Google release van de webbrowser . Tegelijkertijd stabiele release van een gratis project , dat dient als basis van Chrome. Chrome-browser het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken . De volgende release van Chrome 87 staat gepland voor 17 november.
:
- Er is bescherming toegevoegd tegen het onveilig indienen van invoerformulieren op pagina's die zijn geladen via HTTPS, maar gegevens verzenden via HTTP, waardoor de dreiging ontstaat van gegevensonderschepping en spoofing tijdens MITM-aanvallen. Bescherming komt neer op drie veranderingen:
- Het automatisch invullen van gemengde invoerformulieren is uitgeschakeld, vergelijkbaar met hoe het automatisch invullen van authenticatieformulieren op pagina's die via HTTP zijn geopend al geruime tijd is uitgeschakeld. Was het voorheen een teken om uit te schakelen het openen van een pagina met een formulier via HTTPS of HTTP, nu wordt er ook rekening gehouden met het gebruik van encryptie bij het verzenden van gegevens naar de formulierbehandelaar. De wachtwoordbeheerder voor gemengde vormen van authenticatie is niet uitgeschakeld, omdat het risico van het gebruik van een onveilig wachtwoord en het hergebruiken van wachtwoorden op verschillende sites groter is dan het risico van mogelijke verkeersonderschepping.
- Wanneer u begint met het invoeren van gemengde formulieren, wordt er een waarschuwing weergegeven waarin de gebruiker wordt geïnformeerd dat de ingevulde gegevens via een niet-gecodeerd communicatiekanaal worden verzonden.
- Wanneer u een gemengd formulier probeert in te dienen, wordt er een aparte pagina weergegeven die u op de hoogte stelt van het potentiële risico van het verzenden van gegevens via een niet-gecodeerd communicatiekanaal. In eerdere versies werd een hangslotindicator in de adresbalk gebruikt om gemengde formulieren aan te geven, maar deze markering was niet duidelijk voor gebruikers en weerspiegelde niet effectief de risico's die ermee gepaard gingen.
- Blokkeren (zonder encryptie) van uitvoerbare bestanden wordt aangevuld met het blokkeren van onveilig laden van archieven (zip, iso, etc.) en het weergeven van waarschuwingen voor onveilig laden
documenten (docx, pdf, enz.). Documentblokkering en waarschuwingen voor afbeeldingen, tekst en mediabestanden worden in de volgende release verwacht. De blokkering wordt geïmplementeerd omdat het downloaden van bestanden zonder encryptie kan worden gebruikt om kwaadaardige acties uit te voeren door de inhoud te vervangen tijdens MITM-aanvallen. - Het standaardcontextmenu geeft de optie "Altijd volledige URL weergeven" weer, waarvoor voorheen het wijzigen van de instellingen op de about:flags-pagina nodig was om in te schakelen. De volledige URL kan ook worden bekeken door te dubbelklikken op de adresbalk. Laten we dat in gedachten houden, beginnend bij Standaard werd het adres weergegeven zonder protocol en het www-subdomein. IN de instelling om het oude gedrag terug te geven is verwijderd, maar na ontevredenheid van de gebruiker Er is een nieuwe experimentele vlag toegevoegd die een optie aan het contextmenu toevoegt om het verbergen en weergeven van de volledige URL onder alle omstandigheden uit te schakelen.
- Gelanceerd voor een klein percentage van de gebruikers op Standaard bevat de adresbalk alleen het domein, zonder padelementen en queryparameters. In plaats van 'https://example.com/secure-google-sign-in/' wordt bijvoorbeeld 'example.com' weergegeven. De voorgestelde modus zal naar verwachting in een van de volgende releases aan alle gebruikers worden aangeboden. Om dit gedrag uit te schakelen, kunt u de optie ‘Altijd volledige URL tonen’ gebruiken, en om de volledige URL te bekijken kunt u op de adresbalk klikken. Het motief voor de wijziging is de wens om gebruikers te beschermen tegen phishing waarbij parameters in de URL worden gemanipuleerd. Aanvallers maken misbruik van de onoplettendheid van gebruikers om de schijn te wekken dat ze een andere site openen en frauduleuze acties ondernemen (als dergelijke vervangingen voor de hand liggend zijn voor een technisch bekwame gebruiker). , dan vallen onervaren mensen gemakkelijk voor zulke eenvoudige manipulatie).
- Hervat om FTP-ondersteuning te verwijderen. In Chrome 86 is FTP standaard uitgeschakeld voor ongeveer 1% van de gebruikers, en in Chrome 87 wordt de reikwijdte van de uitschakeling vergroot tot 50%, maar de ondersteuning kan worden teruggebracht met behulp van de optie "--enable-ftp" of "- -enable-features=FtpProtocol" vlag. In Chrome 88 wordt FTP-ondersteuning volledig uitgeschakeld.
- In de versie voor Android, vergelijkbaar met de versie voor desktopsystemen, implementeert de wachtwoordbeheerder een controle van opgeslagen logins en wachtwoorden aan de hand van een database met gecompromitteerde accounts, waarbij een waarschuwing wordt weergegeven als er problemen worden gedetecteerd of als er wordt geprobeerd triviale wachtwoorden te gebruiken. De controle wordt uitgevoerd op een database die meer dan 4 miljard gecompromitteerde accounts omvat die in gelekte gebruikersdatabases voorkomen. Om de privacy te behouden Het hash-voorvoegsel wordt aan de kant van de gebruiker geverifieerd en de wachtwoorden zelf en hun volledige hashes worden niet extern verzonden.
- Ook beschikbaar in Android-versie de knop “Veiligheidscontrole” en de verbeterde beschermingsmodus tegen gevaarlijke sites (Enhanced Safe Browsing). De knop "Veiligheidscheck" toont een overzicht van mogelijke beveiligingsproblemen, zoals het gebruik van gecompromitteerde wachtwoorden, de status van het controleren van kwaadaardige sites (Safe Browsing), de aanwezigheid van niet-geïnstalleerde updates en de identificatie van kwaadaardige add-ons. De geavanceerde beveiligingsmodus activeert extra controles om u te beschermen tegen phishing, kwaadaardige activiteiten en andere bedreigingen op internet, en omvat ook extra bescherming voor uw Google-account en Google-services (Gmail, Drive, enz.). Als in de normale Safe Browsing-modus controles lokaal worden uitgevoerd met behulp van een database die periodiek op het systeem van de klant wordt geladen, wordt in Enhanced Safe Browsing informatie over pagina's en downloads in realtime ter verificatie verzonden aan de Google-zijde, waardoor u snel kunt reageren op bedreigingen onmiddellijk nadat ze zijn geïdentificeerd, zonder te wachten tot de lokale zwarte lijst is bijgewerkt.
- ondersteuning voor het indicatorbestand “.well-known/change-password”, waarmee site-eigenaren het adres van een webformulier kunnen opgeven voor het wijzigen van een wachtwoord. Als de inloggegevens van een gebruiker in gevaar komen, vraagt Chrome de gebruiker nu onmiddellijk een wachtwoordwijzigingsformulier op basis van de informatie in dit bestand.
- Er is een nieuwe "Veiligheidstip"-waarschuwing geïmplementeerd die wordt weergegeven bij het openen van sites waarvan het domein erg lijkt op een andere site en de heuristiek laat zien dat er een grote kans is op spoofing (bijvoorbeeld goog0le.com wordt geopend in plaats van google.com).
- ondersteuning voor de Back-Forward-cache, die directe navigatie biedt bij gebruik van de knoppen "Terug" en "Vooruit" of bij het navigeren door eerder bekeken pagina's van de huidige site. De cache wordt ingeschakeld met de instelling chrome://flags/#back-forward-cache.
- Er is een optimalisatie van het CPU-bronnenverbruik door Windows uitgevoerd
buiten bereik. Chrome controleert of het browservenster wordt overlapt door andere vensters en voorkomt dat er pixels worden getekend in overlappende gebieden. Deze optimalisatie is ingeschakeld voor een klein percentage van de gebruikers in Chrome 84 en 85 en is nu overal ingeschakeld. Vergeleken met eerdere releases is ook een incompatibiliteit met virtualisatiesystemen opgelost die ervoor zorgde dat er blanco witte pagina's verschenen. - Verbeterde inkorting van bronnen voor tabbladen op de achtergrond. Dergelijke tabbladen kunnen niet meer dan 1% van de CPU-bronnen verbruiken en kunnen niet vaker dan één keer per minuut worden geactiveerd. Na vijf minuten op de achtergrond worden tabbladen bevroren, behalve tabbladen die multimedia-inhoud afspelen of opnemen.
- Werken aan HTTP-header User-Agent. In de nieuwe versie is ondersteuning voor het mechanisme voor alle gebruikers geactiveerd , ontwikkeld als vervanging voor User-Agent. Het nieuwe mechanisme houdt in dat gegevens over specifieke browser- en systeemparameters (versie, platform, enz.) selectief worden geretourneerd na een verzoek van de server, en geeft gebruikers de mogelijkheid om dergelijke informatie selectief aan site-eigenaren te verstrekken. Bij gebruik van User-Agent Client Hints wordt de identificatie niet standaard verzonden zonder uitdrukkelijk verzoek, waardoor passieve identificatie onmogelijk is (standaard wordt alleen de browsernaam aangegeven).
- Veranderde de indicatie van de aanwezigheid van een update en de noodzaak om de browser opnieuw op te starten om deze te installeren. In plaats van een gekleurde pijl in het accountavatarveld verschijnt nu de inscriptie "Update".
- Er is gewerkt aan het omzetten van de browser naar het gebruik van inclusieve terminologie. In beleidsnamen zijn de woorden ‘witte lijst’ en ‘zwarte lijst’ vervangen door ‘toelatingslijst’ en ‘blokkeerlijst’ (reeds toegevoegd beleid blijft werken, maar er wordt een waarschuwing weergegeven dat deze wordt beëindigd). IN и verwijzingen naar "zwarte lijst" zijn vervangen door "blokkeerlijst".
Voor de gebruiker zichtbare verwijzingen naar ‘zwarte lijst’ en ‘witte lijst’ zijn begin 2019 vervangen. - Een experimentele mogelijkheid toegevoegd om opgeslagen wachtwoorden te bewerken, geactiveerd met de vlag "chrome://flags/#edit-passwords-in-settings".
- Geconverteerd naar stabiele en openbare API , waarmee u webtoepassingen kunt maken die communiceren met bestanden in het lokale bestandssysteem. Er kan bijvoorbeeld veel vraag zijn naar de nieuwe API in browsergebaseerde geïntegreerde ontwikkelomgevingen, tekst-, beeld- en video-editors. Om direct bestanden te kunnen schrijven en lezen of dialoogvensters te gebruiken om bestanden te openen en op te slaan, en om door de inhoud van mappen te navigeren, vraagt de applicatie de gebruiker om een speciale bevestiging.
- CSS-kiezer toegevoegd "“, die dezelfde heuristieken gebruikt die de browser gebruikt bij het beslissen of de focusveranderingsindicator moet worden weergegeven (wanneer de focus naar een knop wordt verplaatst met behulp van sneltoetsen, verschijnt de indicator, maar wanneer hij met de muis klikt, niet). De eerder beschikbare CSS-selector ":focus" benadrukt altijd de focus.
Daarnaast is de optie “Quick Focus Highlight” toegevoegd aan de instellingen, indien ingeschakeld wordt naast actieve elementen een extra focusindicator getoond, die zichtbaar blijft zelfs als stijlelementen voor het visueel benadrukken van de focus via CSS op de pagina zijn uitgeschakeld . - Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
- voor toegang op laag niveau tot HID-apparaten (menselijke interface-apparaten, toetsenborden, muizen, gamepads, aanraakpanelen), zodat u de logica van het werken met een HID-apparaat in JavaScript kunt implementeren om het werk met zeldzame HID-apparaten te organiseren zonder de aanwezigheid van specifieke stuurprogramma's in het systeem.
Allereerst is de nieuwe API gericht op het bieden van ondersteuning voor gamepads. - breidt de Window Placement API uit om configuraties met meerdere schermen te ondersteunen. In tegenstelling tot window.screen kunt u met de nieuwe API de plaatsing van een venster in de totale schermruimte van systemen met meerdere monitoren manipuleren, zonder beperkt te zijn tot het huidige scherm.
- Metatag , waarmee de site de browser kan informeren over de noodzaak om modi te activeren om het energieverbruik te verminderen en de CPU-belasting te optimaliseren.
- API om potentiële overtredingen van de isolatievoorschriften te melden (COEP) en (COOP), zonder daadwerkelijke beperkingen op te leggen.
- In API er is een nieuw type referenties voorgesteld , waarmee een aanvullende bevestiging wordt gegeven van de uitgevoerde betalingstransactie. Een vertrouwende partij, zoals een bank, heeft de mogelijkheid om een publieke sleutel, een PublicKeyCredential, te genereren, die door de handelaar kan worden opgevraagd voor een extra veilige betalingsbevestiging.
- voor toegang op laag niveau tot HID-apparaten (menselijke interface-apparaten, toetsenborden, muizen, gamepads, aanraakpanelen), zodat u de logica van het werken met een HID-apparaat in JavaScript kunt implementeren om het werk met zeldzame HID-apparaten te organiseren zonder de aanwezigheid van specifieke stuurprogramma's in het systeem.
- In API om de kanteling van de stylus te bepalen is er ondersteuning toegevoegd voor hoogtehoeken (de hoek tussen de stylus en het scherm) en azimut (de hoek tussen de X-as en de projectie van de stylus op het scherm), in plaats van de TiltX en Kantelhoeken (de hoeken tussen het vlak van de stylus en een van de assen en het vlak van de Y- en Y-assen Z). Ook conversiefuncties toegevoegd tussen hoogte/azimut en TiltX/TiltY.
- Gewijzigde codering van ruimte in URL wanneer deze wordt geëvalueerd in protocolhandlers - methode navigator.registerProtocolHandler() vervangt spaties nu door "%20" in plaats van "+", wat het gedrag verenigt met andere browsers zoals Firefox.
- CSS-pseudo-element toegevoegd "", waarmee u de kleur, de grootte, de vorm en het type van getallen en punten voor vermeldingen in blokken kunt aanpassen En .
- Ondersteuning voor HTTP-headers toegevoegd , regels voor toegang tot documenten, vergelijkbaar met het sandbox-isolatiemechanisme voor iframes, maar universeler. Via Document-Policy kunt u bijvoorbeeld het gebruik van afbeeldingen van lage kwaliteit beperken, langzame JavaScript-API's uitschakelen, regels configureren voor het laden van iframes, afbeeldingen en scripts, de algehele documentgrootte en het verkeer beperken, methoden verbieden die leiden tot het opnieuw tekenen van pagina's, de functie .
- Naar element ondersteuning toegevoegd voor 'inline-grid', 'grid', 'inline-flex' en 'flex' parameters ingesteld via de 'display' CSS-eigenschap.
- Methode toegevoegd om alle kinderen van een ouderknooppunt te vervangen door een ander DOM-knooppunt. Voorheen kon u een combinatie van node.removeChild() en node.append() of node.innerHTML en node.append() gebruiken om knooppunten te vervangen.
- het bereik van URL-schema's die mogen worden overschreven met behulp van registerProtocolHandler(). De lijst met schema's omvat de gedecentraliseerde protocollen cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns en ssb, waarmee u links naar elementen kunt definiëren, ongeacht de site of gateway die toegang biedt tot de bron.
- In API ondersteuning toegevoegd voor het tekst/html-formaat voor het kopiëren en plakken van HTML via het klembord (gevaarlijke HTML-constructies worden opgeruimd bij het schrijven en lezen naar het klembord). Met de wijziging kunt u bijvoorbeeld het invoegen en kopiëren van opgemaakte tekst met afbeeldingen en links in webeditors organiseren.
- In WebRTC de mogelijkheid om uw eigen gegevensbehandelaars aan te sluiten die worden opgeroepen tijdens de coderings- of decoderingsfasen van WebRTC MediaStreamTrack. Deze mogelijkheid kan bijvoorbeeld worden gebruikt om ondersteuning toe te voegen voor end-to-end-codering van gegevens die via tussenliggende servers worden verzonden.
- In JavaScript-engine V8 met 75% implementatie van Number.prototype.toString. Eigenschap .name toegevoegd aan asynchrone klassen met een lege waarde. De Atomics.wake-methode is verwijderd, die ooit werd hernoemd naar Atomics.notify om te voldoen aan de ECMA-262-specificatie. Fuzzing-testtoolkitcode geopend .
- De Liftoff-basislijncompiler voor WebAssembly, uitgebracht in de laatste release, biedt de mogelijkheid om vectorinstructies te gebruiken om berekeningen te versnellen. Afgaande op de tests maakte optimalisatie het mogelijk om sommige tests 2.8 keer te versnellen. Een andere optimalisatie maakte het veel sneller om geïmporteerde JavaScript-functies van WebAssembly aan te roepen.
- hulpmiddelen voor webontwikkelaars: het paneel Media heeft informatie toegevoegd over de spelers die worden gebruikt om video op de pagina af te spelen, inclusief gebeurtenisgegevens, logboeken, eigenschapswaarden en framedecoderingsparameters (u kunt bijvoorbeeld de oorzaken van frameverlies en interactieproblemen bepalen van JavaScript).
In het contextmenu van het Elementenpaneel is de mogelijkheid toegevoegd om schermafbeeldingen van het geselecteerde element te maken (u kunt bijvoorbeeld een schermafbeelding maken van de inhoudsopgave of tabel).
In de webconsole is het probleemwaarschuwingspaneel vervangen door een normaal bericht, en problemen met cookies van derden worden standaard verborgen op het tabblad Problemen en worden ingeschakeld met een speciaal selectievakje.
De knop "Lokale lettertypen uitschakelen" is toegevoegd aan het tabblad Rendering, waarmee u de afwezigheid van lokale lettertypen kunt simuleren, en het tabblad Sensoren heeft de mogelijkheid om gebruikersinactiviteit te simuleren (voor toepassingen die de Idle Detection API gebruiken).
Het toepassingspaneel biedt gedetailleerde informatie over elk iframe, open venster en pop-up, inclusief informatie over Cross-Origin-isolatie met behulp van COEP en COOP.
- vervanging van protocolimplementatie naar de optie ontwikkeld in de IETF-specificatie, in plaats van de Google QUIC-optie.
Naast innovaties en bugfixes elimineert de nieuwe versie . Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met tools , , , и . Eén kwetsbaarheid (CVE-2020-15967, toegang tot vrijgemaakt geheugen in code voor interactie met Google Payments) wordt als kritiek aangemerkt, namelijk: Hiermee kunt u alle niveaus van browserbeveiliging omzeilen en code uitvoeren op het systeem buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen uit te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, betaalde Google 27 beloningen ter waarde van $71500 (één beloning van $15000, drie beloningen van $7500, vijf beloningen van $5000, twee beloningen van $3000, één beloning van $200 en twee beloningen van $500). De omvang van 13 beloningen is nog niet bepaald.
Bron: opennet.ru