Google kutolewa kwa kivinjari ... Wakati huo huo kutolewa thabiti kwa mradi wa bure , ambayo ni msingi wa Chrome. Kivinjari cha Chrome matumizi ya nembo za Google, uwepo wa mfumo wa kutuma arifa katika tukio la ajali, uwezo wa kupakia moduli ya Flash inapohitajika, moduli za kucheza maudhui ya video yaliyolindwa (DRM), mfumo wa kusasisha kiotomatiki, na uwasilishaji unapotafuta. . Toleo lijalo la Chrome 85 limeratibiwa tarehe 25 Agosti.
:
- msaada kwa itifaki za TLS 1.0 na TLS 1.1. Ili kufikia tovuti kupitia chaneli salama ya mawasiliano, seva lazima itoe usaidizi kwa angalau TLS 1.2, vinginevyo kivinjari kitaonyesha hitilafu. Kulingana na Google, kwa sasa takriban 0.5% ya upakuaji wa kurasa za wavuti unaendelea kufanywa kwa kutumia matoleo ya zamani ya TLS. Kuzima kulifanyika kwa mujibu wa IETF (Kikosi Kazi cha Uhandisi wa Mtandao). Sababu ya kukataa TLS 1.0/1.1 ni kukosekana kwa usaidizi wa maandishi ya kisasa (kwa mfano, ECDHE na AEAD) na hitaji la kuunga mkono misimbo ya zamani, ambayo kuegemea kwake kunatiliwa shaka katika hatua ya sasa ya maendeleo ya teknolojia ya kompyuta (kwa mfano. , usaidizi wa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA unahitajika, MD5 na SHA-1). Mipangilio inayoruhusu kurejesha TLS 1.0/1.1 itahifadhiwa hadi Januari 2021.
- Uzuiaji umetolewa (bila usimbaji fiche) wa faili zinazoweza kutekelezwa na maonyo yaliyoongezwa wakati wa kupakia kumbukumbu bila usalama. Katika siku zijazo, imepangwa kuacha hatua kwa hatua kusaidia upakiaji wa faili bila usimbaji fiche. Kuzuia kunatekelezwa kwa sababu kupakua faili bila usimbaji fiche kunaweza kutumiwa kufanya vitendo hasidi kwa kubadilisha maudhui wakati wa mashambulizi ya MITM.
- msaada wa awali , imetengenezwa kama mbadala kwa kichwa cha Wakala wa Mtumiaji. Utaratibu wa Vidokezo vya Mteja hutoa mfululizo wa vichwa vya "Sec-CH-UA-*" kama mbadala wa Wakala wa Mtumiaji, ambayo hukuruhusu kupanga uwasilishaji wa data kwa kuchagua kuhusu vigezo mahususi vya kivinjari na mfumo (toleo, jukwaa, n.k.) pekee baada ya ombi la seva. Mtumiaji anapata fursa ya kuamua ni vigezo gani vinavyokubalika kwa utoaji na kwa kuchagua kutoa taarifa hizo kwa wamiliki wa tovuti. Wakati wa kutumia Vidokezo vya Mteja, kitambulisho hakitumiwi kwa chaguo-msingi bila ombi la wazi, ambalo hufanya kitambulisho cha passiv kiwezekane (kwa chaguo-msingi, jina la kivinjari pekee ndilo limeonyeshwa). juu ya hadi mwakani.
- uanzishaji
Π±ΠΎΠ»Π΅Π΅ ΠΆΡΡΡΠΊΠΎΠ³ΠΎ uhamisho wa Vidakuzi kati ya tovuti, ambayo ilikuwa kutokana na COVID-19. Kwa maombi yasiyo ya HTTPS, uchakataji wa Vidakuzi vya watu wengine uliowekwa wakati wa kufikia tovuti mbali na kikoa cha ukurasa wa sasa hauruhusiwi. Vidakuzi kama hivyo hutumika kufuatilia mienendo ya watumiaji kati ya tovuti katika kanuni za mitandao ya utangazaji, wijeti za mitandao ya kijamii na mifumo ya uchanganuzi wa wavuti.Kumbuka kwamba ili kudhibiti utumaji wa Vidakuzi, sifa ya SameSite iliyobainishwa kwenye kichwa cha Set-Cookie inatumiwa, ambayo kwa chaguomsingi itawekwa kwa thamani ya βSameSite=Laxβ, ambayo inaweka kikomo utumaji wa Vidakuzi kwa maombi madogo ya tovuti tofauti. , kama vile ombi la picha au kupakia maudhui kupitia iframe kutoka kwa tovuti nyingine. Tovuti zinaweza kubatilisha tabia chaguomsingi ya SameSite kwa kuweka mipangilio ya Vidakuzi kuwa SameSite=None. Zaidi ya hayo, thamani ya SameSite=None for Cookie inaweza tu kuwekwa katika hali salama (halali kwa miunganisho kupitia HTTPS). Mabadiliko yatatolewa kwa hatua, kuanzia na asilimia ndogo ya watumiaji na kisha kupanua ufikiaji wake hatua kwa hatua.
- Utekelezaji wa majaribio umeongezwa , ambayo inaweza kuwashwa kwa kutumia mpangilio wa "chrome://flags/#enable-heavy-ad-intervention". Kizuia hukuruhusu kuzima kiotomatiki vizuizi vya utangazaji vya iframe baada ya kupita viwango vya trafiki na upakiaji wa CPU. Kuzuia kutaanzishwa ikiwa uzi kuu umetumia zaidi ya sekunde 60 za muda wa CPU kwa jumla au sekunde 15 katika muda wa sekunde 30 (ukitumia 50% ya rasilimali kwa zaidi ya sekunde 30), na pia wakati zaidi ya 4 MB. data imepakuliwa kupitia mtandao.
Kuzuia kutafanya kazi tu ikiwa, kabla ya kuvuka mipaka, mtumiaji hakuingiliana na kitengo cha matangazo (kwa mfano, hakubofya juu yake), ambayo, kwa kuzingatia vikwazo vya trafiki, itaruhusu uchezaji wa otomatiki wa kubwa. video katika utangazaji kuzuiwa bila mtumiaji kuwezesha kucheza tena. Hatua zinazopendekezwa zitawaokoa watumiaji kutokana na utangazaji usio na ufanisi wa utekelezaji wa kanuni au shughuli za kimakusudi za vimelea (kwa mfano, uchimbaji madini). Kwa mujibu wa takwimu za Google, matangazo ambayo yanakidhi vigezo vya kuzuia hufanya 0.30% tu ya vitengo vyote vya matangazo, lakini wakati huo huo, uingizaji huo wa matangazo hutumia 28% ya rasilimali za CPU na 27% ya trafiki kutoka kwa jumla ya kiasi cha matangazo.
- Kazi imefanywa ili kupunguza matumizi ya rasilimali ya CPU wakati dirisha la kivinjari halipo kwenye uwanja wa mtazamo wa mtumiaji. Chrome sasa hukagua ikiwa dirisha la kivinjari limepishana na madirisha mengine na kuzuia kuchora pikseli katika maeneo ya mwingiliano. Kipengele kipya kitatolewa hatua kwa hatua: uboreshaji utawezeshwa kwa hiari kwa baadhi ya watumiaji katika Chrome 84, na kwa wengine katika Chrome 85.
- Ulinzi umewezeshwa kwa chaguo-msingi , kwa mfano, barua taka na maombi ya kupokea arifa zinazotumwa na programu hata wakati huitumii. Kwa kuwa maombi kama haya hukatiza kazi ya mtumiaji na kuvuruga umakini kutoka kwa vitendo katika mazungumzo ya uthibitishaji, badala ya mazungumzo tofauti katika upau wa anwani, kidokezo cha habari ambacho hakihitaji hatua kutoka kwa mtumiaji kitaonyeshwa kwa onyo kwamba ombi la ruhusa limezuiwa. , ambayo hupunguzwa kiotomatiki kuwa kiashirio na picha ya kengele iliyovuka. Kwa kubofya kiashiria, unaweza kuwezesha au kukataa ruhusa iliyoombwa wakati wowote unaofaa.
- Chaguo la mtumiaji hukumbukwa wakati wa kufungua vidhibiti vya itifaki za nje - mtumiaji anaweza kuchagua "ruhusu kila wakati kwa tovuti hii" kwa kidhibiti maalum na kivinjari kitakumbuka uamuzi huu kuhusiana na tovuti ya sasa.
- Umeongeza ulinzi dhidi ya kubadilisha mipangilio ya mtumiaji bila idhini iliyo wazi. Ikiwa programu-jalizi itabadilisha injini ya utafutaji chaguo-msingi au ukurasa unaoonyeshwa kwa kichupo kipya, kivinjari sasa kitaonyesha kidirisha kinachokuuliza uthibitishe utendakazi uliobainishwa au ughairi mabadiliko.
- utekelezaji wa ulinzi dhidi ya upakiaji wa maudhui mchanganyiko wa medianuwai (rasilimali zinapopakiwa kwenye ukurasa wa HTTPS kupitia itifaki ya http://). Kwenye kurasa zinazofunguliwa kupitia HTTPS, viungo vya "http://" sasa vitabadilishwa kiotomatiki na "https://" katika vizuizi vinavyohusishwa na upakiaji wa picha (hati na iframe zilibadilishwa hapo awali, uingizwaji kiotomatiki wa rasilimali za sauti na video unatarajiwa. toleo linalofuata). Ikiwa picha haipatikani kupitia https, basi upakuaji wake umezuiwa (unaweza kuweka alama ya uzuiaji kwa njia ya menyu inayopatikana kupitia alama ya kufuli kwenye upau wa anwani).
- Aliongeza API msaada (iliyotengenezwa kama API ya Kipokea SMS), ambayo hukuruhusu kupanga ingizo la nenosiri la wakati mmoja kwenye ukurasa wa wavuti baada ya kupokea ujumbe wa SMS wenye nambari ya kuthibitisha iliyowasilishwa kwa simu mahiri ya Android ya mtumiaji ambayo kivinjari kinatumia. Uthibitishaji wa SMS, kwa mfano, unaweza kutumika kuthibitisha nambari ya simu iliyotajwa na mtumiaji wakati wa usajili. Ikiwa hapo awali mtumiaji alipaswa kufungua programu ya SMS, nakala ya msimbo kutoka kwake kwenye ubao wa kunakili, kurudi kwenye kivinjari na ubandike msimbo huu, basi API mpya inafanya uwezekano wa kugeuza mchakato huu na kupunguza kwa kugusa moja.
- API imepanuliwa
ili kudhibiti uchezaji wa uhuishaji wa wavuti. Toleo jipya linaongeza usaidizi kwa shughuli za utungaji, huku kuruhusu kudhibiti jinsi madoido yanavyounganishwa na kutoa vidhibiti vipya vinavyoitwa matukio ya kubadilisha maudhui yanapotokea. API ya Uhuishaji wa Wavuti pia sasa inaauni Ahadi kufafanua mpangilio ambao uhuishaji huonyeshwa na kudhibiti vyema jinsi uhuishaji unavyoingiliana na vipengele vingine vya programu. - API kadhaa mpya zimeongezwa kwenye modi ya Majaribio ya Asili (vipengele vya majaribio vinavyohitaji kuwezesha tofauti). Jaribio la Asili linamaanisha uwezo wa kufanya kazi na API maalum kutoka kwa programu zilizopakuliwa kutoka kwa mwenyeji au 127.0.0.1, au baada ya kusajili na kupokea tokeni maalum ambayo ni halali kwa muda mfupi kwa tovuti maalum.
- API kwa ufikiaji wa Mfanyikazi wa Huduma kwa Vidakuzi vya HTTP, vinavyotumika kama njia mbadala ya kutumia document.cookie.
- API ili kugundua kutotumika kwa mtumiaji, hukuruhusu kutambua wakati ambapo mtumiaji haingiliani na kibodi/panya, kiokoa skrini kinafanya kazi, skrini imefungwa, au kazi inafanywa kwenye kifuatilizi kingine. Kufahamisha programu kuhusu kutotumika hufanywa kwa kutuma arifa baada ya kufikia kiwango maalum cha kutotumika.
- Njia , huruhusu msanidi programu kutumia utengaji kamili zaidi wa uchakataji wa maudhui katika mchakato tofauti kuhusiana na chanzo (asili - kikoa + bandari + itifaki), badala ya tovuti, kwa gharama ya kusitisha usaidizi kwa baadhi ya vipengele vya urithi, kama vile kusawazisha. utekelezaji wa hati kwa kutumia document.domain na kupiga postMessage() kutuma ujumbe kwa matukio ya WebAssembly.Module. Kwa maneno mengine, Kutengwa kwa Asili hukuruhusu kupanga utengano kati ya michakato tofauti kulingana na kikoa cha rasilimali, na sio tovuti iliyo na majumuisho yote ya nje kwenye kurasa.
- API kwa kutumia maagizo ya SIMD ya vekta katika programu katika umbizo la WebAssembly. Ili kuhakikisha uhuru wa jukwaa, inatoa aina mpya ya 128-bit ambayo inaweza kuwakilisha aina tofauti za data iliyopakiwa, na shughuli kadhaa za kimsingi za vekta kwa kuchakata data iliyopakiwa. SIMD hukuruhusu kuongeza tija kwa kusawazisha usindikaji wa data na itakuwa muhimu wakati wa kuunda msimbo asili kwenye WebAssembly. Ili kuwezesha usaidizi wa SIMD, unaweza kutumia mpangilio wa "chrome://flags/#enable-webassembly-simd".
- Imetulia na sasa inasambazwa nje ya Majaribio ya Asili
API , ambayo hutoa metadata kuhusu maudhui ambayo hapo awali yalihifadhiwa na programu za wavuti zinazoendeshwa katika hali ya Progressive Web Apps (PWS). Programu inaweza kuhifadhi data mbalimbali kwenye upande wa kivinjari, ikiwa ni pamoja na picha, video na makala, na wakati muunganisho wa mtandao unapotea, itumie kwa kutumia Hifadhi ya Akiba na IndexedDB API. API ya Kuorodhesha Maudhui hufanya iwezekane kuongeza, kupata na kufuta rasilimali kama hizo. Katika kivinjari, API hii tayari inatumika kuorodhesha orodha ya kurasa na data ya medianuwai inayopatikana kwa kutazamwa nje ya mtandao. - Toleo la API limeimarishwa kulingana na utaratibu wa Ahadi, ambao hutoa njia salama zaidi ya kudhibiti kuzimwa kwa skrini za kujifunga kiotomatiki na kubadili vifaa hadi hali za kuokoa nishati.
- Katika toleo la jukwaa la Android msaada kwa njia za mkato za programu, hukuruhusu kutoa ufikiaji wa haraka kwa vitendo maarufu vya kawaida kwenye programu. Ili kuunda njia za mkato, ongeza tu vipengele kwenye faili ya maelezo ya programu ya wavuti katika umbizo la PWA (Programu Zinazoendelea za Wavuti).
- Web Worker inaruhusiwa kutumia API , ambayo hukuruhusu kufafanua kidhibiti cha kutoa ripoti, inayoitwa wakati wa kufikia uwezo uliopitwa na wakati. Ripoti iliyotolewa inaweza kuhifadhiwa, kutumwa kwa seva, au kuchakatwa na hati ya JavaScript kwa hiari ya mtumiaji.
- API imesasishwa , ambayo hukuruhusu kuunganisha kidhibiti ambacho arifa kuhusu mabadiliko katika saizi ya vitu vilivyoainishwa kwenye ukurasa zitatumwa. Sifa tatu mpya zimeongezwa kwa ResizeObserverEntry: contentBoxSize, borderBoxSize na devicePixelContentBoxSize ili kutoa maelezo zaidi ya punjepunje, yaliyorejeshwa kama safu ya vitu vya ResizeObserverSize.
- Aliongeza neno kuu "Β»kuweka upya mtindo wa kipengele kwa thamani yake chaguomsingi.
- Imeondoa kiambishi awali cha sifa za CSS "-webkit-appearance" na "-webkit-ruby-position", ambazo sasa zinapatikana kama ""Na"".
- Katika JavaScript usaidizi wa njia za kuashiria na sifa za darasa kama za kibinafsi, baada ya hapo ufikiaji wao utafunguliwa ndani ya darasa pekee (hapo awali ni sehemu tu zingeweza kuwa za kibinafsi). Kuashiria njia na mali za kibinafsi: kabla ya jina la uwanja kuna ishara "#".
- Katika JavaScript kusaidia (rejeleo dhaifu) kwa vitu vya JavaScript ambavyo hukuruhusu kuhifadhi rejeleo la kitu, lakini usizuie mtoza takataka kufuta kitu kinachohusika. Msaada kwa wakamilishaji pia umeongezwa, na kuifanya iwezekane kufafanua kidhibiti kinachoitwa baada ya mkusanyiko wa takataka wa kitu maalum kukamilika.
- Uzinduzi wa maombi kwenye WebAssembly umeharakishwa, kutokana na utekelezaji katika mkusanyaji wa awali (msingi) wa Liftoff. ΠΈ . Zana za utatuzi wa WebAssembly zimeboreshwa, utendakazi wa utatuzi umeboreshwa kwa kiasi kikubwa wakati wa kutumia vizuizi (hapo awali, mkalimani alitumika kwa utatuzi, na sasa mkusanyaji wa Liftoff).
- Katika zana za wasanidi wa wavuti pphttps://developers.google.com/web/updates/2020/05/devtools kidirisha cha uchanganuzi wa utendakazi kimesasishwa. Imeongeza maelezo ya jumla kuhusu kipimo (Jumla ya Muda wa Kuzuia), kuonyesha muda gani ukurasa unaonekana kuwa unapatikana, lakini kwa kweli haipatikani (yaani ukurasa tayari umetolewa, lakini utekelezaji wa thread kuu bado umezuiwa na kuingia data haiwezekani). Imeongeza sehemu mpya ya Uzoefu kwa uchanganuzi wa vipimo (Cumulative Layout Shift), inayoakisi uthabiti wa kuona wa maudhui. Paneli ya ukaguzi wa mitindo ya CSS hutoa onyesho la kukagua picha zilizobainishwa kupitia kipengee cha "picha ya usuli".
Mbali na ubunifu na marekebisho ya hitilafu, toleo jipya huondolewa . Udhaifu mwingi ulitambuliwa kama matokeo ya zana za majaribio ya kiotomatiki , , , ΠΈ . Toleo moja (CVE-2020-6510, kufurika kwa bafa katika kidhibiti cha mandharinyuma cha kuleta) limetiwa alama kuwa muhimu, i.e. hukuruhusu kupita viwango vyote vya ulinzi wa kivinjari na kutekeleza nambari kwenye mfumo nje ya mazingira ya kisanduku cha mchanga. Kama sehemu ya mpango wa kulipa zawadi za pesa taslimu kwa kugundua udhaifu kwa toleo la sasa, Google ililipa tuzo 26 zenye thamani ya $21500 (tuzo mbili za $5000, tuzo mbili za $3000, tuzo moja ya $2000, tuzo mbili za $1000, na tuzo tatu za $500). Ukubwa wa zawadi 16 bado haujabainishwa.
Chanzo: opennet.ru