Google webbläsarversion ... Samtidigt stabil utgåva av ett gratis projekt , som är grunden för Chrome. Chrome webbläsare användningen av Googles logotyper, närvaron av ett system för att skicka aviseringar i händelse av en krasch, möjligheten att ladda ner en Flash-modul på begäran, moduler för att spela skyddat videoinnehåll (DRM), ett automatiskt uppdateringssystem och överföring vid sökning . Nästa version av Chrome 87 är planerad till den 17 november.
:
- Tillagt skydd mot osäker inlämning av inmatningsformulär på sidor som laddas via HTTPS men skickar data via HTTP, vilket skapar hot om dataavlyssning och spoofing under MITM-attacker. Skydd kommer ner till tre ändringar:
- Automatisk ifyllning av alla blandade inmatningsformulär har inaktiverats, på samma sätt som automatisk ifyllning av autentiseringsformulär på sidor som öppnas via HTTP har inaktiverats under ganska lång tid. Om ett tecken för inaktivering tidigare var att öppna en sida med ett formulär via HTTPS eller HTTP, beaktas nu även användningen av kryptering när data skickas till formulärhanteraren. Lösenordshanteraren för blandade former av autentisering är inte inaktiverad, eftersom risken för att använda ett osäkert lösenord och återanvända lösenord på olika webbplatser överväger risken för potentiell trafikavlyssning.
- När man börjar skriva in i blandade former, visas en varning som informerar användaren om att den färdiga datan skickas via en okrypterad kommunikationskanal.
- När du försöker skicka in ett blandat formulär visas en separat sida som meddelar dig om den potentiella risken med att överföra data över en okrypterad kommunikationskanal. I tidigare versioner användes en hänglåsindikator i adressfältet för att indikera blandade former, men denna markering var inte uppenbar för användarna och speglade inte effektivt riskerna.
- Blockering (utan kryptering) av körbara filer kompletteras med att blockera osäker laddning av arkiv (zip, iso, etc.) och visa varningar för osäker laddning
dokument (docx, pdf, etc.). Dokumentblockering och varningar för bilder, text och mediefiler förväntas i nästa utgåva. Blockeringen implementeras eftersom nedladdning av filer utan kryptering kan användas för att utföra skadliga åtgärder genom att ersätta innehållet under MITM-attacker. - Standardkontextmenyn visar alternativet "Visa alltid fullständig URL", som tidigare krävde att inställningarna på sidan about:flags ändrades för att aktiveras. Den fullständiga URL:en kan också ses genom att dubbelklicka på adressfältet. Låt oss komma ihåg att från och med Som standard började adressen visas utan protokoll och www-underdomänen. I inställningen för att återställa det gamla beteendet togs bort, men efter användarens missnöje med En ny experimentflagga har lagts till som lägger till ett alternativ till snabbmenyn för att inaktivera att dölja och visa hela webbadressen under alla förhållanden.
- Lanserades för en liten andel av användarna på Som standard innehåller adressfältet endast domänen, utan sökvägselement och frågeparametrar. Till exempel, istället för "https://example.com/secure-google-sign-in/" visas "example.com". Det föreslagna läget förväntas komma till alla användare i en av de kommande utgåvorna. För att inaktivera detta beteende kan du använda alternativet "Visa alltid fullständig URL" och för att se hela webbadressen kan du klicka på adressfältet. Motivet till förändringen är önskan att skydda användare från nätfiske som manipulerar parametrar i webbadressen - angripare utnyttjar användarnas ouppmärksamhet för att skapa intryck av att öppna en annan webbplats och begå bedrägliga handlingar (om sådana ersättningar är uppenbara för en tekniskt kompetent användare , då faller oerfarna människor lätt för sådan enkel manipulation).
- Återupptas för att ta bort FTP-stöd. I Chrome 86 är FTP inaktiverat som standard för cirka 1 % av användarna, och i Chrome 87 kommer omfattningen av inaktiveringen att utökas till 50 %, men stödet kan återställas med "--enable-ftp" eller "- -enable-features=FtpProtocol" flagga. I Chrome 88 kommer FTP-stödet att vara helt inaktiverat.
- I versionen för Android, liknande versionen för stationära system, implementerar lösenordshanteraren en kontroll av sparade inloggningar och lösenord mot en databas med komprometterade konton, vilket visar en varning om problem upptäcks eller ett försök görs att använda triviala lösenord. Kontrollen utförs mot en databas som omfattar mer än 4 miljarder inträngda konton som dök upp i läckta användardatabaser. För att upprätthålla integriteten Hashprefixet verifieras på användarens sida, och själva lösenorden och deras fullständiga hash överförs inte externt.
- Finns även i Android-version knappen "Säkerhetskontroll" och det förbättrade skyddsläget mot farliga platser (Enhanced Safe Browsing). Knappen "Säkerhetskontroll" visar en sammanfattning av möjliga säkerhetsproblem, såsom användningen av komprometterade lösenord, statusen för att kontrollera skadliga webbplatser (Säker webbsökning), förekomsten av avinstallerade uppdateringar och identifiering av skadliga tillägg. Avancerat skyddsläge aktiverar ytterligare kontroller för att skydda mot nätfiske, skadlig aktivitet och andra hot på webben, och inkluderar även ytterligare skydd för ditt Google-konto och Google-tjänster (Gmail, Drive, etc.). Om kontroller utförs lokalt i det normala Safe Browsing-läget med hjälp av en databas som periodiskt laddas in i klientens system, skickas information om sidor och nedladdningar i realtid för verifiering på Google-sidan, vilket gör att du snabbt kan svara på hot omedelbart efter att de har identifierats, utan att vänta tills den lokala svarta listan har uppdaterats.
- stöd för indikatorfilen ".well-known/change-password", med vilken webbplatsägare kan ange adressen till ett webbformulär för att byta lösenord. Om en användares autentiseringsuppgifter äventyras kommer Chrome nu omedelbart att uppmana användaren med ett formulär för lösenordsändring baserat på informationen i den här filen.
- En ny "Säkerhetstips"-varning har implementerats, som visas när du öppnar webbplatser vars domän är mycket lik en annan webbplats och heuristik visar att det finns en stor sannolikhet för spoofing (till exempel öppnas goog0le.com istället för google.com).
- stöd för bakåt-framåt-cachen, som ger omedelbar navigering när du använder knapparna "Bakåt" och "Framåt" eller när du navigerar genom tidigare visade sidor på den aktuella webbplatsen. Cachen aktiveras med inställningen chrome://flags/#back-forward-cache.
- Optimering av CPU-resursförbrukning av Windows har genomförts
ur sikte. Chrome kontrollerar om webbläsarfönstret överlappas av andra fönster och förhindrar att pixlar ritas i områden med överlappning. Denna optimering var aktiverad för en liten andel av användarna i Chrome 84 och 85 och är nu aktiverad överallt. Jämfört med tidigare utgåvor har en inkompatibilitet med virtualiseringssystem som gjorde att tomma vita sidor visades också lösts. - Ökad resursbeskärning för bakgrundsflikar. Sådana flikar kan inte längre förbruka mer än 1 % av CPU-resurserna och kan inte aktiveras mer än en gång per minut. Efter fem minuter i bakgrunden fryses flikar, med undantag för flikar som spelar upp multimediainnehåll eller spelar in.
- Jobba på HTTP-huvud User-Agent. I den nya versionen är stöd för mekanismen aktiverat för alla användare , utvecklad som en ersättning för User-Agent. Den nya mekanismen innebär att selektivt returnera data om specifika webbläsare och systemparametrar (version, plattform, etc.) först efter en begäran från servern och ge användarna möjlighet att selektivt tillhandahålla sådan information till webbplatsägare. När du använder User-Agent Client Hints överförs inte identifieraren som standard utan en uttrycklig begäran, vilket gör passiv identifiering omöjlig (som standard anges endast webbläsarnamnet).
- Indikationen på närvaron av en uppdatering och behovet av att starta om webbläsaren för att installera den har ändrats. Istället för en färgad pil visas nu "Uppdatera" i kontoavatarfältet.
- Arbete har utförts för att konvertera webbläsaren till att använda inkluderande terminologi. I policynamn har orden "vitlista" och "svartlista" ersatts med "tillåtelselista" och "spärrlista" (redan tillagda policyer kommer att fortsätta att fungera, men de kommer att visa en varning om att de fasas ut). I и hänvisningar till "blacklist" har ersatts med "blocklist".
Användarsynliga referenser till "svartlista" och "vitlista" ersattes i början av 2019. - Lade till en experimentell möjlighet att redigera sparade lösenord, aktiverad med flaggan "chrome://flags/#edit-passwords-in-settings".
- Konverterad till stabil och offentlig API , som låter dig skapa webbapplikationer som interagerar med filer i det lokala filsystemet. Till exempel kan det nya API:et vara efterfrågat i webbläsarbaserade integrerade utvecklingsmiljöer, text-, bild- och videoredigerare. För att direkt kunna skriva och läsa filer eller använda dialoger för att öppna och spara filer, samt för att navigera genom innehållet i kataloger, ber applikationen användaren om särskild bekräftelse.
- Lade till CSS-väljare "“, som använder samma heuristik som webbläsaren använder när den bestämmer om fokusändringsindikatorn ska visas (när du flyttar fokus till en knapp med kortkommandon visas indikatorn, men när du klickar med musen gör den det inte). Den tidigare tillgängliga CSS-väljaren ":focus" framhäver alltid fokus.
Dessutom har alternativet "Quick Focus Highlight" lagts till i inställningarna, när det är aktiverat kommer en extra fokusindikator att visas bredvid aktiva element, som förblir synlig även om stilelement för visuell framhävning av fokus är inaktiverade på sidan via CSS. - Flera nya API:er har lagts till i Origin Trials-läget (experimentella funktioner som kräver separat aktivering). Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
- för lågnivååtkomst till HID-enheter (mänskliga gränssnittsenheter, tangentbord, möss, gamepads, pekpaneler), så att du kan implementera logiken i att arbeta med en HID-enhet i JavaScript för att organisera arbetet med sällsynta HID-enheter utan närvaro av specifika drivrutiner i systemet.
Först och främst syftar det nya API:et till att ge stöd för gamepads. - , utökar Window Placement API för att stödja flerskärmskonfigurationer. Till skillnad från window.screen tillåter det nya API:et dig att manipulera placeringen av ett fönster i det övergripande skärmutrymmet för system med flera bildskärmar, utan att vara begränsad till den aktuella skärmen.
- Metatagg , med vilken webbplatsen kan informera webbläsaren om behovet av att aktivera lägen för att minska strömförbrukningen och optimera CPU-belastningen.
- API att rapportera potentiella brott mot isoleringsregler (COEP) och (COOP), utan att tillämpa egentliga begränsningar.
- I API en ny typ av meriter har föreslagits , vilket ger ytterligare bekräftelse på att betalningstransaktionen utförs. En förtroende part, till exempel en bank, har möjlighet att generera en offentlig nyckel, en PublicKeyCredential, som kan begäras av handlaren för ytterligare säker betalningsbekräftelse.
- för lågnivååtkomst till HID-enheter (mänskliga gränssnittsenheter, tangentbord, möss, gamepads, pekpaneler), så att du kan implementera logiken i att arbeta med en HID-enhet i JavaScript för att organisera arbetet med sällsynta HID-enheter utan närvaro av specifika drivrutiner i systemet.
- I API för att bestämma pennans lutning har stöd lagts till för höjdvinklar (vinkeln mellan pennan och skärmen) och azimut (vinkeln mellan X-axeln och projektionen av pennan på skärmen), istället för TiltX och TiltY-vinklar (vinklarna mellan planet från pennan och en av axlarna och planet från Y- och Y-axlarna Z). Lade även till konverteringsfunktioner mellan höjd/azimut och TiltX/TiltY.
- Ändrade kodningen av utrymme i URL:er när det beräknades i protokollhanterare - metoden navigator.registerProtocolHandler() ersätter nu mellanslag med "%20" istället för "+", vilket förenar beteendet med andra webbläsare som Firefox.
- Lade till CSS-pseudo-element "", som låter dig anpassa färg, storlek, form och typ av siffror och punkter för listor i block Och .
- Stöd för HTTP-header har lagts till , regler för åtkomst till dokument, liknande sandlådeisoleringsmekanismen för iframes, men mer universella. Genom Document-Policy kan du till exempel begränsa användningen av bilder av låg kvalitet, inaktivera långsamma JavaScript-API:er, konfigurera regler för att ladda iframes, bilder och skript, begränsa den totala dokumentstorleken och trafiken, förbjuda metoder som leder till omritning av sidor, inaktivera funktionen .
- Till element lagt till stöd för parametrarna 'inline-grid', 'grid', 'inline-flex' och 'flex' som ställts in via CSS-egenskapen 'display'.
- Tillagd metod för att ersätta alla underordnade till en överordnad nod med en annan DOM-nod. Tidigare kunde du använda en kombination av node.removeChild() och node.append() eller node.innerHTML och node.append() för att ersätta noder.
- intervallet av URL-scheman som tillåts åsidosättas med registerProtocolHandler(). Listan över scheman inkluderar de decentraliserade protokollen cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns och ssb, som låter dig definiera länkar till element oavsett webbplats eller gateway som ger tillgång till resursen.
- I API lagt till stöd för text/html-formatet för att kopiera och klistra in HTML via urklipp (farliga HTML-konstruktioner rensas upp när man skriver och läser till klippbordet). Förändringen gör till exempel att du kan organisera infogning och kopiering av formaterad text med bilder och länkar i webbredigerare.
- I WebRTC möjligheten att ansluta dina egna datahanterare som anropas vid kodnings- eller avkodningsstadierna av WebRTC MediaStreamTrack. Till exempel kan denna förmåga användas för att lägga till stöd för end-to-end-kryptering av data som överförs via mellanliggande servrar.
- I JavaScript-motor V8 med 75 % implementering av Number.prototype.toString. Lade till egenskapen .name till asynkrona klasser med ett tomt värde. Metoden Atomics.wake har tagits bort, som vid ett tillfälle döptes om till Atomics.notify för att följa ECMA-262-specifikationen. Fuzzing testverktygskod öppen .
- Liftoffs baslinjekompilator för WebAssembly, som släpptes i den senaste versionen, inkluderar möjligheten att använda vektorinstruktioner för att påskynda beräkningarna. Att döma av testerna gjorde optimering det möjligt att snabba upp vissa tester med 2.8 gånger. En annan optimering gjorde det mycket snabbare att anropa importerade JavaScript-funktioner från WebAssembly.
- verktyg för webbutvecklare: Mediapanelen har lagt till information om spelarna som används för att spela upp video på sidan, inklusive händelsedata, loggar, egenskapsvärden och parametrar för ramavkodning (du kan till exempel fastställa orsakerna till ramförlust och interaktionsproblem från JavaScript).
I snabbmenyn på elementpanelen har möjligheten att skapa skärmdumpar av det valda elementet lagts till (du kan till exempel skapa en skärmdump av innehållsförteckningen eller tabellen).
I webbkonsolen har problemvarningspanelen ersatts med ett vanligt meddelande, och problem med cookies från tredje part är dolda som standard på fliken Problem och aktiveras med en speciell kryssruta.
På fliken Rendering har en "Inaktivera lokala teckensnitt"-knapp lagts till, som låter dig simulera frånvaron av lokala teckensnitt, och på fliken Sensorer kan du nu simulera användarinaktivitet (för applikationer som använder Idle Detection API).
Programpanelen ger detaljerad information om varje iframe, öppet fönster och popup-fönster, inklusive information om Cross-Origin-isolering med COEP och COOP.
- protokollimplementeringsersättning till alternativet som utvecklats i IETF-specifikationen, istället för alternativet Google QUIC.
Förutom innovationer och buggfixar eliminerar den nya versionen . Många av sårbarheterna identifierades som ett resultat av automatiserade testverktyg , , , и . En sårbarhet (CVE-2020-15967, tillgång till frigjort minne i kod för interaktion med Google Payments) markeras som kritisk, dvs. låter dig kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av programmet för att betala kontantbelöningar för att upptäcka sårbarheter för den aktuella versionen, betalade Google ut 27 utmärkelser värda $71500 15000 (en utmärkelse på $7500 5000, tre utmärkelser på $3000 200, fem utmärkelser på $500 13, två utmärkelser på $XNUMX XNUMX, en utmärkelse på $XNUMX och två utmärkelser på $XNUMX). Storleken på XNUMX belöningar har ännu inte fastställts.
Källa: opennet.ru