Google veb-brauzer versiyasi ... Bir vaqtning o'zida bepul loyihaning barqaror chiqarilishi , bu Chrome brauzerining asosi bo'lib xizmat qiladi. Chrome brauzeri Google logotiplaridan foydalanish, buzilish holatlarida bildirishnomalarni yuborish tizimining mavjudligi, so'rov bo'yicha Flash modulini yuklab olish imkoniyati, himoyalangan video kontentini o'ynash modullari (DRM), yangilanishlarni avtomatik ravishda o'rnatish va qidiruv paytida uzatish tizimi. . Chrome 87-ning navbatdagi chiqarilishi 17-noyabrga rejalashtirilgan.
:
- HTTPS orqali yuklangan, lekin HTTP orqali maʼlumotlarni joʻnatish sahifalarida kiritish shakllarini xavfli yuborishdan himoya qoʻshildi, bu esa MITM hujumlari paytida maʼlumotlarni ushlash va aldash xavfini tugʻdiradi. Himoya uchta o'zgarishga to'g'ri keladi:
- HTTP orqali ochilgan sahifalarda autentifikatsiya shakllarini avtomatik toʻldirish ancha vaqtdan beri oʻchirib qoʻyilganiga oʻxshab, har qanday aralash kiritish shakllarini avtomatik toʻldirish oʻchirib qoʻyilgan. Agar ilgari o'chirish belgisi HTTPS yoki HTTP orqali formali sahifani ochish bo'lsa, endi ma'lumotlarni forma ishlov beruvchisiga yuborishda shifrlashdan foydalanish ham hisobga olinadi. Autentifikatsiyaning aralash shakllari uchun parol menejeri o'chirib qo'yilmaydi, chunki xavfsiz bo'lmagan paroldan foydalanish va turli saytlarda parollarni qayta ishlatish xavfi potentsial trafikni ushlab qolish xavfidan ustundir.
- Aralash shakllarga kirishni boshlaganda, foydalanuvchiga to'ldirilgan ma'lumotlar shifrlanmagan aloqa kanali orqali yuborilayotgani haqida ogohlantirish ko'rsatiladi.
- Aralash shaklni yuborishga harakat qilganingizda, shifrlanmagan aloqa kanali orqali ma'lumotlarni uzatishning mumkin bo'lgan xavfi haqida sizni xabardor qiluvchi alohida sahifa ko'rsatiladi. Oldingi versiyalarda aralash shakllarni ko'rsatish uchun manzil satridagi qulf ko'rsatkichi ishlatilgan, ammo bu belgi foydalanuvchilar uchun tushunarli emas edi va xavflarni samarali aks ettirmadi.
- Bloklash bajariladigan fayllar (shifrlashsiz) arxivlarni xavfli yuklashni bloklash (zip, iso va boshqalar) va xavfli yuklash uchun ogohlantirishlarni ko'rsatish bilan to'ldiriladi.
hujjatlar (docx, pdf va boshqalar). Hujjatlarni bloklash va rasmlar, matn va media fayllar uchun ogohlantirishlar keyingi nashrda kutilmoqda. Bloklash amalga oshirildi, chunki fayllarni shifrlashsiz yuklab olish MITM hujumlari paytida tarkibni almashtirish orqali zararli harakatlarni amalga oshirish uchun ishlatilishi mumkin. - Odatiy kontekst menyusi “Har doim toʻliq URL manzilni koʻrsatish” variantini koʻrsatadi, uni yoqish uchun avval about:flags sahifasidagi sozlamalarni oʻzgartirish kerak edi. To'liq URL manzilni manzil satriga ikki marta bosish orqali ham ko'rish mumkin. dan boshlab eslaylik Odatiy bo'lib, manzil protokolsiz va www subdomainisiz ko'rsatila boshlandi. IN eski xatti-harakatni qaytarish uchun sozlama olib tashlandi, lekin foydalanuvchining noroziligidan keyin Yangi eksperimental bayroq qo‘shildi, u kontekst menyusiga istalgan sharoitda to‘liq URL manzilini yashirish va ko‘rsatishni o‘chirish imkoniyatini qo‘shadi.
- Foydalanuvchilarning kichik bir qismi uchun ishga tushirilgan haqida Odatiy bo'lib, manzillar panelida yo'l elementlari va so'rov parametrlarisiz faqat domen mavjud. Masalan, "https://example.com/secure-google-sign-in/" o'rniga "example.com" ko'rsatiladi. Taklif etilayotgan rejim keyingi nashrlardan birida barcha foydalanuvchilarga yetkazilishi kutilmoqda. Ushbu xatti-harakatni o'chirish uchun siz "Har doim to'liq URLni ko'rsatish" opsiyasidan foydalanishingiz mumkin va butun URLni ko'rish uchun manzil satrini bosishingiz mumkin. O'zgartirishning sababi foydalanuvchilarni URL manzilidagi parametrlarni o'zgartiradigan fishingdan himoya qilish istagi - tajovuzkorlar foydalanuvchilarning e'tiborsizligidan foydalanib, boshqa saytni ochish va firibgarlik harakatlariga yo'l qo'yishadi (agar bunday almashtirishlar texnik jihatdan malakali foydalanuvchi uchun aniq bo'lsa). , keyin tajribasiz odamlar osongina bunday oddiy manipulyatsiyaga tushib qolishadi).
- Davom etildi FTP yordamini olib tashlash uchun. Chrome 86-da FTP sukut bo'yicha foydalanuvchilarning taxminan 1 foizi uchun o'chirib qo'yilgan va Chrome 87-da o'chirish doirasi 50% gacha oshiriladi, ammo qo'llab-quvvatlashni "--enable-ftp" yoki "-enable" yordamida tiklash mumkin. -features=FtpProtocol” bayrog‘i. Chrome 88-da FTP-ni qo'llab-quvvatlash butunlay o'chirib qo'yiladi.
- Android uchun versiyada, ish stoli tizimlari uchun versiyaga o'xshash, parol menejeri saqlangan login va parollarni buzilgan hisoblar ma'lumotlar bazasiga nisbatan tekshirishni amalga oshiradi, agar muammolar aniqlansa yoki ahamiyatsiz parollardan foydalanishga urinish bo'lsa, ogohlantirishni ko'rsatadi. Tekshiruv foydalanuvchilar ma'lumotlar bazalarida paydo bo'lgan 4 milliarddan ortiq buzilgan hisoblarni qamrab olgan ma'lumotlar bazasiga qarshi o'tkaziladi. Maxfiylikni saqlash uchun Xesh prefiksi foydalanuvchi tomonidan tekshiriladi va parollarning o'zi va ularning to'liq xeshlari tashqaridan uzatilmaydi.
- Android versiyasida ham mavjud "Xavfsizlik tekshiruvi" tugmasi va xavfli saytlardan himoyalangan himoya rejimi (Kengaytirilgan xavfsiz ko'rish). "Xavfsizlikni tekshirish" tugmasi buzilgan parollardan foydalanish, zararli saytlarni tekshirish holati (Xavfsiz ko'rish), o'chirilgan yangilanishlar mavjudligi va zararli qo'shimchalarni aniqlash kabi mumkin bo'lgan xavfsizlik muammolarining qisqacha mazmunini ko'rsatadi. Kengaytirilgan himoya rejimi internetdagi fishing, zararli harakatlar va boshqa tahdidlardan himoyalanish uchun qoʻshimcha tekshiruvlarni faollashtiradi, shuningdek, Google hisobingiz va Google xizmatlari (Gmail, Drive va boshqalar) uchun qoʻshimcha himoyani oʻz ichiga oladi. Agar oddiy Xavfsiz ko'rish rejimida tekshirishlar mahalliy ravishda mijoz tizimiga vaqti-vaqti bilan yuklanadigan ma'lumotlar bazasidan foydalangan holda amalga oshirilsa, kengaytirilgan xavfsiz ko'rib chiqishda real vaqt rejimida sahifalar va yuklab olishlar haqidagi ma'lumotlar Google tomonidan tekshirish uchun yuboriladi, bu sizga tezkor javob berishga imkon beradi. tahdidlar aniqlangandan so'ng darhol mahalliy qora ro'yxat yangilanishini kutmasdan.
- ".well-known/change-password" indikator faylini qo'llab-quvvatlash, uning yordamida sayt egalari parolni o'zgartirish uchun veb-shakl manzilini belgilashlari mumkin. Agar foydalanuvchining hisob maʼlumotlari buzilgan boʻlsa, Chrome endi foydalanuvchiga ushbu fayldagi maʼlumotlar asosida parolni oʻzgartirish shaklini soʻraydi.
- Domeni boshqa saytga juda o'xshash bo'lgan saytlarni ochishda ko'rsatiladigan yangi "Xavfsizlik bo'yicha maslahat" joriy etildi va evristik ma'lumotlar firibgarlik ehtimoli yuqori ekanligini ko'rsatadi (masalan, google.com o'rniga goog0le.com ochilgan).
- "Orqaga" va "Oldinga" tugmalaridan foydalanganda yoki joriy saytning avval ko'rilgan sahifalari bo'ylab harakatlanayotganda tezkor navigatsiyani ta'minlovchi Orqaga o'tish keshini qo'llab-quvvatlash. Kesh chrome://flags/#back-forward-cache sozlamalari yordamida yoqiladi.
- Windows tomonidan protsessor resurslari sarfini optimallashtirish amalga oshirildi
doirasidan tashqarida. Chrome brauzer oynasi boshqa oynalar bilan qoplangan yoki yo'qligini tekshiradi va bir-biriga o'xshash joylarda piksellarni chizishni oldini oladi. Ushbu optimallashtirish Chrome 84 va 85-da foydalanuvchilarning kichik bir qismi uchun yoqilgan va hozir hamma joyda yoqilgan. Oldingi nashrlar bilan solishtirganda, bo'sh oq sahifalar paydo bo'lishiga olib keladigan virtualizatsiya tizimlari bilan mos kelmaslik ham hal qilindi. - Orqa fon yorliqlari uchun resurslarni qisqartirish ko'paytirildi. Bunday yorliqlar endi CPU resurslarining 1% dan ko'pini iste'mol qila olmaydi va daqiqada bir martadan ko'p bo'lmagan holda faollashtirilishi mumkin. Besh daqiqa fonda bo'lgandan so'ng, multimedia kontentini o'ynatadigan yoki yozib oladigan yorliqlar bundan mustasno, yorliqlar muzlatiladi.
- Ishlash HTTP sarlavhasi User-Agent. Yangi versiyada mexanizmni qo'llab-quvvatlash barcha foydalanuvchilar uchun faollashtirilgan , User-Agent o'rnini bosuvchi sifatida ishlab chiqilgan. Yangi mexanizm faqat server so‘rovidan so‘ng muayyan brauzer va tizim parametrlari (versiya, platforma va h.k.) haqidagi ma’lumotlarni tanlab qaytarishni va foydalanuvchilarga bunday ma’lumotlarni sayt egalariga tanlab taqdim etish imkoniyatini berishni nazarda tutadi. User-Agent Client maslahatlaridan foydalanganda identifikator sukut bo'yicha aniq so'rovsiz uzatilmaydi, bu passiv identifikatsiyani imkonsiz qiladi (sukut bo'yicha faqat brauzer nomi ko'rsatilgan).
- Yangilanish mavjudligi va uni o'rnatish uchun brauzerni qayta ishga tushirish zarurati ko'rsatkichi o'zgartirildi. Rangli o'q o'rniga endi hisob avatar maydonida "Yangilash" paydo bo'ladi.
- Brauzerni inklyuziv terminologiyadan foydalanishga aylantirish bo'yicha ishlar olib borildi. Siyosat nomlarida “oq roʻyxat” va “qora roʻyxat” soʻzlari “ruxsat etilgan roʻyxat” va “bloklangan roʻyxat” bilan almashtirildi (allaqachon qoʻshilgan siyosatlar ishlashda davom etadi, lekin ular eskirganligi haqida ogohlantirishni koʻrsatadi). IN и "qora ro'yxat"ga havolalar "bloklangan ro'yxat" bilan almashtirildi.
“Qora roʻyxat” va “oq roʻyxat”ga foydalanuvchilar tomonidan koʻrinadigan havolalar 2019-yil boshida almashtirildi. - “chrome://flags/#edit-passwords-in-settings” bayrog‘i yordamida faollashtirilgan saqlangan parollarni tahrirlash uchun eksperimental imkoniyat qo‘shildi.
- Barqaror va ommaviy APIga aylantirildi , bu mahalliy fayl tizimidagi fayllar bilan o'zaro aloqada bo'lgan veb-ilovalarni yaratishga imkon beradi. Masalan, yangi API brauzerga asoslangan integratsiyalashgan ishlab chiqish muhitlarida, matn, rasm va video muharrirlarida talabga ega bo'lishi mumkin. Fayllarni to'g'ridan-to'g'ri yozish va o'qish yoki fayllarni ochish va saqlash uchun dialog oynalaridan foydalanish, shuningdek, kataloglar mazmuni bo'ylab harakatlanish uchun dastur foydalanuvchidan maxsus tasdiqlashni so'raydi.
- Qo'shilgan CSS selektori "", bu brauzer fokusni o'zgartirish indikatorini ko'rsatish yoki ko'rsatishni hal qilishda foydalanadigan bir xil evristikadan foydalanadi (klaviatura yorliqlari yordamida fokusni tugmachaga o'tkazganda, indikator paydo bo'ladi, lekin sichqoncha bilan bosganda u ko'rinmaydi). Ilgari mavjud bo'lgan CSS selektori ":focus" har doim diqqatni ta'kidlaydi.
Bundan tashqari, sozlamalarga "Tezkor fokusni ajratib ko'rsatish" opsiyasi qo'shildi, yoqilgan bo'lsa, faol elementlarning yonida qo'shimcha fokus indikatori paydo bo'ladi, u CSS orqali sahifada fokusni vizual ravishda ta'kidlash uchun uslub elementlari o'chirilgan bo'lsa ham ko'rinadigan bo'lib qoladi. . - Origin Trials rejimiga bir nechta yangi API qo'shildi (alohida faollashtirishni talab qiluvchi eksperimental xususiyatlar). Origin sinovi localhost yoki 127.0.0.1-dan yuklab olingan ilovalardan yoki ma'lum bir sayt uchun cheklangan vaqt uchun amal qiladigan maxsus tokenni ro'yxatdan o'tkazgandan va olgandan keyin belgilangan API bilan ishlash qobiliyatini nazarda tutadi.
- HID qurilmalariga (inson interfeysi qurilmalari, klaviaturalar, sichqonchalar, geympadlar, sensorli panellar) past darajadagi kirish uchun, maxsus drayverlarsiz noyob HID qurilmalari bilan ishlashni tashkil qilish uchun JavaScript-da HID qurilmasi bilan ishlash mantiqini amalga oshirish imkonini beradi. tizimda.
Avvalo, yangi API geympadlarni qo'llab-quvvatlashga qaratilgan. - , ko'p ekranli konfiguratsiyalarni qo'llab-quvvatlash uchun Window Placement API-ni kengaytiradi. window.screen-dan farqli o'laroq, yangi API joriy ekran bilan cheklanmasdan, ko'p monitorli tizimlarning umumiy ekran maydonida oynani joylashtirishni boshqarish imkonini beradi.
- Meta teg , uning yordamida sayt brauzerni quvvat sarfini kamaytirish va protsessor yukini optimallashtirish uchun rejimlarni faollashtirish zarurligi haqida xabardor qilishi mumkin.
- API izolyatsiyalash qoidalarining mumkin bo'lgan buzilishi haqida xabar berish (COEP) va (COOP), haqiqiy cheklovlarni qo'llamasdan.
- APIda yangi turdagi ishonchnomalar taklif qilindi , amalga oshirilayotgan to'lov operatsiyasining qo'shimcha tasdiqlanishini ta'minlash. Bank kabi ishonchli tomon ochiq kalitni, PublicKeyCredentialni yaratish imkoniyatiga ega bo‘lib, uni qo‘shimcha xavfsiz to‘lovni tasdiqlash uchun sotuvchi so‘rashi mumkin.
- HID qurilmalariga (inson interfeysi qurilmalari, klaviaturalar, sichqonchalar, geympadlar, sensorli panellar) past darajadagi kirish uchun, maxsus drayverlarsiz noyob HID qurilmalari bilan ishlashni tashkil qilish uchun JavaScript-da HID qurilmasi bilan ishlash mantiqini amalga oshirish imkonini beradi. tizimda.
- APIda stilusning egilishini aniqlash uchun TiltX va oʻrniga balandlik burchaklari (stilus va ekran oʻrtasidagi burchak) va azimut (X oʻqi orasidagi burchak va stilusning ekrandagi proyeksiyasi) qoʻshilgan. TiltY burchaklar (Stilus va o'qlardan biridan tekislik va Y va Y o'qlaridan Z tekisligi orasidagi burchaklar). Shuningdek, balandlik/azimut va TiltX/TiltY o'rtasidagi konversiya funksiyalari qo'shildi.
- Protokol ishlov beruvchilarida uni hisoblashda URL manzilidagi boʻsh joy kodlanishi oʻzgartirildi – navigator.registerProtocolHandler() usuli endi boʻshliqlarni “+” oʻrniga “%20” bilan almashtiradi, bu esa Firefox kabi boshqa brauzerlar bilan xatti-harakatlarni birlashtiradi.
- Qo'shilgan CSS psevdoelementi "", bu sizga bloklardagi ro'yxatlar uchun raqamlar va nuqtalarning rangi, o'lchami, shakli va turini sozlash imkonini beradi Va .
- HTTP sarlavhalarini qo'llab-quvvatlash qo'shildi , Hujjatlarga kirish qoidalari, iframes uchun sandbox izolyatsiyalash mexanizmiga o'xshash, ammo universalroq. Masalan, Hujjat siyosati orqali siz past sifatli tasvirlardan foydalanishni cheklashingiz, sekin JavaScript API-larini o'chirib qo'yishingiz, iframe, tasvir va skriptlarni yuklash qoidalarini sozlashingiz, umumiy hujjat hajmi va trafigini cheklashingiz, sahifani qayta chizishga olib keladigan usullarni taqiqlashingiz, o'chirib qo'yishingiz mumkin. funktsiyasi .
- Elementga "displey" CSS xususiyati orqali o'rnatilgan "inline-grid", "grid", "inline-flex" va "flex" parametrlari uchun qo'shimcha yordam.
- Qo'shilgan usul ota-ona tugunining barcha bolalarini boshqa DOM tuguniga almashtirish. Ilgari siz tugunlarni almashtirish uchun node.removeChild() va node.append() yoki node.innerHTML va node.append() kombinatsiyasidan foydalanishingiz mumkin edi.
- RegisterProtocolHandler() yordamida bekor qilishga ruxsat berilgan URL sxemalari diapazoni. Sxemalar ro'yxati markazlashtirilmagan cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns va ssb protokollarini o'z ichiga oladi, bu esa manbaga kirishni ta'minlaydigan sayt yoki shlyuzdan qat'i nazar, elementlarga havolalarni aniqlash imkonini beradi.
- APIda HTML-ni almashish buferi orqali nusxalash va joylashtirish uchun matn/html formatini qo'shimcha qo'llab-quvvatlash (xavfli HTML konstruksiyalari buferga yozish va o'qish paytida tozalanadi). O'zgartirish, masalan, veb-muharrirlarida tasvirlar va havolalar bilan formatlangan matnni kiritish va nusxalashni tashkil qilish imkonini beradi.
- WebRTC da WebRTC MediaStreamTrack-ning kodlash yoki dekodlash bosqichlarida chaqirilgan shaxsiy ma'lumotlar ishlov beruvchilaringizni ulash imkoniyati. Misol uchun, bu qobiliyat oraliq serverlar orqali uzatiladigan ma'lumotlarni oxirigacha shifrlashni qo'llab-quvvatlash uchun ishlatilishi mumkin.
- JavaScript V8 dvigatelida 75% ga Number.prototype.toString dasturini amalga oshirish. Bo'sh qiymatli asinxron sinflarga .name xususiyati qo'shildi. ECMA-262 spetsifikatsiyasiga mos kelishi uchun bir vaqtlar Atomics.notify nomini olgan Atomics.wake usuli olib tashlandi. Fuzzing testing toolkit kodi ochiq .
- Oxirgi versiyada chiqarilgan WebAssembly uchun Liftoff bazaviy kompilyatori vektor ko'rsatmalaridan foydalanish qobiliyatini o'z ichiga oladi. hisob-kitoblarni tezlashtirish uchun. Sinovlarga qaraganda, optimallashtirish ba'zi testlarni 2.8 baravar tezlashtirishga imkon berdi. Yana bir optimallashtirish WebAssembly’dan import qilingan JavaScript funksiyalarini chaqirishni ancha tezlashtirdi.
- veb-ishlab chiquvchilar uchun vositalar: Media paneli sahifada videoni o'ynatish uchun ishlatiladigan pleyerlar haqida ma'lumot, jumladan, voqea ma'lumotlari, jurnallar, xususiyat qiymatlari va ramka dekodlash parametrlarini qo'shdi (masalan, siz ramka yo'qolishi sabablarini va o'zaro ta'sir muammolarini aniqlashingiz mumkin) JavaScript dan).
Elementlar panelining kontekst menyusiga tanlangan elementning skrinshotlarini yaratish imkoniyati qo'shildi (masalan, tarkib yoki jadvalning skrinshotini yaratishingiz mumkin).
Veb-konsolda muammo haqida ogohlantirish paneli oddiy xabar bilan almashtirildi va uchinchi tomon cookie-fayllari bilan bog'liq muammolar sukut bo'yicha "Muammolar" yorlig'ida yashiringan va maxsus belgilash katakchasi bilan yoqilgan.
"Rendering" yorlig'ida "Mahalliy shriftlarni o'chirish" tugmasi qo'shildi, bu sizga mahalliy shriftlarning yo'qligini taqlid qilish imkonini beradi va "Datchiklar" yorlig'ida siz endi foydalanuvchi harakatsizligini taqlid qilishingiz mumkin (Idle Detection API-dan foydalanadigan ilovalar uchun).
Ilova paneli har bir iframe, ochiq oyna va qalqib chiquvchi oyna haqida batafsil ma'lumotni, shu jumladan COEP va COOP yordamida o'zaro kelib chiqish izolyatsiyasi haqida ma'lumot beradi.
- protokolni amalga oshirishni almashtirish Google QUIC opsiyasi o'rniga IETF spetsifikatsiyasida ishlab chiqilgan variantga.
Innovatsiyalar va xatolarni tuzatishdan tashqari, yangi versiya yo'q qiladi . Ko'pgina zaifliklar asboblar bilan avtomatlashtirilgan sinovlar natijasida aniqlangan , , , и . Bitta zaiflik (CVE-2020-15967, Google Payments bilan oʻzaro ishlash uchun koddagi boʻshatilgan xotiraga kirish) muhim deb belgilangan, yaʼni. brauzerni himoya qilishning barcha darajalarini chetlab o'tish va tizimda sinov muhitidan tashqarida kodni bajarish imkonini beradi. Joriy versiyaning zaif tomonlarini aniqlaganlik uchun pul mukofotlarini to'lash dasturi doirasida Google 27 71500 dollarlik 15000 ta mukofot to'ladi (bitta 7500 5000 dollarlik mukofot, uchta 3000 200 dollarlik mukofotlar, beshta 500 13 dollarlik mukofotlar, ikkita XNUMX XNUMX dollarlik mukofotlar, bitta XNUMX dollarlik mukofot va ikkita XNUMX dollar). XNUMX ta mukofot miqdori hali aniqlanmagan.
Manba: opennet.ru