waarvan het domein erg lijkt op een andere site en de heuristiek laat zien dat er een grote kans is op spoofing (bijvoorbeeld goog0le.com wordt geopend in plaats van google.com).

    * Geïmplementeerde ondersteuning voor de transitiecache (Back-forward cache), die een onmiddellijke overgang biedt bij het gebruik van de knoppen "Terug" en "Vooruit" of bij het navigeren door eerder bekeken pagina's van de huidige site. De cache wordt ingeschakeld met de instelling chrome://flags/#back-forward-cache.

  • Optimalisatie van het verbruik van CPU-bronnen door vensters die buiten het bereik vallen. Chrome controleert of het browservenster wordt overlapt door andere vensters en vermijdt het tekenen van pixels in overlappende gebieden. Deze optimalisatie is ingeschakeld voor een klein percentage gebruikers in Chrome 84 en 85 en is nu wereldwijd ingeschakeld. Vergeleken met eerdere releases hebben we ook een incompatibiliteit met virtualisatiesystemen verholpen waardoor blanco witte pagina's werden weergegeven.
  • Verbeterde inkorting van bronnen voor tabbladen op de achtergrond. Dergelijke tabbladen kunnen niet meer dan 1% van de CPU-bronnen verbruiken en kunnen niet vaker dan één keer per minuut worden geactiveerd. Na vijf minuten op de achtergrond worden tabbladen bevroren, behalve tabbladen die multimedia-inhoud afspelen of opnemen.
  • Het werk aan unificatie van de User-Agent HTTP-header is hervat. In de nieuwe versie is ondersteuning voor het User-Agent Client Hints-mechanisme, ontwikkeld ter vervanging van User-Agent, voor alle gebruikers geactiveerd. Het nieuwe mechanisme impliceert de selectieve terugkeer van gegevens over specifieke browser- en systeemparameters (versie, platform, enz.) alleen na een verzoek van de server en geeft gebruikers de mogelijkheid om dergelijke informatie selectief aan site-eigenaren te verstrekken. Bij gebruik van User-Agent Client Hints wordt de identifier niet standaard doorgegeven zonder een expliciet verzoek, wat passieve identificatie onmogelijk maakt (standaard wordt alleen de browsernaam opgegeven).
    Veranderde de indicatie van de aanwezigheid van een update en de noodzaak om de browser opnieuw op te starten om deze te installeren. In plaats van een gekleurde pijl in het accountavatarveld verschijnt nu de inscriptie "Update".
  • Er is gewerkt aan het vertalen van de browser om inclusieve terminologie te gebruiken. In beleidsnamen zijn de woorden "whitelist" en "blacklist" vervangen door "allowlist" en "blocklist" (reeds toegevoegde beleidsregels blijven werken, maar er wordt een waarschuwing over beëindiging weergegeven). In de code en bestandsnamen zijn verwijzingen naar "blacklist" vervangen door "blocklist". Voor de gebruiker zichtbare verwijzingen naar "zwarte lijst" en "witte lijst" zijn begin 2019 vervangen.
    Een experimentele mogelijkheid toegevoegd om opgeslagen wachtwoorden te bewerken, geactiveerd met de vlag "chrome://flags/#edit-passwords-in-settings".
  • Verplaatst naar de categorie van stabiele en openbare Native File System API's, waarmee u webtoepassingen kunt maken die communiceren met bestanden in het lokale bestandssysteem. De nieuwe API kan bijvoorbeeld vereist zijn in browsergebaseerde IDE's, teksteditors, beeldeditors en video-editors. Om direct bestanden te kunnen schrijven en lezen of dialogen te gebruiken om bestanden te openen en op te slaan, en om door de inhoud van mappen te navigeren, vraagt ​​de applicatie de gebruiker om een ​​speciale bevestiging.
  • De ":focus-visible" CSS-kiezer toegevoegd, die dezelfde heuristiek gebruikt die de browser gebruikt om te bepalen of de focusveranderingsindicator moet worden weergegeven (door de focus naar de knop te verplaatsen met sneltoetsen wordt de indicator weergegeven, maar niet wanneer er met de muis wordt geklikt ). De eerder beschikbare ":focus" CSS-kiezer benadrukt altijd de focus. Daarnaast is de optie “Quick Focus Highlighting” toegevoegd aan de instellingen, indien ingeschakeld zal er naast de actieve elementen een extra focusindicator worden getoond, die ook zichtbaar blijft als stijlelementen voor visuele focusaccentuering zijn uitgeschakeld op de pagina via CSS.
  • Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
  • WebHID API voor toegang op laag niveau tot HID-apparaten (Human Interface-apparaten, toetsenborden, muizen, gamepads, touchpads), waarmee u de logica van het werken met een HID-apparaat in JavaScript kunt implementeren om het werk met zeldzame HID-apparaten te organiseren zonder de aanwezigheid van specifieke stuurprogramma's in het systeem. Allereerst is de nieuwe API gericht op het bieden van ondersteuning voor gamepads.
  • De Screen Information API breidt de Window Placement API uit om configuraties met meerdere schermen te ondersteunen. In tegenstelling tot window.screen kunt u met de nieuwe API de plaatsing van een venster in de gedeelde schermruimte van systemen met meerdere monitoren manipuleren zonder beperkt te zijn tot het huidige scherm.
  • De batterijbesparende metatag, waarmee de site de browser kan informeren over de noodzaak om modi te activeren om het stroomverbruik te verminderen en de belasting van de CPU te optimaliseren.
  • COOP-rapportage-API om potentiële schendingen van Cross-Origin-Embedder-Policy (COEP) en Cross-Origin-Opener-Policy (COOP)-lockdowns te rapporteren zonder daadwerkelijk beperkingen toe te passen.
  • De Credential Management API biedt een nieuw PaymentCredential-referentietype dat extra bevestiging geeft van de betalingstransactie die wordt uitgevoerd. Een vertrouwende partij, zoals een bank, heeft de mogelijkheid om een ​​PublicKeyCredential te genereren die door de handelaar kan worden aangevraagd voor extra veilige betalingsbevestiging.
  • De PointerEvents API voor het bepalen van de kanteling van de stylus * ondersteuning toegevoegd voor de hoogtehoeken (de hoek tussen de stylus en het scherm) en azimut (de hoek tussen de X-as en de projectie van de stylus op het scherm), in plaats van de TiltX- en TiltY-hoeken (de hoeken tussen het vlak vanaf de stylus en een van de assen en het vlak vanaf de Y- en Z-assen). Ook conversiefuncties toegevoegd tussen hoogte/azimut en TiltX/TiltY.
  • Gewijzigde codering van ruimte in URL wanneer deze wordt geëvalueerd in protocolhandlers - methode navigator.registerProtocolHandler() vervangt spaties nu door "%20" in plaats van "+", wat het gedrag verenigt met andere browsers zoals Firefox.
  • Toegevoegd "::marker" pseudo-element aan CSS om kleur, grootte, vorm en type nummers en punten aan te passen voor vermeldingen in blokken En .
  • Ondersteuning toegevoegd voor de Document-Policy HTTP-header, waarmee u regels voor documenttoegang kunt instellen die vergelijkbaar zijn met het iframe-sandbox-isolatiemechanisme, maar veelzijdiger. Via het documentbeleid kunt u bijvoorbeeld het gebruik van afbeeldingen van lage kwaliteit beperken, trage JavaScript-API's uitschakelen, regels configureren voor het laden van iframes, afbeeldingen en scripts, de totale grootte van het document en verkeer beperken, methoden verbieden die leiden tot pagina opnieuw tekenen en schakel de Scroll-To-Text-functie uit.
  • Om te elementeren ondersteuning toegevoegd voor de parameters 'inline-grid', 'grid', 'inline-flex' en 'flex' die zijn ingesteld via de CSS-eigenschap 'display'.
  • Methode ParentNode.replaceChildren() toegevoegd om alle kinderen van een ouderknooppunt te vervangen door een ander DOM-knooppunt. Voorheen kon u een combinatie van node.removeChild() en node.append() of node.innerHTML en node.append() gebruiken om knooppunten te vervangen.
  • Het aantal URL-schema's uitgebreid dat mag worden overschreven met registerProtocolHandler(). De lijst met schema's omvat de gedecentraliseerde protocollen cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns en ssb, waarmee u links naar elementen kunt definiëren, ongeacht de site of gateway die toegang biedt tot de bron.
  • De Asynchronous Clipboard API heeft ondersteuning toegevoegd voor de tekst/html-indeling voor het kopiëren en plakken van HTML via het klembord (schrijven en lezen naar het klembord ruimt gevaarlijke HTML-constructies op). De wijziging stelt bijvoorbeeld webeditors in staat om het invoegen en kopiëren van opgemaakte tekst met afbeeldingen en links te organiseren.
  • WebRTC heeft de mogelijkheid toegevoegd om zijn eigen gegevenshandlers te verbinden die worden opgeroepen in de stadia van het coderen of decoderen van WebRTC MediaStreamTrack. Deze mogelijkheid kan bijvoorbeeld worden gebruikt om ondersteuning toe te voegen voor end-to-end-codering van gegevens die worden verzonden via tussenliggende servers.
    Implementatie van Number.prototype.toString is 8% sneller in V75 JavaScript-engine. De eigenschap .name is toegevoegd aan asynchrone klassen met een lege waarde. De methode Atomics.wake verwijderd, die ooit hernoemd was naar Atomics.notify om te voldoen aan de ECMA-262-specificatie. De code voor de JS-Fuzzer fuzzing-testtool is vrijgegeven.
  • De Liftoff-basislijncompiler voor WebAssembly die in de laatste release is opgenomen, biedt de mogelijkheid om SIMD-vectorinstructies te gebruiken om berekeningen te versnellen. Afgaande op de tests maakte de optimalisatie het mogelijk om de doorgang van sommige tests met 2.8 keer te versnellen. Een andere optimalisatie maakte het mogelijk om het aanroepen van geïmporteerde JavaScript-functies van WebAssembly aanzienlijk te versnellen.
  • Uitgebreide tools voor webontwikkelaars: informatie over de spelers die worden gebruikt om video op de pagina af te spelen, is toegevoegd aan het deelvenster Media, inclusief gebeurtenisgegevens, logboeken, eigenschapswaarden en framedecoderingsparameters (u kunt bijvoorbeeld de oorzaken van framedecodering bepalen drops en interactieproblemen van JavaScript).
  • In het contextmenu van het Elementen-paneel is de mogelijkheid toegevoegd om screenshots te maken van het geselecteerde element (u kunt bijvoorbeeld een screenshot maken van de inhoudsopgave of een tabel).
  • In de webconsole is het probleemwaarschuwingspaneel vervangen door een normaal bericht, en problemen met cookies van derden worden standaard verborgen op het tabblad Problemen en worden ingeschakeld door een speciaal selectievakje.
  • De knop "Lokale lettertypen uitschakelen" is toegevoegd aan het tabblad Rendering, waarmee u de afwezigheid van lokale lettertypen kunt simuleren, en het tabblad Sensoren heeft de mogelijkheid om gebruikersinactiviteit te simuleren (voor toepassingen die de Idle Detection API gebruiken).
  • Het toepassingspaneel biedt gedetailleerde informatie over elk iframe, open venster en pop-ups, inclusief gegevens over Cross-Origin-isolatie met behulp van COEP en COOP.

De vervanging van de implementatie van het QUIC-protocol door de versie ontwikkeld in de IETF-specificatie is begonnen, in plaats van de Google-versie van QUIC.
Naast innovaties en bugfixes zijn er in de nieuwe versie 35 kwetsbaarheden verholpen. Veel van de kwetsbaarheden werden geïdentificeerd als resultaat van geautomatiseerde testtools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Eén kwetsbaarheid (CVE-2020-15967, vrijgekomen geheugentoegang in code voor interactie met Google Payments) is gemarkeerd als kritiek, d.w.z. stelt u in staat om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het Vulnerability Bounty-programma voor de huidige release heeft Google 27 prijzen uitbetaald ter waarde van $ 71500 (één prijs van $ 15000, drie prijzen van $ 7500, vijf prijzen van $ 5000, twee prijzen van $ 3000, één prijs van $ 200 en twee prijzen van $ 500). Het aantal van 13 beloningen is nog niet bepaald.

Genomen van opennet.ru

Bron: linux.org.ru

Voeg een reactie