谷歌
- 添加了针对在通过 HTTPS 加载但通过 HTTP 发送数据的页面上不安全提交输入表单的保护,这会在 MITM 攻击期间造成数据拦截和欺骗的威胁。 保护归结为三个变化:
- 任何混合输入表单的自动填写已被禁用,类似于在通过 HTTP 打开的页面上自动填写身份验证表单已被禁用相当长一段时间的情况。 如果以前禁用的标志是通过 HTTPS 或 HTTP 打开带有表单的页面,那么现在还会考虑在将数据发送到表单处理程序时使用加密。 用于混合形式身份验证的密码管理器不会被禁用,因为使用不安全密码和在不同站点上重复使用密码的风险超过了潜在流量拦截的风险。
- 当开始以混合形式输入时,会显示一条警告,通知用户完整的数据正在通过未加密的通信通道发送。
- 当您尝试提交混合表单时,会显示一个单独的页面,通知您通过未加密的通信通道传输数据的潜在风险。 在之前的版本中,地址栏中的挂锁指示器用于指示混合形式,但这种标记对用户来说并不明显,并不能有效反映所涉及的风险。
- 闭塞
不安全启动 通过阻止不安全加载档案(zip、iso 等)并显示不安全加载警告来补充可执行文件(未加密)
文档(docx、pdf 等)。 下一版本预计会出现针对图像、文本和媒体文件的文档阻止和警告。 之所以实施阻止,是因为下载未加密的文件可用于通过在 MITM 攻击期间替换内容来执行恶意操作。 - 默认上下文菜单显示“始终显示完整 URL”选项,以前需要更改 about:flags 页面上的设置才能启用。 双击地址栏也可以查看完整的 URL。 让我们回想一下,从
铬76的 默认情况下,地址开始显示,不带协议和 www 子域。 在铬79的 返回旧行为的设置已被删除,但在用户不满意之后铬83的 添加了一个新的实验性标志,该标志在上下文菜单中添加了一个选项,以禁用在任何情况下隐藏和显示完整 URL。 - 面向一小部分用户推出
实验 上展示 默认情况下,地址栏仅包含域,不包含路径元素和查询参数。 例如,它将显示“example.com”,而不是“https://example.com/secure-google-sign-in/”。 预计该模式将在下一版本中提供给所有用户。 要禁用此行为,您可以使用“始终显示完整 URL”选项,并且要查看整个 URL,您可以单击地址栏。 更改的动机是希望保护用户免受操纵 URL 中参数的网络钓鱼攻击 - 攻击者利用用户的注意力不集中,造成打开另一个站点并实施欺诈行为的假象(如果此类替换对于技术能力强的用户来说是显而易见的) ,那么没有经验的人很容易被这种简单的操作所迷惑)。 - 恢复
主动 删除 FTP 支持。 在 Chrome 86 中,大约 1% 的用户默认禁用 FTP,而在 Chrome 87 中禁用范围将增加到 50%,但可以使用“--enable-ftp”或“-enable”恢复支持-features=FtpProtocol”标志。 在 Chrome 88 中,FTP 支持将被完全禁用。 - 在 Android 版本中,与桌面系统版本类似,密码管理器会根据受损帐户的数据库检查保存的登录名和密码,如果检测到问题或尝试使用简单密码,则会显示警告。 该检查是针对一个数据库进行的,该数据库涵盖了泄露的用户数据库中出现的超过 4 亿个受损帐户。 为了维护隐私
申请 哈希前缀在用户端进行验证,密码本身及其完整哈希值不会向外传输。 - 也有 Android 版本
结转 “安全检查”按钮和针对危险站点的增强保护模式(增强安全浏览)。 “安全检查”按钮显示可能的安全问题的摘要,例如使用泄露的密码、检查恶意站点(安全浏览)的状态、是否存在已卸载的更新以及恶意加载项的识别。 高级保护模式会激活额外的检查,以防止网络钓鱼、恶意活动和其他网络威胁,并且还包括对您的 Google 帐户和 Google 服务(Gmail、云端硬盘等)的额外保护。 如果在正常的安全浏览模式下,检查是使用定期加载到客户端系统上的数据库在本地执行的,那么在增强的安全浏览模式下,有关页面和下载的信息会实时发送到 Google 端进行验证,这样您就可以快速响应发现威胁后立即处理,无需等到本地黑名单更新。 -
添加者 支持“.well-known/change-password”指示文件,网站所有者可以使用该文件指定用于更改密码的 Web 表单的地址。 如果用户的凭据遭到泄露,Chrome 现在将立即根据此文件中的信息提示用户填写密码更改表单。 - 实施了一个新的“安全提示”警告,当打开域与另一个站点非常相似的站点并且启发式显示存在欺骗的可能性很高时(例如,打开 goog0le.com 而不是 google.com)。
-
实施的 支持后退缓存,当使用“后退”和“前进”按钮或浏览当前站点以前查看的页面时,它可以提供即时导航。 使用 chrome://flags/#back-forward-cache 设置启用缓存。 - 对windows CPU资源消耗进行了优化
超出范围。 Chrome 会检查浏览器窗口是否与其他窗口重叠,并防止在重叠区域绘制像素。 这项优化是在 Chrome 84 和 85 中为一小部分用户启用的,现在已在所有地方启用。 与以前的版本相比,与虚拟化系统不兼容导致出现空白页的问题也得到了解决。 - 改进了背景选项卡的资源截断。 此类选项卡不会再消耗超过 1% 的 CPU 资源,并且每分钟最多只能激活一次。 在后台运行五分钟后,选项卡将被冻结,但正在播放多媒体内容或录制的选项卡除外。
- 从事于
统一 HTTP 标头用户代理。 新版本中,为所有用户激活了对该机制的支持用户代理客户端提示 ,作为 User-Agent 的替代品而开发。 新机制仅在服务器发出请求后有选择地返回有关特定浏览器和系统参数(版本、平台等)的数据,并让用户有机会有选择地向网站所有者提供此类信息。 使用 User-Agent Client Hints 时,如果没有显式请求,默认情况下不会传输标识符,这使得被动识别无法实现(默认情况下,仅指示浏览器名称)。 - 更改了存在更新的指示以及需要重新启动浏览器才能安装它。 现在,帐户头像字段中不再显示彩色箭头,而是出现“更新”字样。
- 已经开展了将浏览器转换为使用包容性术语的工作。 在策略名称中,“白名单”和“黑名单”已替换为“允许名单”和“阻止名单”(已添加的策略将继续有效,但会显示有关已弃用的警告)。 在
代码 и文件名 对“黑名单”的提及已替换为“阻止名单”。
用户可见的“黑名单”和“白名单”引用已于 2019 年初被替换。 - 添加了编辑已保存密码的实验性功能,使用“chrome://flags/#edit-passwords-in-settings”标志激活。
- 转换为稳定的公共 API
本机文件系统 ,它允许您创建与本地文件系统中的文件交互的 Web 应用程序。 例如,基于浏览器的集成开发环境、文本、图像和视频编辑器可能需要新的 API。 为了能够直接写入和读取文件或使用对话框打开和保存文件以及浏览目录内容,应用程序要求用户进行特殊确认。 - 添加了 CSS 选择器“
:焦点可见 ”,它使用浏览器在决定是否显示焦点更改指示器时使用的相同启发式(当使用键盘快捷键将焦点移动到按钮时,指示器出现,但当用鼠标单击时,它不会出现)。 以前可用的 CSS 选择器“:focus”始终突出显示焦点。
此外,“快速焦点突出显示”选项已添加到设置中,启用后,活动元素旁边将显示一个额外的焦点指示器,即使在页面上禁用视觉突出显示焦点的样式元素,该指示器仍然可见。 CSS。 - 几个新的 API 已添加到 Origin Trials 模式(需要单独激活的实验性功能)。 Origin 试用意味着能够使用从本地主机或 127.0.0.1 下载的应用程序中的指定 API,或者在注册并接收对特定站点在有限时间内有效的特殊令牌之后。
-
WebHID API 用于对 HID 设备(人机接口设备、键盘、鼠标、游戏手柄、触摸板)进行低级访问,允许您在 JavaScript 中实现使用 HID 设备的逻辑,以便在不存在特定驱动程序的情况下组织使用罕见的 HID 设备在系统中。
首先,新的API旨在提供对游戏手柄的支持。 -
API屏幕信息 ,扩展了Window Placement API以支持多屏配置。 与 window.screen 不同,新的 API 允许您在多显示器系统的整个屏幕空间中操纵窗口的位置,而不必局限于当前屏幕。 - 标记
节省电池 ,网站可以通知浏览器需要激活模式以降低功耗和优化 CPU 负载。 - API
合作报告 报告可能违反隔离规定的行为跨源嵌入器策略 (COEP)和跨源开启者策略 (COOP),没有施加实际限制。 - 在 API
凭证管理 已提出一种新型凭证付款凭证 ,提供正在执行的支付交易的额外确认。 依赖方(例如银行)能够生成公钥(PublicKeyCredential),商家可以请求该公钥来进行额外的安全支付确认。
-
- 在 API
指针事件 为了确定手写笔的倾斜度,添加了对高度角(手写笔与屏幕之间的角度)和方位角(X 轴与手写笔在屏幕上的投影之间的角度)的支持,而不是 TiltX 和TiltY 角度(触笔与其中一根轴的平面与 Y 轴和 Y 轴 Z 的平面之间的角度)。 还增加了高度/方位角和TiltX/TiltY之间的转换功能。 - 在协议处理程序中评估时更改了 URL 中的空格编码 - navigator.registerProtocolHandler() 方法现在将空格替换为“%20”而不是“+”,这统一了与其他浏览器(如 Firefox)的行为。
- 添加CSS伪元素“
::标记 ”,它允许您自定义块中列表的数字和点的颜色、大小、形状和类型和。 - 添加了 HTTP 标头支持
文件政策 ,允许 设定 访问文档的规则,类似于iframe的沙箱隔离机制,但更通用。 例如,通过Document-Policy您可以限制使用低质量图像,禁用慢速JavaScript API,配置加载iframe、图像和脚本的规则,限制总体文档大小和流量,禁止导致页面重绘的方法,禁用功能滚动到文本 . - 至元素
添加了对通过“display”CSS 属性设置的“inline-grid”、“grid”、“inline-flex”和“flex”参数的支持。 - 添加方法
ParentNode.replaceChildren() 用另一个 DOM 节点替换父节点的所有子节点。 以前,您可以使用node.removeChild() 和node.append() 或node.innerHTML 和node.append() 的组合来替换节点。 -
扩展 允许使用 registerProtocolHandler() 覆盖的 URL 方案范围。 方案列表包括去中心化协议 cabal、dat、did、dweb、ethereum、hyper、ipfs、ipns 和 ssb,它允许您定义元素的链接,无论提供资源访问的站点或网关如何。 - 在 API
异步剪贴板 添加了对 text/html 格式的支持,用于通过剪贴板复制和粘贴 HTML(写入和读取剪贴板时会清除危险的 HTML 结构)。 例如,这一更改允许您在 Web 编辑器中组织带有图像和链接的格式化文本的插入和复制。 - 在WebRTC中
添加 连接在 WebRTC MediaStreamTrack 的编码或解码阶段调用的您自己的数据处理程序的能力。 例如,此功能可用于添加对通过中间服务器传输的数据的端到端加密的支持。 - 在 JavaScript 引擎 V8 中提高了 75%
加速 Number.prototype.toString 的实现。 向具有空值的异步类添加了 .name 属性。 Atomics.wake 方法已被删除,该方法一度被重命名为 Atomics.notify 以符合 ECMA-262 规范。 模糊测试工具包代码开放JS-模糊器 . - 上一版本中发布的 WebAssembly 的 Liftoff 基线编译器包括使用向量指令的功能
SIMD 以加快计算速度。 从测试来看,优化使得某些测试速度提高了2.8倍。 另一项优化使得从 WebAssembly 调用导入的 JavaScript 函数变得更快。 -
扩展 Web开发人员工具:媒体面板添加了页面上用于播放视频的播放器的信息,包括事件数据、日志、属性值和帧解码参数(例如,您可以确定帧丢失和交互问题的原因)来自 JavaScript)。在“元素”面板的上下文菜单中,添加了创建所选元素的屏幕截图的功能(例如,您可以创建目录或表格的屏幕截图)。
在 Web 控制台中,问题警告面板已替换为常规消息,并且第三方 Cookie 的问题默认隐藏在“问题”选项卡中,并通过特殊复选框启用。
“禁用本地字体”按钮已添加到渲染选项卡,它允许您模拟没有本地字体,并且传感器选项卡能够模拟用户不活动(对于使用空闲检测 API 的应用程序)。
应用程序面板提供有关每个 iframe、打开的窗口和弹出窗口的详细信息,包括有关使用 COEP 和 COOP 进行跨源隔离的信息。
-
开始 协议实现替换QUIC IETF 规范中开发的选项,而不是 Google QUIC 选项。
除了创新和错误修复之外,新版本还消除了
来源: opennet.ru