Google paglabas ng web browser ... Sabay-sabay matatag na paglabas ng isang libreng proyekto , na nagsisilbing batayan ng Chrome. Chrome browser ang paggamit ng mga logo ng Google, ang pagkakaroon ng isang system para sa pagpapadala ng mga abiso kung sakaling magkaroon ng pag-crash, ang kakayahang mag-download ng isang Flash module kapag hiniling, mga module para sa paglalaro ng protektadong nilalaman ng video (DRM), isang sistema para sa awtomatikong pag-install ng mga update at paghahatid sa panahon ng paghahanap . Ang susunod na release ng Chrome 87 ay naka-iskedyul para sa ika-17 ng Nobyembre.
:
- Nagdagdag ng proteksyon laban sa hindi ligtas na pagsusumite ng mga input form sa mga page na na-load sa pamamagitan ng HTTPS ngunit nagpapadala ng data sa pamamagitan ng HTTP, na lumilikha ng banta ng data interception at spoofing sa panahon ng MITM attacks. Ang proteksyon ay bumaba sa tatlong pagbabago:
- Na-disable ang awtomatikong pagpuno ng anumang mga mixed input form, katulad ng kung paano na-disable ang awtomatikong pagpuno ng mga form sa pagpapatotoo sa mga page sa pamamagitan ng HTTP sa loob ng mahabang panahon. Kung dati ay isang sign para sa hindi pagpapagana ang pagbubukas ng page na may form sa pamamagitan ng HTTPS o HTTP, ngayon ay isinasaalang-alang na rin ang paggamit ng encryption kapag nagpapadala ng data sa handler ng form. Ang tagapamahala ng password para sa magkahalong paraan ng pagpapatunay ay hindi pinagana, dahil ang panganib ng paggamit ng hindi secure na password at muling paggamit ng mga password sa iba't ibang mga site ay mas malaki kaysa sa panganib ng potensyal na pagharang ng trapiko.
- Kapag nagsimulang pumasok sa magkahalong anyo, may ipapakitang babala na nagpapaalam sa user na ang nakumpletong data ay ipinapadala sa pamamagitan ng hindi naka-encrypt na channel ng komunikasyon.
- Kapag sinubukan mong magsumite ng isang halo-halong form, isang hiwalay na pahina ang ipinapakita na nag-aabiso sa iyo ng potensyal na panganib ng pagpapadala ng data sa isang hindi naka-encrypt na channel ng komunikasyon. Sa mga nakaraang bersyon, ginamit ang isang padlock indicator sa address bar upang ipahiwatig ang mga magkahalong form, ngunit ang pagmamarka na ito ay hindi halata sa mga user at hindi epektibong nagpapakita ng mga panganib na kasangkot.
- pagharang (nang walang pag-encrypt) ng mga executable na file ay dinadagdagan ng pagharang sa hindi ligtas na pag-load ng mga archive (zip, iso, atbp.) at pagpapakita ng mga babala para sa hindi ligtas na pag-load
mga dokumento (docx, pdf, atbp.). Ang pag-block ng dokumento at mga babala para sa mga imahe, teksto, at mga media file ay inaasahan sa susunod na release. Ang pagharang ay ipinatupad dahil ang pag-download ng mga file nang walang pag-encrypt ay maaaring gamitin upang magsagawa ng mga nakakahamak na aksyon sa pamamagitan ng pagpapalit ng nilalaman sa panahon ng pag-atake ng MITM. - Ipinapakita ng default na menu ng konteksto ang opsyong "Palaging ipakita ang buong URL," na dati ay nangangailangan ng pagbabago sa mga setting sa about:flags page upang paganahin. Ang buong URL ay maaari ding matingnan sa pamamagitan ng pag-double click sa address bar. Alalahanin natin na simula sa Bilang default, nagsimulang ipakita ang address nang walang protocol at www subdomain. SA inalis ang setting para ibalik ang dating gawi, ngunit pagkatapos ng hindi kasiyahan ng user Nagdagdag ng bagong pang-eksperimentong flag na nagdaragdag ng opsyon sa menu ng konteksto upang hindi paganahin ang pagtatago at pagpapakita ng buong URL sa anumang mga kundisyon.
- Inilunsad para sa isang maliit na porsyento ng mga user sa Bilang default, ang address bar ay naglalaman lamang ng domain, na walang mga elemento ng path at mga parameter ng query. Halimbawa, sa halip na "https://example.com/secure-google-sign-in/" ipapakita nito ang "example.com". Ang iminungkahing mode ay inaasahang dadalhin sa lahat ng mga user sa isa sa mga susunod na release. Upang huwag paganahin ang gawi na ito, maaari mong gamitin ang opsyong "Palaging ipakita ang buong URL", at upang tingnan ang buong URL, maaari kang mag-click sa address bar. Ang motibo para sa pagbabago ay ang pagnanais na protektahan ang mga user mula sa phishing na nagmamanipula ng mga parameter sa URL - sinasamantala ng mga umaatake ang kawalan ng pansin ng mga user upang lumikha ng hitsura ng pagbubukas ng isa pang site at paggawa ng mga mapanlinlang na aksyon (kung ang mga naturang pagpapalit ay halata sa isang teknikal na may kakayahang gumagamit , kung gayon ang mga taong walang karanasan ay madaling mahulog sa gayong simpleng pagmamanipula).
- Ipinagpatuloy upang alisin ang suporta sa FTP. Sa Chrome 86, ang FTP ay hindi pinagana bilang default para sa humigit-kumulang 1% ng mga user, at sa Chrome 87 ang saklaw ng hindi pagpapagana ay tataas sa 50%, ngunit ang suporta ay maaaring ibalik gamit ang "--enable-ftp" o "-enable -features=FtpProtocol" flag. Sa Chrome 88, ganap na idi-disable ang suporta sa FTP.
- Sa bersyon para sa Android, katulad ng bersyon para sa mga desktop system, ang tagapamahala ng password ay nagpapatupad ng tseke ng mga naka-save na login at password laban sa isang database ng mga nakompromisong account, na nagpapakita ng babala kung may nakitang mga problema o sinubukang gumamit ng mga walang kuwentang password. Isinasagawa ang pagsusuri laban sa isang database na sumasaklaw sa higit sa 4 bilyong nakompromisong account na lumabas sa mga leaked na database ng user. Para mapanatili ang privacy Ang prefix ng hash ay na-verify sa panig ng gumagamit, at ang mga password mismo at ang kanilang buong hash ay hindi ipinadala sa labas.
- Magagamit din sa bersyon ng Android ang button na "Safety check" at ang pinahusay na mode ng proteksyon laban sa mga mapanganib na site (Pinahusay na Ligtas na Pagba-browse). Ang button na "Safety check" ay nagpapakita ng buod ng mga posibleng isyu sa seguridad, gaya ng paggamit ng mga nakompromisong password, ang status ng pagsuri sa mga nakakahamak na site (Ligtas na Pagba-browse), ang pagkakaroon ng mga na-uninstall na update, at ang pagkakakilanlan ng mga nakakahamak na add-on. Ang advanced na mode ng proteksyon ay nag-a-activate ng mga karagdagang pagsusuri upang maprotektahan laban sa phishing, malisyosong aktibidad at iba pang mga banta sa Web, at kasama rin ang karagdagang proteksyon para sa iyong Google account at mga serbisyo ng Google (Gmail, Drive, atbp.). Kung sa normal na Safe Browsing mode, lokal na isinasagawa ang mga pagsusuri gamit ang isang database na pana-panahong nilo-load sa system ng kliyente, pagkatapos ay sa Pinahusay na Ligtas na Pagba-browse ang impormasyon tungkol sa mga page at mga pag-download sa real time ay ipinapadala para sa pag-verify sa panig ng Google, na nagbibigay-daan sa iyong mabilis na tumugon sa mga banta kaagad pagkatapos matukoy ang mga ito, nang hindi naghihintay hanggang sa ma-update ang lokal na blacklist.
- suporta para sa file ng tagapagpahiwatig ng β.kilalang-kilala/palitan-password,β kung saan maaaring tukuyin ng mga may-ari ng site ang address ng isang web form para sa pagpapalit ng password. Kung nakompromiso ang mga kredensyal ng isang user, ipo-prompt na ngayon ng Chrome ang user ng form ng pagpapalit ng password batay sa impormasyon sa file na ito.
- Ang isang bagong babala sa "Tip sa Kaligtasan" ay ipinatupad, na ipinapakita kapag binubuksan ang mga site na ang domain ay halos kapareho sa ibang site at ang heuristics ay nagpapakita na may mataas na posibilidad ng panggagaya (halimbawa, ang goog0le.com ay binuksan sa halip na google.com).
- suporta para sa Back-forward cache, na nagbibigay ng agarang pag-navigate kapag ginagamit ang mga pindutang "Bumalik" at "Ipasa" o kapag nagna-navigate sa mga naunang tiningnan na pahina ng kasalukuyang site. Pinagana ang cache gamit ang setting na chrome://flags/#back-forward-cache.
- Ang pag-optimize ng pagkonsumo ng mapagkukunan ng CPU ng mga bintana ay isinagawa
sa labas ng saklaw. Sinusuri ng Chrome kung ang window ng browser ay na-overlap ng iba pang mga window at pinipigilan ang pagguhit ng mga pixel sa mga bahagi ng overlap. Pinagana ang pag-optimize na ito para sa maliit na porsyento ng mga user sa Chrome 84 at 85 at pinagana na ngayon sa lahat ng dako. Kung ikukumpara sa mga nakaraang release, nalutas din ang hindi pagkakatugma sa mga virtualization system na naging sanhi ng paglitaw ng mga blangkong puting pahina. - Pinataas na resource trimming para sa mga tab sa background. Ang mga naturang tab ay hindi na makakakonsumo ng higit sa 1% ng mga mapagkukunan ng CPU at maaaring i-activate nang hindi hihigit sa isang beses bawat minuto. Pagkatapos ng limang minutong nasa background, ang mga tab ay nagyelo, maliban sa mga tab na nagpe-play ng nilalamang multimedia o pagre-record.
- Asikasuhin ang HTTP header User-Agent. Sa bagong bersyon, ang suporta para sa mekanismo ay isinaaktibo para sa lahat ng mga gumagamit , na binuo bilang kapalit para sa User-Agent. Ang bagong mekanismo ay nagsasangkot ng piling pagbabalik ng data tungkol sa mga partikular na browser at mga parameter ng system (bersyon, platform, atbp.) pagkatapos lamang ng kahilingan ng server at pagbibigay ng pagkakataon sa mga user na piliing magbigay ng naturang impormasyon sa mga may-ari ng site. Kapag gumagamit ng User-Agent Client Hint, ang identifier ay hindi ipinapadala bilang default nang walang tahasang kahilingan, na ginagawang imposible ang passive identification (bilang default, tanging ang pangalan ng browser ang ipinahiwatig).
- Ang indikasyon ng pagkakaroon ng isang update at ang pangangailangan na i-restart ang browser upang mai-install ito ay nabago. Sa halip na isang may kulay na arrow, lalabas na ngayon ang "Update" sa field ng avatar ng account.
- Nagsagawa ng trabaho upang i-convert ang browser upang gumamit ng inclusive na terminolohiya. Sa mga pangalan ng patakaran, ang mga salitang "whitelist" at "blacklist" ay pinalitan ng "allowlist" at "blocklist" (patuloy na gagana ang mga idinagdag na patakaran, ngunit magpapakita ang mga ito ng babala tungkol sa hindi na ginagamit). SA ΠΈ ang mga sanggunian sa "blacklist" ay pinalitan ng "blocklist".
Ang mga reference na nakikita ng user sa "blacklist" at "whitelist" ay pinalitan sa simula ng 2019. - Nagdagdag ng kakayahang pang-eksperimentong mag-edit ng mga naka-save na password, na na-activate gamit ang flag na βchrome://flags/#edit-passwords-in-settingsβ.
- Na-convert sa stable at pampublikong API , na nagbibigay-daan sa iyong lumikha ng mga web application na nakikipag-ugnayan sa mga file sa lokal na file system. Halimbawa, ang bagong API ay maaaring in demand sa browser-based integrated development environment, text, image at video editors. Upang direktang magsulat at magbasa ng mga file o gumamit ng mga diyalogo upang buksan at i-save ang mga file, pati na rin upang mag-navigate sa mga nilalaman ng mga direktoryo, ang application ay humihingi sa gumagamit ng espesyal na kumpirmasyon.
- Idinagdag ang tagapili ng CSS "β, na gumagamit ng parehong heuristics na ginagamit ng browser kapag nagpapasya kung ipapakita ang indicator ng pagbabago ng focus (kapag inililipat ang focus sa isang button gamit ang mga keyboard shortcut, lalabas ang indicator, ngunit kapag nag-click gamit ang mouse, hindi ito makikita). Ang dating available na CSS selector na ":focus" ay palaging nagha-highlight ng focus.
Bilang karagdagan, ang opsyon na "Quick Focus Highlight" ay idinagdag sa mga setting, kapag pinagana, isang karagdagang tagapagpahiwatig ng focus ay ipapakita sa tabi ng mga aktibong elemento, na nananatiling nakikita kahit na ang mga elemento ng estilo para sa visual na pag-highlight ng focus ay hindi pinagana sa pahina sa pamamagitan ng CSS. - Ilang bagong API ang naidagdag sa Origin Trials mode (mga pang-eksperimentong feature na nangangailangan ng hiwalay na pag-activate). Ipinahihiwatig ng Origin Trial ang kakayahang magtrabaho kasama ang tinukoy na API mula sa mga application na na-download mula sa localhost o 127.0.0.1, o pagkatapos magrehistro at makatanggap ng espesyal na token na may bisa sa limitadong oras para sa isang partikular na site.
- para sa mababang antas ng pag-access sa mga HID device (Human interface device, keyboard, mouse, gamepad, touch panel), na nagbibigay-daan sa iyong ipatupad ang logic ng pagtatrabaho sa isang HID device sa JavaScript upang ayusin ang trabaho sa mga bihirang HID device nang walang presensya ng mga partikular na driver sa sistema.
Una sa lahat, ang bagong API ay naglalayong magbigay ng suporta para sa mga gamepad. - , pinalawak ang Window Placement API upang suportahan ang mga multi-screen na configuration. Hindi tulad ng window.screen, binibigyang-daan ka ng bagong API na manipulahin ang paglalagay ng isang window sa kabuuang espasyo ng screen ng mga multi-monitor system, nang hindi nalilimitahan sa kasalukuyang screen.
- Meta tag , kung saan maaaring ipaalam ng site sa browser ang tungkol sa pangangailangang i-activate ang mga mode upang bawasan ang pagkonsumo ng kuryente at i-optimize ang pag-load ng CPU.
- API upang mag-ulat ng mga potensyal na paglabag sa mga regulasyon sa paghihiwalay (COEP) at (COOP), nang hindi naglalapat ng mga aktwal na paghihigpit.
- Sa API isang bagong uri ng mga kredensyal ang iminungkahi , na nagbibigay ng karagdagang kumpirmasyon ng transaksyon sa pagbabayad na ginagawa. Ang isang umaasa na partido, tulad ng isang bangko, ay may kakayahang bumuo ng isang pampublikong key, isang PublicKeyCredential, na maaaring hilingin ng merchant para sa karagdagang secure na kumpirmasyon sa pagbabayad.
- para sa mababang antas ng pag-access sa mga HID device (Human interface device, keyboard, mouse, gamepad, touch panel), na nagbibigay-daan sa iyong ipatupad ang logic ng pagtatrabaho sa isang HID device sa JavaScript upang ayusin ang trabaho sa mga bihirang HID device nang walang presensya ng mga partikular na driver sa sistema.
- Sa API upang matukoy ang pagtabingi ng stylus, idinagdag ang suporta para sa mga anggulo ng taas (ang anggulo sa pagitan ng stylus at screen) at azimuth (ang anggulo sa pagitan ng X axis at ang projection ng stylus sa screen), sa halip na ang TiltX at TiltY angle (ang mga anggulo sa pagitan ng eroplano mula sa stylus at isa sa mga axes at ang eroplano mula sa Y at Y axes Z). Nagdagdag din ng mga function ng conversion sa pagitan ng altitude/azimuth at TiltX/TiltY.
- Binago ang pag-encode ng espasyo sa mga URL kapag kinakalkula ito sa mga tagapangasiwa ng protocol - pinapalitan na ngayon ng paraan ng navigator.registerProtocolHandler() ang mga puwang ng "%20" sa halip na "+", na pinagsasama ang gawi sa ibang mga browser gaya ng Firefox.
- Nagdagdag ng CSS pseudo-element "", na nagbibigay-daan sa iyong i-customize ang kulay, laki, hugis at uri ng mga numero at puntos para sa mga listahan sa mga bloke At .
- Nagdagdag ng suporta sa header ng HTTP , mga panuntunan para sa pag-access ng mga dokumento, katulad ng mekanismo ng paghihiwalay ng sandbox para sa mga iframe, ngunit mas pangkalahatan. Halimbawa, sa pamamagitan ng Document-Policy maaari mong limitahan ang paggamit ng mga larawang may mababang kalidad, i-disable ang mabagal na JavaScript API, i-configure ang mga panuntunan para sa pag-load ng mga iframe, mga larawan at script, limitahan ang kabuuang laki at trapiko ng dokumento, ipagbawal ang mga paraan na humahantong sa muling pagguhit ng pahina, i-disable ang function .
- Sa elemento nagdagdag ng suporta para sa 'inline-grid', 'grid', 'inline-flex' at 'flex' na mga parameter na itinakda sa pamamagitan ng 'display' CSS property.
- Idinagdag na paraan upang palitan ang lahat ng mga anak ng isang parent node ng isa pang DOM node. Dati, maaari kang gumamit ng kumbinasyon ng node.removeChild() at node.append() o node.innerHTML at node.append() upang palitan ang mga node.
- ang hanay ng mga scheme ng URL na pinapayagang ma-override gamit ang registerProtocolHandler(). Kasama sa listahan ng mga scheme ang mga desentralisadong protocol na cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns at ssb, na nagbibigay-daan sa iyong tukuyin ang mga link sa mga elemento anuman ang site o gateway na nagbibigay ng access sa mapagkukunan.
- Sa API nagdagdag ng suporta para sa text/html na format para sa pagkopya at pag-paste ng HTML sa pamamagitan ng clipboard (nalilinis ang mga mapanganib na HTML construct kapag nagsusulat at nagbabasa sa clipboard). Ang pagbabago, halimbawa, ay nagbibigay-daan sa iyong ayusin ang pagpapasok at pagkopya ng na-format na teksto na may mga larawan at link sa mga editor ng web.
- Sa WebRTC ang kakayahang ikonekta ang iyong sariling mga tagapangasiwa ng data na tinatawag sa mga yugto ng pag-encode o pag-decode ng WebRTC MediaStreamTrack. Halimbawa, ang kakayahang ito ay maaaring gamitin upang magdagdag ng suporta para sa end-to-end na pag-encrypt ng data na ipinadala sa pamamagitan ng mga intermediate na server.
- Sa JavaScript engine V8 ng 75% pagpapatupad ng Number.prototype.toString. Nagdagdag ng property na .name sa mga asynchronous na klase na may walang laman na value. Ang paraan ng Atomics.wake ay inalis, na minsan ay pinalitan ng pangalan sa Atomics.notify upang sumunod sa detalye ng ECMA-262. Nakabukas ang code ng toolkit ng fuzzing testing .
- Ang Liftoff baseline compiler para sa WebAssembly, na inilabas sa huling release, ay may kasamang kakayahang gumamit ng mga tagubilin sa vector para mapabilis ang mga kalkulasyon. Sa paghusga sa pamamagitan ng mga pagsubok, ginawang posible ng pag-optimize na mapabilis ang ilang mga pagsubok nang 2.8 beses. Ang isa pang pag-optimize ay naging mas mabilis na tumawag sa mga na-import na function ng JavaScript mula sa WebAssembly.
- mga tool para sa mga web developer: Ang panel ng Media ay nagdagdag ng impormasyon tungkol sa mga manlalarong ginamit sa paglalaro ng video sa page, kabilang ang data ng kaganapan, mga log, value ng property, at mga parameter ng pag-decode ng frame (halimbawa, matutukoy mo ang mga sanhi ng pagkawala ng frame at mga problema sa pakikipag-ugnayan mula sa JavaScript).
Sa menu ng konteksto ng panel ng Mga Elemento, idinagdag ang kakayahang gumawa ng mga screenshot ng napiling elemento (halimbawa, maaari kang lumikha ng screenshot ng talaan ng mga nilalaman o talahanayan).
Sa web console, ang panel ng babala sa problema ay pinalitan ng isang regular na mensahe, at ang mga problema sa third-party na Cookies ay nakatago bilang default sa tab na Mga Isyu at pinagana ng isang espesyal na checkbox.
Sa tab na Pagre-render, may idinagdag na button na "Huwag paganahin ang mga lokal na font", na nagbibigay-daan sa iyong gayahin ang kawalan ng mga lokal na font, at sa tab na Mga Sensor maaari mo na ngayong gayahin ang kawalan ng aktibidad ng user (para sa mga application na gumagamit ng Idle Detection API).
Ang Application panel ay nagbibigay ng detalyadong impormasyon tungkol sa bawat iframe, bukas na window, at pop-up, kabilang ang impormasyon tungkol sa Cross-Origin isolation gamit ang COEP at COOP.
- pagpapalit ng pagpapatupad ng protocol sa opsyong binuo sa detalye ng IETF, sa halip na opsyon sa Google QUIC.
Bilang karagdagan sa mga inobasyon at pag-aayos ng bug, ang bagong bersyon ay nag-aalis . Marami sa mga kahinaan ang natukoy bilang resulta ng awtomatikong pagsubok gamit ang mga tool , , , ΠΈ . Ang isang kahinaan (CVE-2020-15967, access sa libreng memory sa code para sa pakikipag-ugnayan sa Google Payments) ay minarkahan bilang kritikal, ibig sabihin. nagbibigay-daan sa iyo na i-bypass ang lahat ng antas ng proteksyon ng browser at magsagawa ng code sa system sa labas ng kapaligiran ng sandbox. Bilang bahagi ng programang magbayad ng cash reward para sa pagtuklas ng mga kahinaan para sa kasalukuyang release, nagbayad ang Google ng 27 na parangal na nagkakahalaga ng $71500 (isang $15000 award, tatlong $7500 na parangal, limang $5000 na parangal, dalawang $3000 na parangal, isang $200 na parangal, at dalawang $500 na parangal). Ang laki ng 13 reward ay hindi pa natutukoy.
Pinagmulan: opennet.ru