ProHoster > Log > Internett-nyheter > Chrome 86

Chrome 86

Den neste utgivelsen av Chrome 86 og den stabile utgivelsen av Chromium er utgitt.

Viktige endringer i Chrome 86:

  • beskyttelse mot usikker innsending av inndataskjemaer på sider lastet over HTTPS, men som sender data over HTTP.
  • Blokkering av usikre nedlastinger (http) av kjørbare filer kompletteres med blokkering av usikre nedlastinger av arkiver (zip, iso, etc.) og visning av advarsler for usikker nedlasting av dokumenter (docx, pdf, etc.). Dokumentblokkering og advarsler for bilder, tekst og mediefiler forventes i neste utgivelse. Blokkeringen er implementert fordi nedlasting av filer uten kryptering kan brukes til å utføre ondsinnede handlinger ved å erstatte innholdet under MITM-angrep.
  • Standard kontekstmenyen viser alternativet "Vis alltid full URL", som tidligere krevde å endre innstillingene på about:flags-siden for å aktivere. Den fullstendige URL-en kan også vises ved å dobbeltklikke på adresselinjen. La oss minne deg på at fra og med Chrome 76 begynte adressen som standard å bli vist uten protokollen og www-underdomenet. I Chrome 79 ble innstillingen for å returnere den gamle atferden fjernet, men etter brukerens misnøye ble det lagt til et nytt eksperimentelt flagg i Chrome 83 som legger til et alternativ i kontekstmenyen for å deaktivere skjul og vise hele nettadressen under alle forhold.
    For en liten prosentandel av brukerne har det blitt lansert et eksperiment for å vise bare domenet i adressefeltet som standard, uten baneelementer og søkeparametere. For eksempel, i stedet for "https://example.com/secure-google-sign-in/" «example.com» vises. Den foreslåtte modusen forventes å bli brakt til alle brukere i en av de neste utgivelsene. For å deaktivere denne oppførselen kan du bruke alternativet "Vis alltid full URL", og for å se hele URL-en kan du klikke på adresselinjen. Motivet for endringen er ønsket om å beskytte brukere mot nettfisking som manipulerer parametere i URL-en – angripere utnytter brukernes uoppmerksomhet for å skape inntrykk av å åpne et annet nettsted og begå uredelige handlinger (hvis slike erstatninger er åpenbare for en teknisk kompetent bruker , da faller uerfarne mennesker lett for slik enkel manipulasjon).
  • Initiativet for å fjerne FTP-støtte er fornyet. I Chrome 86 er FTP deaktivert som standard for omtrent 1 % av brukerne, og i Chrome 87 vil omfanget av deaktiveringen økes til 50 %, men støtten kan hentes tilbake ved å bruke «--enable-ftp» eller «- -enable-features=FtpProtocol" flagg. I Chrome 88 vil FTP-støtte være fullstendig deaktivert.
  • I versjonen for Android, lik versjonen for skrivebordssystemer, implementerer passordbehandleren en sjekk av lagrede pålogginger og passord mot en database med kompromitterte kontoer, og viser en advarsel hvis problemer oppdages eller et forsøk på å bruke trivielle passord. Kontrollen utføres mot en database som dekker mer enn 4 milliarder kompromitterte kontoer som dukket opp i lekkede brukerdatabaser. For å opprettholde personvernet, verifiseres hash-prefikset på brukerens side, og selve passordene og deres fullstendige hashen overføres ikke eksternt.
  • "Sikkerhetssjekk"-knappen og den forbedrede beskyttelsesmodusen mot farlige nettsteder (Enhanced Safe Browsing) er også overført til Android-versjonen. "Sikkerhetssjekk"-knappen viser en oppsummering av mulige sikkerhetsproblemer, for eksempel bruk av kompromitterte passord, status for sjekking av skadelige nettsteder (Safe Browsing), tilstedeværelsen av avinstallerte oppdateringer og identifisering av ondsinnede tillegg. Avansert beskyttelsesmodus aktiverer tilleggssjekker for å beskytte mot nettfisking, ondsinnet aktivitet og andre trusler på nettet, og inkluderer også ekstra beskyttelse for Google-kontoen din og Google-tjenester (Gmail, Disk, etc.). Hvis det i normal Safe Browsing-modus utføres kontroller lokalt ved hjelp av en database som periodisk lastes inn på klientens system, sendes informasjon om sider og nedlastinger i sanntid for verifisering på Google-siden i Enhanced Safe Browsing, som lar deg raskt svare på trusler umiddelbart etter at de er identifisert, uten å vente til den lokale svartelisten er oppdatert.
  • Lagt til støtte for indikatorfilen ".velkjent/endre-passord", som nettstedeiere kan angi adressen til nettskjemaet for endring av passord med. Hvis en brukers legitimasjon er kompromittert, vil Chrome nå umiddelbart be brukeren om et passordendringsskjema basert på informasjonen i denne filen.
  • En ny "Sikkerhetstips"-advarsel er implementert, som vises når du åpner nettsteder hvis domene er veldig likt et annet nettsted, og heuristikk viser at det er stor sannsynlighet for forfalskning (for eksempel åpnes goog0le.com i stedet for google.com).

    * Støtte for Back-forward-bufferen er implementert, og gir umiddelbar navigering når du bruker "Tilbake" og "Forover"-knappene eller når du navigerer gjennom tidligere viste sider på gjeldende side. Bufferen er aktivert ved å bruke chrome://flags/#back-forward-cache-innstillingen.

  • Optimalisering av CPU-ressursforbruk for vinduer utenfor rekkevidde. Chrome sjekker om nettleservinduet overlappes av andre vinduer og forhindrer tegning av piksler i områder med overlapping. Denne optimaliseringen ble aktivert for en liten prosentandel av brukerne i Chrome 84 og 85 og er nå aktivert overalt. Sammenlignet med tidligere utgivelser har en inkompatibilitet med virtualiseringssystemer som førte til at det ble vist tomme hvite sider også blitt løst.
  • Økt ressurstrimming for bakgrunnsfaner. Slike faner kan ikke lenger bruke mer enn 1 % av CPU-ressursene og kan ikke aktiveres mer enn én gang per minutt. Etter fem minutter med å være i bakgrunnen, fryses faner, med unntak av faner som spiller av multimedieinnhold eller tar opp.
  • Arbeidet med å forene User-Agent HTTP-headeren har gjenopptatt. I den nye versjonen er støtte for User-Agent Client Hints-mekanismen, utviklet som en erstatning for User-Agent, aktivert for alle brukere. Den nye mekanismen innebærer selektivt å returnere data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) kun etter en forespørsel fra serveren og gi brukere muligheten til å selektivt gi slik informasjon til nettstedseiere. Når du bruker User-Agent Client Hints, overføres ikke identifikatoren som standard uten en eksplisitt forespørsel, noe som gjør passiv identifikasjon umulig (som standard er bare nettlesernavnet angitt).
    Indikasjonen på tilstedeværelsen av en oppdatering og behovet for å starte nettleseren på nytt for å installere den er endret. I stedet for en farget pil, vises nå "Oppdater" i kontoavatarfeltet.
  • Det er utført arbeid for å konvertere nettleseren til å bruke inkluderende terminologi. I policynavn er ordene "hviteliste" og "svarteliste" erstattet med "tillatelsesliste" og "blokkeringsliste" (allerede tillagte retningslinjer vil fortsette å fungere, men de vil vise en advarsel om å bli avviklet). I kode- og filnavn er referanser til "svarteliste" erstattet med "blokkeringsliste". Brukersynlige referanser til "svarteliste" og "hviteliste" ble erstattet i begynnelsen av 2019.
    Lagt til en eksperimentell mulighet for å redigere lagrede passord, aktivert ved hjelp av flagget "chrome://flags/#edit-passwords-in-settings".
  • Native File System API har blitt overført til kategorien stabil og offentlig tilgjengelig API, slik at du kan lage webapplikasjoner som samhandler med filer i det lokale filsystemet. For eksempel kan det nye API-et være etterspurt i nettleserbaserte integrerte utviklingsmiljøer, tekst-, bilde- og videoredigerere. For å kunne skrive og lese filer direkte eller bruke dialogbokser til å åpne og lagre filer, samt å navigere gjennom innholdet i kataloger, ber applikasjonen brukeren om spesiell bekreftelse.
  • Lagt til en CSS-velger ":focus-visible", som bruker den samme heuristikken som nettleseren bruker når den bestemmer seg for å vise fokusendringsindikatoren (når du flytter fokus til en knapp ved hjelp av hurtigtaster, vises indikatoren, men når du klikker med musen , det gjør ikke). Den tidligere tilgjengelige CSS-velgeren ":focus" fremhever alltid fokus. I tillegg er alternativet "Quick Focus Highlight" lagt til innstillingene, når det er aktivert vil en ekstra fokusindikator vises ved siden av aktive elementer, som forblir synlig selv om stilelementer for visuell fremheving av fokus er deaktivert på siden via CSS.
  • Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
  • WebHID API for lavnivåtilgang til HID-enheter (Human interface-enheter, tastaturer, mus, gamepads, touchpads), som lar deg implementere logikken i å jobbe med en HID-enhet i JavaScript for å organisere arbeid med sjeldne HID-enheter uten tilstedeværelse av spesifikke drivere i systemet. Først av alt er den nye API-en rettet mot å gi støtte for gamepads.
  • Screen Information API, utvider Window Placement API til å støtte flerskjermskonfigurasjoner. I motsetning til window.screen, lar den nye APIen deg manipulere plasseringen av et vindu i det totale skjermrommet til multimonitorsystemer, uten å være begrenset til gjeldende skjerm.
  • Metatag batterisparing, som nettstedet kan informere nettleseren om behovet for å aktivere moduser for å redusere strømforbruket og optimalisere CPU-belastningen.
  • COOP Reporting API for å rapportere potensielle brudd på isolasjonsmodusene Cross-Origin-Embedder-Policy (COEP) og Cross-Origin-Opener-Policy (COOP), uten å bruke faktiske begrensninger.
  • Credential Management API tilbyr en ny type legitimasjon, PaymentCredential, som gir ytterligere bekreftelse på at betalingstransaksjonen utføres. En pålitelig part, for eksempel en bank, har muligheten til å generere en offentlig nøkkel, en PublicKeyCredential, som kan bli forespurt av selgeren for ytterligere sikker betalingsbekreftelse.
  • PointerEvents API for å bestemme vinkelen til pekepennen* har lagt til støtte for høydevinkler (vinkelen mellom pekepennen og skjermen) og asimut (vinkelen mellom X-aksen og projeksjonen av pekepennen på skjermen), i stedet for TiltX- og TiltY-vinkler (vinklene mellom planet fra pekepennen og en av aksene og planet fra Y- og Z-aksene). Også lagt til konverteringsfunksjoner mellom høyde/azimut og TiltX/TiltY.
  • Endret kodingen av plass i URL-er ved beregning av det i protokollbehandlere - navigator.registerProtocolHandler()-metoden erstatter nå mellomrom med "%20" i stedet for "+", som forener oppførselen med andre nettlesere som Firefox.
  • Et pseudo-element "::marker" er lagt til CSS, slik at du kan tilpasse farge, størrelse, form og type tall og prikker for oppføringer i blokker Og .
  • Lagt til støtte for HTTP-header for Document-Policy, som lar deg angi regler for tilgang til dokumenter, lik sandkasse-isolasjonsmekanismen for iframes, men mer universell. Gjennom Document-Policy kan du for eksempel begrense bruken av bilder av lav kvalitet, deaktivere trege JavaScript-API-er, konfigurere regler for lasting av iframes, bilder og skript, begrense den totale dokumentstørrelsen og trafikken, forby metoder som fører til sidetegning, og deaktiver Scroll-To-Text-funksjonen.
  • Å element lagt til støtte for 'inline-grid', 'grid', 'inline-flex' og 'flex' parametere satt via 'display' CSS-egenskapen.
  • Lagt til ParentNode.replaceChildren()-metoden for å erstatte alle underordnede av en overordnet node med en annen DOM-node. Tidligere kunne du bruke en kombinasjon av node.removeChild() og node.append() eller node.innerHTML og node.append() for å erstatte noder.
  • Utvalget av URL-skjemaer som kan overstyres ved hjelp av registerProtocolHandler() har blitt utvidet. Listen over skjemaer inkluderer de desentraliserte protokollene cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, som lar deg definere lenker til elementer uavhengig av nettstedet eller gatewayen som gir tilgang til ressursen.
  • Lagt til støtte for tekst/html-format til Asynchronous Clipboard API for å kopiere og lime inn HTML via utklippstavlen (farlige HTML-konstruksjoner blir ryddet opp når du skriver og leser til utklippstavlen). Endringen lar deg for eksempel organisere innsetting og kopiering av formatert tekst med bilder og lenker i nettredaktører.
  • WebRTC har lagt til muligheten til å koble til sine egne databehandlere, kalt på kodings- eller dekodingsstadiene til WebRTC MediaStreamTrack. For eksempel kan denne funksjonen brukes til å legge til støtte for ende-til-ende-kryptering av data som overføres gjennom mellomliggende servere.
    I V8 JavaScript-motoren har implementeringen av Number.prototype.toString blitt akselerert med 75 %. Lagt til .name-egenskapen til asynkrone klasser med en tom verdi. Atomics.wake-metoden er fjernet, som på et tidspunkt ble omdøpt til Atomics.notify for å overholde ECMA-262-spesifikasjonen. Koden for fuzzing-testverktøyet JS-Fuzzer er åpen.
  • Liftoff baseline-kompilatoren for WebAssembly utgitt i den siste utgivelsen inkluderer muligheten til å bruke SIMD-vektorinstruksjoner for å fremskynde beregningene. Etter testene å dømme, gjorde optimalisering det mulig å fremskynde enkelte tester med 2.8 ganger. En annen optimalisering gjorde det mye raskere å kalle opp importerte JavaScript-funksjoner fra WebAssembly.
  • Verktøy for webutviklere er utvidet: Mediepanelet har lagt til informasjon om spillerne som brukes til å spille av video på siden, inkludert hendelsesdata, logger, egenskapsverdier og rammedekodingsparametere (du kan for eksempel bestemme årsakene til frame tap og interaksjonsproblemer fra JavaScript).
  • I kontekstmenyen til Elementer-panelet er muligheten til å lage skjermbilder av det valgte elementet lagt til (du kan for eksempel lage et skjermbilde av innholdsfortegnelsen eller tabellen).
  • I nettkonsollen er problemadvarselspanelet erstattet med en vanlig melding, og problemer med tredjeparts informasjonskapsler er skjult som standard i problemer-fanen og er aktivert med en spesiell avmerkingsboks.
  • I Rendering-fanen er det lagt til en «Deaktiver lokale fonter»-knapp, som lar deg simulere fravær av lokale fonter, og i Sensorer-fanen kan du nå simulere brukerinaktivitet (for applikasjoner som bruker Idle Detection API).
  • Applikasjonspanelet gir detaljert informasjon om hver iframe, åpent vindu og popup, inkludert informasjon om Cross-Origin-isolasjon ved bruk av COEP og COOP.

Implementeringen av QUIC-protokollen har begynt å bli erstattet av versjonen utviklet i IETF-spesifikasjonen, i stedet for Google-versjonen av QUIC.
I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 35 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Én sårbarhet (CVE-2020-15967, tilgang til frigjort minne i kode for samhandling med Google Payments) er merket som kritisk, dvs. lar deg omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 27 priser verdt $71500 15000 (én pris på $7500 5000, tre priser på $3000 200, fem priser på $500 13, to priser på $XNUMX XNUMX, en pris på $XNUMX og to priser på $XNUMX). Størrelsen på XNUMX belønninger er ennå ikke bestemt.

Tatt fra Opennet.ru

Kilde: linux.org.ru

Legg til en kommentar