ProHoster > Blog > warta internét > Chrome 86

Chrome 86

Pelepasan salajengna Chrome 86 sareng sékrési stabil Chromium parantos dileupaskeun.

Parobahan konci dina Chrome 86:

  • panyalindungan ngalawan kiriman unsafe formulir input dina kaca dimuat ngaliwatan HTTPS tapi ngirim data ngaliwatan HTTP.
  • Meungpeuk undeuran anu teu aman (http) file anu tiasa dieksekusi dilengkepan ku ngablokir undeuran arsip anu teu aman (zip, iso, jsb.) sareng nampilkeun peringatan pikeun ngaunduh dokumén anu teu aman (docx, pdf, jsb.). Dokumén blocking jeung warnings pikeun gambar, téks, jeung payil media diharepkeun dina release saterusna. Pameungpeukna dilaksanakeun sabab ngaunduh file tanpa énkripsi tiasa dianggo pikeun ngalakukeun tindakan jahat ku cara ngagentos eusi nalika serangan MITM.
  • Menu konteks standar nampilkeun pilihan "Sok tunjukkeun URL lengkep", anu sateuacana kedah ngarobih setélan dina halaman about:flags pikeun ngaktipkeun. URL lengkep ogé tiasa ditingali ku ngaklik dua kali dina bar alamat. Hayu urang ngingetan yén dimimitian ku Chrome 76, sacara standar alamatna mimiti ditingalikeun tanpa protokol sareng subdomain www. Dina Chrome 79, setelan pikeun mulangkeun kabiasaan heubeul ieu dihapus, tapi sanggeus dissatisfaction pamaké, hiji bandéra ékspérimén anyar ditambahkeun dina Chrome 83 nu nambahkeun hiji pilihan pikeun menu konteks nganonaktipkeun nyumputkeun tur mintonkeun URL lengkep dina sagala kaayaan.
    Pikeun perséntase leutik pamaké, ékspérimén geus dibuka pikeun mintonkeun ngan domain dina palang alamat sacara standar, tanpa elemen jalur jeung parameter query. Contona, tinimbang "https://example.com/secure-google-sign-in/" "example.com" bakal ditingalikeun. Modeu anu diusulkeun diperkirakeun bakal dibawa ka sadaya pangguna dina salah sahiji rilis salajengna. Pikeun nganonaktipkeun paripolah ieu, anjeun tiasa nganggo pilihan "Salawasna nunjukkeun URL lengkep", sareng pikeun ningali sadayana URL, anjeun tiasa klik dina bar alamat. Motif parobihan nyaéta kahayang pikeun ngajagi pangguna tina phishing anu ngamanipulasi parameter dina URL - panyerang ngamangpaatkeun inattention pangguna pikeun nyiptakeun penampilan muka situs sanés sareng ngalakukeun tindakan curang (upami panggantian sapertos kitu écés pikeun pangguna anu kompeten sacara téknis. , mangka jalma inexperienced gampang digolongkeun kana manipulasi basajan misalna).
  • Inisiatif pikeun ngahapus dukungan FTP parantos di-renew. Dina Chrome 86, FTP ditumpurkeun sacara standar pikeun sakitar 1% pangguna, sareng dina Chrome 87 wengkuan cacadna bakal ningkat kana 50%, tapi dukungan tiasa dibalikkeun nganggo "--enable-ftp" atanapi "- -enable-features = FtpProtocol" bandéra. Dina Chrome 88, dukungan FTP bakal ditumpurkeun lengkep.
  • Dina vérsi pikeun Android, sami sareng vérsi pikeun sistem desktop, manajer kecap konci ngalaksanakeun cek login sareng kecap akses anu disimpen ngalawan database akun anu dikompromi, nunjukkeun peringatan upami aya masalah atanapi aya usaha pikeun ngagunakeun kecap konci anu teu pati penting. Pamariksaan dilaksanakeun ngalawan pangkalan data anu nyertakeun langkung ti 4 milyar akun anu dikompromi anu muncul dina pangkalan data pangguna anu bocor. Pikeun ngajaga privasi, awalan hash diverifikasi di sisi pangguna, sareng kecap konci sorangan sareng hash lengkepna henteu dikirimkeun ka luar.
  • Tombol "Parios Kaamanan" sareng mode panyalindungan anu ditingkatkeun tina situs bahaya (Penjelajahan Aman Ditingkatkeun) ogé parantos dialihkeun ka vérsi Android. Tombol "Parios Kaamanan" nunjukkeun kasimpulan masalah kaamanan anu mungkin, sapertos pamakean kecap akses anu dikompromi, status mariksa situs jahat (Browsing Aman), ayana apdet anu teu dipasang, sareng idéntifikasi tambihan anu jahat. Modeu panyalindungan canggih ngaktifkeun cék tambahan pikeun ngajagaan tina phishing, kagiatan jahat sareng ancaman sanés dina Wéb, sareng ogé kalebet panyalindungan tambahan pikeun akun Google sareng jasa Google anjeun (Gmail, Drive, jsb.). Upami dina modeu Browsing Aman normal, pamariksaan dilaksanakeun sacara lokal nganggo pangkalan data anu dimuat sacara périodik kana sistem klien, teras dina Enhanced Safe Browsing inpo ngeunaan halaman sareng undeuran sacara real waktos dikirim pikeun verifikasi di sisi Google, anu ngamungkinkeun anjeun gancang ngabales. ancaman langsung saatos aranjeunna dicirikeun, tanpa ngantosan dugi ka blacklist lokal diropéa.
  • Ditambahkeun dukungan pikeun file indikator ".well-known/change-password", nu boga situs bisa nangtukeun alamat formulir web pikeun ngarobah sandi. Upami kredensial pangguna dikompromi, Chrome ayeuna bakal langsung naroskeun pangguna nganggo bentuk ganti sandi dumasar kana inpormasi dina file ieu.
  • Peringatan "Tip Kasalametan" anyar parantos dilaksanakeun, ditampilkeun nalika muka situs anu domainna mirip pisan sareng situs anu sanés sareng heuristik nunjukkeun yén aya kamungkinan spoofing (contona, goog0le.com dibuka tibatan google.com).

    * Rojongan pikeun cache Mundur-maju parantos dilaksanakeun, nyayogikeun navigasi instan nalika nganggo tombol "Balik" sareng "Teraskeun" atanapi nalika nganapigasi halaman anu ditingali sateuacana tina situs ayeuna. Cache diaktipkeun nganggo setelan chrome: // flags / #back-forward-cache.

  • Ngaoptimalkeun konsumsi sumber daya CPU pikeun jandéla kaluar-of-wengkuan. Chrome mariksa naha jandela pangotektak tumpang tindih ku jandela sejen tur nyegah gambar piksel dina wewengkon tumpang tindihna. Optimasi ieu diaktipkeun pikeun persentase leutik pangguna dina Chrome 84 sareng 85 sareng ayeuna diaktipkeun dimana-mana. Dibandingkeun sareng sékrési saméméhna, henteu cocog sareng sistem virtualisasi anu nyababkeun halaman bodas kosong muncul ogé parantos direngsekeun.
  • Ngaronjatkeun trimming sumberdaya pikeun tab latar. Tab sapertos kitu henteu tiasa deui ngonsumsi langkung ti 1% sumberdaya CPU sareng tiasa diaktipkeun henteu langkung ti sakali per menit. Saatos lima menit aya di latar tukang, tab dibekukeun, iwal ti tab anu muterkeun eusi multimedia atanapi ngarékam.
  • Gawé geus diteruskeun dina ngahijikeun lulugu HTTP pamaké-Agen. Dina vérsi énggal, dukungan pikeun mékanisme Petunjuk Klién Agén-Agén, dikembangkeun salaku gaganti pikeun Agén-Agén, diaktipkeun pikeun sadaya pangguna. Mékanisme anyar ngalibatkeun selektif balik data ngeunaan browser husus sarta parameter sistem (versi, platform, jsb) ngan sanggeus hiji pamundut ku server jeung mere pamaké kasempetan pikeun selektif nyadiakeun informasi misalna mun boga situs. Lamun ngagunakeun User-Agent Client Hints, identifier henteu dikirimkeun sacara standar tanpa pamundut eksplisit, anu ngajadikeun idéntifikasi pasip teu mungkin (sacara standar, ngan nami browser anu dituduhkeun).
    Indikasi ayana pembaruan sareng kabutuhan ngabalikan deui browser pikeun masang éta parantos dirobih. Gantina panah berwarna, "Update" ayeuna muncul dina widang avatar akun.
  • Karya parantos dilaksanakeun pikeun ngarobih browser pikeun nganggo terminologi inklusif. Dina ngaran kawijakan, kecap "whitelist" jeung "blacklist" geus diganti ku "allowlist" jeung "blocklist" (kabijakan geus ditambahkeun bakal terus dianggo, tapi maranéhna bakal nembongkeun peringatan ngeunaan keur deprecated). Dina kode jeung ngaran file, rujukan pikeun "blacklist" geus diganti ku "blocklist". Rujukan anu katingali ku pangguna pikeun "béréndélan hideung" sareng "daftar bodas" diganti dina awal taun 2019.
    Nambahkeun kamampuan ékspérimén pikeun ngédit kecap konci anu disimpen, diaktipkeun nganggo bendera "chrome: // flags/#edit-passwords-in-settings".
  • Native File System API parantos dialihkeun kana kategori API anu stabil sareng sayogi umum, ngamungkinkeun anjeun nyiptakeun aplikasi wéb anu berinteraksi sareng file dina sistem file lokal. Contona, API anyar bisa jadi di paménta di lingkungan ngembangkeun terpadu basis browser, téks, gambar jeung éditor video. Pikeun tiasa langsung nyerat sareng maca file atanapi nganggo dialog pikeun muka sareng nyimpen file, ogé pikeun nganapigasi eusi diréktori, aplikasi naroskeun ka pangguna pikeun konfirmasi khusus.
  • Nambahkeun pamilih CSS ": fokus-katingali", anu nganggo heuristik anu sami anu dianggo ku browser nalika mutuskeun pikeun nunjukkeun indikator parobahan fokus (nalika mindahkeun fokus kana tombol nganggo potong kompas keyboard, indikatorna muncul, tapi nalika ngaklik ku beurit. , éta henteu). Pamilih CSS anu sayogi sateuacana ": fokus" sok nyorot fokus. Sajaba ti éta, pilihan "Fokus Gancang Sorotan" geus ditambahkeun kana setelan, lamun diaktipkeun, indikator fokus tambahan bakal dipintonkeun gigireun elemen aktip, nu tetep katingali sanajan elemen gaya pikeun panyorot visual fokus ditumpurkeun dina kaca via CSS.
  • Sababaraha API anyar geus ditambahkeun kana mode Uji Asal (fitur ékspérimén anu merlukeun aktivasina misah). Origin Trial nunjukkeun kamampuan pikeun damel sareng API anu ditangtukeun tina aplikasi anu diunduh tina localhost atanapi 127.0.0.1, atanapi saatos ngadaptar sareng nampi token khusus anu valid pikeun waktos kawates pikeun situs khusus.
  • API WebHID pikeun aksés tingkat handap ka alat HID (Alat panganteur manusa, kibor, beurit, gamepads, touchpads), nu ngidinan Anjeun pikeun nerapkeun logika gawé bareng hiji alat HID dina JavaScript pikeun ngatur gawé kalawan alat HID langka tanpa ayana drivers husus dina sistem. Anu mimiti, API anyar ditujukeun pikeun nyayogikeun dukungan pikeun gamepads.
  • API Émbaran layar, ngalegaan Jandéla Panempatan API pikeun ngarojong konfigurasi multi-layar. Teu kawas window.screen, API anyar ngidinan Anjeun pikeun ngamanipulasi panempatan jandela dina spasi layar sakabéh sistem multi-monitor, tanpa diwatesan ku layar ayeuna.
  • Meta tag batré-hemat, kalawan nu loka bisa ngawartosan browser ngeunaan kudu ngaktipkeun mode pikeun ngurangan konsumsi kakuatan sarta ngaoptimalkeun beban CPU.
  • COOP Reporting API pikeun ngalaporkeun potensi palanggaran Cross-Origin-Embedder-Policy (COEP) jeung Cross-Origin-Opener-Policy (COOP) modus isolasi, tanpa nerapkeun larangan sabenerna.
  • API Manajemén Kapercayaan nawiskeun jinis kapercayaan anyar, PaymentCredential, anu nyayogikeun konfirmasi tambahan tina transaksi pamayaran anu dilakukeun. Pihak anu ngandelkeun, sapertos bank, gaduh kamampuan pikeun ngahasilkeun konci umum, PublicKeyCredential, anu tiasa dipénta ku padagang pikeun konfirmasi pembayaran anu aman.
  • API PointerEvents pikeun nangtukeun cara ngadengdekkeun stylus* geus ditambahkeun rojongan pikeun sudut élévasi (sudut antara stylus jeung layar) jeung azimuth (sudut antara sumbu X jeung proyéksi stylus dina layar), tinimbang Sudut TiltX sareng TiltY (sudut antara pesawat tina stylus sareng salah sahiji sumbu sareng pesawat tina sumbu Y sareng Z). Ogé ditambahkeun fungsi konversi antara luhurna / azimuth na TiltX / TiltY.
  • Ngarobah panyandian spasi dina URL nalika ngitung dina pawang protokol - metoda navigator.registerProtocolHandler() ayeuna ngaganti spasi jeung "%20" tinimbang "+", nu unifies kabiasaan jeung panyungsi lianna kayaning Firefox.
  • A pseudo-element "::marker" geus ditambahkeun kana CSS, ngidinan Anjeun pikeun ngaluyukeun warna, ukuran, wangun jeung tipe angka jeung titik pikeun listings dina blok. Jeung .
  • Ditambahkeun dukungan pikeun lulugu HTTP Dokumén-Kabijakan, anu ngamungkinkeun anjeun nyetél aturan pikeun ngakses dokumén, sami sareng mékanisme isolasi sandbox pikeun iframes, tapi langkung universal. Contona, ngaliwatan Dokumén-Kawijakan anjeun bisa ngawatesan pamakéan gambar kualitas low, nganonaktipkeun slow JavaScript API, ngonpigurasikeun aturan pikeun loading iframes, gambar jeung skrip, ngawates ukuran sakabéh dokumén jeung lalulintas, nyaram métode nu ngakibatkeun kaca redrawing, jeung mareuman pungsi Gulung-Ka-Téks.
  • Pikeun unsur Ditambahkeun dukungan pikeun parameter 'inline-grid', 'grid', 'inline-flex' sareng 'flex' anu disetél via properti CSS 'display'.
  • Ditambahkeun ParentNode.replaceChildren () métode pikeun ngaganti sakabéh barudak tina titik indungna jeung titik DOM sejen. Saméméhna, Anjeun bisa make kombinasi node.removeChild () jeung node.append () atanapi node.innerHTML na node.append () pikeun ngaganti titik.
  • Kisaran skéma URL nu bisa ditimpa maké registerProtocolHandler () geus dimekarkeun. Daptar skéma ngawengku protokol desentralisasi cabal, dat, tuh, dweb, ethereum, hyper, ipfs, ipns na ssb, nu ngidinan Anjeun pikeun nangtukeun tumbu ka elemen paduli situs atawa gateway nyadiakeun aksés ka sumberdaya nu.
  • Ditambahkeun dukungan pikeun téks / format html kana Asynchronous Clipboard API pikeun nyalin sareng nempelkeun HTML via clipboard (konstruksi HTML bahaya dibersihkeun nalika nyerat sareng maca kana clipboard). Parobahan, contona, ngamungkinkeun anjeun pikeun ngatur sisipan sareng nyalin téks anu diformat sareng gambar sareng tautan dina éditor wéb.
  • WebRTC geus ditambahkeun kamampuhan pikeun nyambungkeun pawang data sorangan, disebut dina tahap encoding atawa decoding tina WebRTC MediaStreamTrack. Salaku conto, kamampuan ieu tiasa dianggo pikeun nambihan dukungan pikeun enkripsi tungtung-ka-tungtung data anu dikirimkeun ngaliwatan server perantara.
    Dina mesin JavaScript V8, palaksanaan Number.prototype.toString geus gancangan ku 75%. Ditambahkeun harta .name ka kelas Asynchronous kalawan nilai kosong. Metoda Atomics.wake geus dihapus, nu dina hiji waktu diganti jadi Atomics.notify pikeun matuh spésifikasi ECMA-262. Kodeu pikeun alat uji fuzzing JS-Fuzzer dibuka.
  • The Liftoff baseline compiler pikeun WebAssembly dirilis dina release panungtungan ngawengku kamampuh ngagunakeun parentah SIMD vektor pikeun speed up itungan. Ditilik ku tés, optimasi ngamungkinkeun pikeun nyepetkeun sababaraha tés ku 2.8 kali. Optimasi anu sanés ngajantenkeun langkung gancang nyauran fungsi JavaScript anu diimpor ti WebAssembly.
  • Alat pikeun pamekar wéb parantos dilegaan: Panel Media parantos nambihan inpormasi ngeunaan pamaén anu dianggo pikeun maénkeun pidéo dina halaman, kalebet data acara, log, nilai properti sareng parameter decoding pigura (contona, anjeun tiasa nangtoskeun panyabab pigura. leungitna sarta masalah interaksi ti JavaScript).
  • Dina menu kontéks panel Elements, kamampuhan pikeun nyieun Potret layar tina unsur nu dipilih geus ditambahkeun (contona, Anjeun bisa nyieun screenshot tina daptar eusi atawa tabel).
  • Dina konsol wéb, panel peringatan masalah parantos diganti ku pesen biasa, sareng masalah sareng Cookies pihak katilu disumputkeun sacara standar dina tab Isu sareng diaktipkeun ku kotak centang khusus.
  • Dina tab Rendering, tombol "Pareuman fon lokal" parantos ditambahkeun, anu ngamungkinkeun anjeun nyontokeun henteuna fon lokal, sareng dina tab Sensor ayeuna anjeun tiasa nyontoan henteu aktipitas pangguna (pikeun aplikasi anu nganggo API Deteksi Idle).
  • Panel Aplikasi nyayogikeun inpormasi lengkep ngeunaan unggal iframe, jandela kabuka, sareng pop-up, kalebet inpormasi ngeunaan isolasi Cross-Origin nganggo COEP sareng COOP.

Palaksanaan protokol QUIC geus dimimitian diganti ku versi dimekarkeun dina spésifikasi IETF, tinimbang versi Google tina QUIC.
Salian inovasi sareng perbaikan bug, versi énggal ngaleungitkeun 35 kerentanan. Seueur kerentanan anu diidentifikasi salaku hasil tina uji otomatis nganggo AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer sareng alat AFL. Hiji kerentanan (CVE-2020-15967, aksés ka mémori anu dibébaskeun dina kode pikeun berinteraksi sareng Google Payments) ditandaan salaku kritis, nyaéta. ngidinan Anjeun pikeun bypass sagala tingkatan panyalindungan browser tur ngajalankeun kode dina sistem luar lingkungan sandbox. Salaku bagian tina program pikeun mayar ganjaran tunai pikeun manggihan kerentanan keur release ayeuna, Google mayar 27 panghargaan patut $71500 (hiji $15000 pangajén, tilu $7500 panghargaan, lima $5000 panghargaan, dua $3000 panghargaan, hiji $200 pangajén, jeung dua panghargaan $500). Ukuran 13 ganjaran teu acan ditangtukeun.

Dicokot ti Opennet.ru

sumber: linux.org.ru

Tambahkeun komentar