ProHoster > BLOG > știri pe internet > Chrome 86

Chrome 86

Au fost lansate următoarea versiune Chrome 86 și versiunea stabilă a lui Chromium.

Schimbări cheie în Chrome 86:

  • protecție împotriva trimiterii nesigure a formularelor de introducere pe paginile încărcate prin HTTPS, dar care trimit date prin HTTP.
  • Blocarea descărcărilor nesigure (http) ale fișierelor executabile este completată de blocarea descărcărilor nesigure ale arhivelor (zip, iso etc.) și afișarea avertismentelor pentru descărcarea nesigură a documentelor (docx, pdf etc.). Blocarea documentelor și avertismente pentru imagini, text și fișiere media sunt așteptate în următoarea ediție. Blocarea este implementată deoarece descărcarea fișierelor fără criptare poate fi folosită pentru a efectua acțiuni rău intenționate prin înlocuirea conținutului în timpul atacurilor MITM.
  • Meniul contextual implicit afișează opțiunea „Afișează întotdeauna adresa URL completă”, care anterior necesita modificarea setărilor de pe pagina about:flags pentru activare. URL-ul complet poate fi vizualizat și făcând dublu clic pe bara de adrese. Să vă reamintim că începând cu Chrome 76, în mod implicit adresa a început să fie afișată fără protocol și subdomeniul www. În Chrome 79, setarea de a returna vechiul comportament a fost eliminată, dar după nemulțumirea utilizatorului, a fost adăugat un nou semnal experimental în Chrome 83 care adaugă o opțiune la meniul contextual pentru a dezactiva ascunderea și afișarea adresei URL complete în toate condițiile.
    Pentru un mic procent de utilizatori, a fost lansat un experiment pentru a afișa în mod implicit doar domeniul în bara de adrese, fără elemente de cale și parametri de interogare. De exemplu, în loc de „https://example.com/secure-google-sign-in/" „example.com” va fi afișat. Modul propus este de așteptat să fie adus tuturor utilizatorilor într-una dintre următoarele versiuni. Pentru a dezactiva acest comportament, puteți utiliza opțiunea „Afișează întotdeauna adresa URL completă” și pentru a vedea întreaga adresă URL, puteți face clic pe bara de adrese. Motivul schimbării este dorința de a proteja utilizatorii de phishing care manipulează parametrii din URL - atacatorii profită de neatenția utilizatorilor pentru a crea aparența de a deschide un alt site și de a comite acțiuni frauduloase (dacă astfel de înlocuiri sunt evidente pentru un utilizator competent din punct de vedere tehnic). , apoi oamenii neexperimentați cad cu ușurință pentru o astfel de manipulare simplă).
  • Inițiativa de a elimina suportul FTP a fost reînnoită. În Chrome 86, FTP este dezactivat în mod implicit pentru aproximativ 1% dintre utilizatori, iar în Chrome 87 sfera dezactivării va fi mărită la 50%, dar suportul poate fi restabilit folosind „--enable-ftp” sau „-- enable-features=FtpProtocol". În Chrome 88, suportul FTP va fi complet dezactivat.
  • În versiunea pentru Android, similar cu versiunea pentru sisteme desktop, managerul de parole implementează o verificare a login-urilor și parolelor salvate față de o bază de date de conturi compromise, afișând un avertisment dacă sunt detectate probleme sau se încearcă folosirea parolelor banale. Verificarea este efectuată pe o bază de date care acoperă mai mult de 4 miliarde de conturi compromise care au apărut în bazele de date de utilizatori scurse. Pentru a menține confidențialitatea, prefixul hash este verificat din partea utilizatorului, iar parolele în sine și hashurile lor complete nu sunt transmise extern.
  • Butonul „Verificare de siguranță” și modul de protecție îmbunătățită împotriva site-urilor periculoase (Navigare sigură îmbunătățită) au fost, de asemenea, transferate în versiunea Android. Butonul „Verificare de siguranță” arată un rezumat al posibilelor probleme de securitate, cum ar fi utilizarea parolelor compromise, starea verificării site-urilor rău intenționate (Navigare sigură), prezența actualizărilor dezinstalate și identificarea suplimentelor rău intenționate. Modul de protecție avansată activează verificări suplimentare pentru a proteja împotriva phishing-ului, activităților rău intenționate și a altor amenințări de pe web și include, de asemenea, protecție suplimentară pentru contul dvs. Google și serviciile Google (Gmail, Drive etc.). Dacă în modul normal de Navigare sigură verificările sunt efectuate local folosind o bază de date încărcată periodic în sistemul clientului, atunci în Navigarea sigură îmbunătățită informațiile despre pagini și descărcări în timp real sunt trimise pentru verificare pe partea Google, ceea ce vă permite să răspundeți rapid la amenințările imediat după ce sunt identificate, fără a aștepta până când lista neagră locală este actualizată.
  • S-a adăugat suport pentru fișierul indicator „.well-known/change-password”, cu care proprietarii site-ului pot specifica adresa formularului web pentru schimbarea parolei. Dacă datele de conectare ale unui utilizator sunt compromise, Chrome va solicita imediat utilizatorului un formular de schimbare a parolei pe baza informațiilor din acest fișier.
  • A fost implementat un nou avertisment „Sfat de siguranță”, afișat la deschiderea site-urilor al căror domeniu este foarte asemănător cu alt site, iar euristica arată că există o probabilitate mare de falsificare (de exemplu, goog0le.com este deschis în loc de google.com).

    * A fost implementat suport pentru memoria cache Back-forward, oferind navigare instantanee atunci când utilizați butoanele „Înapoi” și „Înainte” sau când navigați prin paginile vizualizate anterior ale site-ului curent. Cache-ul este activat folosind setarea chrome://flags/#back-forward-cache.

  • Optimizarea consumului de resurse CPU pentru ferestrele în afara domeniului de aplicare. Chrome verifică dacă fereastra browserului este suprapusă de alte ferestre și împiedică desenarea pixelilor în zonele de suprapunere. Această optimizare a fost activată pentru un mic procent de utilizatori în Chrome 84 și 85 și este acum activată peste tot. În comparație cu versiunile anterioare, a fost rezolvată și o incompatibilitate cu sistemele de virtualizare care a cauzat apariția paginilor albe goale.
  • Reducere crescută a resurselor pentru filele de fundal. Astfel de file nu mai pot consuma mai mult de 1% din resursele CPU și pot fi activate nu mai mult de o dată pe minut. După cinci minute de a fi în fundal, filele sunt înghețate, cu excepția filelor care redă conținut multimedia sau înregistrează.
  • S-au reluat lucrările la unificarea antetului HTTP User-Agent. În noua versiune, suportul pentru mecanismul User-Agent Client Hints, dezvoltat ca înlocuitor pentru User-Agent, este activat pentru toți utilizatorii. Noul mecanism presupune returnarea selectivă a datelor despre browser-ul specific și parametrii sistemului (versiune, platformă etc.) numai după o solicitare din partea serverului și oferind utilizatorilor posibilitatea de a furniza selectiv astfel de informații proprietarilor site-ului. Când se utilizează User-Agent Client Hints, identificatorul nu este transmis implicit fără o solicitare explicită, ceea ce face imposibilă identificarea pasivă (în mod implicit, este indicat doar numele browserului).
    Indicația prezenței unei actualizări și a necesității de a reporni browserul pentru a o instala a fost schimbată. În loc de o săgeată colorată, „Actualizare” apare acum în câmpul avatarului contului.
  • S-a lucrat pentru a converti browserul pentru a utiliza terminologia incluzivă. În numele politicilor, cuvintele „listă albă” și „listă neagră” au fost înlocuite cu „listă permisă” și „listă blocată” (politicile adăugate deja vor continua să funcționeze, dar vor afișa un avertisment privind deprecierea). În numele de cod și fișiere, referințele la „lista neagră” au fost înlocuite cu „lista blocată”. Referințele vizibile de utilizator la „lista neagră” și „lista albă” au fost înlocuite la începutul anului 2019.
    S-a adăugat o abilitate experimentală de a edita parolele salvate, activată folosind indicatorul „chrome://flags/#edit-passwords-in-settings”.
  • API-ul Native File System a fost transferat în categoria API-ului stabil și disponibil public, permițându-vă să creați aplicații web care interacționează cu fișierele din sistemul de fișiere local. De exemplu, noul API poate fi solicitat în medii de dezvoltare integrate bazate pe browser, editori de text, imagini și video. Pentru a putea scrie și citi direct fișiere sau utiliza casete de dialog pentru a deschide și salva fișiere, precum și pentru a naviga prin conținutul directoarelor, aplicația solicită utilizatorului o confirmare specială.
  • S-a adăugat un selector CSS „:focus-visible”, care folosește aceeași euristică pe care o folosește browserul atunci când decide dacă să afișeze indicatorul de schimbare a focalizării (atunci când mutați focalizarea pe un buton folosind comenzile rapide de la tastatură, indicatorul apare, dar când faceți clic cu mouse-ul , aceasta nu). Selectorul CSS disponibil anterior „:focus” evidențiază întotdeauna focalizarea. În plus, opțiunea „Evidențiere rapidă a focalizării” a fost adăugată la setări, când este activată, un indicator suplimentar de focalizare va fi afișat lângă elementele active, care rămâne vizibil chiar dacă elementele de stil pentru evidențierea vizuală a focalizării sunt dezactivate pe pagină prin CSS .
  • Mai multe noi API-uri au fost adăugate la modul Origin Trials (funcții experimentale care necesită activare separată). Origin Trial implică capacitatea de a lucra cu API-ul specificat din aplicații descărcate de pe localhost sau 127.0.0.1 sau după înregistrarea și primirea unui token special care este valabil pentru o perioadă limitată de timp pentru un anumit site.
  • WebHID API pentru acces la nivel scăzut la dispozitivele HID (dispozitive cu interfață umană, tastaturi, șoareci, gamepad-uri, touchpad-uri), care vă permite să implementați logica lucrului cu un dispozitiv HID în JavaScript pentru a organiza lucrul cu dispozitive HID rare fără prezența drivere specifice din sistem. În primul rând, noul API are scopul de a oferi suport pentru gamepad-uri.
  • Screen Information API, extinde API-ul Window Placement pentru a accepta configurații cu mai multe ecrane. Spre deosebire de window.screen, noul API vă permite să manipulați plasarea unei ferestre în spațiul general al ecranului al sistemelor cu mai multe monitoare, fără a fi limitat la ecranul curent.
  • Meta-etichetă economisirea bateriei, cu ajutorul căreia site-ul poate informa browserul despre necesitatea de a activa moduri pentru a reduce consumul de energie și a optimiza încărcarea procesorului.
  • API-ul de raportare COOP pentru a raporta eventualele încălcări ale modurilor de izolare Cross-Origin-Embedder-Policy (COEP) și Cross-Origin-Opener-Policy (COOP), fără a aplica restricții reale.
  • API-ul de gestionare a acreditărilor oferă un nou tip de acreditări, PaymentCredential, care oferă o confirmare suplimentară a tranzacției de plată efectuată. O parte care se bazează, cum ar fi o bancă, are capacitatea de a genera o cheie publică, o PublicKeyCredential, care poate fi solicitată de comerciant pentru confirmare suplimentară de plată securizată.
  • API-ul PointerEvents pentru determinarea înclinării stiloului* a adăugat suport pentru unghiuri de elevație (unghiul dintre stylus și ecran) și azimut (unghiul dintre axa X și proiecția stylusului pe ecran), în loc de Unghiurile TiltX și TiltY (unghiurile dintre planul de la stilou și una dintre axe și planul de la axele Y și Z). Au adăugat și funcții de conversie între altitudine/azimut și TiltX/TiltY.
  • S-a schimbat codificarea spațiului în URL-uri atunci când se calculează în manipulatoarele de protocol - metoda navigator.registerProtocolHandler() înlocuiește acum spațiile cu „%20” în loc de „+”, ceea ce unifică comportamentul cu alte browsere precum Firefox.
  • Un pseudo-element „::marker” a fost adăugat la CSS, permițându-vă să personalizați culoarea, dimensiunea, forma și tipul numerelor și punctelor pentru listele în blocuri Și .
  • S-a adăugat suport pentru antetul Document-Policy HTTP, care vă permite să setați reguli pentru accesarea documentelor, similar mecanismului de izolare sandbox pentru iframe, dar mai universal. De exemplu, prin Document-Policy, puteți limita utilizarea imaginilor de calitate scăzută, dezactivați API-urile JavaScript lente, configurați reguli pentru încărcarea iframe-urilor, imaginilor și scripturilor, limitați dimensiunea și traficul total al documentului, interziceți metodele care duc la redesenarea paginii și dezactivați funcția Scroll-To-Text.
  • Pentru a element a adăugat suport pentru parametrii „inline-grid”, „grid”, „inline-flex” și „flex” setați prin proprietatea CSS „display”.
  • S-a adăugat metoda ParentNode.replaceChildren() pentru a înlocui toți copiii unui nod părinte cu un alt nod DOM. Anterior, puteai folosi o combinație de node.removeChild() și node.append() sau node.innerHTML și node.append() pentru a înlocui nodurile.
  • Gama de scheme URL care pot fi suprascrise folosind registerProtocolHandler() a fost extinsă. Lista de scheme include protocoalele descentralizate cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns și ssb, care vă permite să definiți legături către elemente indiferent de site-ul sau gateway-ul care oferă acces la resursă.
  • S-a adăugat suport pentru formatul text/html la API-ul Asynchronous Clipboard pentru copierea și lipirea HTML prin clipboard (construcțiile HTML periculoase sunt curățate atunci când scrieți și citiți în clipboard). Modificarea, de exemplu, vă permite să organizați inserarea și copierea textului formatat cu imagini și link-uri în editorii web.
  • WebRTC a adăugat capacitatea de a se conecta propriile sale handlere de date, numite în etapele de codificare sau decodare ale WebRTC MediaStreamTrack. De exemplu, această capacitate poate fi utilizată pentru a adăuga suport pentru criptarea end-to-end a datelor transmise prin servere intermediare.
    În motorul JavaScript V8, implementarea Number.prototype.toString a fost accelerată cu 75%. S-a adăugat proprietatea .name la clasele asincrone cu o valoare goală. Metoda Atomics.wake a fost eliminată, care la un moment dat a fost redenumită în Atomics.notify pentru a respecta specificația ECMA-262. Codul pentru instrumentul de testare fuzzing JS-Fuzzer este deschis.
  • Compilatorul de bază Liftoff pentru WebAssembly lansat în ultima versiune include posibilitatea de a utiliza instrucțiuni vectoriale SIMD pentru a accelera calculele. Judecând după teste, optimizarea a făcut posibilă accelerarea unor teste de 2.8 ori. O altă optimizare a făcut mult mai rapid apelarea funcțiilor JavaScript importate din WebAssembly.
  • Instrumentele pentru dezvoltatorii web au fost extinse: panoul Media a adăugat informații despre jucătorii folosiți pentru a reda videoclipuri pe pagină, inclusiv date despre evenimente, jurnalele, valorile proprietăților și parametrii de decodare a cadrelor (de exemplu, puteți determina cauzele cadrului). pierderi și probleme de interacțiune din JavaScript) .
  • În meniul contextual al panoului Elemente, a fost adăugată capacitatea de a crea capturi de ecran ale elementului selectat (de exemplu, puteți crea o captură de ecran a cuprinsului sau a tabelului).
  • În consola web, panoul de avertizare a problemelor a fost înlocuit cu un mesaj obișnuit, iar problemele cu cookie-urile terțe sunt ascunse în mod implicit în fila Probleme și sunt activate cu o casetă de selectare specială.
  • În fila Redare, a fost adăugat un buton „Dezactivați fonturile locale”, care vă permite să simulați absența fonturilor locale, iar în fila Senzori puteți simula acum inactivitatea utilizatorului (pentru aplicațiile care utilizează API-ul Idle Detection).
  • Panoul Aplicație oferă informații detaliate despre fiecare iframe, fereastră deschisă și pop-up, inclusiv informații despre izolarea Cross-Origin folosind COEP și COOP.

Implementarea protocolului QUIC a început să fie înlocuită cu versiunea dezvoltată în specificația IETF, în locul versiunii Google a QUIC.
Pe lângă inovații și remedieri de erori, noua versiune elimină 35 de vulnerabilități. Multe dintre vulnerabilități au fost identificate ca urmare a testării automate folosind instrumentele AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer și AFL. O vulnerabilitate (CVE-2020-15967, acces la memoria eliberată în cod pentru interacțiunea cu Google Payments) este marcată ca critică, de exemplu. vă permite să ocoliți toate nivelurile de protecție a browserului și să executați cod pe sistem în afara mediului sandbox. Ca parte a programului de plată a recompenselor în numerar pentru descoperirea vulnerabilităților pentru versiunea actuală, Google a plătit 27 de premii în valoare de 71500 USD (un premiu de 15000 USD, trei premii de 7500 USD, cinci premii de 5000 USD, două premii de 3000 USD, un premiu de 200 USD și două premii de 500 USD). Mărimea a 13 recompense nu a fost încă determinată.

Luat de la Opennet.ru

Sursa: linux.org.ru

Adauga un comentariu