ProHoster > Blog > lajme në internet > Chrome 86

Chrome 86

Lëshimi tjetër i Chrome 86 dhe lëshimi i qëndrueshëm i Chromium janë lëshuar.

Ndryshimet kryesore në Chrome 86:

  • mbrojtje kundër paraqitjes së pasigurt të formularëve të hyrjes në faqet e ngarkuara me HTTPS por që dërgojnë të dhëna përmes HTTP.
  • Bllokimi i shkarkimeve të pasigurta (http) të skedarëve të ekzekutueshëm plotësohet me bllokimin e shkarkimeve të pasigurta të arkivave (zip, iso, etj.) dhe shfaqjen e paralajmërimeve për shkarkimin e pasigurt të dokumenteve (docx, pdf, etj.). Bllokimi i dokumenteve dhe paralajmërimet për imazhet, tekstin dhe skedarët media priten në versionin e ardhshëm. Bllokimi zbatohet sepse shkarkimi i skedarëve pa enkriptim mund të përdoret për të kryer veprime me qëllim të keq duke zëvendësuar përmbajtjen gjatë sulmeve MITM.
  • Menyja e parazgjedhur e kontekstit shfaq opsionin "Gjithmonë shfaq URL-në e plotë", i cili më parë kërkonte ndryshimin e cilësimeve në faqen rreth:flamujve për ta aktivizuar. URL-ja e plotë mund të shihet gjithashtu duke klikuar dy herë në shiritin e adresave. Ju kujtojmë se duke filluar me Chrome 76, si parazgjedhje adresa filloi të shfaqet pa protokollin dhe nëndomainin www. Në Chrome 79, cilësimi për të kthyer sjelljen e vjetër u hoq, por pas pakënaqësisë së përdoruesit, u shtua një flamur i ri eksperimental në Chrome 83 që shton një opsion në menynë e kontekstit për të çaktivizuar fshehjen dhe shfaqjen e URL-së së plotë në të gjitha kushtet.
    Për një përqindje të vogël përdoruesish, është nisur një eksperiment për të shfaqur vetëm domenin në shiritin e adresave si parazgjedhje, pa elementë të rrugës dhe parametra të pyetjes. Për shembull, në vend të "https://example.com/secure-google-sign-in/" "example.com" do të shfaqet. Modaliteti i propozuar pritet të sillet për të gjithë përdoruesit në një nga versionet e ardhshme. Për të çaktivizuar këtë sjellje, mund të përdorni opsionin "Shfaq gjithmonë URL-në e plotë" dhe për të parë të gjithë URL-në, mund të klikoni në shiritin e adresave. Motivi për ndryshimin është dëshira për të mbrojtur përdoruesit nga phishing që manipulon parametrat në URL - sulmuesit përfitojnë nga mosvëmendja e përdoruesve për të krijuar pamjen e hapjes së një faqeje tjetër dhe kryerjes së veprimeve mashtruese (nëse zëvendësime të tilla janë të dukshme për një përdorues teknikisht kompetent , atëherë njerëzit e papërvojë bien lehtësisht për një manipulim kaq të thjeshtë).
  • Nisma për heqjen e mbështetjes FTP është rinovuar. Në Chrome 86, FTP është çaktivizuar si parazgjedhje për rreth 1% të përdoruesve dhe në Chrome 87 shtrirja e çaktivizimit do të rritet në 50%, por mbështetja mund të rikthehet duke përdorur "--enable-ftp" ose "- -enable-features=FtpProtocol" flamur. Në Chrome 88, mbështetja FTP do të çaktivizohet plotësisht.
  • Në versionin për Android, i ngjashëm me versionin për sistemet e desktopit, menaxheri i fjalëkalimeve zbaton një kontroll të hyrjeve dhe fjalëkalimeve të ruajtura në bazë të të dhënave të llogarive të komprometuara, duke shfaqur një paralajmërim nëse zbulohen probleme ose tentohet të përdoren fjalëkalime të parëndësishme. Kontrolli kryhet kundër një baze të dhënash që mbulon më shumë se 4 miliardë llogari të komprometuara që u shfaqën në bazat e të dhënave të përdoruesve të zbuluar. Për të ruajtur privatësinë, prefiksi hash verifikohet nga ana e përdoruesit dhe vetë fjalëkalimet dhe hash-et e tyre të plota nuk transmetohen nga jashtë.
  • Butoni "Kontrolli i sigurisë" dhe mënyra e përmirësuar e mbrojtjes kundër sajteve të rrezikshme (Shfletimi i sigurt i përmirësuar) janë transferuar gjithashtu në versionin Android. Butoni "Kontrolli i sigurisë" tregon një përmbledhje të çështjeve të mundshme të sigurisë, të tilla si përdorimi i fjalëkalimeve të komprometuara, statusi i kontrollit të faqeve me qëllim të keq (Shfletimi i sigurt), prania e përditësimeve të çinstaluara dhe identifikimi i shtesave me qëllim të keq. Modaliteti i mbrojtjes së avancuar aktivizon kontrolle shtesë për t'u mbrojtur kundër phishing, aktivitetit keqdashës dhe kërcënimeve të tjera në ueb, dhe gjithashtu përfshin mbrojtje shtesë për llogarinë tuaj të Google dhe shërbimet e Google (Gmail, Drive, etj.). Nëse në modalitetin normal të shfletimit të sigurt, kontrollet kryhen në nivel lokal duke përdorur një bazë të dhënash të ngarkuar periodikisht në sistemin e klientit, atëherë në "Shfletimi i Sigurt i Përmirësuar" informacioni për faqet dhe shkarkimet në kohë reale dërgohet për verifikim në anën e Google, gjë që ju lejon t'i përgjigjeni shpejt kërcënimet menjëherë pasi janë identifikuar, pa pritur derisa lista e zezë lokale të përditësohet.
  • U shtua mbështetje për skedarin tregues ".well-known/change-password", me të cilin pronarët e faqeve mund të specifikojnë adresën e formularit të internetit për ndryshimin e fjalëkalimit. Nëse kredencialet e një përdoruesi janë komprometuar, Chrome tani do t'i kërkojë menjëherë përdoruesit një formular për ndryshimin e fjalëkalimit bazuar në informacionin në këtë skedar.
  • Është zbatuar një paralajmërim i ri "Këshillë sigurie", i shfaqur kur hapen sajte, domeni i të cilëve është shumë i ngjashëm me një sajt tjetër dhe heuristikat tregojnë se ka një probabilitet të lartë të mashtrimit (për shembull, hapet goog0le.com në vend të google.com).

    * Mbështetja për cache-in Back-Forward është zbatuar, duke ofruar navigim të menjëhershëm kur përdorni butonat "Back" dhe "Forward" ose kur lundroni nëpër faqet e shikuara më parë të faqes aktuale. Cache-ja aktivizohet duke përdorur cilësimin chrome://flags/#back-forward-cache.

  • Optimizimi i konsumit të burimeve të CPU-së për dritare jashtë fushëveprimit. Chrome kontrollon nëse dritarja e shfletuesit është e mbivendosur me dritare të tjera dhe parandalon vizatimin e pikselëve në zonat e mbivendosjes. Ky optimizim u aktivizua për një përqindje të vogël përdoruesish në Chrome 84 dhe 85 dhe tani është i aktivizuar kudo. Krahasuar me publikimet e mëparshme, një papajtueshmëri me sistemet e virtualizimit që shkaktoi shfaqjen e faqeve të bardha bosh është zgjidhur gjithashtu.
  • Rritja e shkurtimit të burimeve për skedat e sfondit. Skeda të tilla nuk mund të konsumojnë më shumë se 1% të burimeve të CPU-së dhe mund të aktivizohen jo më shumë se një herë në minutë. Pas pesë minutash qëndrimi në sfond, skedat ngrihen, me përjashtim të skedave që luajnë ose regjistrojnë përmbajtje multimediale.
  • Puna ka rifilluar për unifikimin e titullit HTTP-Agjent përdorues. Në versionin e ri, mbështetja për mekanizmin User-Agent Client Hints, i zhvilluar si zëvendësim për User-Agent, aktivizohet për të gjithë përdoruesit. Mekanizmi i ri përfshin kthimin në mënyrë selektive të të dhënave për parametrat specifikë të shfletuesit dhe sistemit (versioni, platforma, etj.) vetëm pas një kërkese nga serveri dhe duke u dhënë përdoruesve mundësinë që në mënyrë selektive t'u japin një informacion të tillë pronarëve të faqeve. Kur përdorni Udhëzimet e Klientit të Agjentit të Përdoruesit, identifikuesi nuk transmetohet si parazgjedhje pa një kërkesë të qartë, gjë që e bën të pamundur identifikimin pasiv (si parazgjedhje, tregohet vetëm emri i shfletuesit).
    Tregimi i pranisë së një përditësimi dhe nevoja për të rifilluar shfletuesin për ta instaluar është ndryshuar. Në vend të një shigjete me ngjyrë, "Përditësimi" shfaqet tani në fushën e avatarit të llogarisë.
  • Është kryer punë për të kthyer shfletuesin për të përdorur terminologji gjithëpërfshirëse. Në emrat e politikave, fjalët "lista e bardhë" dhe "lista e zezë" janë zëvendësuar me "listën e lejuar" dhe "listën e bllokimit" (politikat e shtuara tashmë do të vazhdojnë të funksionojnë, por ato do të shfaqin një paralajmërim për të mos u përdorur). Në emrat e kodeve dhe skedarëve, referencat për "listën e zezë" janë zëvendësuar me "listën e bllokimit". Referencat e dukshme nga përdoruesi për "listën e zezë" dhe "listën e bardhë" u zëvendësuan në fillim të vitit 2019.
    U shtua një aftësi eksperimentale për të modifikuar fjalëkalimet e ruajtura, e aktivizuar duke përdorur flamurin "chrome://flags/#edit-passwords-in-settings".
  • Native File System API është transferuar në kategorinë e API-së të qëndrueshme dhe të disponueshme publikisht, duke ju lejuar të krijoni aplikacione në ueb që ndërveprojnë me skedarët në sistemin lokal të skedarëve. Për shembull, API-ja e re mund të jetë e kërkuar në mjediset e zhvillimit të integruar të bazuar në shfletues, redaktuesit e tekstit, imazhit dhe videove. Për të qenë në gjendje të shkruani dhe lexoni drejtpërdrejt skedarë ose të përdorni dialogë për të hapur dhe ruajtur skedarë, si dhe për të lundruar nëpër përmbajtjet e drejtorive, aplikacioni i kërkon përdoruesit konfirmim të veçantë.
  • U shtua një përzgjedhës CSS ":focus-visible", i cili përdor të njëjtat heuristika që përdor shfletuesi kur vendos nëse do të shfaqë treguesin e ndryshimit të fokusit (kur zhvendosni fokusin në një buton duke përdorur shkurtoret e tastierës, treguesi shfaqet, por kur klikoni me miun , nuk ka). Zgjedhësi i disponueshëm më parë CSS ":focus" gjithmonë thekson fokusin. Përveç kësaj, opsioni "Theksimi i shpejtë i fokusit" është shtuar në cilësime, kur aktivizohet, pranë elementëve aktivë do të shfaqet një tregues shtesë i fokusit, i cili mbetet i dukshëm edhe nëse elementët e stilit për theksimin vizual të fokusit janë çaktivizuar në faqe nëpërmjet CSS. .
  • Disa API të reja janë shtuar në modalitetin Origin Trials (karakteristika eksperimentale që kërkojnë aktivizim të veçantë). Prova e origjinës nënkupton aftësinë për të punuar me API-në e specifikuar nga aplikacionet e shkarkuara nga localhost ose 127.0.0.1, ose pas regjistrimit dhe marrjes së një token të veçantë që është i vlefshëm për një kohë të kufizuar për një sajt specifik.
  • WebHID API për qasje të nivelit të ulët në pajisjet HID (pajisje ndërfaqe njerëzore, tastierë, minj, tastierë lojërash, tastierë me prekje), e cila ju lejon të zbatoni logjikën e punës me një pajisje HID në JavaScript për të organizuar punën me pajisje të rralla HID pa praninë e drejtues të veçantë në sistem. Para së gjithash, API-ja e re ka për qëllim ofrimin e mbështetjes për gamepads.
  • Screen Information API, zgjeron API-në e vendosjes së dritares për të mbështetur konfigurimet me shumë ekrane. Ndryshe nga window.screen, API i ri ju lejon të manipuloni vendosjen e një dritareje në hapësirën e përgjithshme të ekranit të sistemeve me shumë monitor, pa u kufizuar në ekranin aktual.
  • Kursimet e baterisë me etiketa meta, me të cilat faqja mund të informojë shfletuesin për nevojën për të aktivizuar mënyrat për të zvogëluar konsumin e energjisë dhe për të optimizuar ngarkesën e CPU.
  • COOP Reporting API për të raportuar shkeljet e mundshme të mënyrave të izolimit Cross-Origin-Embedder-Policy (COEP) dhe Cross-Origin-Opener-Policy (COOP), pa aplikuar kufizime aktuale.
  • Credential Management API ofron një lloj të ri kredencialesh, PaymentCredential, i cili siguron konfirmim shtesë të transaksionit të pagesës që po kryhet. Një palë mbështetëse, siç është një bankë, ka aftësinë të gjenerojë një çelës publik, një kredencial me çelës publik, i cili mund të kërkohet nga tregtari për konfirmim shtesë të sigurt të pagesës.
  • PointerEvents API për përcaktimin e pjerrësisë së majë shkrueses* ka shtuar mbështetje për këndet e lartësisë (këndi ndërmjet majë shkrueses dhe ekranit) dhe azimutit (këndi ndërmjet boshtit X dhe projeksionit të majë shkrimit në ekran), në vend të Këndet TiltX dhe TiltY (këndet midis rrafshit nga majë shkruese dhe njërit prej boshteve dhe rrafshit nga boshtet Y dhe Z). Gjithashtu u shtuan funksionet e konvertimit midis lartësisë/azimutit dhe TiltX/TiltY.
  • Ndryshoi kodimin e hapësirës në URL gjatë llogaritjes së saj në mbajtësit e protokollit - metoda navigator.registerProtocolHandler() zëvendëson tani hapësirat me "%20" në vend të "+", e cila unifikon sjelljen me shfletues të tjerë si Firefox.
  • Një pseudo-element "::marker" është shtuar në CSS, duke ju lejuar të personalizoni ngjyrën, madhësinë, formën dhe llojin e numrave dhe pikave për listimet në blloqe Dhe .
  • Mbështetje e shtuar për titullin HTTP të Politikës së Dokumentit, i cili ju lejon të vendosni rregulla për qasjen në dokumente, të ngjashme me mekanizmin e izolimit të sandbox për iframe, por më universale. Për shembull, përmes Document-Policy mund të kufizoni përdorimin e imazheve me cilësi të ulët, të çaktivizoni API-të e ngadalta të JavaScript, të konfiguroni rregullat për ngarkimin e iframeve, imazheve dhe skripteve, të kufizoni madhësinë e përgjithshme të dokumentit dhe trafikun, të ndaloni metodat që çojnë në rivizatimin e faqeve dhe çaktivizoni funksionin Scroll-To-Text.
  • Për element shtoi mbështetje për parametrat 'inline-grid', 'grid', 'inline-flex' dhe 'flex' të vendosura nëpërmjet vetive CSS 'display'.
  • U shtua metoda ParentNode.replaceChildren() për të zëvendësuar të gjithë fëmijët e një nyje prind me një nyje tjetër DOM. Më parë, mund të përdorni një kombinim të node.removeChild() dhe node.append() ose node.innerHTML dhe node.append() për të zëvendësuar nyjet.
  • Gama e skemave URL që mund të anashkalohen duke përdorur registerProtocolHandler() është zgjeruar. Lista e skemave përfshin protokollet e decentralizuara cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns dhe ssb, të cilat ju lejojnë të përcaktoni lidhje me elementë pavarësisht nga siti ose porta që ofron akses në burim.
  • Mbështetja e shtuar për formatin tekst/html në API-në Asinkrone të Clipboard-it për kopjimin dhe ngjitjen e HTML përmes kujtesës së fragmenteve (konstruksionet e rrezikshme HTML pastrohen kur shkruhet dhe lexohet në kujtesën e fragmenteve). Ndryshimi, për shembull, ju lejon të organizoni futjen dhe kopjimin e tekstit të formatuar me imazhe dhe lidhje në redaktuesit e uebit.
  • WebRTC ka shtuar aftësinë për të lidhur mbajtësit e vet të të dhënave, të thirrur në fazat e kodimit ose dekodimit të WebRTC MediaStreamTrack. Për shembull, kjo aftësi mund të përdoret për të shtuar mbështetje për enkriptimin nga skaji në fund të të dhënave të transmetuara përmes serverëve të ndërmjetëm.
    Në motorin V8 JavaScript, zbatimi i Number.prototype.toString është përshpejtuar me 75%. U shtua vetia .name te klasat asinkrone me një vlerë boshe. Metoda Atomics.wake është hequr, e cila në një kohë u riemërua në Atomics.notify për të qenë në përputhje me specifikimin ECMA-262. Kodi për mjetin e testimit të fuzzimit JS-Fuzzer është i hapur.
  • Përpiluesi bazë Liftoff për WebAssembly i lëshuar në versionin e fundit përfshin aftësinë për të përdorur udhëzimet e vektorit SIMD për të shpejtuar llogaritjet. Duke gjykuar nga testet, optimizimi bëri të mundur përshpejtimin e disa testeve me 2.8 herë. Një tjetër optimizim e bëri shumë më të shpejtë thirrjen e funksioneve të importuara JavaScript nga WebAssembly.
  • Mjetet për zhvilluesit e uebit janë zgjeruar: Paneli Media ka shtuar informacione rreth lojtarëve të përdorur për të luajtur video në faqe, duke përfshirë të dhënat e ngjarjeve, regjistrat, vlerat e vetive dhe parametrat e dekodimit të kornizës (për shembull, mund të përcaktoni shkaqet e kuadrit problemet e humbjes dhe ndërveprimit nga JavaScript).
  • Në menynë e kontekstit të panelit Elemente, është shtuar aftësia për të krijuar pamje të ekranit të elementit të zgjedhur (për shembull, mund të krijoni një pamje të tabelës së përmbajtjes ose tabelës).
  • Në tastierën e uebit, paneli i paralajmërimit të problemit është zëvendësuar me një mesazh të rregullt dhe problemet me "Cookies" të palëve të treta fshihen si parazgjedhje në skedën "Çështje" dhe aktivizohen me një kuti të veçantë kontrolli.
  • Në skedën Rendering, është shtuar një buton "Çaktivizo fontet lokale", i cili ju lejon të simuloni mungesën e shkronjave lokale, dhe në skedën Sensorë tani mund të simuloni pasivitetin e përdoruesit (për aplikacionet që përdorin API-në e zbulimit në punë).
  • Paneli i aplikacionit ofron informacion të detajuar për çdo iframe, dritare të hapur dhe dritare kërcyese, duke përfshirë informacione në lidhje me izolimin Cross-Origin duke përdorur COEP dhe COOP.

Zbatimi i protokollit QUIC ka filluar të zëvendësohet nga versioni i zhvilluar në specifikimin IETF, në vend të versionit Google të QUIC.
Përveç risive dhe rregullimeve të gabimeve, versioni i ri eliminon 35 dobësi. Shumë nga dobësitë u identifikuan si rezultat i testimit të automatizuar duke përdorur mjetet AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dhe AFL. Një dobësi (CVE-2020-15967, qasja në kujtesën e liruar në kod për ndërveprim me Google Payments) është shënuar si kritike, d.m.th. ju lejon të anashkaloni të gjitha nivelet e mbrojtjes së shfletuesit dhe të ekzekutoni kodin në sistem jashtë mjedisit të sandbox. Si pjesë e programit për të paguar shpërblime në para për zbulimin e dobësive për versionin aktual, Google pagoi 27 çmime me vlerë 71500 dollarë (një çmim 15000 dollarë, tre çmime 7500 dollarë, pesë çmime 5000 dollarë, dy çmime 3000 dollarë, një çmim 200 dollarë dhe dy çmime 500 dollarë). Madhësia e 13 shpërblimeve nuk është përcaktuar ende.

Marre nga Opennet.ru

Burimi: linux.org.ru

Shto një koment