Google wydanie przeglądarki internetowej ... Jednocześnie stabilne wydanie darmowego projektu , który jest podstawą Chrome. Przeglądarka Chrome korzystanie z logo Google, obecność systemu wysyłania powiadomień w przypadku awarii, możliwość pobrania modułu Flash na żądanie, modułów do odtwarzania chronionych treści wideo (DRM), systemu automatycznej aktualizacji i transmisji w wyszukiwarce . Następna wersja Chrome 87 zaplanowana jest na 17 listopada.
:
- Dodano ochronę przed niebezpiecznym przesyłaniem formularzy wejściowych na stronach ładowanych przez HTTPS, ale wysyłających dane przez HTTP, co stwarza zagrożenie przechwycenia danych i fałszowania podczas ataków MITM. Ochrona sprowadza się do trzech zmian:
- Automatyczne wypełnianie mieszanych formularzy wejściowych zostało wyłączone, podobnie jak automatyczne wypełnianie formularzy uwierzytelniających na stronach otwieranych przez HTTP było wyłączone przez dłuższy czas. Jeśli wcześniej oznaką wyłączenia było otwarcie strony z formularzem poprzez HTTPS lub HTTP, teraz brane jest pod uwagę również użycie szyfrowania przy przesyłaniu danych do modułu obsługi formularza. Menedżer haseł dla mieszanych form uwierzytelniania nie jest wyłączony, ponieważ ryzyko użycia niepewnego hasła i ponownego użycia haseł w różnych witrynach przewyższa ryzyko potencjalnego przechwycenia ruchu.
- Przy rozpoczęciu wprowadzania w formularzach mieszanych wyświetla się ostrzeżenie informujące użytkownika, że wypełnione dane przesyłane są niezaszyfrowanym kanałem komunikacji.
- Przy próbie przesłania formularza mieszanego wyświetla się osobna strona informująca o potencjalnym ryzyku przesyłania danych niezaszyfrowanym kanałem komunikacji. W poprzednich wersjach wskaźnik kłódki na pasku adresu był używany do wskazywania formularzy mieszanych, ale oznaczenie to nie było oczywiste dla użytkowników i nie odzwierciedlało skutecznie związanego z tym ryzyka.
- Bloking (bez szyfrowania) plików wykonywalnych jest uzupełniane przez blokowanie niebezpiecznego ładowania archiwów (zip, iso itp.) i wyświetlanie ostrzeżeń o niebezpiecznym ładowaniu
dokumenty (docx, pdf itp.). Blokowanie dokumentów i ostrzeżenia dotyczące obrazów, tekstu i plików multimedialnych są oczekiwane w następnej wersji. Blokowanie jest realizowane, ponieważ pobieranie plików bez szyfrowania może zostać wykorzystane do wykonywania złośliwych działań poprzez zamianę zawartości podczas ataków MITM. - Domyślne menu kontekstowe wyświetla opcję „Zawsze pokazuj pełny adres URL”, która wcześniej wymagała zmiany ustawień na stronie about:flags, aby ją włączyć. Pełny adres URL można także wyświetlić, klikając dwukrotnie pasek adresu. Przypomnijmy, że zaczynając od Domyślnie adres zaczął być wyświetlany bez protokołu i subdomeny www. W ustawienie przywracania starego zachowania zostało usunięte, ale po niezadowoleniu użytkowników Dodano nową flagę eksperymentalną, która dodaje do menu kontekstowego opcję wyłączającą ukrywanie i wyświetlanie pełnego adresu URL w dowolnych warunkach.
- Uruchomiony dla niewielkiego odsetka użytkowników nadotycząca Domyślnie pasek adresu zawiera tylko domenę, bez elementów ścieżki i parametrów zapytania. Na przykład zamiast „https://example.com/secure-google-sign-in/” wyświetli się „example.com”. Oczekuje się, że proponowany tryb zostanie udostępniony wszystkim użytkownikom w jednej z kolejnych wersji. Aby wyłączyć to zachowanie, możesz skorzystać z opcji „Zawsze pokazuj pełny adres URL”, a aby wyświetlić cały adres URL, możesz kliknąć w pasek adresu. Motywem zmiany jest chęć ochrony użytkowników przed phishingiem manipulującym parametrami w adresie URL - napastnicy wykorzystują nieuwagę użytkowników, aby stworzyć wrażenie otwarcia innej witryny i dokonania oszukańczych działań (o ile takie podstawienia są oczywiste dla technicznie kompetentnego użytkownika , wtedy niedoświadczeni ludzie łatwo dadzą się nabrać na tak prostą manipulację).
- Wznowione aby usunąć obsługę FTP. W Chrome 86 FTP jest domyślnie wyłączony dla około 1% użytkowników, a w Chrome 87 zakres wyłączenia zostanie zwiększony do 50%, ale obsługę można przywrócić za pomocą „--enable-ftp” lub „- -enable-features=flaga protokołu Ftp. W przeglądarce Chrome 88 obsługa FTP zostanie całkowicie wyłączona.
- W wersji na Androida, podobnie jak w wersji na komputery stacjonarne, menedżer haseł sprawdza zapisane loginy i hasła w bazie danych zainfekowanych kont, wyświetlając ostrzeżenie w przypadku wykrycia problemów lub próby użycia trywialnych haseł. Kontrola przeprowadzana jest w oparciu o bazę danych obejmującą ponad 4 miliardy zainfekowanych kont, które pojawiły się w bazach danych użytkowników, które wyciekły. Aby zachować prywatność Prefiks skrótu jest weryfikowany po stronie użytkownika, a same hasła i ich pełne skróty nie są przesyłane na zewnątrz.
- Dostępne także w wersji na Androida przycisk „Kontrola bezpieczeństwa” i tryb rozszerzonej ochrony przed niebezpiecznymi stronami (Rozszerzone Bezpieczne przeglądanie). Przycisk „Sprawdź bezpieczeństwo” wyświetla podsumowanie możliwych problemów związanych z bezpieczeństwem, takich jak użycie złamanych haseł, stan sprawdzania złośliwych witryn (Bezpieczne przeglądanie), obecność odinstalowanych aktualizacji oraz identyfikacja złośliwych dodatków. Zaawansowany tryb ochrony aktywuje dodatkowe kontrole w celu ochrony przed phishingiem, złośliwą aktywnością i innymi zagrożeniami w Internecie, a także obejmuje dodatkową ochronę Twojego konta Google i usług Google (Gmail, Dysk itp.). Jeśli w normalnym trybie Bezpiecznego przeglądania kontrole przeprowadzane są lokalnie przy użyciu bazy danych ładowanej okresowo do systemu klienta, to w trybie Ulepszonego Bezpiecznego przeglądania informacje o stronach i pobranych plikach w czasie rzeczywistym są wysyłane do weryfikacji po stronie Google, co pozwala na szybką reakcję zagrożeń natychmiast po ich zidentyfikowaniu, bez czekania na aktualizację lokalnej czarnej listy.
- obsługa pliku wskaźnika „.well-known/change-password”, za pomocą którego właściciele witryn mogą określić adres formularza internetowego służącego do zmiany hasła. Jeśli dane uwierzytelniające użytkownika zostaną naruszone, Chrome natychmiast wyświetli monit o przesłanie mu formularza zmiany hasła na podstawie informacji zawartych w tym pliku.
- Wprowadzono nowe ostrzeżenie „Wskazówka dotycząca bezpieczeństwa”, wyświetlane podczas otwierania witryn, których domena jest bardzo podobna do innej witryny, a heurystyka wskazuje, że istnieje duże prawdopodobieństwo podszywania się (na przykład otwierana jest goog0le.com zamiast google.com).
- obsługa pamięci podręcznej Wstecz do przodu, która zapewnia natychmiastową nawigację podczas korzystania z przycisków „Wstecz” i „Dalej” lub podczas przeglądania wcześniej przeglądanych stron bieżącej witryny. Pamięć podręczną włącza się za pomocą ustawienia chrome://flags/#back-forward-cache.
- Przeprowadzono optymalizację zużycia zasobów procesora przez system Windows
poza zakresem. Chrome sprawdza, czy okno przeglądarki nie pokrywa się z innymi oknami i zapobiega rysowaniu pikseli w obszarach nakładania się. Ta optymalizacja została włączona dla niewielkiego odsetka użytkowników w Chrome 84 i 85, a teraz jest włączona wszędzie. W porównaniu z poprzednimi wersjami rozwiązano także problem niezgodności z systemami wirtualizacji, która powodowała pojawianie się pustych białych stron. - Zwiększone przycinanie zasobów dla kart w tle. Takie zakładki nie mogą już zużywać więcej niż 1% zasobów procesora i można je aktywować nie częściej niż raz na minutę. Po pięciu minutach działania w tle karty zostają zawieszone, z wyjątkiem kart, na których odtwarzane są treści multimedialne lub nagrywane.
- Pracować nad Nagłówek HTTP User-Agent. W nowej wersji obsługa mechanizmu jest aktywowana dla wszystkich użytkowników , opracowany jako zamiennik User-Agent. Nowy mechanizm polega na selektywnym zwracaniu danych o określonych parametrach przeglądarki i systemu (wersja, platforma itp.) dopiero po otrzymaniu żądania ze strony serwera i dawaniu użytkownikom możliwości selektywnego przekazywania takich informacji właścicielom witryn. W przypadku korzystania z podpowiedzi klienta User-Agent identyfikator nie jest domyślnie przesyłany bez wyraźnego żądania, co uniemożliwia pasywną identyfikację (domyślnie wskazywana jest tylko nazwa przeglądarki).
- Zmieniono wskazanie obecności aktualizacji i konieczności ponownego uruchomienia przeglądarki w celu jej zainstalowania. Zamiast kolorowej strzałki w polu awatara konta pojawia się teraz informacja „Aktualizacja”.
- Prowadzono prace nad konwersją przeglądarki tak, aby korzystała z terminologii włączającej. W nazwach zasad słowa „biała lista” i „czarna lista” zostały zastąpione słowami „lista dozwolonych” i „lista zablokowanych” (już dodane zasady będą nadal działać, ale wyświetli się ostrzeżenie o ich przestarzałości). W и odniesienia do „czarnej listy” zastąpiono określeniem „lista zablokowanych”.
Widoczne dla użytkowników odniesienia do „czarnej listy” i „białej listy” zostały zastąpione na początku 2019 roku. - Dodano eksperymentalną możliwość edycji zapisanych haseł, aktywowaną flagą „chrome://flags/#edit-passwords-in-settings”.
- Przekonwertowano na stabilny i publiczny interfejs API , który umożliwia tworzenie aplikacji internetowych wchodzących w interakcję z plikami w lokalnym systemie plików. Na przykład nowy interfejs API może być potrzebny w zintegrowanych środowiskach programistycznych opartych na przeglądarce, edytorach tekstu, obrazów i wideo. Aby móc bezpośrednio zapisywać i czytać pliki lub korzystać z okien dialogowych do otwierania i zapisywania plików, a także poruszać się po zawartości katalogów, aplikacja prosi użytkownika o specjalne potwierdzenie.
- Dodano selektor CSS „„, który wykorzystuje tę samą heurystykę, której używa przeglądarka przy podejmowaniu decyzji o pokazaniu wskaźnika zmiany fokusu (przy przesuwaniu fokusu na przycisk za pomocą skrótów klawiaturowych wskaźnik pojawia się, ale po kliknięciu myszą nie). Dostępny wcześniej selektor CSS „:focus” zawsze podkreśla fokus.
Dodatkowo do ustawień dodano opcję „Quick Focus Highlight”, po włączeniu obok aktywnych elementów zostanie wyświetlony dodatkowy wskaźnik fokusu, który pozostanie widoczny nawet jeśli elementy stylu służące do wizualnego podkreślania fokusu zostaną wyłączone na stronie poprzez CSS . - Do trybu Origin Trials dodano kilka nowych interfejsów API (funkcje eksperymentalne wymagające oddzielnej aktywacji). Origin Trial oznacza możliwość pracy z określonym API z aplikacji pobranych z localhost lub 127.0.0.1 lub po zarejestrowaniu i otrzymaniu specjalnego tokena, który jest ważny przez ograniczony czas dla określonej witryny.
- dla niskopoziomowego dostępu do urządzeń HID (urządzenia z interfejsem HID, klawiatury, myszy, gamepady, panele dotykowe), umożliwiające zaimplementowanie logiki pracy z urządzeniem HID w JavaScript w celu zorganizowania pracy z rzadkimi urządzeniami HID bez obecności określonych sterowników w systemie.
Przede wszystkim nowe API ma na celu zapewnienie obsługi gamepadów. - , rozszerza interfejs API rozmieszczania okien w celu obsługi konfiguracji wieloekranowych. W przeciwieństwie do window.screen, nowe API umożliwia manipulowanie rozmieszczeniem okna na całej przestrzeni ekranu systemów z wieloma monitorami, bez ograniczania się do bieżącego ekranu.
- Metatag , za pomocą którego witryna może poinformować przeglądarkę o konieczności aktywacji trybów w celu zmniejszenia zużycia energii i optymalizacji obciążenia procesora.
- API zgłaszania potencjalnych naruszeń przepisów dotyczących izolacji (COEP) i (COOP), bez stosowania faktycznych ograniczeń.
- W API zaproponowano nowy rodzaj poświadczeń , dostarczając dodatkowe potwierdzenie wykonania transakcji płatniczej. Strona ufająca, taka jak bank, ma możliwość wygenerowania klucza publicznego, PublicKeyCredential, o który sprzedawca może poprosić w celu dodatkowego potwierdzenia bezpiecznej płatności.
- dla niskopoziomowego dostępu do urządzeń HID (urządzenia z interfejsem HID, klawiatury, myszy, gamepady, panele dotykowe), umożliwiające zaimplementowanie logiki pracy z urządzeniem HID w JavaScript w celu zorganizowania pracy z rzadkimi urządzeniami HID bez obecności określonych sterowników w systemie.
- W API w celu określenia nachylenia rysika dodano obsługę kątów wysokości (kąt między rysikiem a ekranem) i azymutu (kąt między osią X a rzutem rysika na ekran) zamiast TiltX i Kąty TiltY (kąty pomiędzy płaszczyzną rysika i jedną z osi a płaszczyzną względem osi Y i Y Z). Dodano także funkcje konwersji pomiędzy wysokością/azymutem a TiltX/TiltY.
- Zmieniono kodowanie spacji w adresach URL podczas obliczania jej w procedurach obsługi protokołów - metoda navigator.registerProtocolHandler() zastępuje teraz spacje wartością „%20” zamiast „+”, co ujednolica zachowanie z innymi przeglądarkami, takimi jak Firefox.
- Dodano pseudoelement CSS „", który umożliwia dostosowanie koloru, rozmiaru, kształtu i rodzaju liczb oraz punktów dla aukcji w blokach I .
- Dodano obsługę nagłówka HTTP , zasady dostępu do dokumentów, podobne do mechanizmu izolacji piaskownicy dla ramek iframe, ale bardziej uniwersalne. Na przykład poprzez Document-Policy możesz ograniczyć użycie obrazów o niskiej jakości, wyłączyć powolne interfejsy API JavaScript, skonfigurować reguły ładowania ramek iframe, obrazów i skryptów, ograniczyć ogólny rozmiar dokumentu i ruch, zabronić metod prowadzących do przerysowania strony, wyłączyć funkcja .
- Do elementu dodano obsługę parametrów „inline-grid”, „grid”, „inline-flex” i „flex” ustawianych za pomocą właściwości CSS „display”.
- Dodano metodę aby zastąpić wszystkie dzieci węzła nadrzędnego innym węzłem DOM. Wcześniej do zastąpienia węzłów można było użyć kombinacji node.removeChild() i node.append() lub node.innerHTML i node.append().
- zakres schematów URL, które można zastąpić przy użyciu funkcji RegisterProtocolHandler(). Lista schematów obejmuje zdecentralizowane protokoły cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, co pozwala zdefiniować łącza do elementów niezależnie od witryny lub bramy zapewniającej dostęp do zasobu.
- W API dodano obsługę formatu tekst/html do kopiowania i wklejania HTML przez schowek (niebezpieczne konstrukcje HTML są czyszczone podczas pisania i czytania do schowka). Zmiana umożliwia na przykład organizację wstawiania i kopiowania sformatowanego tekstu z obrazami i linkami w edytorach internetowych.
- W WebRTC możliwość podłączenia własnych procedur obsługi danych wywoływanych na etapach kodowania lub dekodowania WebRTC MediaStreamTrack. Na przykład tę funkcję można wykorzystać w celu dodania obsługi kompleksowego szyfrowania danych przesyłanych przez serwery pośrednie.
- W silniku JavaScript V8 o 75% implementacja Number.prototype.toString. Dodano właściwość .name do klas asynchronicznych z pustą wartością. Usunięto metodę Atomics.wake, której nazwę kiedyś zmieniono na Atomics.notify, aby była zgodna ze specyfikacją ECMA-262. Otwarty kod zestawu narzędzi do testowania fuzzingu .
- Podstawowy kompilator Liftoff dla WebAssembly, wydany w ostatniej wersji, umożliwia korzystanie z instrukcji wektorowych aby przyspieszyć obliczenia. Sądząc po testach, optymalizacja pozwoliła przyspieszyć niektóre testy 2.8 razy. Kolejna optymalizacja znacznie przyspieszyła wywoływanie funkcji JavaScript zaimportowanych z WebAssembly.
- narzędzia dla twórców stron internetowych: Panel Media dodał informacje o odtwarzaczach używanych do odtwarzania wideo na stronie, w tym dane zdarzeń, logi, wartości właściwości i parametry dekodowania klatek (można na przykład określić przyczyny utraty klatek i problemów z interakcją z JavaScriptu).
W menu kontekstowym panelu Elementy dodano możliwość tworzenia zrzutów ekranu wybranego elementu (można np. utworzyć zrzut ekranu spisu treści lub tabeli).
W konsoli internetowej panel ostrzeżeń o problemach został zastąpiony zwykłym komunikatem, a problemy z plikami cookie innych firm są domyślnie ukryte w zakładce Problemy i są zaznaczone specjalnym polem wyboru.
W zakładce Rendering dodano przycisk „Wyłącz lokalne czcionki”, który pozwala symulować brak lokalnych czcionek, a w zakładce Sensory można teraz symulować brak aktywności użytkownika (dla aplikacji wykorzystujących Idle Detection API).
Panel aplikacji zawiera szczegółowe informacje o każdym elemencie iframe, otwartym oknie i wyskakującym okienku, w tym informacje o izolacji Cross-Origin przy użyciu COEP i COOP.
- wymiana implementacji protokołu do opcji opracowanej w specyfikacji IETF zamiast opcji Google QUIC.
Oprócz innowacji i poprawek błędów, nowa wersja eliminuje . Wiele luk w zabezpieczeniach zostało zidentyfikowanych w wyniku zautomatyzowanych narzędzi testujących , , , и . Jedna podatność (CVE-2020-15967, dostęp do zwolnionej pamięci w kodzie na potrzeby interakcji z Google Payments) oznaczona jest jako krytyczna, tj. pozwala ominąć wszystkie poziomy ochrony przeglądarki i wykonać kod w systemie poza środowiskiem sandbox. W ramach programu nagród pieniężnych za odkrycie luk w bieżącej wersji oprogramowania firma Google wypłaciła 27 nagród o wartości 71500 15000 dolarów (jedna nagroda 7500 5000 dolarów, trzy nagrody 3000 dolarów, pięć nagród 200 dolarów, dwie nagrody 500 dolarów, jedna nagroda 13 dolarów i dwie nagrody XNUMX dolarów). Wielkość XNUMX nagród nie została jeszcze ustalona.
Źródło: opennet.ru