ProHoster > blogg > internetnyheter > Chrome 86

Chrome 86

Nästa version av Chrome 86 och den stabila versionen av Chromium har släppts.

Viktiga ändringar i Chrome 86:

  • skydd mot osäker inlämning av inmatningsformulär på sidor som laddas över HTTPS men skickar data över HTTP.
  • Blockering av osäkra nedladdningar (http) av körbara filer kompletteras med att blockera osäkra nedladdningar av arkiv (zip, iso, etc.) och visa varningar för osäker nedladdning av dokument (docx, pdf, etc.). Dokumentblockering och varningar för bilder, text och mediefiler förväntas i nästa utgåva. Blockeringen implementeras eftersom nedladdning av filer utan kryptering kan användas för att utföra skadliga åtgärder genom att ersätta innehållet under MITM-attacker.
  • Standardkontextmenyn visar alternativet "Visa alltid fullständig URL", som tidigare krävde att inställningarna på sidan about:flags ändrades för att aktiveras. Den fullständiga URL:en kan också ses genom att dubbelklicka på adressfältet. Låt oss påminna dig om att från och med Chrome 76 började adressen som standard visas utan protokoll och www-underdomänen. I Chrome 79 togs inställningen för att återgå till det gamla beteendet bort, men efter användarens missnöje lades en ny experimentflagga till i Chrome 83 som lägger till ett alternativ i snabbmenyn för att inaktivera att dölja och visa hela webbadressen under alla förhållanden.
    För en liten andel av användarna har ett experiment lanserats för att endast visa domänen i adressfältet som standard, utan sökvägselement och frågeparametrar. Till exempel, istället för "https://example.com/secure-google-sign-in/" "example.com" kommer att visas. Det föreslagna läget förväntas komma till alla användare i en av de kommande utgåvorna. För att inaktivera detta beteende kan du använda alternativet "Visa alltid fullständig URL" och för att se hela webbadressen kan du klicka på adressfältet. Motivet till förändringen är önskan att skydda användare från nätfiske som manipulerar parametrar i webbadressen - angripare utnyttjar användarnas ouppmärksamhet för att skapa intryck av att öppna en annan webbplats och begå bedrägliga handlingar (om sådana ersättningar är uppenbara för en tekniskt kompetent användare , då faller oerfarna människor lätt för sådan enkel manipulation).
  • Initiativet att ta bort FTP-stödet har förnyats. I Chrome 86 är FTP inaktiverat som standard för cirka 1 % av användarna, och i Chrome 87 kommer omfattningen av inaktiveringen att utökas till 50 %, men stödet kan återställas med "--enable-ftp" eller "- -enable-features=FtpProtocol" flagga. I Chrome 88 kommer FTP-stödet att vara helt inaktiverat.
  • I versionen för Android, liknande versionen för stationära system, implementerar lösenordshanteraren en kontroll av sparade inloggningar och lösenord mot en databas med komprometterade konton, vilket visar en varning om problem upptäcks eller ett försök görs att använda triviala lösenord. Kontrollen utförs mot en databas som omfattar mer än 4 miljarder inträngda konton som dök upp i läckta användardatabaser. För att upprätthålla sekretessen verifieras hashprefixet på användarens sida, och själva lösenorden och deras fullständiga hash överförs inte externt.
  • Knappen "Säkerhetskontroll" och det förbättrade skyddsläget mot farliga webbplatser (Enhanced Safe Browsing) har också överförts till Android-versionen. Knappen "Säkerhetskontroll" visar en sammanfattning av möjliga säkerhetsproblem, såsom användningen av komprometterade lösenord, statusen för att kontrollera skadliga webbplatser (Safe Browsing), förekomsten av avinstallerade uppdateringar och identifiering av skadliga tillägg. Avancerat skyddsläge aktiverar ytterligare kontroller för att skydda mot nätfiske, skadlig aktivitet och andra hot på webben, och inkluderar även ytterligare skydd för ditt Google-konto och Google-tjänster (Gmail, Drive, etc.). Om i det normala Safe Browsing-läget kontroller utförs lokalt med hjälp av en databas som periodiskt laddas in på klientens system, så skickas information om sidor och nedladdningar i realtid för verifiering på Google-sidan, vilket gör att du snabbt kan svara på hot omedelbart efter att de har identifierats, utan att vänta tills den lokala svarta listan har uppdaterats.
  • Lagt till stöd för indikatorfilen ".well-known/change-password", med vilken webbplatsägare kan ange adressen till webbformuläret för att byta lösenord. Om en användares autentiseringsuppgifter äventyras kommer Chrome nu omedelbart att uppmana användaren med ett formulär för lösenordsändring baserat på informationen i den här filen.
  • En ny "Säkerhetstips"-varning har implementerats, som visas när du öppnar webbplatser vars domän är mycket lik en annan webbplats och heuristik visar att det finns en stor sannolikhet för spoofing (till exempel öppnas goog0le.com istället för google.com).

    * Stöd för bakåt-framåt-cachen har implementerats, vilket ger omedelbar navigering när du använder knapparna "Tillbaka" och "Framåt" eller när du navigerar genom tidigare visade sidor på den aktuella webbplatsen. Cachen aktiveras med inställningen chrome://flags/#back-forward-cache.

  • Optimering av CPU-resursförbrukning för fönster utanför omfattningen. Chrome kontrollerar om webbläsarfönstret överlappas av andra fönster och förhindrar att pixlar ritas i områden med överlappning. Denna optimering var aktiverad för en liten andel av användarna i Chrome 84 och 85 och är nu aktiverad överallt. Jämfört med tidigare utgåvor har en inkompatibilitet med virtualiseringssystem som gjorde att tomma vita sidor visades också lösts.
  • Ökad resursbeskärning för bakgrundsflikar. Sådana flikar kan inte längre förbruka mer än 1 % av CPU-resurserna och kan inte aktiveras mer än en gång per minut. Efter fem minuter i bakgrunden fryses flikar, med undantag för flikar som spelar upp multimediainnehåll eller spelar in.
  • Arbetet med att förena HTTP-huvudet för User-Agent har återupptagits. I den nya versionen är stöd för User-Agent Client Hints-mekanismen, utvecklad som en ersättning för User-Agent, aktiverat för alla användare. Den nya mekanismen innebär att selektivt returnera data om specifika webbläsare och systemparametrar (version, plattform, etc.) först efter en begäran från servern och ge användarna möjlighet att selektivt tillhandahålla sådan information till webbplatsägare. När du använder User-Agent Client Hints överförs inte identifieraren som standard utan en uttrycklig begäran, vilket gör passiv identifiering omöjlig (som standard anges endast webbläsarnamnet).
    Indikationen på närvaron av en uppdatering och behovet av att starta om webbläsaren för att installera den har ändrats. Istället för en färgad pil visas nu "Uppdatera" i kontoavatarfältet.
  • Arbete har utförts för att konvertera webbläsaren till att använda inkluderande terminologi. I policynamn har orden "vitlista" och "svartlista" ersatts med "tillåtelselista" och "spärrlista" (redan tillagda policyer kommer att fortsätta att fungera, men de kommer att visa en varning om att de fasas ut). I kod- och filnamn har hänvisningar till "svartlista" ersatts med "blocklista". Användarsynliga referenser till "svartlista" och "vitlista" ersattes i början av 2019.
    Lade till en experimentell möjlighet att redigera sparade lösenord, aktiverad med flaggan "chrome://flags/#edit-passwords-in-settings".
  • Native File System API har överförts till kategorin stabilt och allmänt tillgängligt API, vilket gör att du kan skapa webbapplikationer som interagerar med filer i det lokala filsystemet. Till exempel kan det nya API:et vara efterfrågat i webbläsarbaserade integrerade utvecklingsmiljöer, text-, bild- och videoredigerare. För att direkt kunna skriva och läsa filer eller använda dialoger för att öppna och spara filer, samt för att navigera genom innehållet i kataloger, ber applikationen användaren om särskild bekräftelse.
  • Lade till en CSS-väljare ":focus-visible", som använder samma heuristik som webbläsaren använder när den bestämmer om fokusändringsindikatorn ska visas (när man flyttar fokus till en knapp med kortkommandon visas indikatorn, men när man klickar med musen , det gör det inte). Den tidigare tillgängliga CSS-väljaren ":focus" framhäver alltid fokus. Dessutom har alternativet "Quick Focus Highlight" lagts till i inställningarna, när det är aktiverat kommer en extra fokusindikator att visas bredvid aktiva element, som förblir synlig även om stilelement för att visuellt framhäva fokus är inaktiverade på sidan via CSS .
  • Flera nya API:er har lagts till i Origin Trials-läget (experimentella funktioner som kräver separat aktivering). Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
  • WebHID API för lågnivååtkomst till HID-enheter (mänskliga gränssnittsenheter, tangentbord, möss, spelplattor, pekplattor), som låter dig implementera logiken i att arbeta med en HID-enhet i JavaScript för att organisera arbetet med sällsynta HID-enheter utan närvaro av specifika drivrutiner i systemet. Först och främst syftar det nya API:et till att ge stöd för gamepads.
  • Screen Information API, utökar Window Placement API för att stödja flerskärmskonfigurationer. Till skillnad från window.screen tillåter det nya API:et dig att manipulera placeringen av ett fönster i det övergripande skärmutrymmet för system med flera bildskärmar, utan att vara begränsad till den aktuella skärmen.
  • Metatagg batteribesparingar, med vilken webbplatsen kan informera webbläsaren om behovet av att aktivera lägen för att minska strömförbrukningen och optimera CPU-belastningen.
  • COOP Reporting API för att rapportera potentiella överträdelser av isoleringslägena Cross-Origin-Embedder-Policy (COEP) och Cross-Origin-Opener-Policy (COOP), utan att tillämpa faktiska begränsningar.
  • Credential Management API erbjuder en ny typ av referenser, PaymentCredential, som ger ytterligare bekräftelse på att betalningstransaktionen utförs. En förtroende part, till exempel en bank, har möjlighet att generera en offentlig nyckel, en PublicKeyCredential, som kan begäras av handlaren för ytterligare säker betalningsbekräftelse.
  • PointerEvents API för att bestämma pennans lutning* har lagt till stöd för höjdvinklar (vinkeln mellan pennan och skärmen) och azimut (vinkeln mellan X-axeln och projektionen av pennan på skärmen), istället för TiltX- och TiltY-vinklar (vinklarna mellan planet från pennan och en av axlarna och planet från Y- och Z-axlarna). Lade även till konverteringsfunktioner mellan höjd/azimut och TiltX/TiltY.
  • Ändrade kodningen av utrymme i URL:er när det beräknades i protokollhanterare - metoden navigator.registerProtocolHandler() ersätter nu mellanslag med "%20" istället för "+", vilket förenar beteendet med andra webbläsare som Firefox.
  • Ett pseudoelement "::marker" har lagts till i CSS, så att du kan anpassa färg, storlek, form och typ av siffror och punkter för listor i block Och .
  • Lade till stöd för HTTP-huvudet Document-Policy, som låter dig ställa in regler för åtkomst till dokument, liknande sandlådeisoleringsmekanismen för iframes, men mer universell. Genom Document-Policy kan du till exempel begränsa användningen av bilder av låg kvalitet, inaktivera långsamma JavaScript-API:er, konfigurera regler för att ladda iframes, bilder och skript, begränsa den övergripande dokumentstorleken och trafiken, förbjuda metoder som leder till omritning av sidan och inaktivera Scroll-To-Text-funktionen.
  • Till element lagt till stöd för parametrarna 'inline-grid', 'grid', 'inline-flex' och 'flex' som ställts in via CSS-egenskapen 'display'.
  • Lade till metoden ParentNode.replaceChildren() för att ersätta alla underordnade till en överordnad nod med en annan DOM-nod. Tidigare kunde du använda en kombination av node.removeChild() och node.append() eller node.innerHTML och node.append() för att ersätta noder.
  • Utbudet av URL-scheman som kan åsidosättas med registerProtocolHandler() har utökats. Listan över scheman inkluderar de decentraliserade protokollen cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns och ssb, som låter dig definiera länkar till element oavsett vilken webbplats eller gateway som ger tillgång till resursen.
  • Lade till stöd för text/html-format till Asynchronous Clipboard API för att kopiera och klistra in HTML via urklipp (farliga HTML-konstruktioner rensas upp när man skriver och läser till urklipp). Förändringen gör till exempel att du kan organisera infogning och kopiering av formaterad text med bilder och länkar i webbredigerare.
  • WebRTC har lagt till möjligheten att ansluta sina egna datahanterare, anropade vid kodnings- eller avkodningsstadierna av WebRTC MediaStreamTrack. Till exempel kan denna förmåga användas för att lägga till stöd för end-to-end-kryptering av data som överförs via mellanliggande servrar.
    I V8 JavaScript-motorn har implementeringen av Number.prototype.toString accelererats med 75 %. Lade till egenskapen .name till asynkrona klasser med ett tomt värde. Metoden Atomics.wake har tagits bort, som vid ett tillfälle döptes om till Atomics.notify för att följa ECMA-262-specifikationen. Koden för fuzzing testverktyget JS-Fuzzer är öppen.
  • Liftoff-baslinjekompilatorn för WebAssembly som släpptes i den senaste versionen inkluderar möjligheten att använda SIMD-vektorinstruktioner för att påskynda beräkningar. Att döma av testerna gjorde optimering det möjligt att snabba upp vissa tester med 2.8 gånger. En annan optimering gjorde det mycket snabbare att anropa importerade JavaScript-funktioner från WebAssembly.
  • Verktyg för webbutvecklare har utökats: Mediapanelen har lagt till information om spelarna som används för att spela upp video på sidan, inklusive händelsedata, loggar, egenskapsvärden och ramavkodningsparametrar (du kan till exempel fastställa orsakerna till frame förlust och interaktionsproblem från JavaScript).
  • I snabbmenyn på elementpanelen har möjligheten att skapa skärmdumpar av det valda elementet lagts till (du kan till exempel skapa en skärmdump av innehållsförteckningen eller tabellen).
  • I webbkonsolen har problemvarningspanelen ersatts med ett vanligt meddelande, och problem med cookies från tredje part är dolda som standard på fliken Problem och aktiveras med en speciell kryssruta.
  • På fliken Rendering har en "Inaktivera lokala teckensnitt"-knapp lagts till, som låter dig simulera frånvaron av lokala teckensnitt, och på fliken Sensorer kan du nu simulera användarinaktivitet (för applikationer som använder Idle Detection API).
  • Programpanelen ger detaljerad information om varje iframe, öppet fönster och popup-fönster, inklusive information om Cross-Origin-isolering med COEP och COOP.

Implementeringen av QUIC-protokollet har börjat ersättas av den version som utvecklats i IETF-specifikationen, istället för Google-versionen av QUIC.
Förutom innovationer och buggfixar eliminerar den nya versionen 35 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. En sårbarhet (CVE-2020-15967, tillgång till frigjort minne i kod för interaktion med Google Payments) markeras som kritisk, dvs. låter dig kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av programmet för att betala kontantbelöningar för att upptäcka sårbarheter för den aktuella versionen, betalade Google ut 27 utmärkelser värda $71500 15000 (en utmärkelse på $7500 5000, tre utmärkelser på $3000 200, fem utmärkelser på $500 13, två utmärkelser på $XNUMX XNUMX, en utmärkelse på $XNUMX och två utmärkelser på $XNUMX). Storleken på XNUMX belöningar har ännu inte fastställts.

Tagen från Opennet.ru

Källa: linux.org.ru

Lägg en kommentar