Google nettleserutgivelse ... Samtidig stabil utgivelse av et gratis prosjekt , som fungerer som grunnlaget for Chrome. Chrome-nettleser bruken av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, muligheten til å laste ned en Flash-modul på forespørsel, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring under søk . Den neste utgivelsen av Chrome 87 er planlagt til 17. november.
:
- Lagt til beskyttelse mot usikker innsending av inndataskjemaer på sider som lastes via HTTPS, men som sender data via HTTP, noe som skaper trusselen om dataavskjæring og forfalskning under MITM-angrep. Beskyttelse kommer ned til tre endringer:
- Automatisk utfylling av blandede inndataskjemaer har blitt deaktivert, på samme måte som automatisk utfylling av autentiseringsskjemaer på sider åpnet via HTTP har vært deaktivert i en stund. Hvis et tegn for deaktivering tidligere var å åpne en side med et skjema via HTTPS eller HTTP, er det nå også tatt hensyn til bruk av kryptering ved sending av data til skjemabehandleren. Passordbehandlingen for blandede former for autentisering er ikke deaktivert, siden risikoen for å bruke et usikkert passord og gjenbruk av passord på forskjellige nettsteder oppveier risikoen for potensiell trafikkavlytting.
- Når du begynner å skrive inn i blandede skjemaer, vises en advarsel som informerer brukeren om at de ferdige dataene sendes via en ukryptert kommunikasjonskanal.
- Når du prøver å sende inn et blandet skjema, vises en egen side som varsler deg om den potensielle risikoen ved å overføre data over en ukryptert kommunikasjonskanal. I tidligere versjoner ble en hengelåsindikator i adressefeltet brukt for å indikere blandede skjemaer, men denne merkingen var ikke åpenbar for brukere og reflekterte ikke effektivt risikoen involvert.
- Blokkering (uten kryptering) av kjørbare filer er supplert med å blokkere usikker lasting av arkiver (zip, iso, etc.) og vise advarsler for usikker lasting
dokumenter (docx, pdf, etc.). Dokumentblokkering og advarsler for bilder, tekst og mediefiler forventes i neste utgivelse. Blokkeringen er implementert fordi nedlasting av filer uten kryptering kan brukes til å utføre ondsinnede handlinger ved å erstatte innholdet under MITM-angrep. - Standard kontekstmenyen viser alternativet "Vis alltid full URL", som tidligere krevde å endre innstillingene på about:flags-siden for å aktivere. Den fullstendige URL-en kan også vises ved å dobbeltklikke på adresselinjen. La oss huske det fra Som standard begynte adressen å bli vist uten en protokoll og www-underdomenet. I innstillingen for å returnere den gamle oppførselen ble fjernet, men etter brukerens misnøye med Et nytt eksperimentelt flagg er lagt til som legger til et alternativ i kontekstmenyen for å deaktivere skjul og vise hele URL-en under alle forhold.
- Lansert for en liten prosentandel av brukerne på Som standard inneholder adresselinjen bare domenet, uten baneelementer og spørringsparametere. For eksempel, i stedet for "https://example.com/secure-google-sign-in/" vil den vise "example.com". Den foreslåtte modusen forventes å bli brakt til alle brukere i en av de neste utgivelsene. For å deaktivere denne oppførselen kan du bruke alternativet "Vis alltid full URL", og for å se hele URL-en kan du klikke på adresselinjen. Motivet for endringen er ønsket om å beskytte brukere mot nettfisking som manipulerer parametere i URL-en – angripere utnytter brukernes uoppmerksomhet for å skape inntrykk av å åpne et annet nettsted og begå uredelige handlinger (hvis slike erstatninger er åpenbare for en teknisk kompetent bruker , da faller uerfarne mennesker lett for slik enkel manipulasjon).
- Gjenopptatt for å fjerne FTP-støtte. I Chrome 86 er FTP deaktivert som standard for omtrent 1 % av brukerne, og i Chrome 87 vil omfanget av deaktiveringen økes til 50 %, men støtten kan gjenopprettes ved å bruke «--enable-ftp» eller «-enable -features=FtpProtocol” flagg. I Chrome 88 vil FTP-støtte være fullstendig deaktivert.
- I versjonen for Android, lik versjonen for skrivebordssystemer, implementerer passordbehandleren en sjekk av lagrede pålogginger og passord mot en database med kompromitterte kontoer, og viser en advarsel hvis problemer oppdages eller et forsøk på å bruke trivielle passord. Kontrollen utføres mot en database som dekker mer enn 4 milliarder kompromitterte kontoer som dukket opp i lekkede brukerdatabaser. For å opprettholde personvernet Hash-prefikset verifiseres på brukerens side, og selve passordene og deres fulle hash overføres ikke eksternt.
- Også tilgjengelig i Android-versjon "Sikkerhetssjekk"-knappen og den forbedrede beskyttelsesmodusen mot farlige nettsteder (Enhanced Safe Browsing). "Sikkerhetssjekk"-knappen viser en oppsummering av mulige sikkerhetsproblemer, for eksempel bruk av kompromitterte passord, status for sjekking av skadelige nettsteder (Safe Browsing), tilstedeværelsen av avinstallerte oppdateringer og identifisering av ondsinnede tillegg. Avansert beskyttelsesmodus aktiverer tilleggssjekker for å beskytte mot nettfisking, ondsinnet aktivitet og andre trusler på nettet, og inkluderer også ekstra beskyttelse for Google-kontoen din og Google-tjenester (Gmail, Disk, etc.). Hvis det i normal Safe Browsing-modus utføres kontroller lokalt ved hjelp av en database som periodisk lastes inn på klientens system, sendes informasjon om sider og nedlastinger i sanntid for verifisering på Google-siden i Enhanced Safe Browsing, som lar deg raskt svare på trusler umiddelbart etter at de er identifisert, uten å vente til den lokale svartelisten er oppdatert.
- støtte for ".well-known/change-password"-indikatorfilen, med hvilken nettstedeiere kan spesifisere adressen til et nettskjema for endring av passord. Hvis en brukers legitimasjon er kompromittert, vil Chrome nå umiddelbart be brukeren om et passordendringsskjema basert på informasjonen i denne filen.
- En ny "Sikkerhetstips"-advarsel er implementert, som vises når du åpner nettsteder hvis domene er veldig likt et annet nettsted, og heuristikk viser at det er stor sannsynlighet for forfalskning (for eksempel åpnes goog0le.com i stedet for google.com).
- støtte for bakover-forover-cachen, som gir umiddelbar navigering når du bruker "Tilbake" og "Forover"-knappene eller når du navigerer gjennom tidligere viste sider på gjeldende nettsted. Bufferen er aktivert ved å bruke chrome://flags/#back-forward-cache-innstillingen.
- Optimalisering av CPU-ressursforbruk av Windows er utført
utenfor rekkevidde. Chrome sjekker om nettleservinduet overlappes av andre vinduer og forhindrer tegning av piksler i områder med overlapping. Denne optimaliseringen ble aktivert for en liten prosentandel av brukerne i Chrome 84 og 85 og er nå aktivert overalt. Sammenlignet med tidligere utgivelser har en inkompatibilitet med virtualiseringssystemer som førte til at det ble vist tomme hvite sider også blitt løst. - Økt ressurstrimming for bakgrunnsfaner. Slike faner kan ikke lenger bruke mer enn 1 % av CPU-ressursene og kan ikke aktiveres mer enn én gang per minutt. Etter fem minutter med å være i bakgrunnen, fryses faner, med unntak av faner som spiller av multimedieinnhold eller tar opp.
- Jobbe med HTTP-header User-Agent. I den nye versjonen er støtte for mekanismen aktivert for alle brukere , utviklet som en erstatning for User-Agent. Den nye mekanismen innebærer selektiv retur av data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) kun etter en forespørsel fra serveren og gir brukerne muligheten til selektivt å gi slik informasjon til nettstedseiere. Når du bruker User-Agent Client Hints, overføres ikke identifikatoren som standard uten en eksplisitt forespørsel, noe som gjør passiv identifikasjon umulig (som standard er bare nettlesernavnet angitt).
- Indikasjonen på tilstedeværelsen av en oppdatering og behovet for å starte nettleseren på nytt for å installere den er endret. I stedet for en farget pil, vises nå "Oppdater" i kontoavatarfeltet.
- Det er utført arbeid for å konvertere nettleseren til å bruke inkluderende terminologi. I policynavn er ordene "hviteliste" og "svarteliste" erstattet med "tillatelsesliste" og "blokkeringsliste" (allerede tillagte retningslinjer vil fortsette å fungere, men de vil vise en advarsel om å bli avviklet). I и referanser til "svarteliste" er erstattet med "blokkliste".
Brukersynlige referanser til "svarteliste" og "hviteliste" ble erstattet i begynnelsen av 2019. - Lagt til en eksperimentell mulighet for å redigere lagrede passord, aktivert ved hjelp av flagget "chrome://flags/#edit-passwords-in-settings".
- Konvertert til stabil og offentlig API , som lar deg lage nettapplikasjoner som samhandler med filer i det lokale filsystemet. For eksempel kan det nye API-et være etterspurt i nettleserbaserte integrerte utviklingsmiljøer, tekst-, bilde- og videoredigerere. For å kunne skrive og lese filer direkte eller bruke dialogbokser til å åpne og lagre filer, samt å navigere gjennom innholdet i kataloger, ber applikasjonen brukeren om spesiell bekreftelse.
- Lagt til CSS-velger "“, som bruker de samme heuristikkene som nettleseren bruker når den bestemmer om fokusendringsindikatoren skal vises (når du flytter fokus til en knapp ved hjelp av hurtigtaster, vises indikatoren, men når du klikker med musen, gjør den det ikke). Den tidligere tilgjengelige CSS-velgeren ":focus" fremhever alltid fokus.
I tillegg er alternativet "Quick Focus Highlight" lagt til innstillingene, når det er aktivert vil en ekstra fokusindikator vises ved siden av aktive elementer, som forblir synlig selv om stilelementer for visuell fremheving av fokus er deaktivert på siden via CSS. - Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
- for lavnivåtilgang til HID-enheter (menneskelige grensesnittenheter, tastaturer, mus, gamepads, berøringspaneler), slik at du kan implementere logikken med å jobbe med en HID-enhet i JavaScript for å organisere arbeid med sjeldne HID-enheter uten tilstedeværelse av spesifikke drivere i systemet.
Først av alt er den nye API-en rettet mot å gi støtte for gamepads. - , utvider Window Placement API til å støtte flerskjermskonfigurasjoner. I motsetning til window.screen, lar den nye APIen deg manipulere plasseringen av et vindu i det totale skjermrommet til multimonitorsystemer, uten å være begrenset til gjeldende skjerm.
- Meta-tag , som nettstedet kan informere nettleseren om behovet for å aktivere moduser for å redusere strømforbruket og optimalisere CPU-belastningen.
- API å rapportere potensielle brudd på isolasjonsbestemmelsene (COEP) og (COOP), uten å bruke faktiske begrensninger.
- I API en ny type legitimasjon er foreslått , gir ytterligere bekreftelse på at betalingstransaksjonen utføres. En pålitelig part, for eksempel en bank, har muligheten til å generere en offentlig nøkkel, en PublicKeyCredential, som kan bli forespurt av selgeren for ytterligere sikker betalingsbekreftelse.
- for lavnivåtilgang til HID-enheter (menneskelige grensesnittenheter, tastaturer, mus, gamepads, berøringspaneler), slik at du kan implementere logikken med å jobbe med en HID-enhet i JavaScript for å organisere arbeid med sjeldne HID-enheter uten tilstedeværelse av spesifikke drivere i systemet.
- I API for å bestemme vinkelen til pekepennen, er det lagt til støtte for høydevinkler (vinkelen mellom pekepennen og skjermen) og asimut (vinkelen mellom X-aksen og projeksjonen av pekepennen på skjermen), i stedet for TiltX og TiltY-vinkler (vinklene mellom planet fra pennen og en av aksene og planet fra Y- og Y-aksene Z). Også lagt til konverteringsfunksjoner mellom høyde/azimut og TiltX/TiltY.
- Endret kodingen av plass i URL-er ved beregning av det i protokollbehandlere - navigator.registerProtocolHandler()-metoden erstatter nå mellomrom med "%20" i stedet for "+", som forener oppførselen med andre nettlesere som Firefox.
- Lagt til CSS-pseudo-element "", som lar deg tilpasse farge, størrelse, form og type tall og punkter for oppføringer i blokker Og .
- Lagt til støtte for HTTP-header , regler for tilgang til dokumenter, lik sandkasse-isolasjonsmekanismen for iframes, men mer universelle. Gjennom Document-Policy kan du for eksempel begrense bruken av bilder av lav kvalitet, deaktivere trege JavaScript-API-er, konfigurere regler for lasting av iframes, bilder og skript, begrense den totale dokumentstørrelsen og trafikken, forby metoder som fører til sidetegning, deaktivere funksjonen .
- Til element lagt til støtte for 'inline-grid', 'grid', 'inline-flex' og 'flex' parametere satt via 'display' CSS-egenskapen.
- Lagt til metode for å erstatte alle underordnede til en overordnet node med en annen DOM-node. Tidligere kunne du bruke en kombinasjon av node.removeChild() og node.append() eller node.innerHTML og node.append() for å erstatte noder.
- utvalget av URL-skjemaer som er tillatt å overstyre ved å bruke registerProtocolHandler(). Listen over skjemaer inkluderer de desentraliserte protokollene cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns og ssb, som lar deg definere lenker til elementer uavhengig av nettstedet eller gatewayen som gir tilgang til ressursen.
- I API lagt til støtte for tekst/html-formatet for å kopiere og lime inn HTML via utklippstavlen (farlige HTML-konstruksjoner blir ryddet opp når man skriver og leser til utklippstavlen). Endringen lar deg for eksempel organisere innsetting og kopiering av formatert tekst med bilder og lenker i nettredaktører.
- I WebRTC muligheten til å koble til dine egne databehandlere kalt på kodings- eller dekodingsstadiene til WebRTC MediaStreamTrack. For eksempel kan denne funksjonen brukes til å legge til støtte for ende-til-ende-kryptering av data som overføres gjennom mellomliggende servere.
- I JavaScript-motor V8 med 75 % implementering av Number.prototype.toString. Lagt til .name-egenskapen til asynkrone klasser med en tom verdi. Atomics.wake-metoden er fjernet, som på et tidspunkt ble omdøpt til Atomics.notify for å overholde ECMA-262-spesifikasjonen. Fuzzing testverktøysett-kode åpen .
- Liftoff baseline-kompilatoren for WebAssembly, utgitt i den siste utgivelsen, inkluderer muligheten til å bruke vektorinstruksjoner for å fremskynde beregningene. Etter testene å dømme, gjorde optimalisering det mulig å fremskynde enkelte tester med 2.8 ganger. En annen optimalisering gjorde det mye raskere å kalle opp importerte JavaScript-funksjoner fra WebAssembly.
- verktøy for nettutviklere: Mediepanelet har lagt til informasjon om spillerne som brukes til å spille av video på siden, inkludert hendelsesdata, logger, egenskapsverdier og rammedekodingsparametere (du kan for eksempel finne årsakene til bildetap og interaksjonsproblemer fra JavaScript).
I kontekstmenyen til Elementer-panelet er muligheten til å lage skjermbilder av det valgte elementet lagt til (du kan for eksempel lage et skjermbilde av innholdsfortegnelsen eller tabellen).
I nettkonsollen er problemadvarselspanelet erstattet med en vanlig melding, og problemer med tredjeparts informasjonskapsler er skjult som standard i problemer-fanen og er aktivert med en spesiell avmerkingsboks.
I Rendering-fanen er det lagt til en «Deaktiver lokale fonter»-knapp, som lar deg simulere fravær av lokale fonter, og i Sensorer-fanen kan du nå simulere brukerinaktivitet (for applikasjoner som bruker Idle Detection API).
Applikasjonspanelet gir detaljert informasjon om hver iframe, åpent vindu og popup, inkludert informasjon om Cross-Origin-isolasjon ved bruk av COEP og COOP.
- utskifting av protokollimplementering til alternativet utviklet i IETF-spesifikasjonen, i stedet for Google QUIC-alternativet.
I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen . Mange av sårbarhetene ble identifisert som et resultat av automatisert testing med verktøy , , , и . Én sårbarhet (CVE-2020-15967, tilgang til frigjort minne i kode for samhandling med Google Payments) er merket som kritisk, dvs. lar deg omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 27 priser verdt $71500 15000 (en pris på $7500 5000, tre priser på $3000 200, fem priser på $500 13, to priser på $XNUMX XNUMX, en pris på $XNUMX og to priser på $XNUMX). Størrelsen på XNUMX belønninger er ennå ikke bestemt.
Kilde: opennet.ru