主持人 > 博客 > 網絡新聞 > 鉻86的

鉻86的

Chrome 86 的下一個版本和 Chromium 的穩定版本已經發布。

Chrome 86 的主要變化:

  • 防止在通過 HTTPS 加載但通過 HTTP 發送數據的頁面上不安全地提交輸入表單。
  • 阻止不安全下載 (http) 可執行文件已通過阻止不安全下載檔案(zip、iso 等)和在不安全加載文檔(docx、pdf 等)的情況下顯示警告來補充。 下一個版本預計將阻止文檔並對圖像、文本和媒體文件發出警告。 實施阻止是因為下載未加密的文件可用於通過在 MITM 攻擊期間替換內容來執行惡意操作。
  • 默認上下文菜單顯示選項“始終顯示完整的 URL”,以前需要更改 about:flags 頁面上的設置。 也可以通過雙擊地址欄來查看完整的 URL。 回想一下,從 Chrome 76 開始,默認情況下,地址開始顯示時沒有協議和 www 子域。 在 Chrome 79 中,用於恢復舊行為的設置被移除,但在用戶不滿之後,Chrome 83 中添加了一個新的實驗性標誌,在上下文菜單中添加了一項以禁用在所有情況下隱藏和顯示完整 URL。
    針對一小部分用戶,開展了一項實驗,默認在地址欄中只顯示域名,不顯示路徑元素和查詢參數。 例如,而不是“https://example.com/secure-google-sign-in/" 將顯示“example.com”。 預計在下一個版本中將建議的模式帶給所有用戶。 要禁用此行為,您可以使用“始終顯示完整 URL”選項,要查看整個 URL,您可以單擊地址欄。 更改的動機是希望保護用戶免受操縱 URL 中參數的網絡釣魚 - 攻擊者利用用戶的注意力不集中來創建打開另一個站點的外觀並實施欺詐行為(如果這種替換對於技術上有能力的用戶來說是驚人的,然後沒有經驗的外行操作)。
  • 取消 FTP 支持的倡議已經恢復。 在 Chrome 86 中,大約 1% 的用戶默認禁用 FTP,而在 Chrome 87 中,禁用的覆蓋範圍將增加到 50%,但可以使用標誌“--enable-ftp”或“ --enable-features=FtpProtocol”。 在 Chrome 88 中,FTP 支持將被完全禁用。
  • 在 Android 版本中,與桌面系統版本類似,密碼管理器根據受損帳戶數據庫檢查保存的登錄名和密碼,並在出現問題或嘗試使用普通密碼時發出警告。 檢查是針對一個數據庫執行的,該數據庫涵蓋了在用戶數據庫洩漏中出現的超過 4 億個受損帳戶。 為了保護隱私,哈希前綴在用戶端進行驗證,密碼本身及其完整哈希值不會傳輸到外部。
  • Android 版本還包括安全檢查按鈕和增強型安全瀏覽。 “安全檢查”按鈕顯示潛在安全問題的摘要,例如洩露的密碼、安全瀏覽狀態、未安裝的更新和惡意加載項的檢測。 高級保護模式會激活額外的檢查以防止網絡釣魚、惡意活動和其他網絡威脅,還包括對您的 Google 帳戶和 Google 服務(Gmail、Drive 等)的額外保護。 在正常的安全瀏覽模式下,會根據定期下載到客戶端系統的數據庫在本地執行檢查,而在增強型安全瀏覽模式下,有關頁面和下載的實時信息會發送給 Google 進行驗證,這樣您就可以在威脅發生後立即做出快速響應它們被檢測到,而無需等待本地黑名單更新。
  • 添加了對“.well-known/change-password”指示器文件的支持,站點所有者可以使用該文件指定 Web 表單的地址以更改密碼。 如果用戶的憑據遭到洩露,Chrome 現在將根據此文件中的信息提示用戶使用密碼更改表單。
  • 實施了一個新的“安全提示”警告,當打開域與另一個站點非常相似的站點並且啟發式顯示存在欺騙的可能性很高時(例如,打開 goog0le.com 而不是 google.com)。

    * 實現了對轉換緩存(後退緩存)的支持,它在使用“後退”和“前進”按鈕或瀏覽當前站點的先前查看頁面時提供即時轉換。 使用 chrome://flags/#back-forward-cache 設置啟用緩存。

  • 優化範圍外窗口的 CPU 資源消耗。 Chrome 檢查瀏覽器窗口是否與其他窗口重疊,並避免在重疊區域繪製像素。 此優化在 Chrome 84 和 85 中為一小部分用戶啟用,現在已在全球範圍內啟用。 與之前的版本相比,我們還修復了導致顯示空白頁面的與虛擬化系統不兼容的問題。
  • 改進了背景選項卡的資源截斷。 此類選項卡不會再消耗超過 1% 的 CPU 資源,並且每分鐘最多只能激活一次。 在後台運行五分鐘後,選項卡將被凍結,但正在播放多媒體內容或錄製的選項卡除外。
  • 已恢復 User-Agent HTTP 標頭的統一工作。 在新版本中,為所有用戶激活了作為 User-Agent 替代品開發的 User-Agent Client Hints 機制的支持。 新機制意味著只有在服務器發出請求後,才會有選擇地返回有關特定瀏覽器和系統參數(版本、平台等)的數據,並讓用戶有機會有選擇地向網站所有者提供此類信息。 使用 User-Agent Client Hints 時,如果沒有顯式請求,默認情況下不會傳遞標識符,這使得被動識別成為不可能(默認情況下僅指定瀏覽器名稱)。
    更改了存在更新的指示以及需要重新啟動瀏覽器才能安裝它。 現在,帳戶頭像字段中不再顯示彩色箭頭,而是出現“更新”字樣。
  • 已經完成翻譯瀏覽器以使用包容性術語的工作。 在政策名稱中,“白名單”和“黑名單”一詞已被替換為“允許名單”和“阻止名單”(已添加的政策將繼續有效,但會為其顯示棄用警告)。 在代碼和文件名中,對“黑名單”的引用被替換為“黑名單”。 用戶可見的“黑名單”和“白名單”參考已於 2019 年初被替換。
    添加了編輯已保存密碼的實驗性功能,使用“chrome://flags/#edit-passwords-in-settings”標誌激活。
  • 移至穩定和公共的本機文件系統 API 類別,它允許您創建與本地文件系統中的文件交互的 Web 應用程序。 例如,基於瀏覽器的 IDE、文本編輯器、圖像編輯器和視頻編輯器可能需要新的 API。 為了能夠直接寫入和讀取文件或使用對話框打開和保存文件,以及瀏覽目錄內容,應用程序要求用戶進行特殊確認。
  • 添加了“:focus-visible”CSS 選擇器,它使用瀏覽器在決定是否顯示焦點更改指示器時使用的相同啟發式方法(使用鍵盤快捷鍵將焦點移動到按鈕會使指示器出現,但在用鼠標單擊時不會出現) ). 以前可用的“:focus” CSS 選擇器始終突出顯示焦點。 此外,“Quick Focus Highlight”選項已添加到設置中,啟用後,活動元素旁邊將顯示一個額外的焦點指示器,即使通過CSS。
  • 幾個新的 API 已添加到 Origin Trials 模式(需要單獨激活的實驗性功能)。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API,或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
  • WebHID API 用於低級別訪問 HID 設備(人機接口設備、鍵盤、鼠標、遊戲板、觸摸板),它允許您在 JavaScript 中實現使用 HID 設備的邏輯,以便在不存在的情況下組織與稀有 HID 設備的工作系統中的特定驅動程序。 首先,新的 API 旨在為遊戲手柄提供支持。
  • Screen Information API 擴展了 Window Placement API 以支持多屏幕配置。 與 window.screen 不同,新的 API 允許您在多顯示器系統的共享屏幕空間中操作窗口的放置,而不受當前屏幕的限制。
  • 節電元標記,網站可以通過該標記通知瀏覽器需要激活模式以降低功耗並優化 CPU 負載。
  • COOP 報告 API 報告潛在的違反跨源嵌入策略 (COEP) 和跨源開啟策略 (COOP) 鎖定的行為,而無需實際應用限制。
  • Credential Management API 提供了一種新的 PaymentCredential 憑證類型,可以對正在進行的支付交易提供額外的確認。 諸如銀行之類的依賴方能夠生成 PublicKeyCredential,商家可以請求該 PublicKeyCredential 以進行額外的安全支付確認。
  • 用於確定手寫筆傾斜度的 PointerEvents API * 添加了對高度角(手寫筆與屏幕之間的角度)和方位角(X 軸與手寫筆在屏幕上的投影之間的角度)的支持,而不是TiltX 和 TiltY 角度(觸控筆的平面與其中一個軸與 Y 軸和 Z 軸的平面之間的角度)。 還增加了高度/方位角和 TiltX/TiltY 之間的轉換功能。
  • 在協議處理程序中評估時更改了 URL 中的空格編碼 - navigator.registerProtocolHandler() 方法現在將空格替換為“%20”而不是“+”,這統一了與其他瀏覽器(如 Firefox)的行為。
  • 向 CSS 添加“::marker”偽元素以自定義塊中列表的顏色、大小、形狀和數字和點的類型和.
  • 添加了對 Document-Policy HTTP 標頭的支持,它允許您設置類似於 iframe 沙箱隔離機制的文檔訪問規則,但更通用。 例如,通過 Document-Policy,您可以限制低質量圖像的使用,禁用慢速 JavaScript API,配置加載 iframe、圖像和腳本的規則,限製文檔和流量的總大小,禁止導致頁面重繪,並禁用滾動到文本功能。
  • 到元素添加了對通過“display”CSS 屬性設置的“inline-grid”、“grid”、“inline-flex”和“flex”參數的支持。
  • 添加了 ParentNode.replaceChildren() 方法以將父節點的所有子節點替換為另一個 DOM 節點。 以前,您可以結合使用 node.removeChild() 和 node.append() 或 node.innerHTML 和 node.append() 來替換節點。
  • 擴展了允許使用 registerProtocolHandler() 覆蓋的 URL 方案的範圍。 方案列表包括 cabal、dat、did、dweb、ethereum、hyper、ipfs、ipns 和 ssb 去中心化協議,這些協議允許您定義指向元素的鏈接,而不管提供資源訪問的站點或網關如何。
  • 異步剪貼板 API 添加了對文本/html 格式的支持,用於通過剪貼板複製和粘貼 HTML(寫入和讀取剪貼板會清除危險的 HTML 結構)。 例如,這一變化允許網絡編輯組織插入和復制帶有圖像和鏈接的格式化文本。
  • WebRTC 添加了連接自己的數據處理程序的能力,這些處理程序在編碼或解碼 WebRTC MediaStreamTrack 的階段調用。 例如,此功能可用於添加對通過中間服務器傳輸的數據進行端到端加密的支持。
    Number.prototype.toString 的實現在 V8 JavaScript 引擎中快了 75%。 .name 屬性已添加到具有空值的異步類。 刪除了 Atomics.wake 方法,該方法曾經重命名為 Atomics.notify 以符合 ECMA-262 規範。 JS-Fuzzer 模糊測試工具的代碼已經發布。
  • 最新版本中包含的 WebAssembly 的 Liftoff 基線編譯器包括使用 SIMD 向量指令來加速計算的能力。 從測試來看,優化使某些測試的通過速度提高了 2.8 倍。 另一項優化可以顯著加快從 WebAssembly 調用導入的 JavaScript 函數的速度。
  • 為Web開發者擴展的工具:媒體面板中增加了用於在頁面上播放視頻的播放器的信息,包括事件數據、日誌、屬性值和幀解碼參數(例如,您可以確定幀的原因來自 JavaScript 的掉落和交互問題)。
  • 在元素面板的上下文菜單中,添加了為所選元素創建屏幕截圖的功能(例如,您可以創建目錄或表格的屏幕截圖)。
  • 在 Web 控制台中,問題警告面板已替換為常規消息,第三方 cookie 的問題默認隱藏在“問題”選項卡中,並通過特殊複選框啟用。
  • “禁用本地字體”按鈕已添加到渲染選項卡,它允許您模擬沒有本地字體,並且傳感器選項卡能夠模擬用戶不活動(對於使用空閒檢測 API 的應用程序)。
  • “應用程序”面板提供有關每個 iframe、打開的窗口和彈出窗口的詳細信息,包括使用 COEP 和 COOP 進行跨域隔離的數據。

已經開始用 IETF 規範中開發的版本替換 QUIC 協議的實現,而不是谷歌版本的 QUIC。
除了創新和錯誤修復外,新版本還修復了 35 個漏洞。 許多漏洞被識別為自動化測試工具 AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer 和 AFL 的結果。 一個漏洞(CVE-2020-15967,在與 Google Payments 交互的代碼中釋放內存訪問)被標記為嚴重,即允許您繞過所有級別的瀏覽器保護並在沙盒環境之外的系統上執行代碼。 作為當前版本漏洞賞金計劃的一部分,谷歌已經支付了 27 個價值 71500 美元的獎勵(一個 15000 美元獎勵、三個 7500 美元獎勵、五個 5000 美元獎勵、兩個 3000 美元獎勵、一個 200 美元獎勵和兩個 500 美元獎勵)。 13獎勵的數額尚未確定。

取自 opennet.ru

來源: linux.org.ru

添加評論