Bản phát hành Chrome 86

Google trình bày phát hành trình duyệt web Chrome 86... Đồng thời có sẵn phát hành ổn định một dự án miễn phí Chromium, đóng vai trò là nền tảng của Chrome. trình duyệt Chrome khác nhau việc sử dụng logo Google, sự hiện diện của hệ thống gửi thông báo trong trường hợp gặp sự cố, khả năng tải xuống mô-đun Flash theo yêu cầu, mô-đun để phát nội dung video được bảo vệ (DRM), hệ thống tự động cài đặt các bản cập nhật và truyền trong quá trình tìm kiếm thông số RLZ. Bản phát hành tiếp theo của Chrome 87 được lên lịch vào ngày 17 tháng XNUMX.

Chính thay đổi в cơ rôm 86:

• Đã thêm tính năng bảo vệ chống lại việc gửi biểu mẫu đầu vào không an toàn trên các trang được tải qua HTTPS nhưng gửi dữ liệu qua HTTP, điều này tạo ra mối đe dọa chặn và giả mạo dữ liệu trong các cuộc tấn công MITM. Bảo vệ có ba thay đổi:
  • Tính năng tự động điền bất kỳ biểu mẫu nhập hỗn hợp nào đã bị vô hiệu hóa, tương tự như cách tính năng tự động điền biểu mẫu xác thực trên các trang được mở qua HTTP đã bị vô hiệu hóa trong một thời gian. Nếu trước đây dấu hiệu vô hiệu hóa là việc mở một trang có biểu mẫu qua HTTPS hoặc HTTP thì giờ đây việc sử dụng mã hóa khi gửi dữ liệu đến trình xử lý biểu mẫu cũng được tính đến. Trình quản lý mật khẩu cho các hình thức xác thực hỗn hợp không bị tắt vì nguy cơ sử dụng mật khẩu không an toàn và sử dụng lại mật khẩu trên các trang web khác nhau lớn hơn nguy cơ bị chặn lưu lượng truy cập tiềm ẩn.
  • Khi bắt đầu nhập ở dạng hỗn hợp, một cảnh báo sẽ hiển thị để thông báo cho người dùng rằng dữ liệu hoàn chỉnh đang được gửi qua kênh liên lạc không được mã hóa.
  • Khi bạn cố gắng gửi biểu mẫu hỗn hợp, một trang riêng sẽ hiển thị để thông báo cho bạn về nguy cơ tiềm ẩn khi truyền dữ liệu qua kênh liên lạc không được mã hóa. Trong các phiên bản trước, chỉ báo ổ khóa trên thanh địa chỉ được sử dụng để biểu thị các dạng hỗn hợp, nhưng dấu hiệu này không rõ ràng đối với người dùng và không phản ánh hiệu quả các rủi ro liên quan.
    
• Chặn khởi động không an toàn (không mã hóa) các tệp thi hành được bổ sung bằng cách chặn việc tải các kho lưu trữ không an toàn (zip, iso, v.v.) và hiển thị các cảnh báo về việc tải không an toàn
  tài liệu (docx, pdf, v.v.). Việc chặn tài liệu và cảnh báo đối với hình ảnh, văn bản và tệp phương tiện dự kiến ​​sẽ có trong bản phát hành tiếp theo. Việc chặn được triển khai vì việc tải xuống các tệp không được mã hóa có thể được sử dụng để thực hiện các hành động độc hại bằng cách thay thế nội dung trong các cuộc tấn công MITM.
• Menu ngữ cảnh mặc định hiển thị tùy chọn "Luôn hiển thị URL đầy đủ", tùy chọn này trước đây yêu cầu phải thay đổi cài đặt trên trang about:flags để bật. URL đầy đủ cũng có thể được xem bằng cách nhấp đúp vào thanh địa chỉ. Chúng ta hãy nhớ lại rằng bắt đầu từ Chrome 76 Theo mặc định, địa chỉ bắt đầu được hiển thị mà không có giao thức và tên miền phụ www. TRONG Chrome 79 cài đặt quay lại hành vi cũ đã bị xóa nhưng sau khi người dùng không hài lòng với Chrome 83 Một cờ thử nghiệm mới đã được thêm vào để thêm tùy chọn vào menu ngữ cảnh để tắt tính năng ẩn và hiển thị URL đầy đủ trong mọi điều kiện.
• Ra mắt cho một tỷ lệ nhỏ người dùng một thí nghiệm trên trưng bày Theo mặc định, thanh địa chỉ chỉ chứa tên miền, không có thành phần đường dẫn và tham số truy vấn. Ví dụ: thay vì "https://example.com/secure-google-sign-in/", nó sẽ hiển thị "example.com". Chế độ được đề xuất dự kiến ​​​​sẽ được đưa đến tất cả người dùng trong một trong những phiên bản tiếp theo. Để tắt hành vi này, bạn có thể sử dụng tùy chọn “Luôn hiển thị URL đầy đủ” và để xem toàn bộ URL, bạn có thể nhấp vào thanh địa chỉ. Động cơ của sự thay đổi là mong muốn bảo vệ người dùng khỏi hành vi lừa đảo thao túng các tham số trong URL - những kẻ tấn công lợi dụng sự thiếu chú ý của người dùng để tạo ra vẻ ngoài là mở một trang web khác và thực hiện các hành động gian lận (nếu sự thay thế đó là hiển nhiên đối với người dùng có năng lực kỹ thuật). , thì những người thiếu kinh nghiệm rất dễ mắc phải những thao tác đơn giản như vậy).
• Đã tiếp tục sáng kiến để loại bỏ hỗ trợ FTP. Trong Chrome 86, FTP bị tắt theo mặc định đối với khoảng 1% người dùng và trong Chrome 87, phạm vi vô hiệu hóa sẽ tăng lên 50%, nhưng có thể khôi phục hỗ trợ bằng cách sử dụng "--enable-ftp" hoặc "- -enable-features=FtpProtocol". Trong Chrome 88, hỗ trợ FTP sẽ bị tắt hoàn toàn.
• Trong phiên bản dành cho Android, tương tự như phiên bản dành cho hệ thống máy tính để bàn, trình quản lý mật khẩu thực hiện kiểm tra thông tin đăng nhập và mật khẩu đã lưu dựa trên cơ sở dữ liệu về các tài khoản bị xâm phạm, hiển thị cảnh báo nếu phát hiện sự cố hoặc cố gắng sử dụng mật khẩu tầm thường. Việc kiểm tra được thực hiện dựa trên cơ sở dữ liệu bao gồm hơn 4 tỷ tài khoản bị xâm nhập xuất hiện trong cơ sở dữ liệu người dùng bị rò rỉ. Để duy trì sự riêng tư đã áp dụng Tiền tố băm được xác minh từ phía người dùng và bản thân mật khẩu cũng như hàm băm đầy đủ của chúng không được truyền ra bên ngoài.
• Cũng có sẵn trong phiên bản Android đem qua nút “Kiểm tra an toàn” và chế độ bảo vệ nâng cao chống lại các trang web nguy hiểm (Duyệt web an toàn nâng cao). Nút "Kiểm tra an toàn" hiển thị bản tóm tắt các vấn đề bảo mật có thể xảy ra, chẳng hạn như việc sử dụng mật khẩu bị xâm phạm, trạng thái kiểm tra các trang web độc hại (Duyệt web an toàn), sự hiện diện của các bản cập nhật đã gỡ cài đặt và nhận dạng các tiện ích bổ sung độc hại. Chế độ bảo vệ nâng cao kích hoạt các bước kiểm tra bổ sung để bảo vệ khỏi lừa đảo, hoạt động độc hại và các mối đe dọa khác trên Web, đồng thời cũng bao gồm tính năng bảo vệ bổ sung cho tài khoản Google và các dịch vụ của Google (Gmail, Drive, v.v.). Nếu ở chế độ Duyệt web an toàn thông thường, việc kiểm tra được thực hiện cục bộ bằng cách sử dụng cơ sở dữ liệu được tải định kỳ vào hệ thống của khách hàng thì trong Duyệt web an toàn nâng cao, thông tin về các trang và nội dung tải xuống trong thời gian thực sẽ được gửi để xác minh từ phía Google, cho phép bạn phản hồi nhanh chóng với các mối đe dọa ngay lập tức sau khi chúng được xác định mà không cần đợi cho đến khi danh sách đen cục bộ được cập nhật.
• Thêm hỗ trợ cho tệp chỉ báo “.well-known/change-password”, trong đó chủ sở hữu trang web có thể chỉ định địa chỉ của biểu mẫu web để thay đổi mật khẩu. Nếu thông tin đăng nhập của người dùng bị xâm phạm, Chrome sẽ ngay lập tức nhắc người dùng bằng biểu mẫu thay đổi mật khẩu dựa trên thông tin trong tệp này.
• Cảnh báo “Mẹo an toàn” mới đã được triển khai, hiển thị khi mở các trang web có tên miền rất giống với trang web khác và chẩn đoán cho thấy có khả năng giả mạo cao (ví dụ: goog0le.com được mở thay vì google.com).
• thực hiện hỗ trợ bộ đệm Quay lại, cung cấp khả năng điều hướng tức thì khi sử dụng nút “Quay lại” và “Chuyển tiếp” hoặc khi điều hướng qua các trang đã xem trước đó của trang web hiện tại. Bộ đệm được bật bằng cài đặt chrome://flags/#back-forward-cache.
• Việc tối ưu hóa việc tiêu thụ tài nguyên CPU của windows đã được thực hiện
  ra khỏi phạm vi. Chrome kiểm tra xem cửa sổ trình duyệt có bị chồng chéo bởi các cửa sổ khác hay không và ngăn việc vẽ pixel ở những vùng chồng chéo. Tính năng tối ưu hóa này đã được bật cho một tỷ lệ nhỏ người dùng trong Chrome 84 và 85 và hiện được bật ở mọi nơi. So với các bản phát hành trước, vấn đề không tương thích với hệ thống ảo hóa khiến xuất hiện các trang trắng trống cũng đã được giải quyết.
• Tăng cường cắt giảm tài nguyên cho các tab nền. Các tab như vậy không còn có thể tiêu tốn hơn 1% tài nguyên CPU và có thể được kích hoạt không quá một lần mỗi phút. Sau năm phút ở chế độ nền, các tab sẽ bị đóng băng, ngoại trừ các tab đang phát nội dung đa phương tiện hoặc đang ghi.
• Làm việc trên sự hợp nhất Tác nhân người dùng tiêu đề HTTP. Trong phiên bản mới, hỗ trợ cơ chế được kích hoạt cho tất cả người dùng Gợi ý ứng dụng khách tác nhân người dùng, được phát triển để thay thế cho Tác nhân người dùng. Cơ chế mới liên quan đến việc trả về có chọn lọc dữ liệu về các thông số hệ thống và trình duyệt cụ thể (phiên bản, nền tảng, v.v.) chỉ sau khi máy chủ yêu cầu và cung cấp cho người dùng cơ hội cung cấp thông tin đó có chọn lọc cho chủ sở hữu trang web. Khi sử dụng Gợi ý máy khách tác nhân người dùng, theo mặc định, số nhận dạng không được truyền nếu không có yêu cầu rõ ràng, điều này khiến cho việc nhận dạng thụ động không thể thực hiện được (theo mặc định, chỉ có tên trình duyệt được chỉ định).
• Dấu hiệu cho thấy sự hiện diện của bản cập nhật và yêu cầu khởi động lại trình duyệt để cài đặt nó đã được thay đổi. Thay vì mũi tên màu, “Cập nhật” hiện xuất hiện trong trường hình đại diện của tài khoản.
  
• Công việc đã được thực hiện để chuyển đổi trình duyệt sang sử dụng thuật ngữ bao hàm. Trong tên chính sách, các từ “danh sách trắng” và “danh sách đen” đã được thay thế bằng “danh sách cho phép” và “danh sách chặn” (các chính sách đã thêm sẽ tiếp tục hoạt động nhưng chúng sẽ hiển thị cảnh báo về việc không được dùng nữa). TRONG mã số и tên tập tin các tham chiếu đến "danh sách đen" đã được thay thế bằng "danh sách chặn".
  Các tham chiếu mà người dùng có thể nhìn thấy về “danh sách đen” và “danh sách trắng” đã được thay thế vào đầu năm 2019.
• Đã thêm khả năng thử nghiệm để chỉnh sửa mật khẩu đã lưu, được kích hoạt bằng cờ “chrome://flags/#edit-passwords-in-settings”.
• Đã chuyển đổi sang API ổn định và công khai Hệ thống tập tin gốc, cho phép bạn tạo các ứng dụng web tương tác với các tệp trong hệ thống tệp cục bộ. Ví dụ: API mới có thể được yêu cầu trong các môi trường phát triển tích hợp dựa trên trình duyệt, trình chỉnh sửa văn bản, hình ảnh và video. Để có thể trực tiếp ghi và đọc tệp hoặc sử dụng hộp thoại để mở và lưu tệp cũng như điều hướng qua nội dung của các thư mục, ứng dụng sẽ yêu cầu người dùng xác nhận đặc biệt.
  
• Đã thêm bộ chọn CSS ": tập trung nhìn thấy“, sử dụng cùng một phương pháp phỏng đoán mà trình duyệt sử dụng khi quyết định có hiển thị chỉ báo thay đổi tiêu điểm hay không (khi di chuyển tiêu điểm đến một nút bằng phím tắt, chỉ báo sẽ xuất hiện nhưng khi nhấp chuột thì không). Bộ chọn CSS có sẵn trước đó ":focus" luôn làm nổi bật tiêu điểm.
  Ngoài ra, tùy chọn “Đánh dấu lấy nét nhanh” đã được thêm vào cài đặt, khi được bật, một chỉ báo tiêu điểm bổ sung sẽ được hiển thị bên cạnh các thành phần đang hoạt động, vẫn hiển thị ngay cả khi các thành phần kiểu để làm nổi bật trực quan tiêu điểm bị tắt trên trang thông qua CSS .
• Một số API mới đã được thêm vào chế độ Bản dùng thử gốc (các tính năng thử nghiệm yêu cầu kích hoạt riêng). Bản dùng thử gốc ngụ ý khả năng hoạt động với API được chỉ định từ các ứng dụng được tải xuống từ máy chủ cục bộ hoặc 127.0.0.1 hoặc sau khi đăng ký và nhận mã thông báo đặc biệt có giá trị trong thời gian giới hạn cho một trang web cụ thể.
  • API WebHID để truy cập cấp thấp vào các thiết bị HID (thiết bị giao diện con người, bàn phím, chuột, gamepad, bảng cảm ứng), cho phép bạn triển khai logic làm việc với thiết bị HID trong JavaScript để tổ chức công việc với các thiết bị HID hiếm mà không cần có trình điều khiển cụ thể trong hệ thống.
    Trước hết, API mới nhằm mục đích cung cấp hỗ trợ cho gamepad.
  • Thông tin màn hình API, mở rộng API vị trí cửa sổ để hỗ trợ cấu hình đa màn hình. Không giống như window.screen, API mới cho phép bạn thao tác vị trí của một cửa sổ trong không gian màn hình tổng thể của hệ thống nhiều màn hình mà không bị giới hạn ở màn hình hiện tại.
  • Thẻ meta tiết kiệm pin, nhờ đó trang web có thể thông báo cho trình duyệt về nhu cầu kích hoạt các chế độ để giảm mức tiêu thụ điện năng và tối ưu hóa tải CPU.
  • API Báo cáo COOP để báo cáo những vi phạm tiềm ẩn về quy định cách ly Chính sách nhúng-Xuất xứ chéo (COEP) và Chính sách mở nhiều nguồn gốc (COOP), mà không áp dụng các hạn chế thực tế.
  • Trong API Quản lý thông tin xác thực một loại thông tin xác thực mới đã được đề xuất Thông tin xác thực thanh toán, cung cấp xác nhận bổ sung về giao dịch thanh toán đang được thực hiện. Một bên phụ thuộc, chẳng hạn như ngân hàng, có khả năng tạo khóa công khai, PublicKeyCredential, người bán có thể yêu cầu khóa này để xác nhận thanh toán an toàn bổ sung.
• Trong API Con trỏSự kiện để xác định độ nghiêng của bút cảm ứng, đã bổ sung thêm hỗ trợ cho các góc độ cao (góc giữa bút cảm ứng và màn hình) và góc phương vị (góc giữa trục X và hình chiếu của bút cảm ứng trên màn hình), thay vì TiltX và Góc nghiêngY (các góc giữa mặt phẳng tính từ bút stylus và một trong các trục và mặt phẳng tính từ trục Y và trục Y Z). Đồng thời thêm chức năng chuyển đổi giữa độ cao/góc phương vị và TiltX/TiltY.
• Đã thay đổi cách mã hóa khoảng trắng trong URL khi tính toán khoảng trắng trong trình xử lý giao thức - phương thức navigator.registerProtocolHandler() hiện thay thế khoảng trắng bằng "%20" thay vì "+", phương thức này thống nhất hành vi với các trình duyệt khác như Firefox.
• Đã thêm phần tử giả CSS "::đánh dấu", cho phép bạn tùy chỉnh màu sắc, kích thước, hình dạng cũng như loại số và điểm cho danh sách theo khối Và .
• Đã thêm hỗ trợ tiêu đề HTTP Chính sách tài liệu, cho phép bộ các quy tắc truy cập tài liệu, tương tự như cơ chế cách ly hộp cát cho iframe, nhưng phổ biến hơn. Ví dụ: thông qua Chính sách tài liệu, bạn có thể hạn chế sử dụng hình ảnh chất lượng thấp, tắt API JavaScript chậm, định cấu hình quy tắc tải iframe, hình ảnh và tập lệnh, giới hạn kích thước và lưu lượng tài liệu tổng thể, cấm các phương pháp dẫn đến việc vẽ lại trang, tắt chức năng Cuộn đến văn bản.
• Đến phần tử đã thêm hỗ trợ cho các tham số 'inline-grid', 'grid', 'inline-flex' và 'flex' được đặt thông qua thuộc tính CSS 'display'.
• Phương pháp đã thêm ParentNode.replaceChildren() để thay thế tất cả các nút con của nút cha bằng một nút DOM khác. Trước đây, bạn có thể sử dụng kết hợp node.removeChild() và node.append() hoặc node.innerHTML và node.append() để thay thế các nút.
• Đã mở rộng phạm vi lược đồ URL được phép ghi đè bằng registerProtocolHandler(). Danh sách các lược đồ bao gồm các giao thức phi tập trung cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns và ssb, cho phép bạn xác định liên kết đến các thành phần bất kể trang web hay cổng cung cấp quyền truy cập vào tài nguyên.
• Trong API Clipboard không đồng bộ đã thêm hỗ trợ cho định dạng văn bản/html để sao chép và dán HTML qua khay nhớ tạm (các cấu trúc HTML nguy hiểm sẽ được dọn sạch khi ghi và đọc vào khay nhớ tạm). Ví dụ: thay đổi cho phép bạn sắp xếp việc chèn và sao chép văn bản được định dạng bằng hình ảnh và liên kết trong trình chỉnh sửa web.
• Trong WebRTC thêm khả năng kết nối trình xử lý dữ liệu của riêng bạn được gọi ở giai đoạn mã hóa hoặc giải mã của WebRTC MediaStreamTrack. Ví dụ: khả năng này có thể được sử dụng để thêm hỗ trợ mã hóa đầu cuối cho dữ liệu được truyền qua các máy chủ trung gian.
• Trong công cụ JavaScript V8 tăng 75% tăng tốc triển khai Number.prototype.toString. Đã thêm thuộc tính .name vào các lớp không đồng bộ có giá trị trống. Phương thức Atomics.wake đã bị xóa và đã có lúc được đổi tên thành Atomics.notify để tuân thủ thông số kỹ thuật ECMA-262. Mở mã bộ công cụ kiểm tra mờ JS-Fuzzer.
• Trình biên dịch cơ sở Liftoff cho WebAssugging, được phát hành trong bản phát hành mới nhất, bao gồm khả năng sử dụng các lệnh vectơ SIMD để tăng tốc độ tính toán. Đánh giá qua các thử nghiệm, việc tối ưu hóa giúp tăng tốc một số thử nghiệm lên 2.8 lần. Một cách tối ưu hóa khác giúp việc gọi các hàm JavaScript được nhập từ WebAssugging nhanh hơn nhiều.
• mở rộng công cụ dành cho nhà phát triển web: Bảng điều khiển Phương tiện đã thêm thông tin về trình phát được sử dụng để phát video trên trang, bao gồm dữ liệu sự kiện, nhật ký, giá trị thuộc tính và tham số giải mã khung (ví dụ: bạn có thể xác định nguyên nhân gây mất khung và sự cố tương tác từ JavaScript).
  

  Trong menu ngữ cảnh của bảng Thành phần, khả năng tạo ảnh chụp màn hình của thành phần được chọn đã được thêm vào (ví dụ: bạn có thể tạo ảnh chụp màn hình của mục lục hoặc bảng).

  

  Trong bảng điều khiển web, bảng cảnh báo sự cố đã được thay thế bằng thông báo thông thường và các sự cố với Cookie của bên thứ ba được ẩn theo mặc định trong tab Sự cố và được bật bằng hộp kiểm đặc biệt.

  

  Trong tab Kết xuất, nút “Tắt phông chữ cục bộ” đã được thêm vào, cho phép bạn mô phỏng sự vắng mặt của phông chữ cục bộ và trong tab Cảm biến, giờ đây bạn có thể mô phỏng việc người dùng không hoạt động (đối với các ứng dụng sử dụng API phát hiện nhàn rỗi).
  

  

  Bảng Ứng dụng cung cấp thông tin chi tiết về từng iframe, cửa sổ đang mở và cửa sổ bật lên, bao gồm thông tin về cách ly nhiều nguồn gốc bằng COEP và COOP.
  

  
• Bắt đầu thay thế thực hiện giao thức QUIC vào tùy chọn được phát triển trong đặc tả IETF, thay vì tùy chọn Google QUIC.

Ngoài những cải tiến và sửa lỗi, phiên bản mới còn loại bỏ 35 lỗ hổng. Nhiều lỗ hổng được xác định là kết quả của quá trình kiểm tra tự động bằng các công cụ Địa chỉSanitizer, MemoryVệ sinh, Tính toàn vẹn của luồng kiểm soát, LibFuzzer и AFL. Một lỗ hổng (CVE-2020-15967, quyền truy cập vào bộ nhớ đã giải phóng trong mã để tương tác với Google Payments) được đánh dấu là nghiêm trọng, tức là. cho phép bạn bỏ qua tất cả các cấp độ bảo vệ của trình duyệt và thực thi mã trên hệ thống bên ngoài môi trường hộp cát. Là một phần của chương trình trả phần thưởng bằng tiền mặt cho việc phát hiện ra các lỗ hổng cho bản phát hành hiện tại, Google đã trả 27 giải thưởng trị giá 71500 USD (một giải thưởng 15000 USD, ba giải thưởng 7500 USD, năm giải thưởng 5000 USD, hai giải thưởng 3000 USD, một giải thưởng 200 USD và hai giải thưởng 500 USD). Quy mô của 13 phần thưởng vẫn chưa được xác định.

Nguồn: opennet.ru