Google release van de webbrowser . Tegelijkertijd stabiele release van een gratis project , dat dient als basis van Chrome. Chrome-browser het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken . Vanwege de overgang van ontwikkelaars naar thuiswerken tijdens de SARS-CoV-2-coronaviruspandemie, werd de release van Chrome 82 uitgesteld . De volgende release van Chrome 84 staat gepland voor 14 juli.
:
- massale inclusie (DoH, DNS via HTTPS) op gebruikerssystemen waarvan de systeeminstellingen DNS-providers specificeren die DoH ondersteunen (DoH van dezelfde DNS-provider wordt ingeschakeld). Als de gebruiker bijvoorbeeld DNS 8.8.8.8 heeft opgegeven in de systeeminstellingen, wordt de DoH-service van Google (“https://dns.google.com/dns-query”) geactiveerd in Chrome; als de DNS 1.1.1.1. XNUMX, vervolgens de DoH Cloudflare-service (“https://cloudflare-dns.com/dns-query”), enz. Om problemen bij het oplossen van bedrijfsintranetten te elimineren, wordt DoH niet gebruikt bij het bepalen van het browsergebruik op centraal beheerde systemen. DoH is ook uitgeschakeld als er systemen voor ouderlijk toezicht aanwezig zijn.
Het regelen van de activering van DoH en het wijzigen van de DoH-aanbieder gebeurt via de standaardconfigurator. - Suggereerde registratie webformulieren die zijn geoptimaliseerd voor gebruik op touchscreens en systemen voor mensen met een beperking. Het ontwerp is door Microsoft geoptimaliseerd als onderdeel van de ontwikkeling van de Edge-browser en overgebracht naar de belangrijkste Chromium-codebase. Voorheen waren sommige formulierelementen ontworpen om te passen bij elementen van het besturingssysteem, en sommige waren ontworpen om te passen bij de meest populaire stijlen. Hierdoor waren verschillende elementen verschillend geschikt voor aanraakschermen, systemen voor gehandicapten en toetsenbordbedieningen. Het doel van de herwerking was om het ontwerp van vormelementen te verenigen en stijlinconsistenties te elimineren.
- Het ontwerp van het instellingengedeelte “Privacy en beveiliging” is gewijzigd. nieuwe tools voor beveiligingsbeheer. Instellingen zijn nu gemakkelijker te vinden en gemakkelijker te begrijpen. Er worden vier basissecties aangeboden, die tools bevatten die verband houden met het wissen van de geschiedenis, het beheren van cookies en sitegegevens, beveiligingsmodi en verboden of machtigingen die aan specifieke sites zijn gekoppeld. De gebruiker kan snel het blokkeren van cookies van derden inschakelen voor de incognitomodus of voor alle sites, of alle cookies voor een specifieke site blokkeren. Het nieuwe ontwerp is alleen ingeschakeld op de systemen van sommige gebruikers; anderen kunnen de instellingen activeren via “chrome://flags/#privacy-settings-redesign”.
Locatiespecifieke instellingen zijn onderverdeeld in groepen: toegang tot locatie, camera, microfoon, meldingen en verzenden van achtergrondgegevens. Er is ook een sectie met aanvullende instellingen voor het blokkeren van JavaScript, afbeeldingen en omleidingen op bepaalde sites. De laatste gebruikersactie die verband houdt met het wijzigen van machtigingen wordt afzonderlijk gemarkeerd.
- In de incognitomodus is het blokkeren van alle cookies die zijn ingesteld door sites van derden, inclusief advertentienetwerken en webanalysesystemen, standaard ingeschakeld. Er wordt ook een uitgebreide interface aangeboden voor het controleren van de installatie van cookies op websites. Voor controle zijn de vlaggen “chrome://flags/#improved-cookie-controls” en “chrome://flags/#improved-cookie-controls-for-third-party-cookie-blocking” aanwezig. Na het activeren van de modus verschijnt er een nieuw pictogram in de adresbalk; wanneer erop wordt geklikt, wordt het aantal geblokkeerde cookies weergegeven en wordt de optie geboden om de blokkering uit te schakelen. Welke cookies voor de huidige site zijn toegestaan en geblokkeerd, kunt u zien in het gedeelte ‘Cookies’ van het contextmenu, dat u kunt oproepen door op het hangslotsymbool in de adresbalk te klikken, of in de instellingen.
- De instellingen bieden een nieuwe knop ‘Veiligheidscontrole’, die een overzicht geeft van mogelijke beveiligingsproblemen, zoals het gebruik van gecompromitteerde wachtwoorden, de status van het controleren van kwaadaardige sites (Safe Browsing), de aanwezigheid van niet-geïnstalleerde updates en de identificatie van kwaadaardige add-ons. -ons.
- De wachtwoordbeheerder heeft de mogelijkheid toegevoegd alle opgeslagen logins en wachtwoorden uit de database van gecompromitteerde accounts, waarbij een waarschuwing wordt weergegeven als er problemen worden gedetecteerd (de controle wordt uitgevoerd op basis van het controleren van het hash-voorvoegsel aan de kant van de gebruiker; de wachtwoorden zelf en hun volledige hashes worden niet extern verzonden). De controle wordt uitgevoerd op een database die meer dan 4 miljard gecompromitteerde accounts omvat die in gelekte gebruikersdatabases voorkomen. Er wordt ook een waarschuwing weergegeven wanneer u probeert triviale wachtwoorden zoals "abc123" te gebruiken.
- uitgebreide beschermingsmodus tegen gevaarlijke sites (Enhanced Safe Browsing), die extra controles activeert om te beschermen tegen phishing, kwaadaardige activiteiten en andere bedreigingen op internet. Er wordt ook extra bescherming toegepast voor uw Google-account en Google-services (Gmail, Drive, enz.). Als in de normale Safe Browsing-modus controles lokaal worden uitgevoerd met behulp van een database die periodiek op het systeem van de klant wordt geladen, wordt in Enhanced Safe Browsing informatie over pagina's en downloads in realtime naar de Google Safe Browsing-service verzonden voor verificatie aan de Google-zijde. Hiermee kunt u snel reageren op bedreigingen, onmiddellijk nadat deze zijn geïdentificeerd, zonder te hoeven wachten tot de lokale zwarte lijst is bijgewerkt.
Om het werk te versnellen, ondersteunt het vooraf controleren aan de hand van witte lijsten, die hashes van duizenden populaire, betrouwbare sites bevatten. Als de geopende site niet op de witte lijst staat, controleert de browser de URL op de server van Google en verzendt de eerste 32 bits van de SHA-256-hash van de link, waaruit eventuele persoonlijke gegevens worden verwijderd. Volgens Google kan de nieuwe aanpak de effectiviteit van waarschuwingen voor nieuwe phishing-sites met 30% verbeteren.
- In plaats van het automatisch vastzetten van add-on-pictogrammen naast de adresbalk, is er een nieuw menu geïmplementeerd, aangegeven door een puzzelpictogram, waarin alle beschikbare add-ons en hun bevoegdheden worden vermeld. Na het installeren van een add-on moet de gebruiker nu expliciet inschakelen dat het add-on-pictogram aan het paneel wordt vastgemaakt, terwijl tegelijkertijd de aan de add-on verleende machtigingen worden geëvalueerd. Om ervoor te zorgen dat de add-on niet verloren gaat, wordt direct na installatie een indicator weergegeven met informatie over de nieuwe add-on. Het nieuwe menu is standaard ingeschakeld voor een bepaald percentage gebruikers, anderen kunnen het inschakelen met behulp van de instelling “chrome://flags/#extensions-toolbar-menu”.
- De instelling “chrome://flags/#omnibox-context-menu-show-full-urls” is toegevoegd. Indien ingeschakeld, verschijnt het item “Altijd volledige URL weergeven” in de menucontext van de adresbalk, waardoor URL-vervorming wordt voorkomen. Laten we niet vergeten dat in Chrome 76 de adresbalk standaard werd vertaald om links weer te geven zonder "https://", "http://" en "www.". Er was een instelling om dit gedrag uit te schakelen, maar in Chrome 79 werd deze verwijderd en verloren gebruikers de mogelijkheid om de volledige URL in de adresbalk weer te geven.
- Voor alle gebruikers is de functie voor het groeperen van tabbladen (“chrome://flags/#tab-groups”) ingeschakeld, waarmee u verschillende tabbladen met vergelijkbare doeleinden kunt combineren in visueel gescheiden groepen. Elke groep kan een eigen kleur en naam krijgen. Daarnaast is er een experimentele optie voorgesteld voor het in- en uitklappen van groepen, die nog niet op alle systemen werkt. Verschillende ongelezen artikelen kunnen bijvoorbeeld tijdelijk worden samengevouwen, waardoor alleen een label overblijft, zodat ze geen ruimte in beslag nemen tijdens het navigeren, en terugkeren naar hun plaats wanneer ze weer gaan lezen. Om de modus in te schakelen, is de voorgestelde instelling “chrome://flags/#tab-groups-collapse”.
- Waarschuwingen zijn standaard ingeschakeld wanneer u dit probeert (zonder codering) uitvoerbare bestanden via links van HTTPS-pagina's (in Chrome 84 worden downloads van uitvoerbare bestanden geblokkeerd en wordt er een waarschuwing afgegeven voor archieven). Opgemerkt wordt dat het downloaden van bestanden zonder codering kan worden gebruikt om kwaadaardige activiteiten uit te voeren door middel van inhoudsvervanging tijdens MITM-aanvallen. Ook bestandsdownloads geïnitieerd vanuit geïsoleerde iframe-blokken.
- Bij het activeren van Adobe Flash is een waarschuwingsbericht toegevoegd waarin wordt aangegeven dat de ondersteuning voor deze technologie in december 2020 eindigt.
- Technologie geïmplementeerd , waarmee u DOM-manipulaties kunt blokkeren die leiden tot cross-site scripting (DOM XSS), bijvoorbeeld bij het onjuist verwerken van gegevens die van de gebruiker zijn ontvangen in eval()-blokken of “.innerHTML”-invoegingen, wat ertoe kan leiden dat JavaScript-code wordt uitgevoerd in de context van een specifieke pagina. Vertrouwde typen vereisen een voorverwerking van gegevens voordat deze worden doorgegeven aan risicovolle functies. Wanneer bijvoorbeeld Vertrouwde typen zijn ingeschakeld, zal het uitvoeren van "anElement.innerHTML = location.href" resulteren in een fout en het gebruik van speciale TrustedHTML- of TrustedScript-objecten vereisen bij het toewijzen. Het inschakelen van Trusted Types gebeurt met behulp van CSP (Content-Security-Policy).
- nieuwe Cross-Origin-Embedder-Policy en Cross-Origin-Opener-Policy HTTP-headers om speciale cross-origin isolatiemodus mogelijk te maken voor veilig gebruik op de pagina van geprivilegieerde bewerkingen zoals SharedArrayBuffer, Performance.measureMemory() en profilerings-API's die kunnen worden gebruikt om zijkanaalaanvallen uit te voeren, zoals Spectre. In de cross-origin-isolatiemodus kunt u ook de eigenschap document.domain niet wijzigen.
- Er wordt een nieuwe implementatie voorgesteld van een systeem voor het inspecteren van de toegang tot bronnen via het netwerk: OOR-CORS (Out-Of-Renderer Cross-Origin Resource Sharing). De oude implementatie kon alleen de kerncomponenten van de Blink-engine, XHR en de Fetch API inspecteren, maar dekte geen HTTP-verzoeken van sommige interne modules. De nieuwe implementatie lost dit probleem op.
- Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
- API , waarmee u webtoepassingen kunt maken die communiceren met bestanden in het lokale bestandssysteem. Er kan bijvoorbeeld veel vraag zijn naar de nieuwe API in browsergebaseerde geïntegreerde ontwikkelomgevingen, tekst-, beeld- en video-editors. Om direct bestanden te kunnen schrijven en lezen, dialoogvensters te gebruiken om bestanden te openen en op te slaan, en door de inhoud van mappen te navigeren, vraagt de applicatie de gebruiker om speciale bevestiging;
- werkwijze om het geheugengebruik te schatten bij het verwerken van een webapplicatie of webpagina. Kan worden gebruikt om het geheugengebruik in webapplicaties te analyseren en te optimaliseren, en om regressieve toenames in het geheugenverbruik te identificeren.
- werkwijze voor het plannen van taken (JavaScript-callbacks) met verschillende prioriteitsniveaus (blokkeert gebruikerswerk, creëert zichtbare wijzigingen en achtergrondwerk). U kunt het TaskController-object gebruiken om de prioriteit te wijzigen en taken te annuleren.
- API , waardoor applicaties hun eigen datahandlers kunnen maken die worden gebruikt bij het coderen en decoderen van WebRTC MediaStreamTrack. De API kan bijvoorbeeld worden gebruikt om end-to-end-codering te bieden van streams die via een transitserver worden verzonden.
- API toegevoegd om streepjescodes in een specifiek beeld te identificeren en te decoderen. De API werkt alleen op Android-apparaten waarop Google Play Services is geïnstalleerd.
- Metatag toegevoegd , waardoor de site volledige ondersteuning kan bieden voor het donkere thema zonder gebruik te maken van CSS-transformaties.
- De mogelijkheid toegevoegd om JavaScript-modules te gebruiken in .
- In IndexedDB nieuw argument toegevoegd
“duurzaamheid”, waarmee u het resetten van gegevens naar de schijf kunt regelen. Door de waarde 'relaxed' door te geven in plaats van de standaard 'strikte' modus, kun je de betrouwbaarheid opofferen ten behoeve van de prestaties (voorheen spoelde Chrome altijd gegevens naar schijf na het schrijven van elke transactie). - De functie @supports toegevoegd aan selector() zodat u de aanwezigheid van CSS-selectors kunt detecteren (u kunt bijvoorbeeld eerst de beschikbaarheid van een selector controleren voordat u er CSS-stijlen aan koppelt).
@supports-selector(::before) {
div { achtergrond: groen };
} - In Intl.DateTimeFormat fractionalSecondDigits om de weergave-indeling van fracties van seconden te configureren.
- V8-motor het volgen van ArrayBuffer in de garbage collector. WebAssembly-modules mogen maximaal 4 GB geheugen aanvragen.
- nieuwe tools voor webontwikkelaars. Er is bijvoorbeeld een modus verschenen die de perceptie van een pagina nabootst door mensen met slechtziendheid en verschillende vormen van kleurenblindheid. Er is ook een modus toegevoegd voor het emuleren van landinstellingswijzigingen, waarbij wijzigingen van invloed zijn op de API Intl.*, *.prototype.toLocaleString, navigator.taal, Accept-Language, enz.
De COEP-debugger (Cross-Origin Embedder Policy) is toegevoegd aan de interface voor netwerkactiviteitinspectie, waardoor u de redenen kunt evalueren voor het blokkeren van het laden van bepaalde bronnen via het netwerk. Het trefwoord cookie-path is toegevoegd om verzoeken te filteren waarin de cookie aan een specifiek doel is gebonden .
Een vastzetmodus toegevoegd voor ontwikkelaarstools aan de linkerkant van het scherm.
De interface voor het bijhouden van langlopende JavaScript-code is opnieuw ontworpen.
- Vanwege COVID-19 zijn een aantal geplande wijzigingen uitgesteld. Bijvoorbeeld, code voor het werken met FTP voor onbepaalde tijd. ondersteuning voor TLS 1.0/1.1-protocollen vóór de release van Chrome 84. Initial
ook ondersteuning voor Client Hints-identificatie (alternatief voor User-Agent). tot Chrome 84. Werk aan uitgesteld naar volgend jaar.
Naast innovaties en bugfixes elimineert de nieuwe versie . Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met tools , , , и . Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het geldbeloningsprogramma voor het ontdekken van kwetsbaarheden voor de huidige release heeft Google 28 beloningen uitbetaald ter waarde van $76 (een beloning van $20000, een beloning van $10000, twee beloningen van $7500, twee beloningen van $5000, twee beloningen van $3000, twee beloningen van $2000, twee prijzen van $1000). en acht prijzen van $ 500). De omvang van de 7 beloningen is nog niet vastgesteld.
Bron: opennet.ru