Google web tarayıcısı sürümü ... Eşzamanlı ücretsiz bir projenin kararlı sürümü , Chrome'un temelini oluşturur. Chrome tarayıcı Google logolarının kullanımı, çökme durumunda bildirim göndermek için bir sistemin varlığı, istek üzerine bir Flash modülü indirme yeteneği, korumalı video içeriğini (DRM) oynatmak için modüller, arama sırasında güncellemeleri ve iletimi otomatik olarak yüklemek için bir sistem . Chrome 87'nin bir sonraki sürümünün 17 Kasım'da yayınlanması planlanıyor.
:
- HTTPS aracılığıyla yüklenen ancak verileri HTTP yoluyla gönderen sayfalara giriş formlarının güvenli olmayan şekilde gönderilmesine karşı koruma eklendi; bu, MITM saldırıları sırasında veri müdahalesi ve yanıltma tehdidi oluşturur. Koruma üç değişikliğe bağlıdır:
- HTTP aracılığıyla açılan sayfalardaki kimlik doğrulama formlarının otomatik doldurulmasının bir süredir devre dışı bırakılmasına benzer şekilde, karışık giriş formlarının otomatik doldurulması da devre dışı bırakıldı. Daha önce HTTPS veya HTTP aracılığıyla form içeren bir sayfanın açılması devre dışı bırakma işaretiydi, artık form işleyiciye veri gönderilirken şifreleme kullanımı da dikkate alınıyor. Güvenli olmayan bir parola kullanma ve parolaları farklı sitelerde yeniden kullanma riski, olası trafiğe müdahale riskinden daha ağır bastığından, karma kimlik doğrulama biçimlerine yönelik parola yöneticisi devre dışı bırakılmaz.
- Karışık formlarda giriş yapmaya başladığınızda, kullanıcıya tamamlanan verilerin şifrelenmemiş bir iletişim kanalı üzerinden gönderildiğini bildiren bir uyarı görüntülenir.
- Karma bir form göndermeye çalıştığınızda, şifrelenmemiş bir iletişim kanalı üzerinden veri aktarımının potansiyel riski konusunda sizi bilgilendiren ayrı bir sayfa görüntülenir. Önceki versiyonlarda, karışık formları belirtmek için adres çubuğunda bir asma kilit göstergesi kullanılıyordu ancak bu işaretleme kullanıcılar için açık değildi ve ilgili riskleri etkili bir şekilde yansıtmıyordu.
- Engelleme yürütülebilir dosyaların (şifrelemesiz) arşivlerin (zip, iso vb.) güvenli olmayan şekilde yüklenmesinin engellenmesi ve güvenli olmayan yüklemeye ilişkin uyarıların görüntülenmesiyle desteklenir
belgeler (docx, pdf vb.). Bir sonraki sürümde resimler, metinler ve medya dosyaları için belge engelleme ve uyarılar bekleniyor. Engelleme, dosyaların şifrelenmeden indirilmesinin, MITM saldırıları sırasında içeriği değiştirerek kötü amaçlı eylemler gerçekleştirmek için kullanılabileceği için uygulanır. - Varsayılan içerik menüsünde, daha önce etkinleştirmek için about:flags sayfasındaki ayarların değiştirilmesini gerektiren "Her zaman tam URL'yi göster" seçeneği görüntülenir. Tam URL, adres çubuğuna çift tıklanarak da görüntülenebilir. Şunu baştan hatırlayalım Varsayılan olarak adres, protokol ve www alt alan adı olmadan gösterilmeye başlandı. İÇİNDE eski davranışı geri döndürme ayarı kaldırıldı, ancak kullanıcının bu durumdan memnun olmamasının ardından Her koşulda tam URL'nin gizlenmesini ve gösterilmesini devre dışı bırakmak için içerik menüsüne bir seçenek ekleyen yeni bir deneysel işaret eklendi.
- Kullanıcıların küçük bir yüzdesi için başlatıldı üzerinde Varsayılan olarak adres çubuğu, yol öğeleri ve sorgu parametreleri olmadan yalnızca etki alanını içerir. Örneğin, "https://example.com/secure-google-sign-in/" yerine "example.com" gösterilir. Önerilen modun sonraki sürümlerden birinde tüm kullanıcılara sunulması bekleniyor. Bu davranışı devre dışı bırakmak için “Her zaman tam URL'yi göster” seçeneğini kullanabilir, URL'nin tamamını görüntülemek için adres çubuğuna tıklayabilirsiniz. Değişikliğin nedeni, kullanıcıları URL'deki parametreleri değiştiren kimlik avından koruma arzusudur - saldırganlar, kullanıcıların dikkatsizliğinden yararlanarak başka bir site açmış ve hileli eylemler gerçekleştiriyormuş gibi bir görünüm yaratır (bu tür değişiklikler teknik açıdan yetkin bir kullanıcı için açıksa) , deneyimsiz insanlar kolayca bu tür basit manipülasyonlara kanabilirler).
- Devam edildi FTP desteğini kaldırmak için. Chrome 86'da, kullanıcıların yaklaşık %1'i için FTP varsayılan olarak devre dışıdır ve Chrome 87'de devre dışı bırakmanın kapsamı %50'ye çıkarılacaktır, ancak "--enable-ftp" veya "- kullanılarak destek geri getirilebilir. -enable-features=FtpProtocol" bayrağı. Chrome 88'de FTP desteği tamamen devre dışı bırakılacaktır.
- Android sürümünde, masaüstü sistemlere yönelik sürüme benzer şekilde, şifre yöneticisi, kayıtlı kullanıcı adlarını ve şifreleri, güvenliği ihlal edilmiş hesaplardan oluşan bir veritabanına göre kontrol eder ve sorunlar tespit edilirse veya önemsiz şifreler kullanılmaya çalışılırsa bir uyarı görüntüler. Kontrol, sızdırılan kullanıcı veritabanlarında ortaya çıkan 4 milyardan fazla ele geçirilmiş hesabı kapsayan bir veritabanına karşı gerçekleştiriliyor. Gizliliği korumak için Hash öneki kullanıcı tarafında doğrulanır ve şifrelerin kendileri ve tam karmaları harici olarak iletilmez.
- Android sürümü de mevcut “Güvenlik kontrolü” düğmesi ve tehlikeli sitelere karşı gelişmiş koruma modu (Gelişmiş Güvenli Tarama). "Güvenlik kontrolü" düğmesi, güvenliği ihlal edilmiş şifrelerin kullanımı, kötü amaçlı sitelerin kontrol edilme durumu (Güvenli Tarama), kaldırılmış güncellemelerin varlığı ve kötü amaçlı eklentilerin tanımlanması gibi olası güvenlik sorunlarının bir özetini gösterir. Gelişmiş koruma modu, kimlik avına, kötü amaçlı etkinliklere ve Web'deki diğer tehditlere karşı koruma sağlamak için ek kontrolleri etkinleştirir ve ayrıca Google hesabınız ve Google hizmetleriniz (Gmail, Drive vb.) için ek koruma içerir. Normal Güvenli Tarama modunda kontroller, müşterinin sistemine periyodik olarak yüklenen bir veritabanı kullanılarak yerel olarak gerçekleştiriliyorsa, Gelişmiş Güvenli Tarama'da, sayfalar ve indirilenler hakkındaki bilgiler gerçek zamanlı olarak Google tarafına doğrulama için gönderilir ve bu da size hızlı bir şekilde yanıt vermenizi sağlar. Tehditleri tespit ettikten hemen sonra, yerel kara listenin güncellenmesini beklemeden.
- site sahiplerinin şifreyi değiştirmek için web formunun adresini belirtebilecekleri “.well-known/change-password” gösterge dosyası desteği. Bir kullanıcının kimlik bilgilerinin güvenliği ihlal edilirse Chrome artık bu dosyadaki bilgilere göre kullanıcıdan hemen bir şifre değiştirme formu isteyecektir.
- Etki alanı başka bir siteye çok benzeyen siteler açıldığında görüntülenen yeni bir "Güvenlik İpucu" uyarısı uygulandı ve buluşsal yöntemler, sahtekarlık olasılığının yüksek olduğunu gösteriyor (örneğin, google.com yerine goog0le.com açılıyor).
- “Geri” ve “İleri” düğmelerini kullanırken veya mevcut sitenin daha önce görüntülenen sayfalarında gezinirken anında gezinme sağlayan Geri-ileri önbellek desteği. Önbellek, chrome://flags/#back-forward-cache ayarı kullanılarak etkinleştirilir.
- Windows tarafından CPU kaynak tüketiminin optimizasyonu gerçekleştirildi
kapsam dışında. Chrome, tarayıcı penceresinin diğer pencerelerle çakışıp örtüşmediğini kontrol eder ve çakışan alanlarda piksel çizilmesini önler. Bu optimizasyon Chrome 84 ve 85'te kullanıcıların küçük bir yüzdesi için etkinleştirildi ve artık her yerde etkinleştirildi. Önceki sürümlerle karşılaştırıldığında, boş beyaz sayfaların görünmesine neden olan sanallaştırma sistemleriyle uyumsuzluk da giderildi. - Arka plan sekmeleri için artırılmış kaynak kırpma. Bu tür sekmeler artık CPU kaynaklarının %1'inden fazlasını tüketemez ve dakikada bir defadan fazla etkinleştirilemez. Arka planda beş dakika kaldıktan sonra, multimedya içeriğini oynatan veya kaydeden sekmeler hariç, sekmeler donar.
- Üzerinde çalışmak HTTP başlığı Kullanıcı Aracısı. Yeni versiyonda mekanizma desteği tüm kullanıcılar için aktif hale getirildi Kullanıcı Aracısı'nın yerine geçmek üzere geliştirildi. Yeni mekanizma, belirli tarayıcı ve sistem parametreleri (sürüm, platform vb.) hakkındaki verilerin yalnızca sunucunun talebi sonrasında seçici olarak döndürülmesini ve kullanıcılara bu tür bilgileri seçici olarak site sahiplerine sağlama fırsatı verilmesini içerir. Kullanıcı Aracısı İstemci İpuçlarını kullanırken, tanımlayıcı varsayılan olarak açık bir istek olmadan iletilmez, bu da pasif tanımlamayı imkansız hale getirir (varsayılan olarak yalnızca tarayıcı adı gösterilir).
- Bir güncellemenin varlığına ve güncellemeyi yüklemek için tarayıcının yeniden başlatılması gerektiğine dair gösterge değiştirildi. Hesap avatarı alanında artık renkli bir ok yerine “Güncelleme” görünüyor.
- Tarayıcının kapsayıcı terminolojiyi kullanacak şekilde dönüştürülmesi için çalışmalar yapılmıştır. Politika adlarındaki "beyaz liste" ve "kara liste" kelimeleri "izin verilenler listesi" ve "engellenenler listesi" ile değiştirildi (halihazırda eklenmiş politikalar çalışmaya devam edecek, ancak kullanımdan kaldırıldıklarına ilişkin bir uyarı görüntüleyecekler). İÇİNDE и "kara liste" ifadeleri "engellenenler listesi" ile değiştirilmiştir.
Kullanıcıların görebileceği "kara liste" ve "beyaz liste" referansları 2019'un başında değiştirildi. - "chrome://flags/#edit-passwords-in-settings" bayrağı kullanılarak etkinleştirilen, kayıtlı şifreleri düzenlemeye yönelik deneysel bir özellik eklendi.
- Kararlı ve genel API'ye dönüştürüldü Yerel dosya sistemindeki dosyalarla etkileşim kuran web uygulamaları oluşturmanıza olanak tanır. Örneğin yeni API, tarayıcı tabanlı entegre geliştirme ortamlarında, metin, resim ve video düzenleyicilerde talep görebilir. Dosyaları doğrudan yazıp okuyabilmek veya dosyaları açmak ve kaydetmek için diyalogları kullanabilmek ve ayrıca dizinlerin içeriğinde gezinebilmek için uygulama kullanıcıdan özel onay ister.
- CSS seçici eklendi "Bu, tarayıcının odak değiştirme göstergesini gösterip göstermemeye karar verirken kullandığı buluşsal yöntemin aynısını kullanır (klavye kısayollarını kullanarak odağı bir düğmeye taşıdığınızda gösterge görünür, ancak fareyle tıkladığınızda görünmez). Daha önce kullanılabilen CSS seçici ":focus" her zaman odağı vurgular.
Ek olarak, ayarlara "Hızlı Odak Vurgulama" seçeneği eklenmiştir; etkinleştirildiğinde, aktif öğelerin yanında ek bir odak göstergesi gösterilecektir; bu, odağın görsel olarak vurgulanması için stil öğeleri sayfada devre dışı bırakılsa bile görünür kalır. CSS. - Origin Trials moduna birkaç yeni API eklendi (ayrı etkinleştirme gerektiren deneysel özellikler). Origin Trial, localhost veya 127.0.0.1'den indirilen uygulamalardan veya belirli bir site için sınırlı bir süre için geçerli olan özel bir belirteç kaydettikten ve aldıktan sonra belirtilen API ile çalışabilme becerisini ifade eder.
- HID cihazlarına (İnsan arayüz cihazları, klavyeler, fareler, oyun kumandaları, dokunmatik paneller) düşük seviyeli erişim için, belirli sürücülerin varlığı olmadan nadir HID cihazlarıyla çalışmayı organize etmek için JavaScript'te bir HID cihazıyla çalışma mantığını uygulamanıza olanak tanır Sistemde.
Her şeyden önce yeni API'nin gamepad'lere destek sağlaması amaçlanıyor. - , Pencere Yerleştirme API'sini çoklu ekran yapılandırmalarını destekleyecek şekilde genişletir. window.screen'in aksine, yeni API, geçerli ekranla sınırlı kalmadan, çoklu monitör sistemlerinin genel ekran alanındaki bir pencerenin yerleşimini değiştirmenize olanak tanır.
- Meta etiketi Bu sayede site, tarayıcıyı güç tüketimini azaltmak ve CPU yükünü optimize etmek için modları etkinleştirme ihtiyacı konusunda bilgilendirebilir.
- API izolasyon düzenlemelerinin potansiyel ihlallerini bildirmek (COEP) ve (COOP), fiili kısıtlamalar uygulanmadan.
- API'de yeni bir kimlik bilgisi türü önerildi gerçekleştirilen ödeme işleminin ek onayını sağlar. Banka gibi bağlı bir taraf, satıcı tarafından ek güvenli ödeme onayı için talep edilebilecek bir PublicKeyCredential adlı genel anahtar oluşturma olanağına sahiptir.
- HID cihazlarına (İnsan arayüz cihazları, klavyeler, fareler, oyun kumandaları, dokunmatik paneller) düşük seviyeli erişim için, belirli sürücülerin varlığı olmadan nadir HID cihazlarıyla çalışmayı organize etmek için JavaScript'te bir HID cihazıyla çalışma mantığını uygulamanıza olanak tanır Sistemde.
- API'de Kalemin eğimini belirlemek için TiltX ve kalemin yerine yükseklik açıları (kalem kalemi ile ekran arasındaki açı) ve azimut (X ekseni ile kalemin ekrandaki izdüşümü arasındaki açı) için destek eklendi. TiltY açıları (prob kaleminden gelen düzlem ile eksenlerden biri ile Y ve Y eksenlerinden Z arasındaki düzlem arasındaki açılar). Ayrıca yükseklik/azimut ve TiltX/TiltY arasında dönüştürme işlevleri de eklendi.
- Protokol işleyicilerinde hesaplanırken URL'lerdeki alanın kodlaması değiştirildi - navigator.registerProtocolHandler() yöntemi artık boşlukları "+" yerine "%20" ile değiştiriyor; bu, davranışı Firefox gibi diğer tarayıcılarla birleştiriyor.
- CSS sözde öğesi eklendi "", bloklardaki listelemeler için sayıların ve noktaların rengini, boyutunu, şeklini ve türünü özelleştirmenize olanak tanır Ve .
- HTTP başlık desteği eklendi , iframe'ler için korumalı alan izolasyon mekanizmasına benzer, ancak daha evrensel olan belgelere erişim kuralları. Örneğin, Belge Politikası aracılığıyla düşük kaliteli görsellerin kullanımını sınırlandırabilir, yavaş JavaScript API'lerini devre dışı bırakabilir, iframe'leri, görselleri ve komut dosyalarını yüklemek için kuralları yapılandırabilir, genel belge boyutunu ve trafiğini sınırlandırabilir, sayfanın yeniden çizilmesine yol açan yöntemleri yasaklayabilir, devre dışı bırakabilirsiniz. işlev .
- Öğeye 'display' CSS özelliği aracılığıyla ayarlanan 'inline-grid', 'grid', 'inline-flex' ve 'flex' parametreleri için destek eklendi.
- Eklenen yöntem bir üst düğümün tüm alt öğelerini başka bir DOM düğümüyle değiştirmek için. Önceden, düğümleri değiştirmek için node.removeChild() ve node.append() veya node.innerHTML ve node.append() kombinasyonunu kullanabiliyordunuz.
- RegisterProtocolHandler() kullanılarak geçersiz kılınmasına izin verilen URL şemaları aralığı. Şemaların listesi, kaynağa erişim sağlayan site veya ağ geçidinden bağımsız olarak öğelere bağlantılar tanımlamanıza olanak tanıyan cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns ve ssb merkezi olmayan protokollerini içerir.
- API'de HTML'yi panoya kopyalayıp yapıştırmak için metin/html formatı desteği eklendi (panoya yazarken ve okurken tehlikeli HTML yapıları temizlenir). Örneğin değişiklik, web düzenleyicilerinde resim ve bağlantılarla birlikte biçimlendirilmiş metnin eklenmesini ve kopyalanmasını düzenlemenize olanak tanır.
- WebRTC'de WebRTC MediaStreamTrack'in kodlama veya kod çözme aşamalarında çağrılan kendi veri işleyicilerinizi bağlama yeteneği. Örneğin bu yetenek, ara sunucular aracılığıyla iletilen verilerin uçtan uca şifrelenmesine yönelik desteği eklemek için kullanılabilir.
- JavaScript motoru V8'de %75 oranında Number.prototype.toString'in uygulanması. Boş değere sahip eşzamansız sınıflara .name özelliği eklendi. Atomics.wake yöntemi kaldırıldı ve bu yöntem, ECMA-262 spesifikasyonuna uymak için bir zamanlar Atomics.notify olarak yeniden adlandırıldı. Fuzzing test araç seti kodu açık .
- Son sürümde yayınlanan WebAssembly için Liftoff temel derleyicisi, vektör talimatlarını kullanma yeteneğini içerir Hesaplamaları hızlandırmak için. Testlere bakılırsa optimizasyon bazı testleri 2.8 kat hızlandırmayı mümkün kıldı. Başka bir optimizasyon, WebAssembly'dan içe aktarılan JavaScript işlevlerinin çağrılmasını çok daha hızlı hale getirdi.
- web geliştiricileri için araçlar: Medya paneli, sayfada video oynatmak için kullanılan oynatıcılar hakkında, olay verileri, günlükler, özellik değerleri ve kare kod çözme parametreleri dahil olmak üzere bilgiler ekledi (örneğin, kare kaybının ve etkileşim sorunlarının nedenlerini belirleyebilirsiniz) JavaScript'ten).
Öğeler panelinin içerik menüsüne, seçilen öğenin ekran görüntülerini oluşturma özelliği eklendi (örneğin, içindekiler tablosunun veya tablonun ekran görüntüsünü oluşturabilirsiniz).
Web konsolunda sorun uyarı paneli normal bir mesajla değiştirilmiştir ve üçüncü taraf Çerezlerle ilgili sorunlar, Sorunlar sekmesinde varsayılan olarak gizlenir ve özel bir onay kutusuyla etkinleştirilir.
Oluşturma sekmesine, yerel yazı tiplerinin yokluğunu simüle etmenize olanak tanıyan bir "Yerel yazı tiplerini devre dışı bırak" düğmesi eklendi ve Sensörler sekmesinde artık kullanıcı eylemsizliğini simüle edebilirsiniz (Boşta Algılama API'sini kullanan uygulamalar için).
Uygulama paneli, COEP ve COOP kullanarak Çapraz Kaynak izolasyonu hakkında bilgiler de dahil olmak üzere her bir iframe, açık pencere ve açılır pencere hakkında ayrıntılı bilgi sağlar.
- protokol uygulamasının değiştirilmesi Google QUIC seçeneği yerine IETF spesifikasyonunda geliştirilen seçeneğe.
Yeni sürüm, yeniliklerin ve hata düzeltmelerinin yanı sıra, . Güvenlik açıklarının çoğu, araçlarla yapılan otomatik testler sonucunda belirlendi , , , и . Bir güvenlik açığı (CVE-2020-15967, Google Payments ile etkileşim için koddaki boş belleğe erişim) kritik olarak işaretlendi; tüm tarayıcı koruma düzeylerini atlamanıza ve sanal alan ortamı dışında sistemde kod yürütmenize olanak tanır. Mevcut sürümdeki güvenlik açıklarını keşfetmeye yönelik nakit ödül ödeme programının bir parçası olarak Google, 27 ABD Doları değerinde 71500 ödül ödedi (bir 15000 ABD Doları ödül, üç 7500 ABD Doları ödül, beş 5000 ABD Doları ödül, iki 3000 ABD Doları ödül, bir 200 ABD Doları ödül ve iki 500 ABD Doları ödül). 13 ödülün büyüklüğü ise henüz belirlenmedi.
Kaynak: opennet.ru