ProHoster > blog > habari za mtandao > Chrome 86

Chrome 86

Toleo linalofuata la Chrome 86 na toleo thabiti la Chromium limetolewa.

Mabadiliko muhimu katika Chrome 86:

  • ulinzi dhidi ya uwasilishaji usio salama wa fomu za ingizo kwenye kurasa zilizopakiwa kupitia HTTPS lakini kutuma data kupitia HTTP.
  • Kuzuia upakuaji usio salama (http) wa faili zinazoweza kutekelezwa hukamilishwa kwa kuzuia upakuaji usio salama wa kumbukumbu (zip, iso, n.k.) na kuonyesha maonyo ya upakuaji usio salama wa hati (docx, pdf, n.k.). Kuzuia hati na maonyo kwa picha, maandishi na faili za midia vinatarajiwa katika toleo lijalo. Kuzuia kunatekelezwa kwa sababu kupakua faili bila usimbaji fiche kunaweza kutumiwa kufanya vitendo hasidi kwa kubadilisha maudhui wakati wa mashambulizi ya MITM.
  • Menyu chaguomsingi huonyesha chaguo la "Onyesha URL kamili kila wakati", ambayo hapo awali ilihitaji kubadilisha mipangilio kwenye ukurasa wa about:bendera ili kuwasha. URL kamili inaweza pia kutazamwa kwa kubofya mara mbili kwenye upau wa anwani. Hebu tukumbushe kwamba kuanzia Chrome 76, kwa chaguo-msingi anwani ilianza kuonyeshwa bila itifaki na subdomain ya www. Katika Chrome 79, mpangilio wa kurudisha tabia ya zamani uliondolewa, lakini baada ya mtumiaji kutoridhika, bendera mpya ya majaribio iliongezwa katika Chrome 83 ambayo huongeza chaguo kwenye menyu ya muktadha ili kuzima ufichaji na kuonyesha URL kamili katika hali zote.
    Kwa asilimia ndogo ya watumiaji, jaribio limezinduliwa ili kuonyesha tu kikoa kwenye upau wa anwani kwa chaguo-msingi, bila vipengele vya njia na vigezo vya hoja. Kwa mfano, badala ya "https://example.com/secure-google-sign-in/" "example.com" itaonyeshwa. Hali iliyopendekezwa inatarajiwa kuletwa kwa watumiaji wote katika mojawapo ya matoleo yanayofuata. Ili kuzima tabia hii, unaweza kutumia chaguo la "Onyesha URL kamili kila wakati", na kutazama URL nzima, unaweza kubofya upau wa anwani. Nia ya mabadiliko hayo ni nia ya kuwalinda watumiaji dhidi ya hadaa ambayo hubadilisha vigezo katika URL - washambuliaji huchukua fursa ya kutokuwa makini kwa watumiaji kuunda mwonekano wa kufungua tovuti nyingine na kufanya vitendo vya ulaghai (ikiwa uingizwaji kama huo ni dhahiri kwa mtumiaji anayestahiki kitaalam. , basi watu wasio na uzoefu huanguka kwa urahisi kwa udanganyifu rahisi kama huo).
  • Mpango wa kuondoa usaidizi wa FTP umesasishwa. Katika Chrome 86, FTP imezimwa kwa chaguo-msingi kwa takriban 1% ya watumiaji, na katika Chrome 87 wigo wa ulemavu utaongezwa hadi 50%, lakini usaidizi unaweza kurejeshwa kwa kutumia "--enable-ftp" au "- -enable-features=FtpProtocol" bendera. Katika Chrome 88, usaidizi wa FTP utazimwa kabisa.
  • Katika toleo la Android, sawa na toleo la mifumo ya kompyuta ya mezani, kidhibiti cha nenosiri hutekeleza hundi ya logi na nenosiri zilizohifadhiwa dhidi ya hifadhidata ya akaunti zilizoathiriwa, kuonyesha onyo ikiwa matatizo yamegunduliwa au jaribio linafanywa la kutumia manenosiri madogo. Ukaguzi unafanywa dhidi ya hifadhidata inayofunika zaidi ya akaunti bilioni 4 zilizoathiriwa ambazo zilionekana kwenye hifadhidata za watumiaji zilizovuja. Ili kudumisha faragha, kiambishi awali cha hashi huthibitishwa kwa upande wa mtumiaji, na manenosiri yenyewe na heshi zao kamili hazisambazwi nje.
  • Kitufe cha "Angalia Usalama" na hali iliyoimarishwa ya ulinzi dhidi ya tovuti hatari (Uvinjari Ulioboreshwa wa Usalama) pia zimehamishiwa kwenye toleo la Android. Kitufe cha "Angalia usalama" kinaonyesha muhtasari wa masuala ya usalama yanayoweza kutokea, kama vile matumizi ya manenosiri yaliyoathiriwa, hali ya kuangalia tovuti hasidi (Kuvinjari kwa Usalama), uwepo wa masasisho ambayo hayajasakinishwa, na utambuzi wa programu-jalizi hasidi. Hali ya ulinzi wa hali ya juu huwasha ukaguzi wa ziada ili kulinda dhidi ya hadaa, shughuli hasidi na vitisho vingine kwenye Wavuti, na pia inajumuisha ulinzi wa ziada kwa akaunti yako ya Google na huduma za Google (Gmail, Hifadhi, n.k.). Ikiwa katika hali ya kawaida ya Kuvinjari Salama, ukaguzi unafanywa ndani kwa kutumia hifadhidata inayopakiwa mara kwa mara kwenye mfumo wa mteja, basi katika Kipengele cha Kuvinjari Kilichoimarishwa kwa Usalama, maelezo kuhusu kurasa na vipakuliwa katika muda halisi hutumwa kwa uthibitishaji kwenye upande wa Google, ambayo hukuruhusu kujibu haraka. vitisho mara tu baada ya kutambuliwa, bila kungoja hadi orodha ya eneo lililoidhinishwa isasishwe.
  • Usaidizi ulioongezwa kwa faili ya kiashiria ".well-known/change-password", ambayo wamiliki wa tovuti wanaweza kutaja anwani ya fomu ya mtandao kwa kubadilisha nenosiri. Ikiwa kitambulisho cha mtumiaji kitaingiliwa, Chrome sasa itamwuliza mtumiaji mara moja fomu ya kubadilisha nenosiri kulingana na maelezo katika faili hii.
  • Onyo jipya la "Kidokezo cha Usalama" limetekelezwa, linaloonyeshwa wakati wa kufungua tovuti ambazo kikoa chake kinafanana sana na tovuti nyingine na heuristics inaonyesha kuwa kuna uwezekano mkubwa wa kuharibiwa (kwa mfano, goog0le.com inafunguliwa badala ya google.com).

    * Usaidizi wa akiba ya Kurudisha mbele umetekelezwa, ukitoa uelekezaji wa papo hapo unapotumia vitufe vya "Nyuma" na "Mbele" au unapopitia kurasa zilizotazamwa awali za tovuti ya sasa. Akiba imewezeshwa kwa kutumia mpangilio wa chrome://flags/#back-forward-cache.

  • Kuboresha matumizi ya rasilimali ya CPU kwa madirisha ya nje ya upeo. Chrome hukagua ikiwa dirisha la kivinjari limepishana na madirisha mengine na huzuia kuchora pikseli katika sehemu zinazopishana. Uboreshaji huu umewezeshwa kwa asilimia ndogo ya watumiaji katika Chrome 84 na 85 na sasa umewashwa kila mahali. Ikilinganishwa na matoleo ya awali, kutopatana na mifumo ya uboreshaji ambayo ilisababisha kurasa tupu nyeupe kuonekana pia kumetatuliwa.
  • Kupunguza upunguzaji wa rasilimali kwa vichupo vya usuli. Vichupo kama hivyo haviwezi tena kutumia zaidi ya 1% ya rasilimali za CPU na vinaweza kuwashwa si zaidi ya mara moja kwa dakika. Baada ya dakika tano za kuwa chinichini, vichupo hugandishwa, isipokuwa vichupo ambavyo vinacheza maudhui ya media titika au kurekodi.
  • Kazi imeanza tena ya kuunganisha kichwa cha HTTP cha Wakala wa Mtumiaji. Katika toleo jipya, usaidizi wa utaratibu wa Vidokezo vya Wakala wa Mtumiaji, ulioundwa badala ya Wakala wa Mtumiaji, umewashwa kwa watumiaji wote. Utaratibu mpya unahusisha kurudisha data kwa hiari kuhusu vigezo maalum vya kivinjari na mfumo (toleo, jukwaa, n.k.) tu baada ya ombi la seva na kuwapa watumiaji fursa ya kuchagua kutoa taarifa hizo kwa wamiliki wa tovuti. Unapotumia Vidokezo vya Mteja wa Wakala wa Mtumiaji, kitambulisho hakisambazwi kwa chaguo-msingi bila ombi la wazi, jambo ambalo hufanya kitambulisho cha hali ya juu kutowezekana (kwa chaguo-msingi, ni jina la kivinjari pekee linaloonyeshwa).
    Dalili ya kuwepo kwa sasisho na haja ya kuanzisha upya kivinjari ili kuiweka imebadilishwa. Badala ya mshale wa rangi, "Sasisha" sasa inaonekana kwenye sehemu ya avatar ya akaunti.
  • Kazi imefanywa ili kubadilisha kivinjari kutumia istilahi jumuishi. Katika majina ya sera, maneno "orodha walioidhinishwa" na "orodha nyeusi" yamebadilishwa na "orodha ya walioidhinishwa" na "orodha ya kuzuia" (sera ambazo tayari zimeongezwa zitaendelea kufanya kazi, lakini zitaonyesha onyo kuhusu kuacha kutumika). Katika majina ya msimbo na faili, marejeleo ya "orodha nyeusi" yamebadilishwa na "orodha ya kuzuia". Marejeleo yanayoonekana na mtumiaji ya "orodha nyeusi" na "orodha iliyoidhinishwa" yalibadilishwa mwanzoni mwa 2019.
    Imeongeza uwezo wa majaribio wa kuhariri manenosiri yaliyohifadhiwa, iliyowashwa kwa kutumia alama ya "chrome://flags/#edit-passwords-in-settings".
  • API ya Mfumo wa Faili Asilia imehamishiwa kwenye kitengo cha API thabiti na inayopatikana kwa umma, huku kuruhusu kuunda programu za wavuti zinazoingiliana na faili katika mfumo wa faili wa ndani. Kwa mfano, API mpya inaweza kuhitajika katika mazingira jumuishi ya uendelezaji kulingana na kivinjari, vihariri vya maandishi, picha na video. Ili kuweza kuandika na kusoma faili moja kwa moja au kutumia mazungumzo kufungua na kuhifadhi faili, na pia kupitia yaliyomo kwenye saraka, programu inauliza mtumiaji uthibitisho maalum.
  • Imeongeza kiteuzi cha CSS ":focus-visible", ambacho hutumia heuristics zile zile ambazo kivinjari hutumia wakati wa kuamua kuonyesha kiashiria cha mabadiliko ya kuzingatia (wakati wa kusogeza umakini kwenye kitufe kwa kutumia mikato ya kibodi, kiashirio huonekana, lakini unapobofya na kipanya. , haifanyi hivyo). Kiteuzi cha CSS kilichopatikana hapo awali ":focus" kila mara huangazia umakini. Kwa kuongeza, chaguo la "Kuangazia Haraka" limeongezwa kwenye mipangilio, ikiwezeshwa, kiashirio cha ziada cha kuzingatia kitaonyeshwa karibu na vipengele vinavyotumika, ambavyo vinabaki kuonekana hata kama vipengele vya mtindo vya kuangazia kwa kuona vimezimwa kwenye ukurasa kupitia. CSS.
  • API kadhaa mpya zimeongezwa kwenye modi ya Majaribio ya Asili (vipengele vya majaribio vinavyohitaji kuwezesha tofauti). Jaribio la Asili linamaanisha uwezo wa kufanya kazi na API maalum kutoka kwa programu zilizopakuliwa kutoka kwa mwenyeji au 127.0.0.1, au baada ya kusajili na kupokea tokeni maalum ambayo ni halali kwa muda mfupi kwa tovuti maalum.
  • WebHID API ya ufikiaji wa kiwango cha chini cha vifaa vya HID (vifaa vya kiolesura cha binadamu, kibodi, panya, padi za michezo, padi za kugusa), ambayo hukuruhusu kutekeleza mantiki ya kufanya kazi na kifaa cha HID kwenye JavaScript ili kupanga kazi na vifaa adimu vya HID bila uwepo wa madereva maalum katika mfumo. Kwanza kabisa, API mpya inalenga kutoa msaada kwa gamepads.
  • API ya Taarifa za Skrini, huongeza API ya Uwekaji Dirisha ili kusaidia usanidi wa skrini nyingi. Tofauti na dirisha.screen, API mpya hukuruhusu kudhibiti uwekaji wa dirisha katika nafasi ya jumla ya skrini ya mifumo ya vidhibiti vingi, bila kuwekewa kikomo kwenye skrini ya sasa.
  • Meta tag ya kuokoa betri, ambayo tovuti inaweza kufahamisha kivinjari kuhusu hitaji la kuwezesha hali ili kupunguza matumizi ya nishati na kuongeza upakiaji wa CPU.
  • COOP Reporting API ili kuripoti ukiukaji unaoweza kutokea wa njia za kutenganisha za Cross-Origin-Embedder-Policy (COEP) na Cross-Origin-Opener-Policy (COOP), bila kutumia vikwazo halisi.
  • API ya Usimamizi wa Kitambulisho hutoa aina mpya ya vitambulisho, PaymentCredential, ambayo hutoa uthibitisho wa ziada wa shughuli ya malipo inayofanywa. Mhusika anayeitegemea, kama vile benki, ana uwezo wa kutengeneza ufunguo wa umma, Ufunguo wa Umma, ambao unaweza kuombwa na muuzaji kwa uthibitisho wa ziada wa malipo salama.
  • API ya PointerEvents ya kuamua kuinama kwa kalamu* imeongeza usaidizi kwa pembe za mwinuko (pembe kati ya kalamu na skrini) na azimuth (pembe kati ya mhimili wa X na makadirio ya kalamu kwenye skrini), badala ya Pembe za TiltX na TiltY (pembe kati ya ndege kutoka kwa kalamu na moja ya shoka na ndege kutoka kwa shoka za Y na Z). Pia iliongeza vitendaji vya ubadilishaji kati ya urefu/azimuth na TiltX/TiltY.
  • Ilibadilisha usimbaji wa nafasi katika URL wakati wa kuikokotoa katika vidhibiti vya itifaki - njia ya navigator.registerProtocolHandler() sasa inachukua nafasi ya "%20" badala ya "+", ambayo inaunganisha tabia na vivinjari vingine kama vile Firefox.
  • Kipengele bandia "::alama" kimeongezwa kwa CSS, kukuruhusu kubinafsisha rangi, saizi, umbo na aina ya nambari na nukta kwa uorodheshaji kwenye vizuizi. Na .
  • Usaidizi ulioongezwa kwa kichwa cha Hati-Sera ya HTTP, ambayo inakuwezesha kuweka sheria za kufikia hati, sawa na utaratibu wa kutengwa kwa sandbox kwa iframes, lakini zaidi kwa wote. Kwa mfano, kupitia Sera ya Hati unaweza kuweka kikomo matumizi ya picha za ubora wa chini, kuzima API za JavaScript polepole, kusanidi sheria za kupakia iframe, picha na hati, kuweka kikomo cha ukubwa wa hati na trafiki kwa ujumla, kukataza mbinu zinazoongoza kwenye kuchora upya ukurasa, na. zima kipengele cha Kusogeza-Kwa-Maandishi.
  • Kwa kipengele iliongeza usaidizi wa 'gridi ya ndani', 'gridi', 'inline-flex' na 'flex' vigezo vilivyowekwa kupitia kipengele cha 'onyesha' CSS.
  • Aliongeza ParentNode.replaceChildren() mbinu ya kubadilisha watoto wote wa nodi ya mzazi na nodi nyingine ya DOM. Hapo awali, unaweza kutumia mchanganyiko wa node.removeChild() na node.append() au node.innerHTML na node.append() kuchukua nafasi ya nodi.
  • Masafa ya mipango ya URL inayoweza kubatilishwa kwa kutumia registerProtocolHandler() imepanuliwa. Orodha ya miradi inajumuisha itifaki zilizogatuliwa cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns na ssb, ambayo inakuruhusu kufafanua viungo vya vipengele bila kujali tovuti au lango linalotoa ufikiaji wa rasilimali.
  • Usaidizi ulioongezwa wa umbizo la maandishi/html kwa API ya Ubao Klipu Asynchronous kwa kunakili na kubandika HTML kupitia ubao wa kunakili (miundo hatari ya HTML husafishwa wakati wa kuandika na kusoma kwenye ubao wa kunakili). Mabadiliko, kwa mfano, inakuwezesha kupanga uingizaji na kunakili maandishi yaliyopangwa na picha na viungo katika wahariri wa wavuti.
  • WebRTC imeongeza uwezo wa kuunganisha vidhibiti vyake vya data, vinavyoitwa katika hatua za usimbaji au usimbaji wa WebRTC MediaStreamTrack. Kwa mfano, uwezo huu unaweza kutumika kuongeza usaidizi wa usimbaji fiche kutoka mwisho hadi mwisho wa data inayotumwa kupitia seva za kati.
    Katika injini ya JavaScript ya V8, utekelezaji wa Number.prototype.toString umeharakishwa kwa 75%. Imeongeza sifa ya .name kwa madarasa yasiyolingana yenye thamani tupu. Mbinu ya Atomics.wake imeondolewa, ambayo wakati mmoja ilibadilishwa jina na kuwa Atomics.notify ili kuzingatia vipimo vya ECMA-262. Msimbo wa zana ya majaribio ya kutatanisha JS-Fuzzer umefunguliwa.
  • Kikusanya msingi cha Liftoff cha WebAssembly kilichotolewa katika toleo la mwisho ni pamoja na uwezo wa kutumia maagizo ya vekta ya SIMD ili kuharakisha mahesabu. Kwa kuzingatia vipimo, uboreshaji ulifanya iwezekane kuharakisha majaribio kadhaa kwa mara 2.8. Uboreshaji mwingine ulifanya iwe haraka sana kupiga kazi za JavaScript zilizoingizwa kutoka kwa WebAssembly.
  • Zana za wasanidi wa wavuti zimepanuliwa: Jopo la Vyombo vya habari limeongeza habari kuhusu wachezaji wanaotumiwa kucheza video kwenye ukurasa, pamoja na data ya tukio, kumbukumbu, maadili ya mali na vigezo vya kusimbua fremu (kwa mfano, unaweza kuamua sababu za fremu. upotezaji na shida za mwingiliano kutoka kwa JavaScript) .
  • Katika orodha ya muktadha ya jopo la Vipengee, uwezo wa kuunda viwambo vya kipengee kilichochaguliwa umeongezwa (kwa mfano, unaweza kuunda skrini ya jedwali la yaliyomo au jedwali).
  • Katika kiweko cha wavuti, jopo la onyo la tatizo limebadilishwa na ujumbe wa kawaida, na matatizo na Vidakuzi vya watu wengine hufichwa kwa chaguo-msingi kwenye kichupo cha Masuala na huwashwa kwa kisanduku cha kuteua maalum.
  • Katika kichupo cha Utoaji, kitufe cha "Zima fonti za ndani" kimeongezwa, ambacho hukuruhusu kuiga kutokuwepo kwa fonti za ndani, na kwenye kichupo cha Sensorer sasa unaweza kuiga kutotumika kwa mtumiaji (kwa programu zinazotumia API ya Kugundua Bila Kufanya).
  • Paneli ya Maombi hutoa maelezo ya kina kuhusu kila iframe, dirisha lililofunguliwa, na madirisha ibukizi, ikijumuisha maelezo kuhusu kutengwa kwa Asili Mbalimbali kwa kutumia COEP na COOP.

Utekelezaji wa itifaki ya QUIC umeanza kubadilishwa na toleo lililotengenezwa katika vipimo vya IETF, badala ya toleo la Google la QUIC.
Kando na ubunifu na marekebisho ya hitilafu, toleo jipya huondoa udhaifu 35. Athari nyingi za kiusalama zilitambuliwa kutokana na majaribio ya kiotomatiki kwa kutumia AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer na zana za AFL. Athari moja (CVE-2020-15967, ufikiaji wa kumbukumbu isiyolipishwa katika msimbo wa kuingiliana na Google Payments) imetiwa alama kuwa muhimu, i.e. hukuruhusu kupita viwango vyote vya ulinzi wa kivinjari na kutekeleza nambari kwenye mfumo nje ya mazingira ya kisanduku cha mchanga. Kama sehemu ya mpango wa kulipa zawadi za pesa taslimu kwa kugundua udhaifu kwa toleo la sasa, Google ililipa tuzo 27 zenye thamani ya $71500 (tuzo moja ya $15000, tuzo tatu za $7500, tuzo tano za $5000, tuzo mbili za $3000, tuzo moja ya $200, na tuzo mbili za $500). Ukubwa wa zawadi 13 bado haujabainishwa.

Imechukuliwa kutoka Opennet.ru

Chanzo: linux.org.ru

Kuongeza maoni