Google phát hành trình duyệt web ... Đồng thời phát hành ổn định một dự án miễn phí , đóng vai trò là nền tảng của Chrome. trình duyệt Chrome việc sử dụng logo Google, sự hiện diện của hệ thống gửi thông báo trong trường hợp gặp sự cố, khả năng tải xuống mô-đun Flash theo yêu cầu, mô-đun để phát nội dung video được bảo vệ (DRM), hệ thống tự động cài đặt các bản cập nhật và truyền trong quá trình tìm kiếm . Bản phát hành tiếp theo của Chrome 85 được lên lịch vào ngày 25 tháng XNUMX.
:
- hỗ trợ các giao thức TLS 1.0 và TLS 1.1. Để truy cập các trang web qua kênh liên lạc an toàn, máy chủ phải cung cấp hỗ trợ cho ít nhất TLS 1.2, nếu không trình duyệt sẽ hiển thị lỗi. Theo Google, hiện có khoảng 0.5% lượt tải xuống trang web tiếp tục được thực hiện bằng các phiên bản TLS lỗi thời. Việc tắt máy được thực hiện theo IETF (Lực lượng đặc nhiệm kỹ thuật Internet). Lý do từ chối TLS 1.0/1.1 là do thiếu hỗ trợ cho các mật mã hiện đại (ví dụ: ECDHE và AEAD) và yêu cầu hỗ trợ các mật mã cũ, độ tin cậy của chúng bị nghi ngờ ở giai đoạn phát triển công nghệ máy tính hiện nay (ví dụ: , cần phải hỗ trợ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 và SHA-1). Cài đặt cho phép quay lại TLS 1.0/1.1 sẽ được giữ lại cho đến tháng 2021 năm XNUMX.
- Đã cung cấp tính năng chặn (không mã hóa) các tệp thực thi và thêm cảnh báo khi tải kho lưu trữ không an toàn. Trong tương lai, dự kiến sẽ ngừng dần việc hỗ trợ tải tệp lên mà không cần mã hóa. Việc chặn được triển khai vì việc tải xuống các tệp không được mã hóa có thể được sử dụng để thực hiện các hành động độc hại bằng cách thay thế nội dung trong các cuộc tấn công MITM.
- hỗ trợ ban đầu , được phát triển để thay thế cho tiêu đề Tác nhân người dùng. Cơ chế Gợi ý Khách hàng cung cấp một loạt tiêu đề “Sec-CH-UA-*” thay thế cho Tác nhân người dùng, cho phép bạn tổ chức phân phối dữ liệu có chọn lọc về các thông số hệ thống và trình duyệt cụ thể (phiên bản, nền tảng, v.v.) sau khi có yêu cầu từ máy chủ. Người dùng có cơ hội xác định những thông số nào được chấp nhận để phân phối và cung cấp có chọn lọc những thông tin đó cho chủ sở hữu trang web. Khi sử dụng Gợi ý ứng dụng khách, theo mặc định, số nhận dạng không được truyền đi nếu không có yêu cầu rõ ràng, điều này khiến cho việc nhận dạng thụ động không thể thực hiện được (theo mặc định, chỉ có tên trình duyệt được chỉ định). trên cho đến năm sau.
- kích hoạt
nghiêm ngặt hơn chuyển Cookie giữa các trang web, đó là do COVID-19. Đối với các yêu cầu không phải HTTPS, việc xử lý Cookie của bên thứ ba được đặt khi truy cập các trang web không phải là miền của trang hiện tại đều bị cấm. Những Cookie như vậy được sử dụng để theo dõi chuyển động của người dùng giữa các trang web trong mã của mạng quảng cáo, tiện ích mạng xã hội và hệ thống phân tích trang web.Hãy nhớ lại rằng để kiểm soát việc truyền Cookie, thuộc tính SameSite được chỉ định trong tiêu đề Set-Cookie được sử dụng, theo mặc định sẽ được đặt thành giá trị “SameSite=Lax”, giới hạn việc gửi Cookie cho các yêu cầu phụ trên nhiều trang web , chẳng hạn như yêu cầu hình ảnh hoặc tải nội dung qua iframe từ một trang web khác. Các trang web có thể ghi đè hành vi SameSite mặc định bằng cách đặt rõ ràng cài đặt Cookie thành SameSite=None. Hơn nữa, giá trị SameSite=None cho Cookie chỉ có thể được đặt ở chế độ Bảo mật (hợp lệ cho các kết nối qua HTTPS). Thay đổi sẽ được triển khai theo từng giai đoạn, bắt đầu với một tỷ lệ nhỏ người dùng và sau đó dần dần mở rộng phạm vi tiếp cận.
- Đã thêm triển khai thử nghiệm , có thể được bật bằng cách sử dụng cài đặt “chrome://flags/#enable-heavy-ad-intervention”. Trình chặn cho phép bạn tự động vô hiệu hóa các khối quảng cáo iframe sau khi vượt quá ngưỡng tải lưu lượng và CPU. Việc chặn sẽ được kích hoạt nếu luồng chính đã tiêu tốn tổng cộng hơn 60 giây thời gian của CPU hoặc 15 giây trong khoảng thời gian 30 giây (tiêu thụ 50% tài nguyên trong hơn 30 giây), cũng như khi hơn 4 MB dữ liệu đã được tải xuống qua mạng.
Việc chặn sẽ chỉ hoạt động nếu trước khi vượt quá giới hạn, người dùng không tương tác với đơn vị quảng cáo (ví dụ: không nhấp vào đơn vị đó), tính năng này, có tính đến các hạn chế về lưu lượng truy cập, sẽ cho phép tự động phát lại các nội dung lớn video trong quảng cáo sẽ bị chặn mà người dùng không kích hoạt phát lại một cách rõ ràng. Các biện pháp được đề xuất sẽ giúp người dùng tránh khỏi quảng cáo bằng cách triển khai mã kém hiệu quả hoặc hoạt động ký sinh có chủ ý (ví dụ: khai thác). Theo thống kê của Google, quảng cáo đáp ứng tiêu chí chặn chỉ chiếm 0.30% tổng số đơn vị quảng cáo, nhưng đồng thời, những phần chèn quảng cáo như vậy tiêu tốn 28% tài nguyên CPU và 27% lưu lượng truy cập từ tổng khối lượng quảng cáo.
- Công việc đã được thực hiện để giảm mức tiêu thụ tài nguyên CPU khi cửa sổ trình duyệt không nằm trong tầm nhìn của người dùng. Chrome hiện kiểm tra xem cửa sổ trình duyệt có bị chồng chéo bởi các cửa sổ khác hay không và ngăn chặn việc vẽ pixel ở các khu vực chồng chéo. Tính năng mới sẽ được triển khai dần dần: tính năng tối ưu hóa sẽ được bật có chọn lọc cho một số người dùng trong Chrome 84 và cho những người dùng khác trong Chrome 85.
- Bảo vệ được bật theo mặc định , ví dụ: spam với yêu cầu nhận thông báo đẩy. Vì những yêu cầu như vậy làm gián đoạn công việc của người dùng và đánh lạc hướng sự chú ý khỏi các hành động trong hộp thoại xác nhận, thay vì một hộp thoại riêng trong thanh địa chỉ, một lời nhắc thông tin không yêu cầu người dùng hành động sẽ được hiển thị cùng với cảnh báo rằng yêu cầu cấp quyền bị chặn , được tự động thu nhỏ thành chỉ báo có hình ảnh chiếc chuông bị gạch chéo. Bằng cách nhấp vào chỉ báo, bạn có thể kích hoạt hoặc từ chối quyền được yêu cầu bất kỳ lúc nào thuận tiện.
- Lựa chọn của người dùng được ghi nhớ khi mở trình xử lý cho các giao thức bên ngoài - người dùng có thể chọn “luôn cho phép trang web này” đối với một trình xử lý cụ thể và trình duyệt sẽ ghi nhớ quyết định này liên quan đến trang web hiện tại.
- Đã thêm tính năng bảo vệ chống lại việc thay đổi cài đặt người dùng mà không có sự đồng ý rõ ràng. Nếu tiện ích bổ sung thay đổi công cụ tìm kiếm mặc định hoặc trang được hiển thị cho tab mới, trình duyệt sẽ hiển thị hộp thoại yêu cầu bạn xác nhận thao tác đã chỉ định hoặc hủy thay đổi.
- triển khai bảo vệ chống tải nội dung đa phương tiện hỗn hợp (khi tài nguyên được tải trên trang HTTPS thông qua giao thức http://). Trên các trang được mở qua HTTPS, các liên kết “http://” giờ đây sẽ được tự động thay thế bằng “https://” trong các khối được liên kết với việc tải hình ảnh (tập lệnh và iframe trước đây đã được thay thế, tính năng tự động thay thế tài nguyên âm thanh và video dự kiến sẽ được thực hiện trong bản phát hành tiếp theo). Nếu một hình ảnh không có sẵn qua https thì việc tải xuống hình ảnh đó sẽ bị chặn (bạn có thể đánh dấu việc chặn theo cách thủ công thông qua menu có thể truy cập được thông qua biểu tượng ổ khóa trên thanh địa chỉ).
- Đã thêm hỗ trợ API (được phát triển dưới dạng API nhận SMS), cho phép bạn tổ chức nhập mật khẩu một lần trên trang web sau khi nhận được tin nhắn SMS có mã xác nhận được gửi tới điện thoại thông minh Android của người dùng mà trình duyệt đang chạy. Ví dụ: xác nhận qua SMS có thể được sử dụng để xác minh số điện thoại do người dùng chỉ định trong quá trình đăng ký. Nếu trước đây người dùng phải mở ứng dụng SMS, sao chép mã từ ứng dụng đó vào khay nhớ tạm, quay lại trình duyệt và dán mã này thì API mới cho phép tự động hóa quy trình này và giảm quy trình xuống chỉ bằng một cú chạm.
- API được mở rộng
để kiểm soát việc phát lại hoạt ảnh trên web. Bản phát hành mới bổ sung hỗ trợ cho các hoạt động tổng hợp, cho phép bạn kiểm soát cách kết hợp các hiệu ứng và cung cấp các trình xử lý mới được gọi khi xảy ra sự kiện thay thế nội dung. API Web Animations hiện cũng hỗ trợ Promise để xác định thứ tự hiển thị hoạt ảnh và kiểm soát tốt hơn cách hoạt ảnh tương tác với các tính năng khác trong ứng dụng. - Một số API mới đã được thêm vào chế độ Bản dùng thử gốc (các tính năng thử nghiệm yêu cầu kích hoạt riêng). Bản dùng thử gốc ngụ ý khả năng hoạt động với API được chỉ định từ các ứng dụng được tải xuống từ máy chủ cục bộ hoặc 127.0.0.1 hoặc sau khi đăng ký và nhận mã thông báo đặc biệt có giá trị trong thời gian giới hạn cho một trang web cụ thể.
- API để nhân viên dịch vụ truy cập vào Cookie HTTP, đóng vai trò là giải pháp thay thế không đồng bộ cho việc sử dụng document.cookie.
- API để phát hiện người dùng không hoạt động, cho phép bạn phát hiện thời điểm người dùng không tương tác với bàn phím/chuột, trình bảo vệ màn hình đang chạy, màn hình bị khóa hoặc công việc đang được thực hiện trên một màn hình khác. Việc thông báo cho ứng dụng về trạng thái không hoạt động được thực hiện bằng cách gửi thông báo sau khi đạt đến ngưỡng không hoạt động được chỉ định.
- chế độ , cho phép nhà phát triển sử dụng cách ly xử lý nội dung hoàn chỉnh hơn trong một quy trình riêng biệt liên quan đến nguồn (nguồn - tên miền + cổng + giao thức), thay vì trang web, với cái giá phải trả là ngừng hỗ trợ cho một số tính năng cũ, chẳng hạn như đồng bộ thực thi các tập lệnh bằng document.domain và gọi postMessage() để đăng thông báo lên các phiên bản WebAssembly.Module. Nói cách khác, Origin Isolation cho phép bạn tổ chức phân tách giữa các quy trình khác nhau dựa trên miền của tài nguyên chứ không phải trang web có tất cả các phần không liên quan trên các trang.
- API để sử dụng hướng dẫn SIMD vector trong các ứng dụng ở định dạng WebAssembly. Để đảm bảo tính độc lập của nền tảng, nó cung cấp loại 128 bit mới có thể biểu diễn các loại dữ liệu đóng gói khác nhau và một số thao tác vectơ cơ bản để xử lý dữ liệu đóng gói. SIMD cho phép bạn tăng năng suất bằng cách xử lý dữ liệu song song và sẽ hữu ích khi biên dịch mã gốc vào WebAssembly. Để bật hỗ trợ SIMD, bạn có thể sử dụng cài đặt "chrome://flags/#enable-webassembly-simd".
- Đã ổn định và hiện được phân phối bên ngoài Bản dùng thử gốc
API , cung cấp siêu dữ liệu về nội dung đã được lưu vào bộ nhớ đệm trước đó bởi các ứng dụng web chạy ở chế độ Ứng dụng web lũy tiến (PWS). Ứng dụng có thể lưu nhiều dữ liệu khác nhau ở phía trình duyệt, bao gồm hình ảnh, video và bài viết và khi mất kết nối mạng, hãy sử dụng dữ liệu đó bằng cách sử dụng API Bộ nhớ đệm và API IndexedDB. API lập chỉ mục nội dung cho phép thêm, tìm và xóa các tài nguyên đó. Trong trình duyệt, API này đã được sử dụng để liệt kê danh sách các trang và dữ liệu đa phương tiện có sẵn để xem ngoại tuyến. - Phiên bản API đã ổn định dựa trên cơ chế Promise, cung cấp một cách an toàn hơn để kiểm soát việc tắt màn hình tự động khóa và chuyển thiết bị sang chế độ tiết kiệm năng lượng.
- Trong phiên bản dành cho nền tảng Android hỗ trợ các phím tắt ứng dụng, cho phép bạn truy cập nhanh vào các hành động điển hình phổ biến trong ứng dụng. Để tạo lối tắt, chỉ cần thêm các thành phần vào bảng kê khai ứng dụng web ở định dạng PWA (Ứng dụng web lũy tiến).
- Web Worker được phép sử dụng API , cho phép bạn xác định trình xử lý để tạo báo cáo, được gọi khi truy cập các khả năng lỗi thời. Báo cáo được tạo có thể được lưu, gửi đến máy chủ hoặc được xử lý bằng tập lệnh JavaScript theo ý của người dùng.
- Đã cập nhật API , cho phép bạn kết nối trình xử lý với thông báo về những thay đổi về kích thước của các thành phần được chỉ định trên trang sẽ được gửi. Ba thuộc tính mới đã được thêm vào ResizeObserverEntry: contentBoxSize, borderBoxSize và devicePixelContentBoxSize để cung cấp thông tin chi tiết hơn, được trả về dưới dạng một mảng đối tượng ResizeObserverSize.
- Đã thêm từ khóa "» để đặt lại kiểu phần tử về giá trị mặc định.
- Đã xóa tiền tố cho thuộc tính CSS "-webkit-appearance" và "-webkit-ruby-position", hiện có sẵn dưới dạng ""Và"".
- Trong JavaScript hỗ trợ đánh dấu các phương thức và thuộc tính của một lớp là riêng tư, sau đó quyền truy cập vào chúng sẽ chỉ được mở trong lớp đó (trước đây chỉ có các trường có thể là riêng tư). Để đánh dấu các phương thức và thuộc tính riêng tư: trước tên trường có dấu “#”.
- Trong JavaScript ủng hộ (tham chiếu yếu) đến các đối tượng JavaScript cho phép bạn giữ lại tham chiếu đến đối tượng nhưng không chặn trình thu gom rác xóa đối tượng được liên kết. Hỗ trợ cho các trình hoàn thiện cũng đã được thêm vào, giúp có thể xác định trình xử lý được gọi sau khi hoàn tất việc thu thập rác của đối tượng được chỉ định.
- Quá trình khởi chạy các ứng dụng trên WebAssugging đã được đẩy nhanh nhờ triển khai trong trình biên dịch Liftoff ban đầu (cơ sở) и . Các công cụ gỡ lỗi WebAssugging đã được cải tiến, hiệu suất gỡ lỗi được cải thiện đáng kể khi sử dụng điểm dừng (trước đây, trình thông dịch được sử dụng để gỡ lỗi và bây giờ là trình biên dịch Liftoff).
- Trong các công cụ dành cho nhà phát triển web pphttps://developers.google.com/web/updates/2020/05/devtools, bảng phân tích hiệu suất đã được cập nhật. Đã thêm thông tin chung về số liệu (Tổng thời gian chặn), hiển thị thời gian trang có vẻ khả dụng nhưng thực tế là không khả dụng (tức là trang đã được hiển thị nhưng việc thực thi luồng chính vẫn bị chặn và không thể nhập dữ liệu). Đã thêm phần Trải nghiệm mới để phân tích số liệu (Thay đổi bố cục tích lũy), phản ánh sự ổn định về mặt hình ảnh của nội dung. Bảng kiểm tra kiểu CSS cung cấp bản xem trước các hình ảnh được chỉ định thông qua thuộc tính “background-image”.
Ngoài những cải tiến và sửa lỗi, phiên bản mới còn loại bỏ . Nhiều lỗ hổng được xác định là kết quả của quá trình kiểm tra tự động bằng các công cụ , , , и . Một vấn đề (CVE-2020-6510, lỗi tràn bộ đệm trong trình xử lý nền tìm nạp) được đánh dấu là nghiêm trọng, tức là. cho phép bạn bỏ qua tất cả các cấp độ bảo vệ của trình duyệt và thực thi mã trên hệ thống bên ngoài môi trường hộp cát. Là một phần của chương trình trả thưởng bằng tiền mặt cho việc phát hiện ra các lỗ hổng cho bản phát hành hiện tại, Google đã trả 26 giải thưởng trị giá 21500 USD (hai giải thưởng 5000 USD, hai giải thưởng 3000 USD, một giải thưởng 2000 USD, hai giải thưởng 1000 USD và ba giải thưởng 500 USD). Quy mô của 16 phần thưởng vẫn chưa được xác định.
Nguồn: opennet.ru