Google kutolewa kwa kivinjari ... Wakati huo huo kutolewa thabiti kwa mradi wa bure , ambayo ni msingi wa Chrome. Kivinjari cha Chrome matumizi ya nembo za Google, uwepo wa mfumo wa kutuma arifa katika tukio la ajali, uwezo wa kupakia moduli ya Flash inapohitajika, moduli za kucheza maudhui ya video yaliyolindwa (DRM), mfumo wa kusasisha kiotomatiki, na uwasilishaji unapotafuta. . Toleo linalofuata la Chrome 87 limepangwa Novemba 17.
:
- Ulinzi ulioongezwa dhidi ya uwasilishaji usio salama wa fomu za ingizo kwenye kurasa zinazopakiwa kupitia HTTPS lakini kutuma data kupitia HTTP, jambo ambalo husababisha tishio la kuingiliwa na kuibiwa data wakati wa mashambulizi ya MITM. Ulinzi unakuja kwa mabadiliko matatu:
- Ujazaji kiotomatiki wa fomu zozote zilizochanganywa zimezimwa, sawa na jinsi kujaza kiotomatiki kwa fomu za uthibitishaji kwenye kurasa zilizofunguliwa kupitia HTTP kumezimwa kwa muda mrefu. Ikiwa hapo awali ishara ya kuzima ilikuwa inafungua ukurasa na fomu kupitia HTTPS au HTTP, sasa matumizi ya usimbaji fiche wakati wa kutuma data kwa kidhibiti cha fomu pia yanazingatiwa. Kidhibiti cha nenosiri cha aina mseto za uthibitishaji hakijazimwa, kwa kuwa hatari ya kutumia nenosiri lisilo salama na kutumia tena nenosiri kwenye tovuti tofauti huzidi hatari ya uwezekano wa kuingilia trafiki.
- Wakati wa kuanza kuingia katika fomu mchanganyiko, onyo huonyeshwa kumjulisha mtumiaji kwamba data iliyokamilishwa inatumwa kupitia njia ya mawasiliano ambayo haijasimbwa.
- Unapojaribu kuwasilisha fomu mseto, ukurasa tofauti huonyeshwa kukujulisha juu ya hatari inayoweza kutokea ya kutuma data kwenye njia ya mawasiliano ambayo haijasimbwa. Katika matoleo ya awali, kiashirio cha kufuli kwenye upau wa anwani kilitumiwa kuashiria fomu zilizochanganywa, lakini uwekaji alama huu haukuwa wazi kwa watumiaji na haukuonyesha ipasavyo hatari zinazohusika.
- Kuzuia (bila usimbaji fiche) wa faili zinazoweza kutekelezwa huongezewa na kuzuia upakiaji usio salama wa kumbukumbu (zip, iso, n.k.) na kuonyesha maonyo kwa upakiaji usio salama.
hati (docx, pdf, nk). Kuzuia hati na maonyo kwa picha, maandishi na faili za midia vinatarajiwa katika toleo lijalo. Kuzuia kunatekelezwa kwa sababu kupakua faili bila usimbaji fiche kunaweza kutumiwa kufanya vitendo hasidi kwa kubadilisha maudhui wakati wa mashambulizi ya MITM. - Menyu chaguomsingi huonyesha chaguo la "Onyesha URL kamili kila wakati", ambayo hapo awali ilihitaji kubadilisha mipangilio kwenye ukurasa wa about:bendera ili kuwasha. URL kamili inaweza pia kutazamwa kwa kubofya mara mbili kwenye upau wa anwani. Tukumbuke hilo kuanzia Kwa chaguo-msingi, anwani ilianza kuonyeshwa bila itifaki na subdomain ya www. KATIKA mpangilio wa kurudisha tabia ya zamani uliondolewa, lakini baada ya kutoridhika na mtumiaji Alama mpya ya majaribio imeongezwa ambayo inaongeza chaguo kwenye menyu ya muktadha ili kuzima ufichaji na kuonyesha URL kamili katika hali yoyote.
- Imezinduliwa kwa asilimia ndogo ya watumiaji juu ya Kwa chaguo-msingi, upau wa anwani una kikoa pekee, bila vipengele vya njia na vigezo vya hoja. Kwa mfano, badala ya "https://example.com/secure-google-sign-in/" itaonyesha "example.com". Hali iliyopendekezwa inatarajiwa kuletwa kwa watumiaji wote katika mojawapo ya matoleo yanayofuata. Ili kuzima tabia hii, unaweza kutumia chaguo la "Onyesha URL kamili kila wakati", na kutazama URL nzima, unaweza kubofya upau wa anwani. Nia ya mabadiliko hayo ni nia ya kuwalinda watumiaji dhidi ya hadaa ambayo hubadilisha vigezo katika URL - washambuliaji huchukua fursa ya kutokuwa makini kwa watumiaji kuunda mwonekano wa kufungua tovuti nyingine na kufanya vitendo vya ulaghai (ikiwa uingizwaji kama huo ni dhahiri kwa mtumiaji anayestahiki kitaalam. , basi watu wasio na uzoefu huanguka kwa urahisi kwa udanganyifu rahisi kama huo).
- Imeanza tena kuondoa msaada wa FTP. Katika Chrome 86, FTP imezimwa kwa chaguo-msingi kwa takriban 1% ya watumiaji, na katika Chrome 87 wigo wa ulemavu utaongezwa hadi 50%, lakini usaidizi unaweza kurejeshwa kwa kutumia "--enable-ftp" au "- -enable-features=FtpProtocol" bendera. Katika Chrome 88, usaidizi wa FTP utazimwa kabisa.
- Katika toleo la Android, sawa na toleo la mifumo ya kompyuta ya mezani, kidhibiti cha nenosiri hutekeleza hundi ya logi na nenosiri zilizohifadhiwa dhidi ya hifadhidata ya akaunti zilizoathiriwa, kuonyesha onyo ikiwa matatizo yamegunduliwa au jaribio linafanywa la kutumia manenosiri madogo. Ukaguzi unafanywa dhidi ya hifadhidata inayofunika zaidi ya akaunti bilioni 4 zilizoathiriwa ambazo zilionekana kwenye hifadhidata za watumiaji zilizovuja. Ili kudumisha faragha Kiambishi awali cha hashi kinathibitishwa kwa upande wa mtumiaji, na manenosiri yenyewe na heshi zao kamili hazisambazwi nje.
- Inapatikana pia katika toleo la Android kitufe cha "Angalia usalama" na hali ya ulinzi iliyoimarishwa dhidi ya tovuti hatari (Uvinjari Ulioboreshwa wa Usalama). Kitufe cha "Angalia usalama" kinaonyesha muhtasari wa masuala ya usalama yanayoweza kutokea, kama vile matumizi ya manenosiri yaliyoathiriwa, hali ya kuangalia tovuti hasidi (Kuvinjari kwa Usalama), uwepo wa masasisho ambayo hayajasakinishwa, na utambuzi wa programu-jalizi hasidi. Hali ya ulinzi wa hali ya juu huwasha ukaguzi wa ziada ili kulinda dhidi ya hadaa, shughuli hasidi na vitisho vingine kwenye Wavuti, na pia inajumuisha ulinzi wa ziada kwa akaunti yako ya Google na huduma za Google (Gmail, Hifadhi, n.k.). Ikiwa katika hali ya kawaida ya Kuvinjari Salama, ukaguzi unafanywa ndani kwa kutumia hifadhidata inayopakiwa mara kwa mara kwenye mfumo wa mteja, basi katika Kipengele Kilichoimarishwa cha Kuvinjari kwa Usalama kuhusu kurasa na vipakuliwa kwa wakati halisi hutumwa kwa uthibitishaji kwenye upande wa Google, ambayo inakuwezesha kujibu haraka. vitisho mara tu baada ya kutambuliwa, bila kungoja hadi orodha iliyoidhinishwa ya ndani isasishwe.
- usaidizi wa faili ya kiashiria cha ".well-known/change-password", ambayo wamiliki wa tovuti wanaweza kubainisha anwani ya fomu ya wavuti kwa kubadilisha nenosiri. Ikiwa kitambulisho cha mtumiaji kitaingiliwa, Chrome sasa itamwuliza mtumiaji mara moja fomu ya kubadilisha nenosiri kulingana na maelezo katika faili hii.
- Onyo jipya la "Kidokezo cha Usalama" limetekelezwa, linaloonyeshwa wakati wa kufungua tovuti ambazo kikoa chake kinafanana sana na tovuti nyingine na heuristics inaonyesha kuwa kuna uwezekano mkubwa wa kuharibiwa (kwa mfano, goog0le.com inafunguliwa badala ya google.com).
- msaada kwa akiba ya Rudisha nyuma, ambayo hutoa urambazaji wa papo hapo unapotumia vitufe vya "Nyuma" na "Mbele" au unapopitia kurasa zilizotazamwa awali za tovuti ya sasa. Akiba imewezeshwa kwa kutumia mpangilio wa chrome://flags/#back-forward-cache.
- Uboreshaji wa matumizi ya rasilimali ya CPU kwa madirisha umefanywa
nje ya upeo. Chrome hukagua ikiwa dirisha la kivinjari limepishana na madirisha mengine na huzuia kuchora pikseli katika sehemu zinazopishana. Uboreshaji huu umewezeshwa kwa asilimia ndogo ya watumiaji katika Chrome 84 na 85 na sasa umewashwa kila mahali. Ikilinganishwa na matoleo ya awali, kutopatana na mifumo ya uboreshaji ambayo ilisababisha kurasa tupu nyeupe kuonekana pia kumetatuliwa. - Kupunguza upunguzaji wa rasilimali kwa vichupo vya usuli. Vichupo kama hivyo haviwezi tena kutumia zaidi ya 1% ya rasilimali za CPU na vinaweza kuwashwa si zaidi ya mara moja kwa dakika. Baada ya dakika tano za kuwa chinichini, vichupo hugandishwa, isipokuwa vichupo ambavyo vinacheza maudhui ya media titika au kurekodi.
- Fanya kazi Kichwa cha HTTP Wakala wa Mtumiaji. Katika toleo jipya, usaidizi wa utaratibu umewashwa kwa watumiaji wote , imetengenezwa kama mbadala wa Wakala-Mtumiaji. Utaratibu mpya unahusisha kurudisha data kwa hiari kuhusu vigezo maalum vya kivinjari na mfumo (toleo, jukwaa, n.k.) tu baada ya ombi la seva na kuwapa watumiaji fursa ya kuchagua kutoa taarifa hizo kwa wamiliki wa tovuti. Unapotumia Vidokezo vya Mteja wa Wakala wa Mtumiaji, kitambulisho hakisambazwi kwa chaguo-msingi bila ombi la wazi, jambo ambalo hufanya kitambulisho cha hali ya juu kutowezekana (kwa chaguo-msingi, ni jina la kivinjari pekee linaloonyeshwa).
- Dalili ya kuwepo kwa sasisho na haja ya kuanzisha upya kivinjari ili kuiweka imebadilishwa. Badala ya mshale wa rangi, "Sasisha" sasa inaonekana kwenye sehemu ya avatar ya akaunti.
- Kazi imefanywa ili kubadilisha kivinjari kutumia istilahi jumuishi. Katika majina ya sera, maneno "orodha walioidhinishwa" na "orodha nyeusi" yamebadilishwa na "orodha ya walioidhinishwa" na "orodha ya kuzuia" (sera ambazo tayari zimeongezwa zitaendelea kufanya kazi, lakini zitaonyesha onyo kuhusu kuacha kutumika). KATIKA ΠΈ marejeleo ya "orodha nyeusi" yamebadilishwa na "orodha ya kuzuia".
Marejeleo yanayoonekana na mtumiaji ya "orodha nyeusi" na "orodha iliyoidhinishwa" yalibadilishwa mwanzoni mwa 2019. - Imeongeza uwezo wa majaribio wa kuhariri manenosiri yaliyohifadhiwa, iliyowashwa kwa kutumia alama ya "chrome://flags/#edit-passwords-in-settings".
- Imegeuzwa kuwa API thabiti na ya umma , ambayo hukuruhusu kuunda programu za wavuti zinazoingiliana na faili kwenye mfumo wa faili wa ndani. Kwa mfano, API mpya inaweza kuhitajika katika mazingira jumuishi ya uendelezaji kulingana na kivinjari, vihariri vya maandishi, picha na video. Ili kuweza kuandika na kusoma faili moja kwa moja au kutumia mazungumzo kufungua na kuhifadhi faili, na pia kupitia yaliyomo kwenye saraka, programu inauliza mtumiaji uthibitisho maalum.
- Imeongeza kichaguzi cha CSS "", ambayo hutumia heuristics sawa ambayo kivinjari hutumia wakati wa kuamua kuonyesha kiashiria cha mabadiliko ya kuzingatia (wakati wa kusonga kuzingatia kifungo kwa kutumia njia za mkato za kibodi, kiashiria kinaonekana, lakini wakati wa kubofya na panya, haifanyi). Kiteuzi cha CSS kilichopatikana hapo awali ":focus" kila mara huangazia umakini.
Kwa kuongeza, chaguo la "Kuangazia Haraka" limeongezwa kwenye mipangilio, ikiwezeshwa, kiashirio cha ziada cha kuzingatia kitaonyeshwa karibu na vipengele vinavyotumika, ambavyo vinabaki kuonekana hata kama vipengele vya mtindo vya kuangazia kwa kuona vimezimwa kwenye ukurasa kupitia. CSS. - API kadhaa mpya zimeongezwa kwenye modi ya Majaribio ya Asili (vipengele vya majaribio vinavyohitaji kuwezesha tofauti). Jaribio la Asili linamaanisha uwezo wa kufanya kazi na API maalum kutoka kwa programu zilizopakuliwa kutoka kwa mwenyeji au 127.0.0.1, au baada ya kusajili na kupokea tokeni maalum ambayo ni halali kwa muda mfupi kwa tovuti maalum.
- kwa ufikiaji wa kiwango cha chini cha vifaa vya HID (vifaa vya kiolesura cha binadamu, kibodi, panya, pedi za michezo, paneli za kugusa), hukuruhusu kutekeleza mantiki ya kufanya kazi na kifaa cha HID kwenye JavaScript ili kupanga kazi na vifaa adimu vya HID bila uwepo wa viendeshi maalum. katika mfumo.
Kwanza kabisa, API mpya inalenga kutoa msaada kwa gamepads. - , huongeza API ya Uwekaji Dirisha ili kusaidia usanidi wa skrini nyingi. Tofauti na dirisha.screen, API mpya hukuruhusu kudhibiti uwekaji wa dirisha katika nafasi ya jumla ya skrini ya mifumo ya vidhibiti vingi, bila kuwekewa kikomo kwenye skrini ya sasa.
- Meta tag , ambayo tovuti inaweza kufahamisha kivinjari kuhusu haja ya kuwezesha modes ili kupunguza matumizi ya nguvu na kuongeza mzigo wa CPU.
- API kuripoti ukiukaji unaowezekana wa kanuni za kutengwa (COEP) na (COOP), bila kutumia vikwazo halisi.
- Katika API aina mpya ya kitambulisho imependekezwa , kutoa uthibitisho wa ziada wa shughuli ya malipo inayofanywa. Mhusika anayeitegemea, kama vile benki, ana uwezo wa kutengeneza ufunguo wa umma, Ufunguo wa Umma, ambao unaweza kuombwa na muuzaji kwa uthibitisho wa ziada wa malipo salama.
- kwa ufikiaji wa kiwango cha chini cha vifaa vya HID (vifaa vya kiolesura cha binadamu, kibodi, panya, pedi za michezo, paneli za kugusa), hukuruhusu kutekeleza mantiki ya kufanya kazi na kifaa cha HID kwenye JavaScript ili kupanga kazi na vifaa adimu vya HID bila uwepo wa viendeshi maalum. katika mfumo.
- Katika API ili kuamua kuinama kwa kalamu, usaidizi umeongezwa kwa pembe za urefu (pembe kati ya kalamu na skrini) na azimuth (pembe kati ya mhimili wa X na makadirio ya kalamu kwenye skrini), badala ya TiltX na Pembe TiltY (pembe kati ya ndege kutoka kwa kalamu na moja ya shoka na ndege kutoka Y na Y axes Z). Pia iliongeza vitendaji vya ubadilishaji kati ya urefu/azimuth na TiltX/TiltY.
- Ilibadilisha usimbaji wa nafasi katika URL wakati wa kuikokotoa katika vidhibiti vya itifaki - njia ya navigator.registerProtocolHandler() sasa inachukua nafasi ya "%20" badala ya "+", ambayo inaunganisha tabia na vivinjari vingine kama vile Firefox.
- Imeongeza kipengele cha uwongo cha CSS "", ambayo hukuruhusu kubinafsisha rangi, saizi, umbo na aina ya nambari na vidokezo vya kuorodheshwa kwenye vizuizi Na .
- Imeongeza usaidizi wa kichwa cha HTTP , sheria za kupata hati, sawa na utaratibu wa kutengwa kwa sanduku la mchanga kwa iframes, lakini zaidi ya ulimwengu wote. Kwa mfano, kupitia Sera ya Hati unaweza kuweka kikomo matumizi ya picha za ubora wa chini, kuzima API za JavaScript polepole, kusanidi sheria za kupakia iframe, picha na hati, kupunguza ukubwa wa hati na trafiki kwa ujumla, kukataza mbinu zinazosababisha kuchora upya ukurasa, kuzima. kazi .
- Kwa kipengele iliongeza usaidizi wa 'gridi ya ndani', 'gridi', 'inline-flex' na 'flex' vigezo vilivyowekwa kupitia kipengele cha 'onyesha' CSS.
- Mbinu iliyoongezwa kuchukua nafasi ya watoto wote wa nodi ya mzazi na nodi nyingine ya DOM. Hapo awali, unaweza kutumia mchanganyiko wa node.removeChild() na node.append() au node.innerHTML na node.append() kuchukua nafasi ya nodi.
- anuwai ya miundo ya URL inayoruhusiwa kubatilishwa kwa kutumia registerProtocolHandler(). Orodha ya miradi inajumuisha itifaki zilizogatuliwa cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns na ssb, ambayo inakuruhusu kufafanua viungo vya vipengele bila kujali tovuti au lango linalotoa ufikiaji wa rasilimali.
- Katika API msaada ulioongezwa wa umbizo la maandishi/html kwa kunakili na kubandika HTML kupitia ubao wa kunakili (miundo hatari ya HTML husafishwa wakati wa kuandika na kusoma kwenye ubao wa kunakili). Mabadiliko, kwa mfano, inakuwezesha kupanga uingizaji na kunakili maandishi yaliyopangwa na picha na viungo katika wahariri wa wavuti.
- Katika WebRTC uwezo wa kuunganisha vidhibiti vyako mwenyewe vya data vinavyoitwa katika hatua za usimbaji au kusimbua za WebRTC MediaStreamTrack. Kwa mfano, uwezo huu unaweza kutumika kuongeza usaidizi wa usimbaji fiche kutoka mwisho hadi mwisho wa data inayotumwa kupitia seva za kati.
- Katika injini ya JavaScript V8 kwa 75% utekelezaji wa Nambari.mfano.toString. Imeongeza sifa ya .name kwa madarasa yasiyolingana yenye thamani tupu. Mbinu ya Atomics.wake imeondolewa, ambayo wakati mmoja ilibadilishwa jina na kuwa Atomics.notify ili kuzingatia vipimo vya ECMA-262. Msimbo wa seti ya zana za majaribio ya fuzzing umefunguliwa .
- Mkusanyaji wa msingi wa Liftoff kwa WebAssembly, iliyotolewa katika toleo la mwisho, inajumuisha uwezo wa kutumia maagizo ya vekta. ili kuharakisha mahesabu. Kwa kuzingatia vipimo, uboreshaji ulifanya iwezekane kuharakisha majaribio kadhaa kwa mara 2.8. Uboreshaji mwingine ulifanya iwe haraka sana kupiga kazi za JavaScript zilizoingizwa kutoka kwa WebAssembly.
- zana za wasanidi wa wavuti: Paneli ya Midia imeongeza maelezo kuhusu wachezaji wanaotumiwa kucheza video kwenye ukurasa, ikiwa ni pamoja na data ya tukio, kumbukumbu, thamani za mali na vigezo vya usimbaji fremu (kwa mfano, unaweza kubainisha sababu za upotezaji wa fremu na matatizo ya mwingiliano. kutoka JavaScript).
Katika orodha ya muktadha ya jopo la Vipengee, uwezo wa kuunda viwambo vya kipengee kilichochaguliwa umeongezwa (kwa mfano, unaweza kuunda skrini ya jedwali la yaliyomo au jedwali).
Katika kiweko cha wavuti, jopo la onyo la tatizo limebadilishwa na ujumbe wa kawaida, na matatizo na Vidakuzi vya watu wengine hufichwa kwa chaguo-msingi kwenye kichupo cha Masuala na huwashwa kwa kisanduku cha kuteua maalum.
Katika kichupo cha Utoaji, kitufe cha "Zima fonti za ndani" kimeongezwa, ambacho hukuruhusu kuiga kutokuwepo kwa fonti za ndani, na kwenye kichupo cha Sensorer sasa unaweza kuiga kutotumika kwa mtumiaji (kwa programu zinazotumia API ya Kugundua Bila Kufanya).
Paneli ya Maombi hutoa maelezo ya kina kuhusu kila iframe, dirisha lililofunguliwa, na madirisha ibukizi, ikijumuisha maelezo kuhusu kutengwa kwa Asili Mbalimbali kwa kutumia COEP na COOP.
- uingizwaji wa utekelezaji wa itifaki kwa chaguo lililotengenezwa katika vipimo vya IETF, badala ya chaguo la Google QUIC.
Mbali na ubunifu na marekebisho ya hitilafu, toleo jipya huondolewa . Udhaifu mwingi ulitambuliwa kama matokeo ya zana za majaribio ya kiotomatiki , , , ΠΈ . Athari moja (CVE-2020-15967, ufikiaji wa kumbukumbu isiyolipishwa katika msimbo wa kuingiliana na Google Payments) imetiwa alama kuwa muhimu, i.e. hukuruhusu kupita viwango vyote vya ulinzi wa kivinjari na kutekeleza nambari kwenye mfumo nje ya mazingira ya kisanduku cha mchanga. Kama sehemu ya mpango wa kulipa zawadi za pesa taslimu kwa kugundua udhaifu kwa toleo la sasa, Google ililipa tuzo 27 zenye thamani ya $71500 (tuzo moja ya $15000, tuzo tatu za $7500, tuzo tano za $5000, tuzo mbili za $3000, tuzo moja ya $200, na tuzo mbili za $500). Ukubwa wa zawadi 13 bado haujabainishwa.
Chanzo: opennet.ru