ProHoster > Log > Internett-nyheter > Chrome 86

Chrome 86

Den nyeste versjonen av Chrome 86 og den stabile versjonen av Chromium er utgitt.

Viktige endringer i Chrome 86:

  • beskyttelse mot usikker innsending av inndataskjemaer på sider lastet inn via HTTPS, men som sender data via HTTP.
  • Blokkering av usikre nedlastinger (http) av kjørbare filer er supplert med blokkering av usikre nedlastinger av arkiver (zip, iso osv.) og visning av advarsler for usikre nedlastinger av dokumenter (docx, pdf osv.). I neste utgivelse forventes det blokkering av dokumenter og visning av advarsler for bilder, tekst og multimediefiler. Blokkering er implementert fordi nedlasting av filer uten kryptering kan brukes til å utføre ondsinnede handlinger ved å erstatte innholdet under MITM-angrep.
  • Standard kontekstmenyen viser alternativet «Vis alltid fullstendig URL», som tidligere krevde endring av innstillingene på about:flags-siden. Den fullstendige URL-en kan også vises ved å dobbeltklikke på adressefeltet. Som en påminnelse, fra og med Chrome 76 ble adressen vist uten protokollen og www-underdomenet som standard. I Chrome 79 ble innstillingen for å returnere den gamle oppførselen fjernet, men etter brukermisnøye ble et nytt eksperimentelt flagg lagt til i Chrome 83, som la til et element i kontekstmenyen for å deaktivere skjuling og visning av den fullstendige URL-en under alle omstendigheter.
    For en liten andel av brukerne er det lansert et eksperiment for å vise bare domenet i adressefeltet som standard, uten stielementer og spørreparametere. For eksempel, i stedet for "https://example.com/secure-google-sign-in/" vil vise «example.com». Den foreslåtte modusen forventes å bli tilgjengelig for alle brukere i en av de neste utgivelsene. For å deaktivere denne oppførselen kan du bruke alternativet «Vis alltid full URL», og for å se hele URL-en kan du klikke på adressefeltet. Motivasjonen for endringen oppgis å være ønsket om å beskytte brukere mot phishing, som manipulerer parametere i URL-en – angripere utnytter brukernes uoppmerksomhet for å skape inntrykk av å åpne et annet nettsted og begå uredelige handlinger (mens slike erstatninger er åpenbare for en teknisk kyndig bruker, kjøper uerfarne vanlige folk lett slike enkle manipulasjoner).
  • Initiativet for fjerning av FTP har blitt gjenopplivet. Chrome 86 deaktiverer FTP som standard for omtrent 1 % av brukerne, og Chrome 87 vil øke dekningen til 50 %, men vil tillate at støtten gjenopprettes ved hjelp av flagget "--enable-ftp" eller "--enable-features=FtpProtocol". Chrome 88 vil deaktivere FTP-støtte fullstendig.
  • I versjonen for Android по аналогии с версией для настольных систем в менеджере паролей реализована проверка сохранённых логинов и паролей по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем или попытке использования тривиальных паролей. Проверка выполняется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Для сохранения приватности применяется сверка хэш-префикса на стороне пользователя, а сами пароли и их полные хэши не передаются во вне.
  • I versjonen for Android также перенесены кнопка «Проверка безопасности» (Safety check) и расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing). Кнопка «Safety check» показывает сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. Расширенный режим защиты активирует дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web, а также включает дополнительную защиту для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновится локальный чёрный список.
  • La til støtte for indikatorfilen «.well-known/change-password», som lar nettstedseiere angi adressen til et nettskjema for å endre et passord. Hvis en brukers legitimasjon blir kompromittert, vil Chrome nå umiddelbart tilby brukeren et skjema for å endre passordet, bestemt basert på informasjonen i denne filen.
  • En ny "Sikkerhetstips"-advarsel er implementert, som vises når du åpner nettsteder hvis domene er veldig likt et annet nettsted, og heuristikk viser at det er stor sannsynlighet for forfalskning (for eksempel åpnes goog0le.com i stedet for google.com).

    * Implementert støtte for frem-tilbake-cache, som gir umiddelbar overgang når du bruker Tilbake- og Frem-knappene eller når du navigerer gjennom tidligere viste sider på gjeldende nettsted. Cachen aktiveres ved hjelp av innstillingen chrome://flags/#back-forward-cache.

  • Optimalisering av CPU-forbruk for vinduer utenfor området. Chrome sjekker om nettleservinduet overlappes av andre vinduer og forhindrer at piksler tegnes i overlappende områder. Denne optimaliseringen ble aktivert for en liten prosentandel av brukerne i Chrome 84 og 85, og er nå aktivert overalt. Sammenlignet med tidligere utgivelser, fikser den også en inkompatibilitet med virtualiseringssystemer som forårsaket at blanke hvite sider dukket opp.
  • Økt ressurstrimming for bakgrunnsfaner. Slike faner kan ikke lenger bruke mer enn 1 % av CPU-ressursene og kan ikke aktiveres mer enn én gang per minutt. Etter fem minutter med å være i bakgrunnen, fryses faner, med unntak av faner som spiller av multimedieinnhold eller tar opp.
  • Arbeidet med å forene HTTP User-Agent-headeren er gjenopptatt. I den nye versjonen er støtte for User-Agent Client Hints-mekanismen, utviklet som en erstatning for User-Agent, aktivert for alle brukere. Den nye mekanismen innebærer selektiv retur av data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) kun etter en forespørsel fra serveren, og gir brukerne muligheten til å selektivt gi slik informasjon til nettstedseiere. Når man bruker User-Agent Client Hints, overføres ikke identifikatoren som standard uten en eksplisitt forespørsel, noe som gjør passiv identifikasjon umulig (bare nettlesernavnet er angitt som standard).
    Indikasjonen på tilstedeværelsen av en oppdatering og behovet for å starte nettleseren på nytt for å installere den er endret. I stedet for en farget pil, vises nå "Oppdater" i kontoavatarfeltet.
  • Det er arbeidet med å overføre nettleseren til å bruke inkluderende terminologi. I policynavn er ordene «hvitliste» og «svarteliste» erstattet med «tillatelsesliste» og «blokkeringsliste» (policyer som allerede er lagt til vil fortsette å fungere, men en advarsel om å flytte dem til avskrivningskategorien vil vises for dem). I kode- og filnavnene er omtaler av «svarteliste» erstattet med «blokkeringsliste». Omtaler av «svarteliste» og «hvitliste» som er synlige for brukeren, ble erstattet tidlig i 2019.
    Lagt til en eksperimentell mulighet for å redigere lagrede passord, aktivert ved hjelp av flagget "chrome://flags/#edit-passwords-in-settings".
  • API-et for native filsystemer er flyttet til den stabile og offentlig tilgjengelige kategorien, noe som tillater opprettelse av webapplikasjoner som samhandler med filer i den lokale FS-en. For eksempel kan det nye API-et være etterspurt i integrerte utviklingsmiljøer som lanseres i nettleser-, tekst-, bilde- og videoredigeringsprogrammer. For å kunne skrive og lese filer direkte eller bruke dialogbokser for å åpne og lagre filer, samt for å navigere i innholdet i kataloger, ber applikasjonen brukeren om en spesiell bekreftelse.
  • Lagt til CSS-velgeren «:focus-visible», som bruker de samme heuristikkene som nettleseren bruker når den bestemmer om fokusendringsindikatoren skal vises (indikatoren vises når fokus flyttes til en knapp ved hjelp av hurtigtaster, men ikke når du klikker med musen). Den tidligere tilgjengelige CSS-velgeren «:focus» uthever alltid fokuset. I tillegg er alternativet «Hurtig fokusutheving» lagt til i innstillingene. Når den er aktivert, vises en ekstra fokusindikator ved siden av aktive elementer, som forblir synlig selv om stilelementene for visuell fokusutheving er deaktivert på siden via CSS.
  • Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
  • WebHID API for lavnivåtilgang til HID-enheter (grensesnitt, tastaturer, mus, spillkontrollere, berøringspaneler), som lar deg implementere logikk for å jobbe med HID-enheter i JavaScript for å organisere arbeid med sjeldne HID-enheter uten å ha spesifikke drivere i systemet. Først og fremst er det nye API-et rettet mot å gi støtte for spillkontrollere.
  • Screen Information API utvider funksjonaliteten til Window Placement API for å støtte flerskjermskonfigurasjoner. I motsetning til window.screen lar det nye API-et deg manipulere plasseringen av et vindu i det totale skjermområdet i flerskjermssystemer, uten å være begrenset til gjeldende skjerm.
  • Metataggen for batterisparing, som et nettsted kan bruke til å informere nettleseren om behovet for å aktivere strømsparingsmoduser og optimalisere CPU-belastningen.
  • COOP Reporting API for rapportering av potensielle brudd på isolasjonsmodusene Cross-Origin-Embedder-Policy (COEP) og Cross-Origin-Opener-Policy (COOP), uten å bruke faktiske restriksjoner.
  • API-et for legitimasjonsstyring introduserer en ny PaymentCredential-legitimasjonstype som gir ytterligere bekreftelse på at betalingstransaksjonen utføres. Den avhengige parten, for eksempel en bank, har muligheten til å generere en PublicKeyCredential som kan forespørres av selgeren for ytterligere sikker bekreftelse av betalingen.
  • PointerEvents API for å oppdage pekepennens helling* støtter nå høydevinkler (vinkelen mellom pekepennen og skjermen) og asimutvinkler (vinkelen mellom X-aksen og pekepennens projeksjon på skjermen), i stedet for TiltX og TiltY (vinklene mellom planet fra pekepennen og en av aksene og planet fra Y- og Z-aksene). Det er også lagt til funksjoner for å konvertere mellom høyde/asimut og TiltX/TiltY.
  • Endret kodingen av plass i URL-er ved beregning av det i protokollbehandlere - navigator.registerProtocolHandler()-metoden erstatter nå mellomrom med "%20" i stedet for "+", som forener oppførselen med andre nettlesere som Firefox.
  • Pseudo-elementet «::marker» er lagt til i CSS, slik at du kan tilpasse farge, størrelse, form og type tall og prikker for lister i blokker. Og .
  • La til støtte for HTTP-headeren Document-Policy, som lar deg angi regler for dokumenttilgang som ligner på sandkasse-isoleringsmekanismen for iframes, men mer allsidig. For eksempel kan du via Document-Policy begrense bruken av bilder av lav kvalitet, deaktivere trege JavaScript API-er, konfigurere regler for lasting av iframes, bilder og skript, begrense den totale dokumentstørrelsen og trafikken, forby metoder som fører til ny sidetegning og deaktivere funksjonen Bla til tekst.
  • Inn i elementet La til støtte for parameterne «inline-grid», «grid», «inline-flex» og «flex», angitt via CSS-egenskapen «display».
  • La til ParentNode.replaceChildren()-metoden for å erstatte alle underordnede noder i en overordnet node med en annen DOM-node. Tidligere kunne noder erstattes ved hjelp av en kombinasjon av node.removeChild() og node.append() eller node.innerHTML og node.append().
  • Utvalget av URL-skjemaer som kan overstyres ved hjelp av registerProtocolHandler() har blitt utvidet til å inkludere desentraliserte protokollene cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, slik at du kan definere lenker til elementer uavhengig av nettstedet eller gatewayen som gir tilgang til ressursen.
  • API-et for det asynkrone utklippstavlen støtter nå tekst/html-formatet for kopiering og liming av HTML via utklippstavlen (når du skriver og leser til utklippstavlen, fjernes farlige HTML-konstruksjoner). Endringen lar deg for eksempel organisere innliming og kopiering av formatert tekst med bilder og lenker i nettredigeringsprogrammer.
  • WebRTC støtter nå muligheten til å koble til egendefinerte databehandlere som kalles i WebRTC MediaStreamTrack-kodings- eller dekodingsfasene. Denne funksjonaliteten kan for eksempel brukes til å legge til støtte for ende-til-ende-kryptering av data som overføres via mellomliggende servere.
    V8 JavaScript-motoren har en 75 % hastighetsøkning for Number.prototype.toString. Asynkrone klasser har nå en .name-egenskap med en tom verdi. Atomics.wake-metoden, som ble omdøpt til Atomics.notify for å overholde ECMA-262-spesifikasjonen, er fjernet. JS-Fuzzer fuzzing-testverktøysettet er åpen kildekode.
  • Liftoff-baselinekompilatoren for WebAssembly, som var inkludert i forrige utgivelse, inkluderer muligheten til å bruke SIMD-vektorinstruksjoner for å øke hastigheten på beregninger. I følge benchmarks gjorde optimaliseringen noen tester 2.8 ganger raskere. En annen optimalisering gjorde det mulig å øke hastigheten på kall av importerte JavaScript-funksjoner fra WebAssembly betydelig.
  • Utvidede verktøy for nettutviklere: Mediepanelet gir nå informasjon om avspillerne som brukes til å spille av video på en side, inkludert hendelsesdata, logger, egenskapsverdier og parametere for bildedekoding (for eksempel kan du identifisere årsaker til bildetap og problemer med JavaScript-interaksjon).
  • Kontekstmenyen i Element-panelet lar deg nå lage skjermbilder av det valgte elementet (for eksempel kan du lage et skjermbilde av innholdsfortegnelsen eller en tabell).
  • I nettkonsollen er panelet med advarsler om problemer erstattet med en vanlig melding, og problemer med tredjeparts informasjonskapsler er som standard skjult i Problemer-fanen og aktiveres med et spesielt flagg.
  • I Rendering-fanen er det lagt til en «Deaktiver lokale fonter»-knapp, som lar deg simulere fravær av lokale fonter, og i Sensorer-fanen kan du nå simulere brukerinaktivitet (for applikasjoner som bruker Idle Detection API).
  • Programpanelet gir detaljert informasjon om hver iframe, åpent vindu og popup-vindu, inkludert Cross-Origin-isolasjonsdata ved hjelp av COEP og COOP.

Implementeringen av QUIC-protokollen har begynt å bli erstattet av versjonen som utvikles i IETF-spesifikasjonen, i stedet for Google-versjonen av QUIC.
I tillegg til nye funksjoner og feilrettinger, eliminerer den nye versjonen 35 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing med AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Én sårbarhet (CVE-2020-15967, tilgang til et frigjort minneområde i koden for samhandling med Google Payments) er merket som kritisk, dvs. den lar deg omgå alle nivåer av nettleserbeskyttelse og kjøre kode i systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, har Google utbetalt 27 belønninger på totalt 71500 15000 dollar (én belønning på 7500 5000 dollar, tre belønninger på 3000 200 dollar, fem belønninger på 500 13 dollar, to belønninger på XNUMX XNUMX dollar, én belønning på XNUMX dollar og to belønninger på XNUMX dollar). Beløpet på XNUMX belønninger er ennå ikke fastsatt.

Tatt fra Opennet.ru

Kilde: linux.org.ru

Kjøp pålitelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Kjøp pålitelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster