Prohoster > Blog > tin tức mạng > Chrome 86

Chrome 86

Bản phát hành tiếp theo của Chrome 86 và bản phát hành ổn định của Chrome đã được phát hành.

Những thay đổi chính trong Chrome 86:

  • bảo vệ chống gửi biểu mẫu đầu vào không an toàn trên các trang được tải qua HTTPS nhưng gửi dữ liệu qua HTTP.
  • Việc chặn tải xuống không an toàn (http) các tệp thực thi được bổ sung bằng cách chặn tải xuống các tệp lưu trữ không an toàn (zip, iso, v.v.) và hiển thị cảnh báo về việc tải xuống tài liệu không an toàn (docx, pdf, v.v.). Việc chặn tài liệu và cảnh báo đối với hình ảnh, văn bản và tệp phương tiện dự kiến ​​sẽ có trong bản phát hành tiếp theo. Việc chặn được triển khai vì việc tải xuống các tệp không được mã hóa có thể được sử dụng để thực hiện các hành động độc hại bằng cách thay thế nội dung trong các cuộc tấn công MITM.
  • Menu ngữ cảnh mặc định hiển thị tùy chọn "Luôn hiển thị URL đầy đủ", tùy chọn này trước đây yêu cầu phải thay đổi cài đặt trên trang about:flags để bật. URL đầy đủ cũng có thể được xem bằng cách nhấp đúp vào thanh địa chỉ. Hãy để chúng tôi nhắc bạn rằng bắt đầu với Chrome 76, theo mặc định, địa chỉ bắt đầu được hiển thị mà không có giao thức và tên miền phụ www. Trong Chrome 79, cài đặt trả về hành vi cũ đã bị xóa nhưng sau khi người dùng không hài lòng, một cờ thử nghiệm mới đã được thêm vào Chrome 83 nhằm bổ sung tùy chọn vào menu ngữ cảnh để tắt tính năng ẩn và hiển thị URL đầy đủ trong mọi điều kiện.
    Đối với một tỷ lệ nhỏ người dùng, một thử nghiệm đã được triển khai để chỉ hiển thị tên miền trên thanh địa chỉ theo mặc định, không có phần tử đường dẫn và tham số truy vấn. Ví dụ: thay vì "https://example.com/secure-google-sign-in/" "example.com" sẽ được hiển thị. Chế độ được đề xuất dự kiến ​​​​sẽ được đưa đến tất cả người dùng trong một trong những phiên bản tiếp theo. Để tắt hành vi này, bạn có thể sử dụng tùy chọn “Luôn hiển thị URL đầy đủ” và để xem toàn bộ URL, bạn có thể nhấp vào thanh địa chỉ. Động cơ của sự thay đổi là mong muốn bảo vệ người dùng khỏi hành vi lừa đảo thao túng các tham số trong URL - những kẻ tấn công lợi dụng sự thiếu chú ý của người dùng để tạo ra vẻ ngoài là mở một trang web khác và thực hiện các hành động gian lận (nếu sự thay thế đó là hiển nhiên đối với người dùng có năng lực kỹ thuật). , thì những người thiếu kinh nghiệm rất dễ mắc phải những thao tác đơn giản như vậy).
  • Sáng kiến ​​loại bỏ hỗ trợ FTP đã được đổi mới. Trong Chrome 86, FTP bị tắt theo mặc định đối với khoảng 1% người dùng và trong Chrome 87, phạm vi vô hiệu hóa sẽ tăng lên 50%, nhưng có thể khôi phục hỗ trợ bằng cách sử dụng "--enable-ftp" hoặc "- -enable-features=FtpProtocol". Trong Chrome 88, hỗ trợ FTP sẽ bị tắt hoàn toàn.
  • Trong phiên bản dành cho Android, tương tự như phiên bản dành cho hệ thống máy tính để bàn, trình quản lý mật khẩu thực hiện kiểm tra thông tin đăng nhập và mật khẩu đã lưu dựa trên cơ sở dữ liệu về các tài khoản bị xâm phạm, hiển thị cảnh báo nếu phát hiện sự cố hoặc cố gắng sử dụng mật khẩu tầm thường. Việc kiểm tra được thực hiện dựa trên cơ sở dữ liệu bao gồm hơn 4 tỷ tài khoản bị xâm nhập xuất hiện trong cơ sở dữ liệu người dùng bị rò rỉ. Để duy trì quyền riêng tư, tiền tố băm được xác minh từ phía người dùng và bản thân mật khẩu cũng như hàm băm đầy đủ của chúng không được truyền ra bên ngoài.
  • Nút “Kiểm tra an toàn” và chế độ bảo vệ nâng cao chống lại các trang web nguy hiểm (Duyệt web an toàn nâng cao) cũng đã được chuyển sang phiên bản Android. Nút "Kiểm tra an toàn" hiển thị bản tóm tắt các vấn đề bảo mật có thể xảy ra, chẳng hạn như việc sử dụng mật khẩu bị xâm phạm, trạng thái kiểm tra các trang web độc hại (Duyệt web an toàn), sự hiện diện của các bản cập nhật đã gỡ cài đặt và nhận dạng các tiện ích bổ sung độc hại. Chế độ bảo vệ nâng cao kích hoạt các bước kiểm tra bổ sung để bảo vệ khỏi lừa đảo, hoạt động độc hại và các mối đe dọa khác trên Web, đồng thời cũng bao gồm tính năng bảo vệ bổ sung cho tài khoản Google và các dịch vụ của Google (Gmail, Drive, v.v.). Nếu ở chế độ Duyệt web an toàn thông thường, việc kiểm tra được thực hiện cục bộ bằng cách sử dụng cơ sở dữ liệu được tải định kỳ vào hệ thống của khách hàng thì trong Duyệt web an toàn nâng cao, thông tin về các trang và nội dung tải xuống trong thời gian thực sẽ được gửi để xác minh từ phía Google, điều này cho phép bạn phản hồi nhanh chóng với các mối đe dọa ngay sau khi chúng được xác định mà không cần đợi cho đến khi danh sách đen cục bộ được cập nhật.
  • Đã thêm hỗ trợ cho tệp chỉ báo ".well-known/change-password", trong đó chủ sở hữu trang web có thể chỉ định địa chỉ của biểu mẫu web để thay đổi mật khẩu. Nếu thông tin đăng nhập của người dùng bị xâm phạm, Chrome sẽ ngay lập tức nhắc người dùng bằng biểu mẫu thay đổi mật khẩu dựa trên thông tin trong tệp này.
  • Cảnh báo “Mẹo an toàn” mới đã được triển khai, hiển thị khi mở các trang web có tên miền rất giống với trang web khác và chẩn đoán cho thấy có khả năng giả mạo cao (ví dụ: goog0le.com được mở thay vì google.com).

    * Hỗ trợ bộ nhớ đệm Tiến lên đã được triển khai, cung cấp khả năng điều hướng tức thì khi sử dụng nút “Quay lại” và “Chuyển tiếp” hoặc khi điều hướng qua các trang đã xem trước đó của trang web hiện tại. Bộ đệm được bật bằng cài đặt chrome://flags/#back-forward-cache.

  • Tối ưu hóa mức tiêu thụ tài nguyên CPU cho các cửa sổ ngoài phạm vi. Chrome kiểm tra xem cửa sổ trình duyệt có bị chồng chéo bởi các cửa sổ khác hay không và ngăn việc vẽ pixel ở những vùng chồng chéo. Tính năng tối ưu hóa này đã được bật cho một tỷ lệ nhỏ người dùng trong Chrome 84 và 85 và hiện được bật ở mọi nơi. So với các bản phát hành trước, vấn đề không tương thích với hệ thống ảo hóa khiến xuất hiện các trang trắng trống cũng đã được giải quyết.
  • Tăng cường cắt giảm tài nguyên cho các tab nền. Các tab như vậy không còn có thể tiêu tốn hơn 1% tài nguyên CPU và có thể được kích hoạt không quá một lần mỗi phút. Sau năm phút ở chế độ nền, các tab sẽ bị đóng băng, ngoại trừ các tab đang phát nội dung đa phương tiện hoặc đang ghi.
  • Công việc đã được tiếp tục để thống nhất tiêu đề HTTP Tác nhân người dùng. Trong phiên bản mới, hỗ trợ cho cơ chế Gợi ý máy khách tác nhân người dùng, được phát triển để thay thế cho Tác nhân người dùng, được kích hoạt cho tất cả người dùng. Cơ chế mới liên quan đến việc trả về có chọn lọc dữ liệu về các thông số hệ thống và trình duyệt cụ thể (phiên bản, nền tảng, v.v.) chỉ sau khi máy chủ yêu cầu và cung cấp cho người dùng cơ hội cung cấp thông tin đó có chọn lọc cho chủ sở hữu trang web. Khi sử dụng Gợi ý máy khách tác nhân người dùng, theo mặc định, số nhận dạng không được truyền nếu không có yêu cầu rõ ràng, điều này khiến cho việc nhận dạng thụ động không thể thực hiện được (theo mặc định, chỉ có tên trình duyệt được chỉ định).
    Dấu hiệu cho thấy sự hiện diện của bản cập nhật và yêu cầu khởi động lại trình duyệt để cài đặt nó đã được thay đổi. Thay vì mũi tên màu, “Cập nhật” hiện xuất hiện trong trường hình đại diện của tài khoản.
  • Công việc đã được thực hiện để chuyển đổi trình duyệt sang sử dụng thuật ngữ bao hàm. Trong tên chính sách, các từ “danh sách trắng” và “danh sách đen” đã được thay thế bằng “danh sách cho phép” và “danh sách chặn” (các chính sách đã thêm sẽ tiếp tục hoạt động nhưng chúng sẽ hiển thị cảnh báo về việc không được dùng nữa). Trong tên mã và tệp, tham chiếu đến "danh sách đen" đã được thay thế bằng "danh sách chặn". Các tham chiếu mà người dùng có thể nhìn thấy về “danh sách đen” và “danh sách trắng” đã được thay thế vào đầu năm 2019.
    Đã thêm khả năng thử nghiệm để chỉnh sửa mật khẩu đã lưu, được kích hoạt bằng cờ “chrome://flags/#edit-passwords-in-settings”.
  • API hệ thống tệp gốc đã được chuyển sang danh mục API ổn định và có sẵn công khai, cho phép bạn tạo các ứng dụng web tương tác với các tệp trong hệ thống tệp cục bộ. Ví dụ: API mới có thể được yêu cầu trong các môi trường phát triển tích hợp dựa trên trình duyệt, trình chỉnh sửa văn bản, hình ảnh và video. Để có thể trực tiếp ghi và đọc tệp hoặc sử dụng hộp thoại để mở và lưu tệp cũng như điều hướng qua nội dung của các thư mục, ứng dụng sẽ yêu cầu người dùng xác nhận đặc biệt.
  • Đã thêm bộ chọn CSS ": focus-visible", sử dụng cùng phương pháp phỏng đoán mà trình duyệt sử dụng khi quyết định có hiển thị chỉ báo thay đổi tiêu điểm hay không (khi di chuyển tiêu điểm đến một nút bằng phím tắt, chỉ báo sẽ xuất hiện nhưng khi nhấp chuột , nó không). Bộ chọn CSS có sẵn trước đó ":focus" luôn làm nổi bật tiêu điểm. Ngoài ra, tùy chọn “Đánh dấu lấy nét nhanh” đã được thêm vào cài đặt, khi được bật, một chỉ báo tiêu điểm bổ sung sẽ được hiển thị bên cạnh các thành phần đang hoạt động, vẫn hiển thị ngay cả khi các thành phần kiểu để làm nổi bật trực quan tiêu điểm bị tắt trên trang thông qua CSS .
  • Một số API mới đã được thêm vào chế độ Bản dùng thử gốc (các tính năng thử nghiệm yêu cầu kích hoạt riêng). Bản dùng thử gốc ngụ ý khả năng hoạt động với API được chỉ định từ các ứng dụng được tải xuống từ máy chủ cục bộ hoặc 127.0.0.1 hoặc sau khi đăng ký và nhận mã thông báo đặc biệt có giá trị trong thời gian giới hạn cho một trang web cụ thể.
  • API WebHID để truy cập cấp thấp vào các thiết bị HID (Thiết bị giao diện con người, bàn phím, chuột, gamepad, bàn di chuột), cho phép bạn triển khai logic làm việc với thiết bị HID trong JavaScript để tổ chức công việc với các thiết bị HID hiếm mà không có sự hiện diện của trình điều khiển cụ thể trong hệ thống. Trước hết, API mới nhằm mục đích cung cấp hỗ trợ cho gamepad.
  • API thông tin màn hình, mở rộng API vị trí cửa sổ để hỗ trợ cấu hình nhiều màn hình. Không giống như window.screen, API mới cho phép bạn thao tác vị trí của một cửa sổ trong không gian màn hình tổng thể của hệ thống nhiều màn hình mà không bị giới hạn ở màn hình hiện tại.
  • Thẻ meta tiết kiệm pin, nhờ đó trang web có thể thông báo cho trình duyệt về nhu cầu kích hoạt các chế độ để giảm mức tiêu thụ điện năng và tối ưu hóa tải CPU.
  • API báo cáo COOP để báo cáo các vi phạm tiềm ẩn đối với chế độ cách ly Chính sách nhiều nguồn gốc (COEP) và Chính sách mở nhiều nguồn gốc (COOP) mà không áp dụng các hạn chế thực tế.
  • API quản lý thông tin xác thực cung cấp một loại thông tin xác thực mới, PaymentCredential, cung cấp xác nhận bổ sung về giao dịch thanh toán đang được thực hiện. Một bên phụ thuộc, chẳng hạn như ngân hàng, có khả năng tạo khóa công khai, PublicKeyCredential, người bán có thể yêu cầu khóa này để xác nhận thanh toán an toàn bổ sung.
  • API PointerEvents để xác định độ nghiêng của bút cảm ứng* đã bổ sung hỗ trợ cho góc nâng (góc giữa bút cảm ứng và màn hình) và góc phương vị (góc giữa trục X và hình chiếu của bút cảm ứng trên màn hình), thay vì Góc TiltX và TiltY (các góc giữa mặt phẳng tính từ bút stylus và một trong các trục và mặt phẳng tính từ trục Y và Z). Đồng thời thêm chức năng chuyển đổi giữa độ cao/góc phương vị và TiltX/TiltY.
  • Đã thay đổi cách mã hóa khoảng trắng trong URL khi tính toán khoảng trắng trong trình xử lý giao thức - phương thức navigator.registerProtocolHandler() hiện thay thế khoảng trắng bằng "%20" thay vì "+", phương thức này thống nhất hành vi với các trình duyệt khác như Firefox.
  • Phần tử giả "::marker" đã được thêm vào CSS, cho phép bạn tùy chỉnh màu sắc, kích thước, hình dạng cũng như loại số và dấu chấm cho danh sách theo khối Và .
  • Đã thêm hỗ trợ cho tiêu đề HTTP Chính sách tài liệu, cho phép bạn đặt quy tắc truy cập tài liệu, tương tự như cơ chế cách ly hộp cát cho iframe, nhưng phổ biến hơn. Ví dụ: thông qua Chính sách tài liệu, bạn có thể hạn chế sử dụng hình ảnh chất lượng thấp, tắt API JavaScript chậm, định cấu hình quy tắc tải iframe, hình ảnh và tập lệnh, giới hạn kích thước và lưu lượng tài liệu tổng thể, cấm các phương pháp dẫn đến việc vẽ lại trang và vô hiệu hóa chức năng Scroll-To-Text.
  • Đến phần tử đã thêm hỗ trợ cho các tham số 'inline-grid', 'grid', 'inline-flex' và 'flex' được đặt thông qua thuộc tính CSS 'display'.
  • Đã thêm phương thức ParentNode.replaceChildren() để thay thế tất cả các nút con của nút cha bằng một nút DOM khác. Trước đây, bạn có thể sử dụng kết hợp node.removeChild() và node.append() hoặc node.innerHTML và node.append() để thay thế các nút.
  • Phạm vi lược đồ URL có thể được ghi đè bằng registerProtocolHandler() đã được mở rộng. Danh sách các lược đồ bao gồm các giao thức phi tập trung cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns và ssb, cho phép bạn xác định liên kết đến các thành phần bất kể trang web hay cổng cung cấp quyền truy cập vào tài nguyên.
  • Đã thêm hỗ trợ cho định dạng văn bản/html vào API bảng tạm không đồng bộ để sao chép và dán HTML qua bảng nhớ tạm (các cấu trúc HTML nguy hiểm sẽ được dọn sạch khi ghi và đọc vào bảng nhớ tạm). Ví dụ: thay đổi cho phép bạn sắp xếp việc chèn và sao chép văn bản được định dạng bằng hình ảnh và liên kết trong trình chỉnh sửa web.
  • WebRTC đã bổ sung khả năng kết nối các trình xử lý dữ liệu của riêng nó, được gọi ở giai đoạn mã hóa hoặc giải mã của WebRTC MediaStreamTrack. Ví dụ: khả năng này có thể được sử dụng để thêm hỗ trợ mã hóa đầu cuối cho dữ liệu được truyền qua các máy chủ trung gian.
    Trong công cụ JavaScript V8, việc triển khai Number.prototype.toString đã được tăng tốc 75%. Đã thêm thuộc tính .name vào các lớp không đồng bộ có giá trị trống. Phương thức Atomics.wake đã bị xóa và đã có lúc được đổi tên thành Atomics.notify để tuân thủ thông số kỹ thuật ECMA-262. Mã cho công cụ kiểm tra làm mờ JS-Fuzzer đang mở.
  • Trình biên dịch cơ sở Liftoff dành cho WebAssugging được phát hành trong bản phát hành mới nhất bao gồm khả năng sử dụng các hướng dẫn vectơ SIMD để tăng tốc độ tính toán. Đánh giá qua các thử nghiệm, việc tối ưu hóa giúp tăng tốc một số thử nghiệm lên 2.8 lần. Một cách tối ưu hóa khác giúp việc gọi các hàm JavaScript được nhập từ WebAssugging nhanh hơn nhiều.
  • Công cụ dành cho nhà phát triển web đã được mở rộng: Bảng Media đã bổ sung thêm thông tin về các trình phát được sử dụng để phát video trên trang, bao gồm dữ liệu sự kiện, nhật ký, giá trị thuộc tính và tham số giải mã khung hình (ví dụ: bạn có thể xác định nguyên nhân gây ra khung hình). vấn đề mất mát và tương tác từ JavaScript).
  • Trong menu ngữ cảnh của bảng Thành phần, khả năng tạo ảnh chụp màn hình của thành phần được chọn đã được thêm vào (ví dụ: bạn có thể tạo ảnh chụp màn hình của mục lục hoặc bảng).
  • Trong bảng điều khiển web, bảng cảnh báo sự cố đã được thay thế bằng thông báo thông thường và các sự cố với Cookie của bên thứ ba được ẩn theo mặc định trong tab Sự cố và được bật bằng hộp kiểm đặc biệt.
  • Trong tab Kết xuất, nút “Tắt phông chữ cục bộ” đã được thêm vào, cho phép bạn mô phỏng sự vắng mặt của phông chữ cục bộ và trong tab Cảm biến, giờ đây bạn có thể mô phỏng việc người dùng không hoạt động (đối với các ứng dụng sử dụng API phát hiện nhàn rỗi).
  • Bảng Ứng dụng cung cấp thông tin chi tiết về từng iframe, cửa sổ đang mở và cửa sổ bật lên, bao gồm thông tin về cách ly nhiều nguồn gốc bằng COEP và COOP.

Việc triển khai giao thức QUIC đã bắt đầu được thay thế bằng phiên bản được phát triển theo đặc tả IETF, thay vì phiên bản QUIC của Google.
Ngoài những cải tiến và sửa lỗi, phiên bản mới còn loại bỏ 35 lỗ hổng. Nhiều lỗ hổng được xác định là kết quả của quá trình kiểm tra tự động bằng cách sử dụng các công cụ addressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer và AFL. Một lỗ hổng (CVE-2020-15967, quyền truy cập vào bộ nhớ đã giải phóng trong mã để tương tác với Google Payments) được đánh dấu là nghiêm trọng, tức là. cho phép bạn bỏ qua tất cả các cấp độ bảo vệ của trình duyệt và thực thi mã trên hệ thống bên ngoài môi trường hộp cát. Là một phần của chương trình trả phần thưởng bằng tiền mặt cho việc phát hiện ra các lỗ hổng cho bản phát hành hiện tại, Google đã trả 27 giải thưởng trị giá 71500 USD (một giải thưởng 15000 USD, ba giải thưởng 7500 USD, năm giải thưởng 5000 USD, hai giải thưởng 3000 USD, một giải thưởng 200 USD và hai giải thưởng 500 USD). Quy mô của 13 phần thưởng vẫn chưa được xác định.

Được lấy từ Opennet.ru

Nguồn: linux.org.ru

Thêm một lời nhận xét