ProHoster > Blog > internet yangiliklari > Chrome 86

Chrome 86

Chrome 86-ning navbatdagi versiyasi va Chromium-ning barqaror versiyasi chiqarildi.

Chrome 86-dagi asosiy o'zgarishlar:

  • HTTPS orqali yuklangan, lekin HTTP orqali ma'lumotlarni jo'natish sahifalarida kiritish shakllarini xavfli yuborishdan himoya.
  • Bajariladigan fayllarning xavfli yuklab olinishini (http) blokirovka qilish arxivlarni (zip, iso va boshqalar) xavfli yuklab olishni bloklash va hujjatlarni (docx, pdf va boshqalar) xavfli yuklab olish uchun ogohlantirishlarni ko'rsatish bilan to'ldiriladi. Hujjatlarni bloklash va rasmlar, matn va media fayllar uchun ogohlantirishlar keyingi nashrda kutilmoqda. Bloklash amalga oshirildi, chunki fayllarni shifrlashsiz yuklab olish MITM hujumlari paytida tarkibni almashtirish orqali zararli harakatlarni amalga oshirish uchun ishlatilishi mumkin.
  • Odatiy kontekst menyusi “Har doim toʻliq URL manzilni koʻrsatish” variantini koʻrsatadi, uni yoqish uchun avval about:flags sahifasidagi sozlamalarni oʻzgartirish kerak edi. To'liq URL manzilni manzil satriga ikki marta bosish orqali ham ko'rish mumkin. Eslatib o‘tamiz, Chrome 76 dan boshlab, sukut bo‘yicha manzil protokolsiz va www subdomenisiz ko‘rsatila boshlandi. Chrome 79-da eski xatti-harakatni qaytarish sozlamasi olib tashlandi, ammo foydalanuvchi noroziligidan so‘ng Chrome 83-ga yangi eksperimental bayroq qo‘shildi, bu kontekst menyusiga barcha sharoitlarda to‘liq URL manzilini yashirish va ko‘rsatishni o‘chirish imkoniyatini qo‘shadi.
    Foydalanuvchilarning kichik bir qismi uchun sukut bo'yicha manzillar panelida faqat domenni yo'l elementlari va so'rov parametrlarisiz ko'rsatish uchun tajriba boshlandi. Masalan, o'rniga "https://example.com/secure-google-sign-in/" "example.com" ko'rsatiladi. Taklif etilayotgan rejim keyingi nashrlardan birida barcha foydalanuvchilarga yetkazilishi kutilmoqda. Ushbu xatti-harakatni o'chirish uchun siz "Har doim to'liq URLni ko'rsatish" opsiyasidan foydalanishingiz mumkin va butun URLni ko'rish uchun manzil satrini bosishingiz mumkin. O'zgartirishning sababi foydalanuvchilarni URL manzilidagi parametrlarni o'zgartiradigan fishingdan himoya qilish istagi - tajovuzkorlar foydalanuvchilarning e'tiborsizligidan foydalanib, boshqa saytni ochish va firibgarlik harakatlariga yo'l qo'yishadi (agar bunday almashtirishlar texnik jihatdan malakali foydalanuvchi uchun aniq bo'lsa). , keyin tajribasiz odamlar osongina bunday oddiy manipulyatsiyaga tushib qolishadi).
  • FTP yordamini olib tashlash tashabbusi yangilandi. Chrome 86-da FTP sukut bo'yicha foydalanuvchilarning taxminan 1% uchun o'chirib qo'yilgan va Chrome 87-da o'chirish doirasi 50% gacha oshiriladi, ammo qo'llab-quvvatlashni "--enable-ftp" yoki "-" yordamida qaytarish mumkin. -enable-features=FtpProtocol" bayrog'i. Chrome 88-da FTP-ni qo'llab-quvvatlash butunlay o'chirib qo'yiladi.
  • Android uchun versiyada, ish stoli tizimlari uchun versiyaga o'xshash, parol menejeri saqlangan login va parollarni buzilgan hisoblar ma'lumotlar bazasiga nisbatan tekshirishni amalga oshiradi, agar muammolar aniqlansa yoki ahamiyatsiz parollardan foydalanishga urinish bo'lsa, ogohlantirishni ko'rsatadi. Tekshiruv foydalanuvchilar ma'lumotlar bazalarida paydo bo'lgan 4 milliarddan ortiq buzilgan hisoblarni qamrab olgan ma'lumotlar bazasiga qarshi o'tkaziladi. Maxfiylikni saqlash uchun xesh prefiksi foydalanuvchi tomonidan tekshiriladi va parollarning o'zi va ularning to'liq xeshlari tashqariga uzatilmaydi.
  • “Xavfsizlik tekshiruvi” tugmasi va xavfli saytlardan himoyalangan yaxshilangan rejim (Enhanced Safe Browsing) ham Android versiyasiga o‘tkazildi. "Xavfsizlikni tekshirish" tugmasi buzilgan parollardan foydalanish, zararli saytlarni tekshirish holati (Xavfsiz ko'rish), o'chirilgan yangilanishlar mavjudligi va zararli qo'shimchalarni aniqlash kabi mumkin bo'lgan xavfsizlik muammolarining qisqacha mazmunini ko'rsatadi. Kengaytirilgan himoya rejimi internetdagi fishing, zararli harakatlar va boshqa tahdidlardan himoyalanish uchun qoʻshimcha tekshiruvlarni faollashtiradi, shuningdek, Google hisobingiz va Google xizmatlari (Gmail, Drive va boshqalar) uchun qoʻshimcha himoyani oʻz ichiga oladi. Agar oddiy Xavfsiz ko'rish rejimida tekshirishlar mahalliy ravishda mijoz tizimiga vaqti-vaqti bilan yuklanadigan ma'lumotlar bazasidan foydalangan holda amalga oshirilsa, kengaytirilgan xavfsiz ko'rib chiqishda real vaqt rejimida sahifalar va yuklab olishlar haqidagi ma'lumotlar Google tomonidan tekshirish uchun yuboriladi, bu sizga tezkor javob berishga imkon beradi. tahdidlar aniqlangandan so'ng darhol mahalliy qora ro'yxat yangilanishini kutmasdan.
  • ".well-known/change-password" indikator faylini qo'llab-quvvatlash qo'shildi, uning yordamida sayt egalari parolni o'zgartirish uchun veb-shakl manzilini belgilashlari mumkin. Agar foydalanuvchining hisob maʼlumotlari buzilgan boʻlsa, Chrome endi foydalanuvchiga ushbu fayldagi maʼlumotlar asosida parolni oʻzgartirish shaklini soʻraydi.
  • Domeni boshqa saytga juda o'xshash bo'lgan saytlarni ochishda ko'rsatiladigan yangi "Xavfsizlik bo'yicha maslahat" joriy etildi va evristik ma'lumotlar firibgarlik ehtimoli yuqori ekanligini ko'rsatadi (masalan, google.com o'rniga goog0le.com ochilgan).

    * "Orqaga" va "Oldinga" tugmalaridan foydalanganda yoki joriy saytning ilgari ko'rilgan sahifalari bo'ylab harakatlanishda tezkor navigatsiyani ta'minlovchi "Orqaga-oldinga" keshini qo'llab-quvvatlash amalga oshirildi. Kesh chrome://flags/#back-forward-cache sozlamalari yordamida yoqiladi.

  • Amalga oshirilmagan oynalar uchun protsessor resurslari sarfini optimallashtirish. Chrome brauzer oynasi boshqa oynalar bilan qoplangan yoki yo'qligini tekshiradi va bir-biriga o'xshash joylarda piksellarni chizishni oldini oladi. Ushbu optimallashtirish Chrome 84 va 85-da foydalanuvchilarning kichik bir qismi uchun yoqilgan va hozir hamma joyda yoqilgan. Oldingi nashrlar bilan solishtirganda, bo'sh oq sahifalar paydo bo'lishiga olib keladigan virtualizatsiya tizimlari bilan mos kelmaslik ham hal qilindi.
  • Orqa fon yorliqlari uchun resurslarni qisqartirish ko'paytirildi. Bunday yorliqlar endi CPU resurslarining 1% dan ko'pini iste'mol qila olmaydi va daqiqada bir martadan ko'p bo'lmagan holda faollashtirilishi mumkin. Besh daqiqa fonda bo'lgandan so'ng, multimedia kontentini o'ynatadigan yoki yozib oladigan yorliqlar bundan mustasno, yorliqlar muzlatiladi.
  • User-Agent HTTP sarlavhasini birlashtirish bo'yicha ishlar davom ettirildi. Yangi versiyada User-Agent o'rnini bosuvchi sifatida ishlab chiqilgan User-Agent Client Maslahatlar mexanizmini qo'llab-quvvatlash barcha foydalanuvchilar uchun faollashtirilgan. Yangi mexanizm faqat server so‘rovidan so‘ng muayyan brauzer va tizim parametrlari (versiya, platforma va h.k.) haqidagi ma’lumotlarni tanlab qaytarishni va foydalanuvchilarga bunday ma’lumotlarni sayt egalariga tanlab taqdim etish imkoniyatini berishni nazarda tutadi. User-Agent Client maslahatlaridan foydalanganda identifikator sukut bo'yicha aniq so'rovsiz uzatilmaydi, bu passiv identifikatsiyani imkonsiz qiladi (sukut bo'yicha faqat brauzer nomi ko'rsatilgan).
    Yangilanish mavjudligi va uni o'rnatish uchun brauzerni qayta ishga tushirish zarurati ko'rsatkichi o'zgartirildi. Rangli o'q o'rniga endi hisob avatar maydonida "Yangilash" paydo bo'ladi.
  • Brauzerni inklyuziv terminologiyadan foydalanishga aylantirish bo'yicha ishlar olib borildi. Siyosat nomlarida “oq roʻyxat” va “qora roʻyxat” soʻzlari “ruxsat etilgan roʻyxat” va “bloklangan roʻyxat” bilan almashtirildi (allaqachon qoʻshilgan siyosatlar ishlashda davom etadi, lekin ular eskirganligi haqida ogohlantirishni koʻrsatadi). Kod va fayl nomlarida "qora ro'yxat"ga havolalar "bloklangan ro'yxat" bilan almashtirildi. “Qora roʻyxat” va “oq roʻyxat”ga foydalanuvchilar tomonidan koʻrinadigan havolalar 2019-yil boshida almashtirildi.
    “chrome://flags/#edit-passwords-in-settings” bayrog‘i yordamida faollashtirilgan saqlangan parollarni tahrirlash uchun eksperimental imkoniyat qo‘shildi.
  • Native File System API barqaror va hammaga ochiq API toifasiga oʻtkazildi, bu sizga mahalliy fayl tizimidagi fayllar bilan oʻzaro aloqada boʻladigan veb-ilovalarni yaratish imkonini beradi. Masalan, yangi API brauzerga asoslangan integratsiyalashgan ishlab chiqish muhitlarida, matn, rasm va video muharrirlarida talabga ega bo'lishi mumkin. Fayllarni to'g'ridan-to'g'ri yozish va o'qish yoki fayllarni ochish va saqlash uchun dialog oynalaridan foydalanish, shuningdek, kataloglar mazmuni bo'ylab harakatlanish uchun dastur foydalanuvchidan maxsus tasdiqlashni so'raydi.
  • ":focus-visible" CSS selektori qo'shildi, bu brauzer fokusni o'zgartirish indikatorini ko'rsatish yoki ko'rsatishni hal qilishda foydalanadigan bir xil evristikadan foydalanadi (klaviatura yorliqlari yordamida fokusni tugmachaga o'tkazganda, indikator paydo bo'ladi, lekin sichqonchani bosganda indikator paydo bo'ladi) , unday emas). Ilgari mavjud bo'lgan CSS selektori ":focus" har doim diqqatni ta'kidlaydi. Bundan tashqari, sozlamalarga "Tezkor fokusni ajratib ko'rsatish" opsiyasi qo'shildi, yoqilgan bo'lsa, faol elementlarning yonida qo'shimcha fokus indikatori paydo bo'ladi, u CSS orqali sahifada fokusni vizual ravishda ta'kidlash uchun uslub elementlari o'chirilgan bo'lsa ham ko'rinadigan bo'lib qoladi. .
  • Origin Trials rejimiga bir nechta yangi API qo'shildi (alohida faollashtirishni talab qiluvchi eksperimental xususiyatlar). Origin sinovi localhost yoki 127.0.0.1-dan yuklab olingan ilovalardan yoki ma'lum bir sayt uchun cheklangan vaqt uchun amal qiladigan maxsus tokenni ro'yxatdan o'tkazgandan va olgandan keyin belgilangan API bilan ishlash qobiliyatini nazarda tutadi.
  • HID qurilmalariga (inson interfeysi qurilmalari, klaviaturalar, sichqonchalar, geympadlar, sensorli panellar) past darajadagi kirish uchun WebHID API, bu sizga JavaScript-da HID qurilmasi bilan ishlash mantiqini amalga oshirish imkonini beradi, bu nodir HID qurilmalari bilan ishlashni tashkil etish imkonini beradi. tizimdagi maxsus drayverlar. Avvalo, yangi API geympadlarni qo'llab-quvvatlashga qaratilgan.
  • Screen Information API, ko'p ekranli konfiguratsiyalarni qo'llab-quvvatlash uchun Window Placement API-ni kengaytiradi. window.screen-dan farqli o'laroq, yangi API joriy ekran bilan cheklanmasdan, ko'p monitorli tizimlarning umumiy ekran maydonida oynaning joylashishini manipulyatsiya qilish imkonini beradi.
  • Meta teg batareyani tejash, uning yordamida sayt brauzerni quvvat sarfini kamaytirish va protsessor yukini optimallashtirish uchun rejimlarni faollashtirish zarurligi haqida xabardor qilishi mumkin.
  • COOP Reporting API Cross-Origin-Embedder-Policy (COEP) va Cross-Origin-Opener-Policy (COOP) izolyatsiyalash rejimlarining potentsial buzilishlari haqida haqiqiy cheklovlarni qo'llamasdan xabar beradi.
  • Credential Management API hisob maʼlumotlarining yangi turini taklif etadi, PaymentCredential, amalga oshirilayotgan toʻlov operatsiyasining qoʻshimcha tasdiqlanishini taʼminlaydi. Bank kabi ishonchli tomon ochiq kalitni, PublicKeyCredentialni yaratish imkoniyatiga ega bo‘lib, uni qo‘shimcha xavfsiz to‘lovni tasdiqlash uchun sotuvchi so‘rashi mumkin.
  • Stylusning egilishini aniqlash uchun PointerEvents API*si oʻrniga balandlik burchaklari (stilus va ekran oʻrtasidagi burchak) va azimutni (X oʻqi va ekrandagi stilus proyeksiyasi orasidagi burchak) qoʻllab-quvvatladi. TiltX va TiltY burchaklari (stilusdan tekislik va o'qlardan biri va Y va Z o'qlaridan tekislik orasidagi burchaklar). Shuningdek, balandlik/azimut va TiltX/TiltY o'rtasidagi konversiya funksiyalari qo'shildi.
  • Protokol ishlov beruvchilarida uni hisoblashda URL manzilidagi boʻsh joy kodlanishi oʻzgartirildi – navigator.registerProtocolHandler() usuli endi boʻshliqlarni “+” oʻrniga “%20” bilan almashtiradi, bu esa Firefox kabi boshqa brauzerlar bilan xatti-harakatlarni birlashtiradi.
  • CSS-ga "::marker" soxta elementi qo'shildi, bu sizga bloklardagi ro'yxatlar uchun raqamlar va nuqtalarning rangi, o'lchami, shakli va turini sozlash imkonini beradi. Va .
  • Hujjatlarga kirish qoidalarini o'rnatish imkonini beruvchi Document-Policy HTTP sarlavhasi uchun qo'shimcha qo'llab-quvvatlash, iframe'lar uchun sinov muhitini izolyatsiyalash mexanizmiga o'xshash, ammo universalroq. Masalan, Hujjat siyosati orqali siz past sifatli tasvirlardan foydalanishni cheklashingiz, JavaScript-ning sekin API-larini o'chirib qo'yishingiz, iframes, tasvirlar va skriptlarni yuklash qoidalarini sozlashingiz, umumiy hujjat hajmi va trafigini cheklashingiz, sahifani qayta chizishga olib keladigan usullarni taqiqlashingiz va Scroll-to-Matn funksiyasini o‘chiring.
  • Elementga "displey" CSS xususiyati orqali o'rnatilgan "inline-grid", "grid", "inline-flex" va "flex" parametrlari uchun qo'shimcha yordam.
  • Ota-tugunning barcha bolalarini boshqa DOM tuguniga almashtirish uchun ParentNode.replaceChildren() usuli qo‘shildi. Ilgari siz tugunlarni almashtirish uchun node.removeChild() va node.append() yoki node.innerHTML va node.append() kombinatsiyasidan foydalanishingiz mumkin edi.
  • RegisterProtocolHandler() yordamida bekor qilinishi mumkin bo'lgan URL sxemalari doirasi kengaytirildi. Sxemalar ro'yxati markazlashtirilmagan cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns va ssb protokollarini o'z ichiga oladi, bu esa manbaga kirishni ta'minlaydigan sayt yoki shlyuzdan qat'i nazar, elementlarga havolalarni aniqlash imkonini beradi.
  • HTML-ni almashish buferi orqali nusxalash va joylashtirish uchun Asinxron Clipboard API-ga matn/html formatini qo'llab-quvvatlash qo'shildi (buferga yozish va o'qish paytida xavfli HTML konstruktsiyalari tozalanadi). O'zgartirish, masalan, veb-muharrirlarida tasvirlar va havolalar bilan formatlangan matnni kiritish va nusxalashni tashkil qilish imkonini beradi.
  • WebRTC WebRTC MediaStreamTrack-ning kodlash yoki dekodlash bosqichlarida chaqiriladigan o'zining ma'lumotlar ishlov beruvchilarini ulash qobiliyatini qo'shdi. Misol uchun, bu qobiliyat oraliq serverlar orqali uzatiladigan ma'lumotlarni oxirigacha shifrlashni qo'llab-quvvatlash uchun ishlatilishi mumkin.
    V8 JavaScript dvigatelida Number.prototype.toString dasturini amalga oshirish 75% ga tezlashdi. Bo'sh qiymatli asinxron sinflarga .name xususiyati qo'shildi. ECMA-262 spetsifikatsiyasiga mos kelishi uchun bir vaqtlar Atomics.notify nomini olgan Atomics.wake usuli olib tashlandi. JS-Fuzzer fuzzing test vositasining kodi ochiq.
  • Oxirgi nashrda chiqarilgan WebAssembly uchun Liftoff bazaviy kompilyatori hisob-kitoblarni tezlashtirish uchun SIMD vektor ko'rsatmalaridan foydalanish imkoniyatini o'z ichiga oladi. Sinovlarga qaraganda, optimallashtirish ba'zi testlarni 2.8 baravar tezlashtirishga imkon berdi. Yana bir optimallashtirish WebAssembly’dan import qilingan JavaScript funksiyalarini chaqirishni ancha tezlashtirdi.
  • Veb-ishlab chiquvchilar uchun vositalar kengaytirildi: Media paneli sahifada videoni o'ynash uchun ishlatiladigan pleyerlar haqida ma'lumot, jumladan voqea ma'lumotlari, jurnallar, xususiyat qiymatlari va ramka dekodlash parametrlarini qo'shdi (masalan, siz ramka sabablarini aniqlashingiz mumkin) JavaScript-dan yo'qotish va o'zaro ta'sir muammolari).
  • Elementlar panelining kontekst menyusiga tanlangan elementning skrinshotlarini yaratish imkoniyati qo'shildi (masalan, tarkib yoki jadvalning skrinshotini yaratishingiz mumkin).
  • Veb-konsolda muammo haqida ogohlantirish paneli oddiy xabar bilan almashtirildi va uchinchi tomon cookie-fayllari bilan bog'liq muammolar sukut bo'yicha "Muammolar" yorlig'ida yashiringan va maxsus belgilash katakchasi bilan yoqilgan.
  • "Rendering" yorlig'ida "Mahalliy shriftlarni o'chirish" tugmasi qo'shildi, bu sizga mahalliy shriftlarning yo'qligini taqlid qilish imkonini beradi va "Datchiklar" yorlig'ida siz endi foydalanuvchi harakatsizligini taqlid qilishingiz mumkin (Idle Detection API-dan foydalanadigan ilovalar uchun).
  • Ilova paneli har bir iframe, ochiq oyna va qalqib chiquvchi oyna haqida batafsil ma'lumotni, shu jumladan COEP va COOP yordamida o'zaro kelib chiqish izolyatsiyasi haqida ma'lumot beradi.

QUIC protokolining amalga oshirilishi QUICning Google versiyasi o'rniga IETF spetsifikatsiyasida ishlab chiqilgan versiya bilan almashtirila boshlandi.
Innovatsiyalar va xatolarni tuzatishdan tashqari, yangi versiya 35 ta zaiflikni yo'q qiladi. Ko'pgina zaifliklar AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer va AFL vositalaridan foydalangan holda avtomatlashtirilgan testlar natijasida aniqlangan. Bitta zaiflik (CVE-2020-15967, Google Payments bilan oʻzaro ishlash uchun koddagi boʻshatilgan xotiraga kirish) muhim deb belgilangan, yaʼni. brauzerni himoya qilishning barcha darajalarini chetlab o'tish va tizimda sinov muhitidan tashqarida kodni bajarish imkonini beradi. Joriy versiyaning zaif tomonlarini aniqlaganlik uchun pul mukofotlarini to'lash dasturi doirasida Google 27 71500 dollarlik 15000 ta mukofot to'ladi (bitta 7500 5000 dollarlik mukofot, uchta 3000 200 dollarlik mukofotlar, beshta 500 13 dollarlik mukofotlar, ikkita XNUMX XNUMX dollarlik mukofotlar, bitta XNUMX dollarlik mukofot va ikkita XNUMX dollar). XNUMX ta mukofot miqdori hali aniqlanmagan.

Qabul qilingan Opennet.ru

Manba: linux.org.ru

a Izoh qo'shish