Chrome 83 发布

谷歌 提交 网络浏览器版本 铬83的... 同时 是可用的 免费项目的稳定发布 铬，这是Chrome的基础。 Chrome浏览器 不同 使用 Google 徽标、在崩溃时发送通知的系统、根据请求下载 Flash 模块的能力、播放受保护视频内容 (DRM) 的模块、在搜索期间自动安装更新和传输的系统 RLZ参数。 由于 SARS-CoV-2 冠状病毒大流行期间开发人员转向在家工作，Chrome 82 的发布被推迟 错过了。 Chrome 84 的下一个版本计划于 14 月 XNUMX 日发布。

主 变化 в 铬 83:

• 它开始 大众包容 DNS over HTTPS 模式 （DoH、基于 HTTPS 的 DNS）在其系统设置指定支持 DoH 的 DNS 提供商的用户系统上（将启用同一 DNS 提供商的 DoH）。 例如，如果用户在系统设置中指定了 DNS 8.8.8.8，则 Chrome 中将激活 Google 的 DoH 服务（“https://dns.google.com/dns-query”）；如果 DNS 为 1.1.1.1。 XNUMX，然后是 DoH Cloudflare 服务（“https://cloudflare-dns.com/dns-query”）等。 为了消除解决企业内部网的问题，在确定集中管理系统上的浏览器使用情况时不使用 DoH。 当存在家长控制系统时，DoH 也会被禁用。
  控制 DoH 的激活和更改 DoH 提供程序是通过标准配置器进行的。
  

• 建议来自 新 注册 元素 已针对残疾人士在触摸屏和系统上使用进行了优化的网络表单。 作为 Edge 浏览器开发的一部分，该设计由微软进行了优化，并转移到了主要的 Chromium 代码库中。 以前，有些表单元素是为了匹配操作系统元素而设计的，有些是为了匹配最流行的样式而设计的。 因此，不同的元素对于触摸屏、残障系统和键盘控制的适应程度不同。 返工的目的是统一表单元素的设计并消除风格不一致的情况。
  

• “隐私和安全”设置部分的设计已更改。 添加 安全管理的新工具。 设置现在更容易找到并且更容易理解。 提供了四个基本部分，其中包含与清除历史记录、管理 Cookie 和站点数据、安全模式以及与特定站点相关的禁止或权限相关的工具。 用户可以快速启用对隐身模式或所有站点的第三方 Cookie 的阻止，或阻止特定站点的所有 Cookie。 新设计仅在某些用户的系统上启用；其他用户可以通过“chrome://flags/#privacy-settings-redesign”激活设置。
  

  站点特定设置分为几组 - 访问位置、摄像头、麦克风、通知和后台数据发送。 还有一个部分包含用于阻止某些网站上的 JavaScript、图像和重定向的附加设置。 与更改权限相关的最后一个用户操作会单独突出显示。

  

• 在隐身模式下，默认启用对第三方网站（包括广告网络和网络分析系统）设置的所有 Cookie 的阻止。 还提出了用于控制网站上 Cookie 安装的扩展接口。 为了进行控制，提供了标志“chrome://flags/#improved-cookie-controls”和“chrome://flags/#improved-cookie-controls-for-third-party-cookie-blocking”。 激活该模式后，地址栏中会出现一个新图标；单击时，会显示阻止的 Cookie 数量，并提供禁用阻止的选项。 您可以在上下文菜单的“Cookie”部分中查看当前站点允许和阻止哪些 Cookie，通过单击地址栏或设置中的挂锁符号即可调出该菜单。
  
  

• 这些设置提供了一个新的“安全检查”按钮，该按钮提供了可能的安全问题的摘要，例如使用泄露的密码、检查恶意站点的状态（安全浏览）、是否存在已卸载的更新以及识别恶意添加- 昂。
  

• 密码管理器添加了功能 查 来自受感染帐户数据库的所有已保存的登录名和密码，如果检测到问题，则会显示警告（检查是基于检查用户端的哈希前缀进行的；密码本身及其完整哈希值不会向外传输）。 该检查是针对一个数据库进行的，该数据库涵盖了泄露的用户数据库中出现的超过 4 亿个受损帐户。 当尝试使用简单密码（例如“abc123”）时，也会显示警告。
  

• 由...所提交 针对危险站点的扩展保护模式（增强安全浏览），该模式会激活额外的检查以防止网络钓鱼、恶意活动和其他威胁。 您的 Google 帐户和 Google 服务（Gmail、云端硬盘等）也受到额外保护。 如果在正常安全浏览模式下使用定期加载到客户端系统上的数据库在本地执行检查，则在增强安全浏览模式下，有关页面和下载的实时信息将发送到 Google 安全浏览服务以在 Google 端进行验证，这让您在发现威胁后立即快速响应，无需等待本地黑名单更新。

  为了加快工作速度，它支持对白名单进行预先检查，其中包括数千个受欢迎、值得信赖的网站的哈希值。 如果正在打开的网站不在白名单中，浏览器会检查 Google 服务器上的 URL，传输链接的 SHA-32 哈希值的前 256 位，从中删除可能的个人数据。 谷歌表示，新方法可以将新钓鱼网站的警告有效性提高30%。

• 不再自动将附加组件图标固定在地址栏旁边，而是实施了一个新菜单，由拼图图标指示，其中列出了所有可用的附加组件及其功能。 安装附加组件后，用户现在必须明确启用附加组件图标固定到面板，同时评估授予附加组件的权限。 为了确保附加组件不会丢失，安装后会立即显示一个指示器，其中包含有关新附加组件的信息。 新菜单默认为一定比例的用户启用，其他用户可以使用“chrome://flags/#extensions-toolbar-menu”设置启用它。
  

• 添加了“chrome://flags/#omnibox-context-menu-show-full-urls”设置，启用后，“始终显示完整 URL”项目会出现在地址栏菜单上下文中，防止 URL 失真。 让我们记住，在 Chrome 76 中，地址栏默认被翻译为显示不带“https://”、“http://”和“www.”的链接。 有一个设置可以禁用此行为，但在 Chrome 79 中该设置已被删除，并且用户无法在地址栏中显示完整的 URL。
  

• 对于所有用户，都启用选项卡分组功能（“chrome://flags/#tab-groups”），该功能允许您将具有相似用途的多个选项卡组合到视觉上分开的组中。 每个组都可以指定自己的颜色和名称。 此外，还提出了折叠和扩展组的实验选项，但该选项尚未在所有系统上运行。 例如，可以将几篇未读文章暂时折叠起来，只留下标签，这样在导航时不占用空间，在返回阅读时又回到原来的位置。 要启用该模式，建议设置为“chrome://flags/#tab-groups-collapse”。
  

• 尝试时默认启用警告 不安全启动 （未加密）通过 HTTPS 页面链接的可执行文件（在 Chrome 84 中，可执行文件的下载将被阻止，并且将开始针对存档发出警告）。 值得注意的是，下载未加密的文件可用于在 MITM 攻击期间通过内容替换来实施恶意活动。 还 被禁止 从隔离的 iframe 块发起的文件下载。
• 激活 Adob​​e Flash 时，添加了一条警告消息，表明对该技术的支持将于 2020 年 XNUMX 月结束。
• 技术实施 可信类型，它允许您阻止导致跨站点脚本（DOM XSS）的 DOM 操作，例如，当错误地处理 eval() 块或“.innerHTML”插入中从用户接收到的数据时，这可能会导致 JavaScript 代码被在特定页面的上下文中执行。 可信类型需要在将数据传递给有风险的函数之前对数据进行预处理。 例如，当启用受信任类型时，执行“anElement.innerHTML = location.href”将导致错误，并且需要在分配时使用特殊的 TrustedHTML 或 TrustedScript 对象。 启用可信类型是使用 CSP（内容安全策略）完成的。
• 添加 新的 Cross-Origin-Embedder-Policy 和 Cross-Origin-Opener-Policy HTTP 标头可启用特殊的跨源隔离模式，以安全地在页面上使用特权操作，例如 SharedArrayBuffer、Performance.measureMemory() 和可分析的 API用于进行旁路攻击，例如 Spectre。 跨源隔离模式也不允许您更改 document.domain 属性。
• 提出了一种用于检查网络资源访问的系统的新实现 - OOR-CORS（渲染器外跨源资源共享）。 旧的实现只能检查 Blink 引擎的核心组件、XHR 和 Fetch API，而没有覆盖某些内部模块发出的 HTTP 请求。 新的实现解决了这个问题。
• 几个新的 API 已添加到 Origin Trials 模式（需要单独激活的实验性功能）。 Origin 试用意味着能够使用从本地主机或 127.0.0.1 下载的应用程序中的指定 API，或者在注册并接收对特定站点在有限时间内有效的特殊令牌之后。
  • API 本机文件系统，它允许您创建与本地文件系统中的文件交互的 Web 应用程序。 例如，基于浏览器的集成开发环境、文本、图像和视频编辑器可能需要新的 API。 为了能够直接写入和读取文件、使用对话框打开和保存文件以及浏览目录内容，应用程序要求用户进行特殊确认；
  • 方法 性能.measureMemory() 估计处理 Web 应用程序或网页时的内存消耗。 可用于分析和优化 Web 应用程序中的内存消耗，以及识别内存消耗的回归增加。
  • 方法 优先 Scheduler.postTask() 用于调度具有不同优先级的任务（JavaScript 回调）（阻止用户工作、创建可见更改和后台工作）。 您可以使用 TaskController 对象来更改优先级和取消任务。
  • API WebRTC 可插入流，允许应用程序创建自己的数据处理程序，在编码和解码 WebRTC MediaStreamTrack 时使用。 例如，API 可用于为通过中转服务器传输的流提供端到端加密。
• 添加了API 条码检测 识别和解码特定图像中的条形码。 该 API 仅适用于安装了 Google Play 服务的 Android 设备。
• 添加了元标记 配色方案，允许网站在不使用 CSS 转换的情况下提供对深色主题的全面支持。
• 添加了在中使用 JavaScript 模块的能力 共享工人.
• 在索引数据库中 IDBDatabase.transaction() 添加了新参数
  “耐用性”，允许您控制驱动器数据的重置。 通过传递值“relaxed”而不是默认的“strict”模式，您可以为了性能而牺牲可靠性（以前 Chrome 总是在写入每个事务后将数据刷新到磁盘）。

• 在selector()中添加了@supports函数，以允许您检测CSS选择器的存在（例如，您可以在将CSS样式绑定到它之前先检查选择器的可用性）。

  @支持选择器(::之前) {
  div { 背景：绿色 };
  }

• 以国际日期时间格式表示 添加 fractionalSecondDigits 属性来配置秒小数部分的显示格式。
• V8发动机 加速的 跟踪垃圾收集器中的 ArrayBuffer。 WebAssembly 模块最多可以请求 4 GB 内存。
• 添加 为网络开发人员提供的新工具。 例如，一种模式似乎可以模拟弱视和各种色盲人士对页面的感知。 还添加了模拟语言环境更改的模式，该更改会影响 API Intl.*、*.prototype.toLocaleString、navigator.language、Accept-Language 等。
  

  网络活动检查界面中添加了 COEP（跨源嵌入策略）调试器，允许您评估阻止通过网络加载某些资源的原因。 新增 cookie-path 关键字，过滤 Cookie 绑定特定的请求 方式.

  

  在屏幕左侧添加了开发人员工具的固定模式。
  

  

  用于跟踪长时间运行的 JavaScript 代码的界面已经过重新设计。
  

  

• 由于新冠肺炎 (COVID-19) 疫情，一些计划中的变更已被推迟。 例如， 切除 使用 FTP 的代码 重新安排 无限期地。 断开 支持 TLS 1.0/1.1 协议 推迟 Chrome 84 发布之前。初始
  还支持客户端提示标识符（用户代理的替代方案） 推迟 最高可达 Chrome 84。继续努力 用户代理统一 推迟到明年。

除了创新和错误修复之外，新版本还消除了 38个漏洞。 许多漏洞是由自动化测试工具发现的 地址消毒剂, 内存消毒器, 控制流完整性, 库模糊器 и AFL。 目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 作为发现当前版本漏洞的现金奖励计划的一部分，Google 支付了 28 个奖金，价值 76 万美元（一个 20000 美元奖励，一个 10000 美元奖励，两个 7500 美元奖励，两个 5000 美元奖励，两个 3000 美元奖励，两个 2000 美元奖励，两个 1000 美元奖励）以及八个 500 美元的奖金）。 7 项奖励的金额尚未确定。

来源： opennet.ru