ProHoster > Blog > internetne novice > Chrome 86

Chrome 86

Izdani sta naslednja izdaja Chroma 86 in stabilna izdaja Chromiuma.

Ključne spremembe v Chromu 86:

  • zaščita pred nevarnim oddajanjem vnosnih obrazcev na straneh, ki so naložene prek HTTPS, vendar pošiljajo podatke prek HTTP.
  • Blokiranje nevarnih prenosov (http) izvršljivih datotek je dopolnjeno z blokiranjem nevarnih prenosov arhivov (zip, iso itd.) in prikazovanjem opozoril za nevaren prenos dokumentov (docx, pdf itd.). Blokiranje dokumentov in opozorila za slike, besedilo in medijske datoteke pričakujemo v naslednji izdaji. Blokiranje je izvedeno, ker se lahko prenos datotek brez šifriranja uporabi za izvajanje zlonamernih dejanj z zamenjavo vsebine med napadi MITM.
  • V privzetem kontekstualnem meniju je prikazana možnost »Vedno pokaži celoten URL«, ki je prej zahtevala spreminjanje nastavitev na strani about:flags, da se omogoči. Celoten URL si lahko ogledate tudi z dvojnim klikom na naslovno vrstico. Naj vas spomnimo, da se je od Chroma 76 začel privzeto prikazovati naslov brez protokola in poddomene www. V Chromu 79 je bila nastavitev za vrnitev starega vedenja odstranjena, a po nezadovoljstvu uporabnikov je bila v Chromu 83 dodana nova eksperimentalna zastavica, ki v kontekstni meni doda možnost za onemogočanje skrivanja in prikazovanja celotnega URL-ja v vseh pogojih.
    Za majhen odstotek uporabnikov je bil uveden poskus, da se v naslovni vrstici privzeto prikaže samo domena, brez elementov poti in poizvedbenih parametrov. Na primer, namesto "https://example.com/secure-google-sign-in/" prikazan bo "example.com". Predlagani način naj bi bil na voljo vsem uporabnikom v eni od naslednjih izdaj. Če želite onemogočiti to vedenje, lahko uporabite možnost »Vedno pokaži celoten URL«, za ogled celotnega URL-ja pa lahko kliknete naslovno vrstico. Motiv za spremembo je želja zaščititi uporabnike pred lažnim predstavljanjem, ki manipulira s parametri v URL-ju - napadalci izkoristijo nepazljivost uporabnikov, da ustvarijo videz, da odpirajo drugo spletno mesto in izvajajo goljufiva dejanja (če so takšne zamenjave očitne tehnično usposobljenemu uporabniku , potem neizkušeni zlahka nasedejo tako preprosti manipulaciji).
  • Pobuda za odstranitev podpore FTP je bila obnovljena. V Chromu 86 je FTP privzeto onemogočen za približno 1 % uporabnikov, v Chromu 87 pa bo obseg onemogočenja povečan na 50 %, vendar je podporo mogoče vrniti z uporabo »--enable-ftp« ali »- -enable-features=FtpProtocol" zastavica. V Chromu 88 bo podpora za FTP popolnoma onemogočena.
  • V različici za Android, podobno kot različici za namizne sisteme, upravitelj gesel izvaja preverjanje shranjenih prijav in gesel glede na zbirko podatkov ogroženih računov in prikaže opozorilo, če se odkrijejo težave ali se poskusi uporabiti nepomembna gesla. Preverjanje se izvaja v bazi podatkov, ki zajema več kot 4 milijarde ogroženih računov, ki so se pojavili v razkritih uporabniških zbirkah podatkov. Da bi ohranili zasebnost, je predpona razpršitve preverjena na strani uporabnika, sama gesla in njihovi celotni razpršilci pa se ne prenašajo navzven.
  • Gumb “Safety check” in izboljšan način zaščite pred nevarnimi mesti (Enhanced Safe Browsing) sta bila prenesena tudi v različico za Android. Gumb »Varnostno preverjanje« prikazuje povzetek možnih varnostnih težav, kot je uporaba ogroženih gesel, stanje preverjanja zlonamernih spletnih mest (varno brskanje), prisotnost nenameščenih posodobitev in prepoznavanje zlonamernih dodatkov. Način napredne zaščite aktivira dodatna preverjanja za zaščito pred lažnim predstavljanjem, zlonamerno dejavnostjo in drugimi grožnjami v spletu ter vključuje dodatno zaščito za vaš Google račun in Googlove storitve (Gmail, Drive itd.). Če se v običajnem načinu varnega brskanja preverjanja izvajajo lokalno z zbirko podatkov, ki se občasno naloži v odjemalčev sistem, potem se v izboljšanem varnem brskanju informacije o straneh in prenosi v realnem času pošljejo v preverjanje Googlovi strani, kar vam omogoča hiter odziv na grožnje takoj po njihovi prepoznavi, ne da bi čakali, da se posodobi lokalni črni seznam.
  • Dodana podpora za indikatorsko datoteko ".well-known/change-password", s katero lahko lastniki spletnih mest določijo naslov spletnega obrazca za spremembo gesla. Če so poverilnice uporabnika ogrožene, bo Chrome zdaj uporabnika takoj pozval z obrazcem za spremembo gesla na podlagi informacij v tej datoteki.
  • Implementirano je bilo novo opozorilo »Varnostni nasvet«, ki se prikaže pri odpiranju spletnih mest, katerih domena je zelo podobna drugi spletni strani in hevristika kaže, da obstaja velika verjetnost ponarejanja (na primer, goog0le.com se odpre namesto google.com).

    * Izvedena je bila podpora za predpomnilnik za nazaj in naprej, ki omogoča takojšnjo navigacijo pri uporabi gumbov »Nazaj« in »Naprej« ali pri navigaciji po predhodno ogledanih straneh trenutnega mesta. Predpomnilnik je omogočen z nastavitvijo chrome://flags/#back-forward-cache.

  • Optimizacija porabe virov procesorja za okna izven obsega. Chrome preveri, ali okno brskalnika prekrivajo druga okna, in prepreči risanje slikovnih pik na območjih prekrivanja. Ta optimizacija je bila omogočena za majhen odstotek uporabnikov v Chromu 84 in 85 in je zdaj omogočena povsod. V primerjavi s prejšnjimi izdajami je bila odpravljena tudi nezdružljivost s sistemi za virtualizacijo, zaradi katere so se pojavljale prazne bele strani.
  • Povečano obrezovanje virov za zavihke v ozadju. Takšni zavihki ne morejo več porabiti več kot 1 % CPU virov in jih je mogoče aktivirati največ enkrat na minuto. Po petih minutah v ozadju so zavihki zamrznjeni, z izjemo zavihkov, ki predvajajo večpredstavnostno vsebino ali snemajo.
  • Nadaljevalo se je delo pri poenotenju glave HTTP User-Agent. V novi različici je za vse uporabnike aktivirana podpora za mehanizem User-Agent Client Hints, ki je bil razvit kot zamenjava za User-Agent. Novi mehanizem vključuje selektivno vračanje podatkov o določenem brskalniku in sistemskih parametrih (različica, platforma itd.) šele po zahtevi strežnika in daje uporabnikom možnost, da selektivno posredujejo takšne informacije lastnikom spletnih mest. Pri uporabi User-Agent Client Hints se identifikator privzeto ne prenese brez izrecne zahteve, kar onemogoča pasivno identifikacijo (privzeto je navedeno samo ime brskalnika).
    Indikacija prisotnosti posodobitve in potrebe po ponovnem zagonu brskalnika za njeno namestitev je bila spremenjena. Namesto barvne puščice se zdaj v polju avatarja računa prikaže »Posodobi«.
  • Opravljeno je bilo delo za pretvorbo brskalnika v uporabo vključujoče terminologije. V imenih pravilnikov sta besedi »beli seznam« in »črni seznam« nadomeščeni s »dovoljeni seznam« in »blokirani seznam« (že dodani pravilniki bodo še naprej delovali, vendar bodo prikazali opozorilo, da so zastareli). V kodi in imenih datotek so bili sklicevanja na "črni seznam" nadomeščena s "blocklist". Uporabnikom vidne reference na »črni seznam« in »beli seznam« so bile zamenjane v začetku leta 2019.
    Dodana poskusna možnost urejanja shranjenih gesel, aktivirana z zastavico »chrome://flags/#edit-passwords-in-settings«.
  • Native File System API je bil prenesen v kategorijo stabilnega in javno dostopnega API-ja, kar vam omogoča ustvarjanje spletnih aplikacij, ki komunicirajo z datotekami v lokalnem datotečnem sistemu. Na primer, novi API bo morda potreben v integriranih razvojnih okoljih, ki temeljijo na brskalniku, urejevalnikih besedila, slik in videov. Za neposredno pisanje in branje datotek ali uporabo pogovornih oken za odpiranje in shranjevanje datotek ter za krmarjenje po vsebini imenikov aplikacija zahteva od uporabnika posebno potrditev.
  • Dodan je izbirnik CSS »:focus-visible«, ki uporablja isto hevristiko, kot jo brskalnik uporablja pri odločanju, ali naj prikaže indikator spremembe fokusa (pri premikanju fokusa na gumb z uporabo bližnjic na tipkovnici se indikator prikaže, ko pa kliknete z miško , ne). Prej na voljo izbirnik CSS ":focus" vedno poudari fokus. Poleg tega je v nastavitve dodana možnost »Quick Focus Highlight«, ko je omogočena, bo poleg aktivnih elementov prikazan dodaten indikator fokusa, ki ostane viden tudi, če so na strani onemogočeni slogovni elementi za vizualno poudarjanje fokusa preko CSS.
  • V način Origin Trials je bilo dodanih več novih API-jev (eksperimentalne funkcije, ki zahtevajo ločeno aktivacijo). Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
  • API WebHID za dostop na nizki ravni do naprav HID (naprave za človeški vmesnik, tipkovnice, miške, igralne ploščice, sledilne ploščice), ki vam omogoča implementacijo logike dela z napravo HID v JavaScript za organizacijo dela z redkimi napravami HID brez prisotnosti posebne gonilnike v sistemu. Prvič, novi API je namenjen zagotavljanju podpore za igralne ploščice.
  • API za informacije o zaslonu razširja API za postavitev oken, da podpira konfiguracije z več zasloni. Za razliko od window.screen vam novi API omogoča, da manipulirate z umestitvijo okna v celotnem prostoru zaslona sistemov z več monitorji, ne da bi bili omejeni na trenutni zaslon.
  • Meta oznaka za varčevanje z baterijo, s katero lahko spletno mesto obvesti brskalnik o potrebi po aktiviranju načinov za zmanjšanje porabe energije in optimizacijo obremenitve procesorja.
  • API za poročanje COOP za poročanje o morebitnih kršitvah izolacijskih načinov pravilnika o vdelavi navzkrižnega izvora (COEP) in pravilnika o odpiranju navzkrižnega izvora (COOP) brez uporabe dejanskih omejitev.
  • Credential Management API ponuja novo vrsto poverilnic, PaymentCredential, ki zagotavlja dodatno potrditev plačilne transakcije, ki se izvaja. Zanašajoča se stranka, kot je banka, ima možnost ustvariti javni ključ, PublicKeyCredential, ki ga lahko zahteva trgovec za dodatno varno potrditev plačila.
  • API PointerEvents za določanje nagiba pisala* je dodal podporo za višinske kote (kot med pisalom in zaslonom) in azimut (kot med osjo X in projekcijo pisala na zaslon), namesto Kota TiltX in TiltY (kota med ravnino iz pisala in eno od osi ter ravnino iz osi Y in Z). Dodane so tudi funkcije pretvorbe med nadmorsko višino/azimutom in TiltX/TiltY.
  • Spremenjeno kodiranje prostora v URL-jih pri izračunu v obdelovalcih protokolov – metoda navigator.registerProtocolHandler() zdaj zamenja presledke z »%20« namesto z »+«, kar poenoti vedenje z drugimi brskalniki, kot je Firefox.
  • V CSS je bil dodan psevdoelement "::marker", ki vam omogoča prilagajanje barve, velikosti, oblike in vrste številk in pik za sezname v blokih in .
  • Dodana podpora za glavo HTTP Document-Policy, ki vam omogoča nastavitev pravil za dostop do dokumentov, podobno kot izolacijski mehanizem peskovnika za iframes, vendar bolj univerzalen. Na primer, prek Document-Policy lahko omejite uporabo nizkokakovostnih slik, onemogočite počasne API-je JavaScript, konfigurirate pravila za nalaganje iframesov, slik in skriptov, omejite celotno velikost dokumenta in promet, prepoveste metode, ki vodijo do prerisovanja strani, in onemogočite funkcijo Scroll-To-Text.
  • Na element dodana podpora za parametre 'inline-grid', 'grid', 'inline-flex' in 'flex', nastavljene prek lastnosti CSS 'display'.
  • Dodana metoda ParentNode.replaceChildren() za zamenjavo vseh otrok nadrejenega vozlišča z drugim vozliščem DOM. Prej ste lahko za zamenjavo vozlišč uporabili kombinacijo node.removeChild() in node.append() ali node.innerHTML in node.append().
  • Obseg shem URL, ki jih je mogoče preglasiti z registerProtocolHandler(), je bil razširjen. Seznam shem vključuje decentralizirane protokole cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns in ssb, ki vam omogočajo, da določite povezave do elementov ne glede na spletno mesto ali prehod, ki omogoča dostop do vira.
  • API-ju Asynchronous Clipboard API je dodana podpora za obliko besedila/html za kopiranje in lepljenje HTML prek odložišča (nevarne konstrukcije HTML se očistijo pri pisanju in branju v odložišče). Sprememba na primer omogoča organiziranje vstavljanja in kopiranja oblikovanega besedila s slikami in povezavami v spletnih urejevalnikih.
  • WebRTC je dodal možnost povezovanja lastnih obdelovalcev podatkov, ki se kličejo na stopnjah kodiranja ali dekodiranja WebRTC MediaStreamTrack. To zmožnost lahko na primer uporabite za dodajanje podpore za šifriranje od konca do konca podatkov, ki se prenašajo prek vmesnih strežnikov.
    V motorju V8 JavaScript je bila implementacija Number.prototype.toString pospešena za 75 %. Dodana lastnost .name v asinhrone razrede s prazno vrednostjo. Odstranjena je bila metoda Atomics.wake, ki je bila nekoč preimenovana v Atomics.notify zaradi skladnosti s specifikacijo ECMA-262. Koda za orodje za testiranje fuzzinga JS-Fuzzer je odprta.
  • Osnovni prevajalnik Liftoff za WebAssembly, izdan v zadnji izdaji, vključuje možnost uporabe vektorskih navodil SIMD za pospešitev izračunov. Sodeč po testih je optimizacija omogočila pospešitev nekaterih testov za 2.8-krat. Druga optimizacija je omogočila veliko hitrejše klicanje uvoženih funkcij JavaScript iz WebAssembly.
  • Orodja za spletne razvijalce so bila razširjena: plošča Media ima dodane informacije o predvajalnikih, ki se uporabljajo za predvajanje videa na strani, vključno s podatki o dogodkih, dnevniki, vrednostmi lastnosti in parametri dekodiranja okvirja (na primer, lahko ugotovite vzroke za okvir težave z izgubo in interakcijo iz JavaScripta).
  • V kontekstnem meniju plošče Elementi je dodana možnost ustvarjanja posnetkov zaslona izbranega elementa (lahko na primer ustvarite posnetek zaslona kazala vsebine ali tabele).
  • V spletni konzoli je opozorilna plošča o težavah nadomeščena z navadnim sporočilom, težave s piškotki tretjih oseb pa so privzeto skrite v zavihku Težave in omogočene s posebnim potrditvenim poljem.
  • V zavihku Rendering je dodan gumb “Disable local fonts”, ki omogoča simulacijo odsotnosti lokalnih pisav, v zavihku Sensors pa lahko sedaj simulirate nedejavnost uporabnika (za aplikacije, ki uporabljajo API za zaznavanje mirovanja).
  • Plošča aplikacij ponuja podrobne informacije o vsakem iframe, odprtem oknu in pojavnem oknu, vključno z informacijami o izolaciji navzkrižnega izvora z uporabo COEP in COOP.

Implementacijo protokola QUIC je začela nadomeščati različica, razvita v specifikaciji IETF, namesto Googlove različice QUIC.
Poleg novosti in popravkov napak nova različica odpravlja 35 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ena ranljivost (CVE-2020-15967, dostop do sproščenega pomnilnika v kodi za interakcijo z Google Payments) je označena kot kritična, tj. vam omogoča, da obidete vse ravni zaščite brskalnika in izvedete kodo v sistemu zunaj okolja peskovnika. V okviru programa izplačevanja denarnih nagrad za odkritje ranljivosti za trenutno izdajo je Google izplačal 27 nagrad v vrednosti 71500 $ (ena nagrada 15000 $, tri nagrade 7500 $, pet nagrad 5000 $, dve nagradi 3000 $, ena nagrada 200 $ in dve nagradi 500 $). Velikost 13 nagrad še ni določena.

Odvzet od Opennet.ru

Vir: linux.org.ru

Dodaj komentar