Google release van de webbrowser . Tegelijkertijd stabiele release van een gratis project , dat dient als basis van Chrome. Chrome-browser het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken . De volgende release van Chrome 85 staat gepland voor 25 augustus.
:
- ondersteuning voor TLS 1.0- en TLS 1.1-protocollen. Om sites via een beveiligd communicatiekanaal te kunnen benaderen, moet de server minimaal TLS 1.2 ondersteunen, anders geeft de browser nu een foutmelding. Volgens Google wordt momenteel nog steeds ongeveer 0.5% van de webpaginadownloads uitgevoerd met behulp van verouderde versies van TLS. De afsluiting werd uitgevoerd in overeenstemming met IETF (Internet Engineering Taskforce). De reden voor het afwijzen van TLS 1.0/1.1 is het gebrek aan ondersteuning voor moderne cijfers (bijvoorbeeld ECDHE en AEAD) en de eis om oude cijfers te ondersteunen, waarvan de betrouwbaarheid in de huidige ontwikkelingsfase van computertechnologie (bijvoorbeeld , ondersteuning voor TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA is vereist, MD5 en SHA-1). De instelling die de terugkeer naar TLS 1.0/1.1 mogelijk maakt, blijft behouden tot januari 2021.
- Blokkeren voorzien (zonder encryptie) van uitvoerbare bestanden en toegevoegde waarschuwingen bij het onveilig laden van archieven. In de toekomst is het de bedoeling om geleidelijk te stoppen met het ondersteunen van het uploaden van bestanden zonder codering. De blokkering wordt geïmplementeerd omdat het downloaden van bestanden zonder encryptie kan worden gebruikt om kwaadaardige acties uit te voeren door de inhoud te vervangen tijdens MITM-aanvallen.
- initiële ondersteuning , ontwikkeld als alternatief voor de User-Agent-header. Het Client Hints-mechanisme biedt een reeks “Sec-CH-UA-*”-headers ter vervanging van User-Agent, waarmee u selectieve levering van gegevens over specifieke browser- en systeemparameters (versie, platform, etc.) kunt organiseren. na een verzoek van de server. De gebruiker krijgt de mogelijkheid om te bepalen welke parameters acceptabel zijn voor levering en dergelijke informatie selectief aan site-eigenaren te verstrekken. Bij het gebruik van Client Hints wordt de identificatie niet zonder uitdrukkelijk verzoek doorgegeven, waardoor passieve identificatie onmogelijk is (standaard wordt alleen de browsernaam aangegeven). op tot volgend jaar.
- activering
strenger overdracht van cookies tussen sites, dat was vanwege COVID-19. Voor niet-HTTPS-verzoeken is de verwerking van cookies van derden die zijn ingesteld bij toegang tot andere sites dan het domein van de huidige pagina verboden. Dergelijke cookies worden gebruikt om gebruikersbewegingen tussen sites te volgen in de code van advertentienetwerken, sociale netwerkwidgets en webanalysesystemen.Bedenk dat om de overdracht van cookies te controleren, het SameSite-attribuut wordt gebruikt dat is gespecificeerd in de Set-Cookie-header, dat standaard wordt ingesteld op de waarde “SameSite=Lax”, waardoor het verzenden van cookies voor cross-site subverzoeken wordt beperkt , zoals een afbeeldingsverzoek of het laden van inhoud via een iframe van een andere site. Sites kunnen het standaardgedrag van SameSite overschrijven door de Cookie-instelling expliciet in te stellen op SameSite=None. Bovendien kan de waarde SameSite=None voor Cookie alleen worden ingesteld in de beveiligde modus (geldig voor verbindingen via HTTPS). De verandering zal in fasen worden uitgerold, beginnend met een klein percentage gebruikers en vervolgens geleidelijk het bereik vergroten.
- Experimentele implementatie toegevoegd , die kan worden ingeschakeld met de instelling ‘chrome://flags/#enable-heavy-ad-intervention’. Met de blocker kunt u iframe-advertentieblokken automatisch uitschakelen nadat de verkeers- en CPU-belastingsdrempels zijn overschreden. De blokkering wordt geactiveerd als de hoofdthread in totaal meer dan 60 seconden CPU-tijd heeft verbruikt of 15 seconden in een interval van 30 seconden (waarbij 50% van de bronnen wordt verbruikt gedurende meer dan 30 seconden), en ook als er meer dan 4 MB is verbruikt Er zijn gegevens gedownload via het netwerk.
De blokkering werkt alleen als de gebruiker, voordat de limieten werden overschreden, geen interactie heeft gehad met het advertentie-apparaat (er bijvoorbeeld niet op heeft geklikt), wat, rekening houdend met de verkeersbeperkingen, het automatisch afspelen van grote video's in advertenties kunnen worden geblokkeerd zonder dat de gebruiker het afspelen expliciet activeert. De voorgestelde maatregelen zullen gebruikers behoeden voor reclame met inefficiënte code-implementatie of opzettelijke parasitaire activiteiten (bijvoorbeeld mijnbouw). Volgens de statistieken van Google vormen advertenties die aan de blokkeercriteria voldoen slechts 0.30% van alle advertentie-eenheden, maar tegelijkertijd verbruiken dergelijke advertentie-inserts 28% van de CPU-bronnen en 27% van het verkeer van het totale advertentievolume.
- Er is gewerkt aan het verminderen van het CPU-bronnengebruik wanneer het browservenster zich niet in het gezichtsveld van de gebruiker bevindt. Chrome controleert nu of het browservenster wordt overlapt door andere vensters en voorkomt dat er pixels worden getekend in overlappende gebieden. De nieuwe functie zal geleidelijk worden uitgerold: optimalisatie zal selectief worden ingeschakeld voor sommige gebruikers in Chrome 84, en voor anderen in Chrome 85.
- Beveiliging is standaard ingeschakeld spam bijvoorbeeld met verzoeken om pushmeldingen te ontvangen. Omdat dergelijke verzoeken het werk van de gebruiker onderbreken en de aandacht afleiden van acties in bevestigingsdialoogvensters, wordt in plaats van een afzonderlijk dialoogvenster in de adresbalk een informatieprompt weergegeven die geen actie van de gebruiker vereist, met een waarschuwing dat het verzoek om toestemming is geblokkeerd , die automatisch wordt geminimaliseerd tot een indicator met de afbeelding van een doorgestreepte bel. Door op de indicator te klikken, kunt u op elk gewenst moment de gevraagde toestemming activeren of weigeren.
- De keuze van de gebruiker wordt onthouden bij het openen van handlers voor externe protocollen - de gebruiker kan "altijd toestaan voor deze site" selecteren voor een specifieke handler en de browser onthoudt deze beslissing met betrekking tot de huidige site.
- Bescherming toegevoegd tegen het wijzigen van gebruikersinstellingen zonder expliciete toestemming. Als de add-on de standaardzoekmachine of pagina die wordt weergegeven voor een nieuw tabblad wijzigt, geeft de browser nu een dialoogvenster weer waarin u wordt gevraagd de opgegeven bewerking te bevestigen of de wijziging te annuleren.
- implementatie van bescherming tegen het laden van gemengde multimedia-inhoud (wanneer bronnen worden geladen op een HTTPS-pagina via het http://-protocol). Op pagina's die via HTTPS worden geopend, worden “http://”-links nu automatisch vervangen door “https://” in blokken die verband houden met het laden van afbeeldingen (scripts en iframes werden eerder vervangen, automatische vervanging van audio- en videobronnen wordt verwacht in de volgende uitgave). Als een afbeelding niet beschikbaar is via https, wordt het downloaden ervan geblokkeerd (u kunt de blokkering handmatig markeren via het menu dat toegankelijk is via het hangslotsymbool in de adresbalk).
- API-ondersteuning toegevoegd (ontwikkeld als de SMS Receiver API), waarmee u de invoer van een eenmalig wachtwoord op een webpagina kunt organiseren nadat u een sms-bericht met een bevestigingscode heeft ontvangen, afgeleverd op de Android-smartphone van de gebruiker waarop de browser draait. SMS-bevestiging kan bijvoorbeeld worden gebruikt om het telefoonnummer te verifiëren dat de gebruiker tijdens de registratie heeft opgegeven. Als de gebruiker voorheen de sms-applicatie moest openen, de code ervan naar het klembord moest kopiëren, terug moest keren naar de browser en deze code moest plakken, dan maakt de nieuwe API het mogelijk om dit proces te automatiseren en terug te brengen tot één druk op de knop.
- API uitgebreid
om het afspelen van webanimatie te regelen. De nieuwe release voegt ondersteuning toe voor compositing-bewerkingen, waardoor u kunt bepalen hoe effecten worden gecombineerd en nieuwe handlers biedt die worden aangeroepen wanneer inhoudvervangingsgebeurtenissen plaatsvinden. De Web Animations API ondersteunt nu ook Promise om de volgorde te definiëren waarin animaties worden weergegeven en om beter te bepalen hoe animaties omgaan met andere applicatiefuncties. - Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
- API voor toegang van servicemedewerkers tot HTTP-cookies, die dienen als een asynchroon alternatief voor het gebruik van document.cookie.
- API om inactiviteit van gebruikers te detecteren, zodat u het tijdstip kunt detecteren waarop de gebruiker geen interactie heeft met het toetsenbord/de muis, de schermbeveiliging actief is, het scherm is vergrendeld of er op een andere monitor wordt gewerkt. Het informeren van de applicatie over inactiviteit gebeurt door het verzenden van een melding na het bereiken van een gespecificeerde inactiviteitsdrempel.
- regime , stelt de ontwikkelaar in staat een vollediger isolatie van de inhoudsverwerking te gebruiken in een afzonderlijk proces met betrekking tot de bron (oorsprong - domein + poort + protocol), in plaats van de site, ten koste van het stopzetten van de ondersteuning voor sommige oudere functies, zoals synchrone uitvoering van scripts met behulp van document.domain en het aanroepen van postMessage() om berichten naar WebAssembly.Module-instanties te posten. Met andere woorden, met Origin Isolation kunt u scheiding tussen verschillende processen organiseren op basis van het domein van de bron, en niet de site met alle externe insluitsels op de pagina's.
- API voor het gebruik van vector-SIMD-instructies in toepassingen in WebAssembly-formaat. Om platformonafhankelijkheid te garanderen, biedt het een nieuw 128-bits type dat verschillende soorten verpakte gegevens kan vertegenwoordigen, en verschillende basisvectorbewerkingen voor het verwerken van verpakte gegevens. Met SIMD kunt u de productiviteit verhogen door de gegevensverwerking te parallelliseren en dit is handig bij het compileren van native code in WebAssembly. Om SIMD-ondersteuning in te schakelen, kunt u de instelling “chrome://flags/#enable-webassembly-simd” gebruiken.
- Gestabiliseerd en nu gedistribueerd buiten Origin Trials
API , dat metagegevens biedt over inhoud die eerder in de cache werd opgeslagen door webapplicaties die in Progressive Web Apps (PWS)-modus draaiden. De applicatie kan verschillende gegevens aan de browserzijde opslaan, inclusief afbeeldingen, video's en artikelen, en wanneer de netwerkverbinding verloren gaat, deze gebruiken met behulp van de Cache Storage en IndexedDB API's. Content Indexing API maakt het mogelijk om dergelijke bronnen toe te voegen, te vinden en te verwijderen. In de browser wordt deze API al gebruikt om een lijst met pagina's en multimediagegevens weer te geven die beschikbaar zijn voor offline weergave. - API-versie gestabiliseerd gebaseerd op het Promise-mechanisme, dat een veiligere manier biedt om het uitschakelen van automatische vergrendelingsschermen te regelen en apparaten naar energiebesparende modi te schakelen.
- In de versie voor het Android-platform ondersteuning voor applicatiesnelkoppelingen, waardoor u snel toegang krijgt tot populaire typische acties in de applicatie. Om snelkoppelingen te maken, voegt u eenvoudig elementen toe aan het webapplicatiemanifest in PWA-indeling (Progressive Web Apps).
- Web Worker mag API gebruiken , waarmee u een handler kunt definiëren voor het genereren van een rapport, aangeroepen bij toegang tot verouderde mogelijkheden. Het gegenereerde rapport kan naar eigen inzicht van de gebruiker worden opgeslagen, naar de server worden verzonden of door een JavaScript-script worden verwerkt.
- API bijgewerkt , позволяющий подключить обработчик, которому будут направляться уведомления об изменении размера указанных элементов на странице. В ResizeObserverEntry добавлено три новых свойства: contentBoxSize, borderBoxSize и devicePixelContentBoxSize для получения более детальной информации, выдаваемой в форме массива из объектов ResizeObserverSize.
- Zoekwoord toegevoegd "» om de elementstijl terug te zetten naar de standaardwaarde.
- Het voorvoegsel verwijderd voor de CSS-eigenschappen "-webkit-appearance" en "-webkit-ruby-position", die nu beschikbaar zijn als ""En"".
- In JavaScript ondersteuning voor het markeren van methoden en eigenschappen van een klasse als privé, waarna toegang daartoe alleen binnen de klasse mogelijk is (voorheen konden alleen velden privé zijn). Methoden en eigenschappen als privé markeren: vóór de veldnaam staat een “#”-teken.
- In JavaScript ondersteunen (zwakke verwijzing) naar JavaScript-objecten waarmee u een verwijzing naar het object kunt behouden, maar die de garbage collector niet beletten het bijbehorende object te verwijderen. Er is ook ondersteuning voor finalizers toegevoegd, waardoor het mogelijk wordt een handler te definiëren die wordt aangeroepen nadat de garbage collection van het opgegeven object is voltooid.
- De lancering van applicaties op WebAssembly is versneld dankzij de implementatie in de initiële (baseline) Liftoff-compiler и . Hulpmiddelen voor het debuggen van WebAssembly zijn verbeterd, de debugging-prestaties zijn aanzienlijk verbeterd bij het gebruik van breekpunten (voorheen werd de tolk gebruikt voor het debuggen, en nu de Liftoff-compiler).
- In tools voor webontwikkelaars pphttps://developers.google.com/web/updates/2020/05/devtools is het paneel voor prestatieanalyse bijgewerkt. Algemene informatie over de statistiek toegevoegd (Totale blokkeertijd), die aangeeft hoe lang de pagina beschikbaar lijkt te zijn, maar in werkelijkheid niet beschikbaar is (dat wil zeggen: de pagina is al weergegeven, maar de uitvoering van de hoofdthread is nog steeds geblokkeerd en gegevensinvoer is niet mogelijk). Een nieuwe Experience-sectie toegevoegd voor metrische analyse (Cumulatieve lay-outverschuiving), die de visuele stabiliteit van de inhoud weerspiegelt. Het inspectiepaneel voor CSS-stijlen biedt een voorbeeld van afbeeldingen die zijn opgegeven via de eigenschap “background-image”.
Naast innovaties en bugfixes elimineert de nieuwe versie . Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met tools , , , и . Eén probleem (CVE-2020-6510, bufferoverloop in de ophaalachtergrondhandler) is gemarkeerd als kritiek, d.w.z. Hiermee kunt u alle niveaus van browserbeveiliging omzeilen en code uitvoeren op het systeem buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen uit te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, betaalde Google 26 beloningen ter waarde van $ 21500 (twee beloningen van $ 5000, twee beloningen van $ 3000, één beloning van $ 2000, twee beloningen van $ 1000 en drie beloningen van $ 500). De omvang van de 16 beloningen is nog niet vastgesteld.
Bron: opennet.ru