גוגל וועב בלעטערער מעלדונג ... סיימאַלטייניאַסלי סטאַביל מעלדונג פון אַ פריי פּרויעקט , וואָס סערוועס ווי די יקער פון קראָום. קראָום בלעטערער די נוצן פון Google לאָגאָס, די בייַזייַן פון אַ סיסטעם פֿאַר שיקט נאָוטאַפאַקיישאַנז אין פאַל פון אַ קראַך, די פיייקייט צו אָפּלאָדירן אַ פלאַש מאָדולע אויף בעטן, מאַדזשולז פֿאַר פּלייינג פּראָטעקטעד ווידעא אינהאַלט (DRM), אַ סיסטעם פֿאַר אויטאָמאַטיש ינסטאַלירן דערהייַנטיקונגען און טראַנסמיסיע בעשאַס זוכן . Следующий выпуск Chrome 87 запланирован на 17 ноября.
:
- Добавлена защита от небезопасной отправки форм ввода на страницах, загруженных по HTTPS, но отправляющих данные по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Защита сводится к трём изменениям:
- Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь учитывается и применение шифрования при отправке данных обработчику формы. Работа менеджера паролей для смешанных форм аутентификации не отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
- При начале ввода в смешанных формах обеспечен вывод предупреждения, информирующего пользователя об отправке заполненных данных через незашифрованный канал связи.
- При попытке отправки смешанной формы выводится отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.
- בלאַקינג (без шифрования) исполняемых файлов дополнено блокировкой небезопасной загрузки архивов (zip, iso и т.п.) и выводом предупреждений при небезопасной загрузке
документов (docx, pdf и т.п.). В следующем выпуске ожидается блокировка документов и вывод предупреждения для изображений, текстовых и мультимедийных файлов. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак. - В контекстном меню по умолчанию показана опция «Всегда показывать URL полностью», для включения которой ранее требовалось изменение параметров на странице about:flags. Полный URL также можно просмотреть кликнув два раза на адресной строке. Напомним, что начиная с по умолчанию адрес стал показываться без протокола и поддомена www. В была удалена настройка по возвращению старого поведения, но после недовольства пользователей в был добавлен новый экспериментальный флаг, добавляющий в контекстное меню пункт для отключения скрытия и показа полного URL в любых условиях.
- Для небольшого процента пользователей запущен אויף по умолчанию в адресной строке только домена, без элементов пути и параметров запроса. Например, вместо «https://example.com/secure-google-sign-in/» будет показано «example.com». Доведение предложенного режима до всех пользователей ожидается в одном из следующих выпусков. Для отключения указанного поведения можно использовать опцию «Всегда показывать URL полностью», а для просмотра всего URL можно кликнуть на адресной строке. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL — злоумышленники пользуются невнимательностью пользователей для создания видимости открытия другого сайта и совершения мошеннических действий (если для технически грамотного пользователя подобные подмены бросаются в глаза, то неискушённые обыватели легко покупаются на подобные простые манипуляции).
- Возобновлена по удалению поддержки FTP. В Chrome 86 FTP отключён по умолчанию примерно для 1% пользователей, а в Chrome 87 охват отключения будет увеличен до 50%, но поддержку можно будет вернуть при помощи флага «—enable-ftp» или «—enable-features=FtpProtocol». В Chrome 88 поддержка FTP будет полностью отключена.
- В версии для Android по аналогии с версией для настольных систем в менеджере паролей реализована проверка сохранённых логинов и паролей по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем или попытке использования тривиальных паролей. Проверка выполняется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Для сохранения приватности сверка хэш-префикса на стороне пользователя, а сами пароли и их полные хэши не передаются во вне.
- В версию для Android также кнопка «Проверка безопасности» (Safety check) и расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing). Кнопка «Safety check» показывает сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. Расширенный режим защиты активирует дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web, а также включает дополнительную защиту для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновится локальный чёрный список.
- поддержка файла-индикатора «.well-known/change-password», при помощи которого владельцы сайтов могут указать адрес web-формы для смены пароля. В случае выявления компрометации учётных данных пользователя Chrome теперь сразу предложит пользователю форму для изменения пароля, определённую на основе информации из данного файла.
- א נייַע "זיכערהייט עצה" ווארענונג איז ימפּלאַמענאַד, געוויזן ווען עפן זייטלעך וועמענס פעלד איז זייער ענלעך צו אן אנדער פּלאַץ און כיוריסטיקס ווייַזן אַז עס איז אַ הויך מאַשמאָעס פון ספּאָאָפינג (למשל, goog0le.com איז געעפנט אַנשטאָט פון google.com).
- поддержка кэша перехода (Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок «Назад» и «Вперёд» или при навигации по ранее просмотренным страницам текущего сайта. Кэш включается при помощи настройки chrome://flags/#back-forward-cache.
- Проведена оптимизация потребления ресурсов CPU окнами
вне области видимости. Chrome проверяет не перекрывается ли окно браузера другими окнами и исключает отрисовку пикселей в областях перекрытия. Указанная оптимизация была включена для небольшого процента пользователей в Chrome 84 и 85, а теперь активирована повсеместно. По сравнению с прошлыми выпусками также устранена несовместимость с системами виртуализации, из-за которой показывались пустые белые страницы. - געוואקסן מיטל טרימינג פֿאַר הינטערגרונט טאַבס. אַזאַ טאַבס קענען ניט מער פאַרנוצן מער ווי 1% פון קפּו רעסורסן און קענען זיין אַקטיווייטיד ניט מער ווי אַמאָל פּער מינוט. נאָך פינף מינוט פון זייַענדיק אין דער הינטערגרונט, טאַבס זענען פאַרפרוירן, מיט די ויסנעם פון טאַבס וואָס שפּילן מולטימעדיאַ אינהאַלט אָדער רעקאָרדינג.
- Возобновлена работа по HTTP-заголовка User-Agent. В новой версии для всех пользователей активирована поддержка механизма , развиваемого в качестве замены User-Agent. Новый механизм подразумевает выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов. При использовании User-Agent Client Hints идентификатор не передаётся по умолчанию без явного запроса, что делает невозможным проведение пассивной идентификации (по умолчанию указывается только название браузера).
- דער אָנווייַז פון דעם בייַזייַן פון אַ דערהייַנטיקן און די נויט צו ריסטאַרט דעם בלעטערער צו ינסטאַלירן עס איז פארענדערט. אַנשטאָט אַ בונט פייַל, "דערהייַנטיקן" איצט אויס אין די חשבון אַוואַטאַר פעלד.
- Проведена работа по переводу браузера на применение инклюзивной терминологии. В именах политик слова «whitelist» и «blacklist» заменены на «allowlist» и «blocklist» (уже добавленные политики продолжат работать, но для них будет выводиться предупреждение о переводе в разряд устаревших). В и упоминания «blacklist» заменены на «blocklist».
Видимые пользователю упоминания «blacklist» и «whitelist» были заменены ещё в начале 2019 года. - צוגעלייגט אַן יקספּערמענאַל פיייקייט צו רעדאַגירן געראטעוועט פּאַסווערדז, אַקטיווייטיד מיט די "קראָום: // פלאַגס / # רעדאַגירן-פּאַסווערדז-אין-סעטטינגס" פאָן.
- Переведён в разряд стабильных и общедоступных API , позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов или использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение.
- Добавлен CSS-селектор ««, который использует ту же эвристику, что используется браузером при принятии решения о показе индикатора смены фокуса (при перемещении фокуса на кнопку клавиатурными комбинациями индикатор появляется, а при клике мышью — нет). Ранее доступный CSS-селектор «:focus» всегда подсвечивает фокус.
Кроме того, в настройки добавлена опция «Quick Focus Highlight», при включении которой рядом с активными элементами будет показываться дополнительный индикатор фокуса, который остаётся видимым даже если на странице через CSS отключены элементы стиля для визуального выделения фокуса. - עטלעכע נייַע אַפּיס זענען צוגעגעבן צו אָריגין טריאַלס מאָדע (עקספּערימענטאַל פֿעיִקייטן וואָס דאַרפן באַזונדער אַקטאַוויישאַן). אָריגין טרייל ימפּלייז די פיייקייט צו אַרבעטן מיט די ספּעסיפיעד אַפּי פֿון אַפּלאַקיישאַנז דאַונלאָודיד פֿון לאָקאַלהאָסט אָדער 127.0.0.1, אָדער נאָך רעדזשיסטערינג און באַקומען אַ ספּעציעל סימען וואָס איז גילטיק פֿאַר אַ לימיטעד צייט פֿאַר אַ ספּעציפיש פּלאַץ.
- для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов.
Прежде всего новый API нацелен на предоставление поддержки геймпадов. - , расширяет возможности API Window Placement поддержкой конфигураций с несколькими экранами. В отличие от window.screen новый API позволяет манипулировать размещением окна в общем экранном пространстве многомониторнных систем, не ограничиваясь текущим экраном.
- Мета-тег , при помощи которого сайт может информировать браузер о необходимости активации режимов снижения энергопотребления и оптимизации нагрузки на CPU.
- אַפּי для информирования о потенциальных нарушениях режимов изоляции (COEP) און (COOP), без применения фактических ограничений.
- אין API предложен новый тип учётных данных , обеспечивающий дополнительное подтверждение совершаемой платёжной операции. Проверяющая сторона, например, банк, имеет возможность сгенерировать открытый ключ PublicKeyCredential, который может быть запрошен продавцом для дополнительного безопасного подтверждения платежа.
- для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов.
- אין API для определения наклона стилуса добавлена поддержка углов высоты (угол между стилусом и экраном) и азимута (угол между осью X и проекцией стилуса на экран), вместо углов TiltX и TiltY (углы между плоскостью из стилуса и одной из осей и плоскостью из осей Y и Z). Также добавлены функции преобразования между высотой/азимутом и TiltX/TiltY.
- טשיינדזשד די קאָדירונג פון פּלאַץ אין URL ס ווען קאַלקיאַלייטינג עס אין פּראָטאָקאָל האַנדלערס - די navigator.registerProtocolHandler () אופֿן איצט ריפּלייסיז ספּייסאַז מיט "% 20" אַנשטאָט פון "+", וואָס יונאַפייז די נאַטור מיט אנדערע בראַוזערז אַזאַ ווי פירעפאָקס.
- В CSS добавлен псевдо-элемент ««, позволяющий настроить цвет, размер, форму и тип чисел и точек для перечислений в блоках <ul> и <ol>.
- אַדדעד הטטפּ כעדער שטיצן , правила доступа к документам, похожие на механизм sandbox-изоляции для iframe, но более универсальный. Например, через Document-Policy можно ограничить использование некачественных изображений, отключить медленные JavaScript API настроить правила загрузки iframe, изображений и скриптов, ограничить общий размер документа и трафик, запретить методы, приводящие к перерисовке страницы, отключить функцию .
- В элемент добавлена поддержка параметров ‘inline-grid’, ‘grid’, ‘inline-flex’ и ‘flex’, задаваемых через CSS-свойство ‘display’.
- צוגעגעבן אופֿן для замены всех дочерних элементов родительского узла на другой DOM-узел. Ранее для замены узлов можно было использовать комбинацию из методов node.removeChild() и node.append() или node.innerHTML и node.append().
- спектр схем URL, допустимых для переопределения при помощи registerProtocolHandler(). В список схем включены децентрализованные протоколы cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns и ssb, что позволяет определять ссылки на элементы независимо от сайта или шлюза, предоставляющего доступ к ресурсу.
- אין API добавлена поддержка формата text/html для копирования и вставки HTML через буфер обмена (при записи и чтения в буфер обмена выполняется чистка опасных конструкций HTML). Изменение, например, позволяет организовать в web-редакторах вставку и копирование отформатированного текста с изображениями и ссылками.
- В WebRTC возможность подключения собственных обработчиков данных, вызываемых на стадиях кодирования или декодирования WebRTC MediaStreamTrack. Например, указанную возможность можно использовать для добавления поддержки сквозного шифрования данных, передаваемых через промежуточные серверы.
- В JavaScript-движке V8 на 75% реализация Number.prototype.toString. В асинхронные классы добавлено свойство .name с пустым значением. Удалён метод Atomics.wake, который в своё время был переименован в Atomics.notify для соответствия спецификации ECMA-262. Открыт код инструментария fuzzing-тестирования .
- В задействованном в прошлом выпуске начальном (baseline) компиляторе Liftoff для WebAssembly включена возможность использования векторных инструкций для ускорения вычислений. Судя по тестам, оптимизация позволила ускорить прохождения некоторых тестов в 2.8 раз. Другая оптимизация позволила значительно ускорить вызов из WebAssembly импортированных функций JavaScript.
- инструменты для web-разработчиков: В панель Media добавлены сведения о проигрывателях, применяемых для воспроизведения видео на странице, включая данные о событиях, логи, значения свойств и параметры декодирования кадров (например, можно определить причины потери кадров и проблем при взаимодействии из JavaScript).
В контекстном меню панели Elements добавлена возможность создания скриншотов выбранного элемента (например, можно создать скриншот оглавления или таблицы).
В web-консоли панель с предупреждением о проблемах заменена на обычное сообщение, а проблемы со сторонними Cookie скрыты по умолчанию во вкладке Issues и включаются специальным флажком.
אין די רענדערינג קוויטל, אַ "דיסאַבלע היגע פאַנץ" קנעפּל איז צוגעלייגט, וואָס אַלאַוז איר צו סימולירן די אַוועק פון היגע פאַנץ, און אין די סענסאָרס קוויטל איר קענען איצט סימולירן באַניצער ינאַקטיוויטי (פֿאַר אַפּלאַקיישאַנז ניצן די ליידיק דעטעקטיאָן אַפּי).
В панели Application предоставлена детальная информация о каждом iframe, открытом окне и pop-up-ах, включая данные об изоляции Cross-Origin при помощи COEP и COOP.
- замена реализации протокола на вариант, развиваемый в спецификации IETF, вместо Google-варианта QUIC.
אין אַדישאַן צו ינאָווויישאַנז און זשוק פיקסיז, די נייַע ווערסיע ילימאַנייץ . פילע וואַלנעראַביליטיז זענען יידענאַפייד ווי אַ רעזולטאַט פון אָטאַמייטיד טעסטינג מיט מכשירים , , , и . Одна уязвимость (CVE-2020-15967, обращение к освобождённой области памяти в коде для взаимодействия с Google Payments) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 27 премий на сумму 71500 долларов США (одна премия $15000, три премии $7500, пять премий $5000, две $3000, одна $200 и две премии $500). Размер 13 вознаграждений пока не определён.
מקור: opennet.ru