ProHoster > Blog > internet haberleri > Krom 86

Krom 86

Chrome 86'nın bir sonraki sürümü ve Chromium'un kararlı sürümü yayınlandı.

Chrome 86'deki önemli değişiklikler:

  • HTTPS üzerinden yüklenen ancak HTTP üzerinden veri gönderen sayfalarda giriş formlarının güvenli olmayan şekilde gönderilmesine karşı koruma.
  • Yürütülebilir dosyaların güvenli olmayan şekilde indirilmesinin (http) engellenmesi, arşivlerin (zip, iso vb.) güvenli olmayan şekilde indirilmesinin engellenmesi ve belgelerin (docx, pdf vb.) güvenli olmayan şekilde indirilmesine ilişkin uyarıların görüntülenmesiyle tamamlanmaktadır. Bir sonraki sürümde resimler, metinler ve medya dosyaları için belge engelleme ve uyarılar bekleniyor. Engelleme, dosyaların şifrelenmeden indirilmesinin, MITM saldırıları sırasında içeriği değiştirerek kötü amaçlı eylemler gerçekleştirmek için kullanılabileceği için uygulanır.
  • Varsayılan içerik menüsünde, daha önce etkinleştirmek için about:flags sayfasındaki ayarların değiştirilmesini gerektiren "Her zaman tam URL'yi göster" seçeneği görüntülenir. Tam URL, adres çubuğuna çift tıklanarak da görüntülenebilir. Chrome 76'dan itibaren varsayılan olarak adresin protokol ve www alt alan adı olmadan gösterilmeye başladığını hatırlatalım. Chrome 79'da eski davranışı döndürme ayarı kaldırıldı, ancak kullanıcı memnuniyetsizliğinin ardından Chrome 83'e, içerik menüsüne tam URL'nin her koşulda gizlenmesini ve gösterilmesini devre dışı bırakma seçeneği ekleyen yeni bir deneysel işaret eklendi.
    Kullanıcıların küçük bir yüzdesi için, yol öğeleri ve sorgu parametreleri olmadan, varsayılan olarak adres çubuğunda yalnızca etki alanının görüntülenmesine yönelik bir deneme başlatıldı. Örneğin " yerinehttps://example.com/secure-google-sign-in/" "example.com" gösterilecektir. Önerilen modun sonraki sürümlerden birinde tüm kullanıcılara sunulması bekleniyor. Bu davranışı devre dışı bırakmak için “Her zaman tam URL'yi göster” seçeneğini kullanabilir, URL'nin tamamını görüntülemek için adres çubuğuna tıklayabilirsiniz. Değişikliğin nedeni, kullanıcıları URL'deki parametreleri değiştiren kimlik avından koruma arzusudur - saldırganlar, kullanıcıların dikkatsizliğinden yararlanarak başka bir site açmış ve hileli eylemler gerçekleştiriyormuş gibi bir görünüm yaratır (bu tür değişiklikler teknik açıdan yetkin bir kullanıcı için açıksa) , deneyimsiz insanlar kolayca bu tür basit manipülasyonlara kanabilirler).
  • FTP desteğinin kaldırılmasına yönelik girişim yenilendi. Chrome 86'da, kullanıcıların yaklaşık %1'i için FTP varsayılan olarak devre dışıdır ve Chrome 87'de devre dışı bırakmanın kapsamı %50'ye çıkarılacaktır, ancak "--enable-ftp" veya "- kullanılarak destek geri getirilebilir. -enable-features=FtpProtocol" bayrağı. Chrome 88'de FTP desteği tamamen devre dışı bırakılacaktır.
  • Android sürümünde, masaüstü sistemlere yönelik sürüme benzer şekilde, şifre yöneticisi, kayıtlı kullanıcı adlarını ve şifreleri, güvenliği ihlal edilmiş hesaplardan oluşan bir veritabanına göre kontrol eder ve sorunlar tespit edilirse veya önemsiz şifreler kullanılmaya çalışılırsa bir uyarı görüntüler. Kontrol, sızdırılan kullanıcı veritabanlarında ortaya çıkan 4 milyardan fazla ele geçirilmiş hesabı kapsayan bir veritabanına karşı gerçekleştiriliyor. Gizliliği korumak için karma öneki kullanıcı tarafında doğrulanır ve şifrelerin kendileri ve tam karmaları harici olarak iletilmez.
  • “Güvenlik kontrolü” düğmesi ve tehlikeli sitelere karşı gelişmiş koruma modu (Gelişmiş Güvenli Tarama) da Android sürümüne aktarıldı. "Güvenlik kontrolü" düğmesi, güvenliği ihlal edilmiş şifrelerin kullanımı, kötü amaçlı sitelerin kontrol edilme durumu (Güvenli Tarama), kaldırılmış güncellemelerin varlığı ve kötü amaçlı eklentilerin tanımlanması gibi olası güvenlik sorunlarının bir özetini gösterir. Gelişmiş koruma modu, kimlik avına, kötü amaçlı etkinliklere ve Web'deki diğer tehditlere karşı koruma sağlamak için ek kontrolleri etkinleştirir ve ayrıca Google hesabınız ve Google hizmetleriniz (Gmail, Drive vb.) için ek koruma içerir. Normal Güvenli Tarama modunda kontroller, müşterinin sistemine periyodik olarak yüklenen bir veritabanı kullanılarak yerel olarak gerçekleştiriliyorsa, Gelişmiş Güvenli Tarama'da, sayfalar ve indirilenler hakkındaki bilgiler gerçek zamanlı olarak Google tarafına doğrulama için gönderilir ve bu da size hızlı bir şekilde yanıt vermenizi sağlar. Tehditleri tespit ettikten hemen sonra, yerel kara listenin güncellenmesini beklemeden.
  • Site sahiplerinin şifreyi değiştirmek için web formunun adresini belirtebilecekleri ".well-known/change-password" gösterge dosyası için destek eklendi. Bir kullanıcının kimlik bilgilerinin güvenliği ihlal edilirse Chrome artık bu dosyadaki bilgilere göre kullanıcıdan hemen bir şifre değiştirme formu isteyecektir.
  • Etki alanı başka bir siteye çok benzeyen siteler açıldığında görüntülenen yeni bir "Güvenlik İpucu" uyarısı uygulandı ve buluşsal yöntemler, sahtekarlık olasılığının yüksek olduğunu gösteriyor (örneğin, google.com yerine goog0le.com açılıyor).

    * "Geri" ve "İleri" düğmelerini kullanırken veya mevcut sitenin daha önce görüntülenen sayfalarında gezinirken anında gezinme sağlayan Geri-ileri önbellek desteği uygulandı. Önbellek, chrome://flags/#back-forward-cache ayarı kullanılarak etkinleştirilir.

  • Kapsam dışı pencereler için CPU kaynak tüketimini optimize etme. Chrome, tarayıcı penceresinin diğer pencerelerle çakışıp örtüşmediğini kontrol eder ve çakışan alanlarda piksel çizilmesini önler. Bu optimizasyon Chrome 84 ve 85'te kullanıcıların küçük bir yüzdesi için etkinleştirildi ve artık her yerde etkinleştirildi. Önceki sürümlerle karşılaştırıldığında, boş beyaz sayfaların görünmesine neden olan sanallaştırma sistemleriyle uyumsuzluk da giderildi.
  • Arka plan sekmeleri için artırılmış kaynak kırpma. Bu tür sekmeler artık CPU kaynaklarının %1'inden fazlasını tüketemez ve dakikada bir defadan fazla etkinleştirilemez. Arka planda beş dakika kaldıktan sonra, multimedya içeriğini oynatan veya kaydeden sekmeler hariç, sekmeler donar.
  • Kullanıcı Aracısı HTTP üstbilgisinin birleştirilmesine yönelik çalışmalar yeniden başladı. Yeni versiyonda, User-Agent'ın yerine geliştirilen User-Agent Client Hints mekanizması desteği tüm kullanıcılar için aktif hale getirildi. Yeni mekanizma, belirli tarayıcı ve sistem parametreleri (sürüm, platform vb.) hakkındaki verilerin yalnızca sunucunun talebi sonrasında seçici olarak döndürülmesini ve kullanıcılara bu tür bilgileri seçici olarak site sahiplerine sağlama fırsatı verilmesini içerir. Kullanıcı Aracısı İstemci İpuçlarını kullanırken, tanımlayıcı varsayılan olarak açık bir istek olmadan iletilmez, bu da pasif tanımlamayı imkansız hale getirir (varsayılan olarak yalnızca tarayıcı adı gösterilir).
    Bir güncellemenin varlığına ve güncellemeyi yüklemek için tarayıcının yeniden başlatılması gerektiğine dair gösterge değiştirildi. Hesap avatarı alanında artık renkli bir ok yerine “Güncelleme” görünüyor.
  • Tarayıcının kapsayıcı terminolojiyi kullanacak şekilde dönüştürülmesi için çalışmalar yapılmıştır. Politika adlarındaki "beyaz liste" ve "kara liste" kelimeleri "izin verilenler listesi" ve "engellenenler listesi" ile değiştirildi (halihazırda eklenmiş politikalar çalışmaya devam edecek ancak kullanımdan kaldırıldıklarına dair bir uyarı görüntüleyecekler). Kod ve dosya adlarında "kara liste" ifadesi "engellenenler listesi" ile değiştirilmiştir. Kullanıcıların görebileceği "kara liste" ve "beyaz liste" referansları 2019'un başında değiştirildi.
    "chrome://flags/#edit-passwords-in-settings" bayrağı kullanılarak etkinleştirilen, kayıtlı şifreleri düzenlemeye yönelik deneysel bir özellik eklendi.
  • Yerel Dosya Sistemi API'si, kararlı ve herkese açık API kategorisine aktarılarak, yerel dosya sistemindeki dosyalarla etkileşim kuran web uygulamaları oluşturmanıza olanak tanır. Örneğin yeni API, tarayıcı tabanlı entegre geliştirme ortamlarında, metin, resim ve video düzenleyicilerde talep görebilir. Dosyaları doğrudan yazıp okuyabilmek veya dosyaları açmak ve kaydetmek için diyalogları kullanabilmek ve ayrıca dizinlerin içeriğinde gezinebilmek için uygulama kullanıcıdan özel onay ister.
  • Odak değiştirme göstergesini gösterip göstermemeye karar verirken tarayıcının kullandığı buluşsal yöntemin aynısını kullanan bir CSS seçici ":focus-visible" eklendi (klavye kısayollarını kullanarak odağı bir düğmeye taşıdığınızda gösterge görünür, ancak fareyle tıkladığınızda) , o değil). Daha önce kullanılabilen CSS seçici ":focus" her zaman odağı vurgular. Ek olarak, ayarlara "Hızlı Odak Vurgulama" seçeneği eklendi; etkinleştirildiğinde, aktif öğelerin yanında ek bir odak göstergesi gösterilecektir; bu, odağı görsel olarak vurgulamak için stil öğeleri CSS aracılığıyla sayfada devre dışı bırakılsa bile görünür kalır. .
  • Origin Trials moduna birkaç yeni API eklendi (ayrı etkinleştirme gerektiren deneysel özellikler). Origin Trial, localhost veya 127.0.0.1'den indirilen uygulamalardan veya belirli bir site için sınırlı bir süre için geçerli olan özel bir belirteç kaydettikten ve aldıktan sonra belirtilen API ile çalışabilme becerisini ifade eder.
  • HID cihazlarına (İnsan arayüz cihazları, klavyeler, fareler, oyun kumandaları, dokunmatik yüzeyler) düşük seviyeli erişim için WebHID API, nadir HID cihazlarıyla çalışmayı düzenlemek için JavaScript'te bir HID cihazıyla çalışma mantığını uygulamanıza olanak tanır. sistemdeki belirli sürücüler. Her şeyden önce yeni API'nin gamepad'lere destek sağlaması amaçlanıyor.
  • Ekran Bilgileri API'si, Pencere Yerleştirme API'sini çoklu ekran yapılandırmalarını destekleyecek şekilde genişletir. window.screen'in aksine, yeni API, geçerli ekranla sınırlı kalmadan, çoklu monitör sistemlerinin genel ekran alanındaki bir pencerenin yerleşimini değiştirmenize olanak tanır.
  • Sitenin, güç tüketimini azaltmak ve CPU yükünü optimize etmek için modları etkinleştirme ihtiyacı konusunda tarayıcıyı bilgilendirebileceği meta etiket pil tasarrufu.
  • COOP Raporlama API'si, Gerçek kısıtlamalar uygulamadan, Çapraz Kaynaklı Yerleştirme Politikası (COEP) ve Çapraz Kaynaklı Açıcı Politikası (COOP) izolasyon modlarının olası ihlallerini raporlamak için kullanılır.
  • Kimlik Bilgisi Yönetimi API'si, gerçekleştirilen ödeme işlemine ilişkin ek onay sağlayan yeni bir kimlik bilgisi türü olan PaymentCredential'ı sunar. Banka gibi bağlı bir taraf, satıcı tarafından ek güvenli ödeme onayı için talep edilebilecek bir PublicKeyCredential adlı genel anahtar oluşturma olanağına sahiptir.
  • Kalemin eğimini belirlemeye yönelik PointerEvents API'si*, yükseklik açıları (ekran kalemi ile ekran arasındaki açı) ve azimut (X ekseni ile kalemin ekran üzerindeki izdüşümü arasındaki açı) için destek ekledi. TiltX ve TiltY açıları (kalem kaleminden gelen düzlem ile eksenlerden biri ile Y ve Z eksenlerinden gelen düzlem arasındaki açılar). Ayrıca yükseklik/azimut ve TiltX/TiltY arasında dönüştürme işlevleri de eklendi.
  • Protokol işleyicilerinde hesaplanırken URL'lerdeki alanın kodlaması değiştirildi - navigator.registerProtocolHandler() yöntemi artık boşlukları "+" yerine "%20" ile değiştiriyor; bu, davranışı Firefox gibi diğer tarayıcılarla birleştiriyor.
  • CSS'ye bir sözde öğe "::marker" eklendi; bu, bloklardaki listeler için renk, boyut, şekil ve sayı ve nokta türünü özelleştirmenize olanak tanıyor Ve .
  • Belgelere erişim için kurallar belirlemenize olanak tanıyan, iframe'ler için korumalı alan izolasyon mekanizmasına benzer, ancak daha evrensel olan Document-Policy HTTP üstbilgisi için destek eklendi. Örneğin, Document-Policy aracılığıyla düşük kaliteli görsellerin kullanımını sınırlayabilir, yavaş JavaScript API'lerini devre dışı bırakabilir, iframe'leri, görselleri ve komut dosyalarını yüklemek için kurallar yapılandırabilir, genel belge boyutunu ve trafiğini sınırlandırabilir, sayfanın yeniden çizilmesine yol açan yöntemleri yasaklayabilir ve Metne Kaydırma işlevini devre dışı bırakın.
  • Öğeye 'display' CSS özelliği aracılığıyla ayarlanan 'inline-grid', 'grid', 'inline-flex' ve 'flex' parametreleri için destek eklendi.
  • Bir üst düğümün tüm alt öğelerini başka bir DOM düğümüyle değiştirmek için ParentNode.replaceChildren() yöntemi eklendi. Önceden, düğümleri değiştirmek için node.removeChild() ve node.append() veya node.innerHTML ve node.append() kombinasyonunu kullanabiliyordunuz.
  • RegisterProtocolHandler() kullanılarak geçersiz kılınabilecek URL şemalarının aralığı genişletildi. Şemaların listesi, kaynağa erişim sağlayan site veya ağ geçidinden bağımsız olarak öğelere bağlantılar tanımlamanıza olanak tanıyan cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ve ssb merkezi olmayan protokollerini içerir.
  • Pano aracılığıyla HTML kopyalayıp yapıştırmak için Asenkron Pano API'sine metin/html formatı desteği eklendi (panoya yazarken ve okurken tehlikeli HTML yapıları temizlenir). Örneğin değişiklik, web düzenleyicilerinde resim ve bağlantılarla birlikte biçimlendirilmiş metnin eklenmesini ve kopyalanmasını düzenlemenize olanak tanır.
  • WebRTC, WebRTC MediaStreamTrack'in kodlama veya kod çözme aşamalarında çağrılan kendi veri işleyicilerini bağlama yeteneğini ekledi. Örneğin bu yetenek, ara sunucular aracılığıyla iletilen verilerin uçtan uca şifrelenmesine yönelik desteği eklemek için kullanılabilir.
    V8 JavaScript motorunda Number.prototype.toString'in uygulanması %75 oranında hızlandırıldı. Boş değere sahip eşzamansız sınıflara .name özelliği eklendi. Atomics.wake yöntemi kaldırıldı ve bu yöntem, ECMA-262 spesifikasyonuna uymak için bir zamanlar Atomics.notify olarak yeniden adlandırıldı. Tüylenme test aracı JS-Fuzzer'ın kodu açık.
  • Son sürümde yayımlanan WebAssembly için Liftoff temel derleyicisi, hesaplamaları hızlandırmak için SIMD vektör talimatlarını kullanma yeteneğini içerir. Testlere bakılırsa optimizasyon bazı testleri 2.8 kat hızlandırmayı mümkün kıldı. Başka bir optimizasyon, WebAssembly'dan içe aktarılan JavaScript işlevlerinin çağrılmasını çok daha hızlı hale getirdi.
  • Web geliştiricilerine yönelik araçlar genişletildi: Medya paneli, sayfada video oynatmak için kullanılan oynatıcılar hakkında, olay verileri, günlükler, özellik değerleri ve çerçeve kod çözme parametreleri dahil olmak üzere bilgiler ekledi (örneğin, çerçevenin nedenlerini belirleyebilirsiniz) JavaScript'ten kaynaklanan kayıp ve etkileşim sorunları).
  • Öğeler panelinin içerik menüsüne, seçilen öğenin ekran görüntülerini oluşturma özelliği eklendi (örneğin, içindekiler tablosunun veya tablonun ekran görüntüsünü oluşturabilirsiniz).
  • Web konsolunda sorun uyarı paneli normal bir mesajla değiştirilmiştir ve üçüncü taraf Çerezlerle ilgili sorunlar, Sorunlar sekmesinde varsayılan olarak gizlenir ve özel bir onay kutusuyla etkinleştirilir.
  • Oluşturma sekmesine, yerel yazı tiplerinin yokluğunu simüle etmenize olanak tanıyan bir "Yerel yazı tiplerini devre dışı bırak" düğmesi eklendi ve Sensörler sekmesinde artık kullanıcı eylemsizliğini simüle edebilirsiniz (Boşta Algılama API'sini kullanan uygulamalar için).
  • Uygulama paneli, COEP ve COOP kullanarak Çapraz Kaynak izolasyonu hakkında bilgiler de dahil olmak üzere her bir iframe, açık pencere ve açılır pencere hakkında ayrıntılı bilgi sağlar.

QUIC protokolünün uygulanması, QUIC'in Google sürümü yerine IETF spesifikasyonunda geliştirilen sürümle değiştirilmeye başlandı.
Yeni sürüm, yeniliklerin ve hata düzeltmelerinin yanı sıra 35 güvenlik açığını da ortadan kaldırıyor. Güvenlik açıklarının çoğu, AdresSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ve AFL araçları kullanılarak yapılan otomatik testler sonucunda belirlendi. Bir güvenlik açığı (CVE-2020-15967, Google Payments ile etkileşim için koddaki boş belleğe erişim) kritik olarak işaretlendi; tüm tarayıcı koruma düzeylerini atlamanıza ve sanal alan ortamı dışında sistemde kod yürütmenize olanak tanır. Mevcut sürümdeki güvenlik açıklarını keşfetmeye yönelik nakit ödül ödeme programının bir parçası olarak Google, 27 ABD Doları değerinde 71500 ödül ödedi (bir 15000 ABD Doları ödül, üç 7500 ABD Doları ödül, beş 5000 ABD Doları ödül, iki 3000 ABD Doları ödül, bir 200 ABD Doları ödül ve iki 500 ABD Doları ödül). 13 ödülün büyüklüğü ise henüz belirlenmedi.

Alınan Opennet.ru

Kaynak: linux.org.ru

Yorum ekle