ProHoster > Blog > internetové správy > Chrome 86

Chrome 86

Vyšlo ďalšie vydanie prehliadača Chrome 86 a stabilné vydanie prehliadača Chromium.

Kľúčové zmeny v Chrome 86:

  • ochrana pred nebezpečným odosielaním vstupných formulárov na stránkach načítaných cez HTTPS, ale odosielajúcich dáta cez HTTP.
  • Blokovanie nebezpečného sťahovania (http) spustiteľných súborov je doplnené o blokovanie nebezpečného sťahovania archívov (zip, iso atď.) a zobrazovanie upozornení na nebezpečné sťahovanie dokumentov (docx, pdf atď.). V ďalšom vydaní sa očakáva blokovanie dokumentov a upozornenia na obrázky, text a mediálne súbory. Blokovanie je implementované, pretože sťahovanie súborov bez šifrovania môže byť použité na vykonávanie škodlivých akcií nahradením obsahu počas útokov MITM.
  • V predvolenom kontextovom menu sa zobrazuje možnosť „Vždy zobraziť celú adresu URL“, ktorá si predtým vyžadovala zmenu nastavení na stránke about:flags. Úplnú adresu URL môžete zobraziť aj dvojitým kliknutím na panel s adresou. Pripomeňme, že počnúc Chrome 76 sa adresa predvolene začala zobrazovať bez protokolu a subdomény www. V prehliadači Chrome 79 bolo nastavenie na vrátenie starého správania odstránené, ale po nespokojnosti používateľov bol do prehliadača Chrome 83 pridaný nový experimentálny príznak, ktorý do kontextovej ponuky pridáva možnosť zakázať skrytie a zobrazenie celej adresy URL za všetkých podmienok.
    Pre malé percento používateľov bol spustený experiment, ktorý štandardne zobrazuje v paneli s adresou iba doménu, bez prvkov cesty a parametrov dopytu. Napríklad namiesto „https://example.com/secure-google-sign-in/" Zobrazí sa „example.com“. Očakáva sa, že navrhovaný režim bude sprístupnený všetkým používateľom v jednom z nasledujúcich vydaní. Ak chcete zakázať toto správanie, môžete použiť možnosť „Vždy zobraziť celú adresu URL“ a ak chcete zobraziť celú adresu URL, kliknite na panel s adresou. Motívom zmeny je snaha chrániť používateľov pred phishingom, ktorý manipuluje s parametrami v URL – útočníci využívajú nepozornosť používateľov na vytvorenie zdania otvárania inej stránky a páchania podvodných akcií (ak sú takéto zámeny pre technicky zdatného používateľa zrejmé , potom neskúsení ľudia ľahko prepadnú takejto jednoduchej manipulácii).
  • Iniciatíva na odstránenie podpory FTP bola obnovená. V prehliadači Chrome 86 je FTP v predvolenom nastavení zakázaný pre približne 1 % používateľov a v prehliadači Chrome 87 sa rozsah deaktivácie zvýši na 50 %, ale podporu možno obnoviť pomocou „--enable-ftp“ alebo „- -enable-features=FtpProtocol" príznak. V Chrome 88 bude podpora FTP úplne zakázaná.
  • Vo verzii pre Android, podobnej verzii pre desktopové systémy, implementuje správca hesiel kontrolu uložených prihlasovacích údajov a hesiel s databázou napadnutých účtov, pričom v prípade zistenia problémov alebo pokusu o použitie triviálnych hesiel zobrazí varovanie. Kontrola sa vykonáva s databázou, ktorá zahŕňa viac ako 4 miliardy napadnutých účtov, ktoré sa objavili v uniknutých databázach používateľov. Aby sa zachovalo súkromie, predpona hash je overená na strane používateľa a samotné heslá a ich úplné hodnoty hash sa neprenášajú externe.
  • Do verzie pre Android bolo prenesené aj tlačidlo „Safety check“ a vylepšený režim ochrany pred nebezpečnými stránkami (Enhanced Safe Browsing). Tlačidlo „Kontrola bezpečnosti“ zobrazuje súhrn možných bezpečnostných problémov, ako je používanie prelomených hesiel, stav kontroly škodlivých stránok (Bezpečné prehliadanie), prítomnosť odinštalovaných aktualizácií a identifikácia škodlivých doplnkov. Režim rozšírenej ochrany aktivuje dodatočné kontroly na ochranu pred phishingom, škodlivými aktivitami a inými hrozbami na webe a zahŕňa aj dodatočnú ochranu vášho účtu Google a služieb Google (Gmail, Disk atď.). Ak sa v normálnom režime bezpečného prehliadania vykonávajú kontroly lokálne pomocou databázy pravidelne načítavanej do systému klienta, potom sa v rozšírenom bezpečnom prehliadaní informácie o stránkach a stiahnutiach v reálnom čase odošlú na overenie na strane Google, čo vám umožní rýchlo reagovať na hrozby ihneď po ich identifikácii, bez čakania na aktualizáciu lokálnej čiernej listiny.
  • Pridaná podpora pre súbor indikátorov „.well-known/change-password“, pomocou ktorého môžu majitelia stránok špecifikovať adresu webového formulára na zmenu hesla. Ak dôjde k ohrozeniu prihlasovacích údajov používateľa, Chrome teraz okamžite vyzve používateľa formulárom na zmenu hesla na základe informácií v tomto súbore.
  • Bolo implementované nové varovanie „Bezpečnostný tip“, ktoré sa zobrazuje pri otváraní stránok, ktorých doména je veľmi podobná inej stránke a heuristika ukazuje, že existuje vysoká pravdepodobnosť spoofingu (napríklad namiesto google.com sa otvorí goog0le.com).

    * Bola implementovaná podpora pre vyrovnávaciu pamäť Back-forward, ktorá poskytuje okamžitú navigáciu pri použití tlačidiel „Späť“ a „Vpred“ alebo pri prechádzaní predtým zobrazenými stránkami aktuálneho webu. Vyrovnávacia pamäť je povolená pomocou nastavenia chrome://flags/#back-forward-cache.

  • Optimalizácia spotreby zdrojov CPU pre okná mimo rozsahu. Chrome kontroluje, či je okno prehliadača prekryté inými oknami, a zabraňuje vykresľovaniu pixelov v oblastiach, kde sa prekrývajú. Táto optimalizácia bola povolená pre malé percento používateľov v prehliadačoch Chrome 84 a 85 a teraz je povolená všade. V porovnaní s predchádzajúcimi vydaniami bola vyriešená aj nekompatibilita s virtualizačnými systémami, ktorá spôsobovala zobrazovanie prázdnych bielych stránok.
  • Zvýšené orezávanie zdrojov pre karty na pozadí. Takéto karty už nemôžu spotrebovať viac ako 1 % zdrojov CPU a môžu sa aktivovať maximálne raz za minútu. Po piatich minútach na pozadí karty zamrznú, s výnimkou kariet, ktoré prehrávajú multimediálny obsah alebo nahrávajú.
  • Obnovili sa práce na zjednotení HTTP hlavičky User-Agent. V novej verzii je pre všetkých používateľov aktivovaná podpora mechanizmu User-Agent Client Hints, vyvinutého ako náhrada za User-Agent. Nový mechanizmus zahŕňa selektívne vracanie údajov o konkrétnych parametroch prehliadača a systému (verzia, platforma atď.) až na žiadosť servera a dáva používateľom možnosť selektívne poskytovať takéto informácie vlastníkom stránok. Pri použití User-Agent Client Hints sa identifikátor štandardne neprenáša bez explicitnej požiadavky, čo znemožňuje pasívnu identifikáciu (v predvolenom nastavení sa uvádza iba názov prehliadača).
    Indikácia prítomnosti aktualizácie a nutnosti reštartovania prehliadača na jej inštaláciu bola zmenená. Namiesto farebnej šípky sa teraz v poli avatara účtu zobrazuje „Aktualizovať“.
  • Vykonali sa práce na konverzii prehliadača na používanie inkluzívnej terminológie. V názvoch pravidiel boli slová „biela listina“ a „čierna listina“ nahradené slovami „povolený zoznam“ a „zoznam blokovaných“ (už pridané pravidlá budú naďalej fungovať, ale budú zobrazovať upozornenie na ich zastaranie). V názvoch kódov a súborov boli odkazy na „čiernu listinu“ nahradené „zoznamom blokovaných“. Používateľom viditeľné odkazy na „čiernu listinu“ a „bielu listinu“ boli nahradené začiatkom roka 2019.
    Pridaná experimentálna možnosť upravovať uložené heslá, aktivovaná pomocou príznaku „chrome://flags/#edit-passwords-in-settings“.
  • Rozhranie Native File System API bolo presunuté do kategórie stabilných a verejne dostupných API, čo vám umožňuje vytvárať webové aplikácie, ktoré interagujú so súbormi v lokálnom súborovom systéme. Napríklad nové API môže byť požadované v integrovaných vývojových prostrediach založených na prehliadačoch, textových, obrázkových a video editoroch. Aby bolo možné priamo zapisovať a čítať súbory alebo používať dialógové okná na otváranie a ukladanie súborov, ako aj na navigáciu v obsahu adresárov, aplikácia žiada používateľa o špeciálne potvrdenie.
  • Pridaný CSS selektor ":focus-visible", ktorý používa rovnakú heuristiku, akú používa prehliadač pri rozhodovaní, či sa má zobraziť indikátor zmeny zamerania (pri presúvaní zamerania na tlačidlo pomocou klávesových skratiek sa indikátor zobrazí, ale pri kliknutí myšou , nie je). Predtým dostupný selektor CSS „:focus“ vždy zvýrazní zameranie. Okrem toho bola do nastavení pridaná možnosť „Zvýraznenie rýchleho zaostrenia“, po povolení sa vedľa aktívnych prvkov zobrazí ďalší indikátor zaostrenia, ktorý zostane viditeľný, aj keď sú prvky štýlu pre vizuálne zvýraznenie zamerania na stránke zakázané prostredníctvom CSS. .
  • Do režimu Origin Trials bolo pridaných niekoľko nových rozhraní API (experimentálne funkcie, ktoré vyžadujú samostatnú aktiváciu). Origin Trial znamená schopnosť pracovať so špecifikovaným API z aplikácií stiahnutých z localhost alebo 127.0.0.1, alebo po registrácii a prijatí špeciálneho tokenu, ktorý je platný na obmedzený čas pre konkrétnu stránku.
  • WebHID API pre nízkoúrovňový prístup k zariadeniam HID (zariadenia s ľudským rozhraním, klávesnice, myši, gamepady, touchpady), ktoré vám umožňuje implementovať logiku práce so zariadením HID v jazyku JavaScript na organizáciu práce so zriedkavými zariadeniami HID bez prítomnosti konkrétne ovládače v systéme. V prvom rade je nové API zamerané na poskytovanie podpory pre gamepady.
  • Screen Information API, rozširuje rozhranie Window Placement API o podporu konfigurácií viacerých obrazoviek. Na rozdiel od window.screen vám nové API umožňuje manipulovať s umiestnením okna v celkovom priestore obrazovky systémov s viacerými monitormi bez toho, aby ste boli obmedzení na aktuálnu obrazovku.
  • Meta tag battery-savings, pomocou ktorého môže stránka informovať prehliadač o potrebe aktivácie režimov na zníženie spotreby energie a optimalizáciu zaťaženia procesora.
  • COOP Reporting API na hlásenie potenciálneho porušenia režimov izolácie Cross-Origin-Embedder-Policy (COEP) a Cross-Origin-Opener-Policy (COOP) bez použitia skutočných obmedzení.
  • Rozhranie Credential Management API ponúka nový typ poverení, PaymentCredential, ktorý poskytuje dodatočné potvrdenie o vykonanej platobnej transakcii. Spoliehajúca sa strana, ako napríklad banka, má možnosť vygenerovať verejný kľúč, PublicKeyCredential, ktorý si môže obchodník vyžiadať na dodatočné bezpečné potvrdenie platby.
  • PointerEvents API na určenie sklonu dotykového pera* pridalo podporu pre elevačné uhly (uhol medzi dotykovým perom a obrazovkou) a azimut (uhol medzi osou X a projekciou dotykového pera na obrazovku) namiesto Uhly TiltX a TiltY (uhly medzi rovinou od dotykového pera a jednou z osí a rovinou od osí Y a Z). Tiež pridané funkcie na konverziu medzi nadmorskou výškou/azimutom a TiltX/TiltY.
  • Zmenilo sa kódovanie medzery v adresách URL pri jej výpočte v obslužných programoch protokolov – metóda navigator.registerProtocolHandler() teraz nahrádza medzery „%20“ namiesto „+“, čo zjednocuje správanie s inými prehliadačmi, ako je napríklad Firefox.
  • Do CSS bol pridaný pseudoprvok "::marker", ktorý vám umožňuje prispôsobiť farbu, veľkosť, tvar a typ čísel a bodiek pre výpisy v blokoch A .
  • Pridaná podpora hlavičky Document-Policy HTTP, ktorá umožňuje nastaviť pravidlá pre prístup k dokumentom, podobne ako mechanizmus izolácie sandboxu pre iframe, no univerzálnejšie. Napríklad prostredníctvom Document-Policy môžete obmedziť používanie obrázkov nízkej kvality, zakázať pomalé rozhrania JavaScript API, nakonfigurovať pravidlá na načítanie prvkov iframe, obrázkov a skriptov, obmedziť celkovú veľkosť dokumentu a prenos, zakázať metódy, ktoré vedú k prekresľovaniu stránky a vypnúť funkciu rolovania na text.
  • K prvku pridaná podpora pre parametre 'inline-grid', 'grid', 'inline-flex' a 'flex' nastavené cez vlastnosť CSS 'display'.
  • Pridaná metóda ParentNode.replaceChildren() na nahradenie všetkých potomkov nadradeného uzla iným uzlom DOM. Predtým ste na nahradenie uzlov mohli použiť kombináciu node.removeChild() a node.append() alebo node.innerHTML a node.append().
  • Rozsah schém URL, ktoré je možné prepísať pomocou registerProtocolHandler() bol rozšírený. Zoznam schém obsahuje decentralizované protokoly cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns a ssb, ktoré umožňujú definovať odkazy na prvky bez ohľadu na stránku alebo bránu poskytujúcu prístup k zdroju.
  • Do Asynchronous Clipboard API bola pridaná podpora pre formát text/html na kopírovanie a vkladanie HTML cez schránku (nebezpečné HTML konštrukty sa čistia pri zápise a čítaní do schránky). Zmena napríklad umožňuje organizovať vkladanie a kopírovanie formátovaného textu s obrázkami a odkazmi vo webových editoroch.
  • WebRTC pridal možnosť pripojiť svoje vlastné nástroje na spracovanie údajov, ktoré sa volajú vo fázach kódovania alebo dekódovania WebRTC MediaStreamTrack. Túto schopnosť možno použiť napríklad na pridanie podpory pre end-to-end šifrovanie údajov prenášaných cez sprostredkujúce servery.
    V motore JavaScript V8 sa implementácia Number.prototype.toString zrýchlila o 75 %. Pridaná vlastnosť .name do asynchrónnych tried s prázdnou hodnotou. Bola odstránená metóda Atomics.wake, ktorá bola svojho času premenovaná na Atomics.notify, aby vyhovovala špecifikácii ECMA-262. Kód pre fuzzing testovací nástroj JS-Fuzzer je otvorený.
  • Základný kompilátor Liftoff pre WebAssembly vydaný v poslednom vydaní obsahuje možnosť použiť vektorové inštrukcie SIMD na urýchlenie výpočtov. Súdiac podľa testov, optimalizácia umožnila zrýchliť niektoré testy 2.8-násobne. Ďalšia optimalizácia výrazne urýchlila volanie importovaných funkcií JavaScript z WebAssembly.
  • Nástroje pre vývojárov webu boli rozšírené: Panel Médiá pridal informácie o prehrávačoch používaných na prehrávanie videa na stránke vrátane údajov o udalostiach, protokolov, hodnôt vlastností a parametrov dekódovania snímok (môžete napríklad určiť príčiny snímok problémy so stratou a interakciou z JavaScriptu).
  • V kontextovej ponuke panela Prvky pribudla možnosť vytvárať snímky obrazovky vybraného prvku (môžete napríklad vytvoriť snímku obrazovky obsahu alebo tabuľky).
  • Vo webovej konzole bol panel s upozornením na problémy nahradený bežnou správou a problémy so súbormi cookie tretích strán sú predvolene skryté na karte Problémy a sú povolené pomocou špeciálneho začiarkavacieho políčka.
  • V záložke Rendering pribudlo tlačidlo “Disable local fonts”, ktoré umožňuje simulovať absenciu lokálnych fontov a v záložke Sensors je teraz možné simulovať nečinnosť užívateľa (pre aplikácie využívajúce Idle Detection API).
  • Panel Aplikácia poskytuje podrobné informácie o každom prvku iframe, otvorenom okne a kontextovom okne vrátane informácií o izolácii Cross-Origin pomocou COEP a COOP.

Implementácia protokolu QUIC sa začala nahrádzať verziou vyvinutou v špecifikácii IETF namiesto verzie QUIC od Googlu.
Okrem inovácií a opráv chýb nová verzia odstraňuje 35 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Jedna chyba zabezpečenia (CVE-2020-15967, prístup k uvoľnenej pamäti v kóde na interakciu so službou Google Payments) je označená ako kritická, t. umožňuje obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. V rámci programu vyplácania peňažných odmien za objavenie zraniteľností pre aktuálnu verziu spoločnosť Google vyplatila 27 ocenení v hodnote 71500 15000 USD (jedno ocenenie 7500 5000 USD, tri ocenenia 3000 200 USD, päť ocenení 500 13 USD, dve ocenenia XNUMX XNUMX USD, jedno ocenenie XNUMX USD a dve ocenenia XNUMX USD). Veľkosť XNUMX odmien ešte nie je určená.

Prevzaté z Opennet.ru

Zdroj: linux.org.ru

Pridať komentár