谷歌 網絡瀏覽器發布 。 同時地 免費項目的穩定發布 ,這是 Chrome 的基礎。 Chrome 瀏覽器 Google 徽標的使用、出現崩潰時發送通知的系統、按需下載 Flash 模塊的能力、播放受保護視頻內容 (DRM) 的模塊、自動更新系統和搜索傳輸 。 Chrome 87 的下一個版本計劃於 17 月 XNUMX 日發布。
:
- 新增了針對在透過 HTTPS 載入但透過 HTTP 發送資料的頁面上不安全提交輸入表單的保護,這會在 MITM 攻擊期間造成資料攔截和欺騙的威脅。 保護歸結為三個變化:
- 任何混合輸入表單的自動填寫已被停用,類似於在透過 HTTP 開啟的頁面上自動填寫身份驗證表單已停用相當長一段時間的情況。 如果先前停用的標誌是透過 HTTPS 或 HTTP 開啟帶有表單的頁面,那麼現在還會考慮在將資料傳送到表單處理程序時使用加密。 用於混合形式驗證的密碼管理器不會被停用,因為使用不安全密碼和在不同網站上重複使用密碼的風險超過了潛在流量攔截的風險。
- 當開始以混合形式輸入時,會顯示一條警告,通知用戶完整的資料正在透過未加密的通訊通道發送。
- 當您嘗試提交混合表單時,會顯示一個單獨的頁面,通知您透過未加密的通訊通道傳輸資料的潛在風險。 在先前的版本中,網址列中的掛鎖指示器用於指示混合形式,但這種標記對使用者來說並不明顯,並不能有效反映所涉及的風險。
- 阻塞 透過阻止不安全載入檔案(zip、iso 等)並顯示不安全載入警告來補充可執行檔(未加密)
文檔(docx、pdf 等)。 下一版本預計會出現針對圖像、文字和媒體文件的文件封鎖和警告。 之所以實施阻止,是因為下載未加密的檔案可用於透過在 MITM 攻擊期間取代內容來執行惡意操作。 - 預設上下文選單顯示「始終顯示完整 URL」選項,以前需要更改 about:flags 頁面上的設定才能啟用。 雙擊網址列也可以查看完整的 URL。 讓我們回想一下,從 預設情況下,位址開始顯示,不帶協定和 www 子網域。 在 返回舊行為的設定已被刪除,但在用戶不滿意之後 新增了一個新的實驗性標誌,該標誌在上下文功能表中新增了一個選項,以停用在任何情況下隱藏和顯示完整 URL。
- 針對一小部分用戶推出 上 預設情況下,網址列僅包含網域,不包含路徑元素和查詢參數。 例如,它將顯示“example.com”,而不是“https://example.com/secure-google-sign-in/”。 預計該模式將在下一版本中提供給所有使用者。 若要停用此行為,您可以使用「始終顯示完整 URL」選項,並且要查看整個 URL,您可以按一下網址列。 更改的動機是希望保護用戶免受操縱URL 中參數的網路釣魚- 攻擊者利用用戶的注意力不集中來創建打開另一個站點並實施欺詐行為的假象(如果此類替換對於技術能力強的用戶來說是顯而易見的) ,那麼沒有經驗的人很容易被這種簡單的操作所迷惑)。
- 恢復 刪除 FTP 支援。 在 Chrome 86 中,大約 1% 的用戶預設為停用 FTP,在 Chrome 87 中停用範圍將增加到 50%,但可以使用「--enable-ftp」或「-」恢復支援-enable-features=FtpProtocol」標誌。 在 Chrome 88 中,FTP 支援將會完全停用。
- 在 Android 版本中,與桌面系統版本類似,密碼管理器會根據受損帳戶的資料庫檢查已儲存的登入名稱和密碼,如果偵測到問題或嘗試使用簡單密碼,則會顯示警告。 該檢查是針對一個資料庫進行的,該資料庫涵蓋了洩漏的用戶資料庫中出現的超過 4 億個受損帳戶。 為了維護隱私 雜湊前綴在用戶端進行驗證,密碼本身及其完整雜湊值不會向外傳輸。
- 也有 Android 版本 「安全檢查」按鈕和針對危險網站的增強保護模式(增強安全瀏覽)。 「安全性檢查」按鈕顯示可能的安全性問題的摘要,例如使用洩漏的密碼、檢查惡意網站(安全性瀏覽)的狀態、是否存在已卸載的更新以及惡意加載項的識別。 進階防護模式會啟動額外的檢查,以防止網路釣魚、惡意活動和其他網路威脅,並且還包括對您的 Google 帳戶和 Google 服務(Gmail、雲端硬碟等)的額外保護。 如果在正常的安全瀏覽模式下,檢查是使用定期載入到客戶端系統上的資料庫在本地執行的,那麼在增強的安全瀏覽模式下,有關頁面和下載的資訊會即時傳送到Google 端進行驗證,這樣您就可以快速回應發現威脅後立即處理,而無需等到本地黑名單更新。
- 支援「.well-known/change-password」指示文件,網站擁有者可以使用該文件指定用於變更密碼的 Web 表單的位址。 如果使用者的憑證遭到洩露,Chrome 現在將立即根據此文件中的資訊提示使用者填寫密碼變更表單。
- 實施了一個新的“安全提示”警告,當打開域與另一個站點非常相似的站點並且啟發式顯示存在欺騙的可能性很高時(例如,打開 goog0le.com 而不是 google.com)。
- 支援後退緩存,當使用「後退」和「前進」按鈕或瀏覽目前網站先前查看的頁面時,它可以提供即時導航。 使用 chrome://flags/#back-forward-cache 設定啟用快取。
- 對windows CPU資源消耗進行了最佳化
超出範圍。 Chrome 會檢查瀏覽器視窗是否與其他視窗重疊,並防止在重疊區域繪製像素。 這項優化是在 Chrome 84 和 85 中為一小部分用戶啟用的,現在已在所有地方啟用。 與先前的版本相比,與虛擬化系統不相容導致出現空白頁的問題也得到了解決。 - 改進了背景選項卡的資源截斷。 此類選項卡不會再消耗超過 1% 的 CPU 資源,並且每分鐘最多只能激活一次。 在後台運行五分鐘後,選項卡將被凍結,但正在播放多媒體內容或錄製的選項卡除外。
- 從事於 HTTP 標頭用戶代理程式。 新版本中,為所有用戶啟動了對該機制的支持 ,作為 User-Agent 的替代品而開發。 新機制僅在伺服器發出請求後選擇性地傳回有關特定瀏覽器和系統參數(版本、平台等)的數據,並讓使用者有機會有選擇地向網站所有者提供此類資訊。 使用 User-Agent Client Hints 時,如果沒有明確請求,預設不會傳輸標識符,這使得被動識別無法實現(預設情況下,僅指示瀏覽器名稱)。
- 更改了存在更新的指示以及需要重新啟動瀏覽器才能安裝它。 現在,帳戶頭像字段中不再顯示彩色箭頭,而是出現“更新”字樣。
- 已經開展了將瀏覽器轉換為使用包容性術語的工作。 在策略名稱中,「白名單」和「黑名單」已替換為「允許名單」和「封鎖名單」(已新增的策略將繼續有效,但會顯示有關已棄用的警告)。 在 и 對「黑名單」的提及已替換為「封鎖名單」。
用戶可見的「黑名單」和「白名單」引用已於 2019 年初被替換。 - 添加了編輯已保存密碼的實驗性功能,使用“chrome://flags/#edit-passwords-in-settings”標誌激活。
- 轉換為穩定的公共 API ,它允許您建立與本機檔案系統中的檔案互動的 Web 應用程式。 例如,基於瀏覽器的整合開發環境、文字、圖像和影片編輯器可能需要新的 API。 為了能夠直接寫入和讀取文件或使用對話方塊開啟和保存文件以及瀏覽目錄內容,應用程式要求使用者進行特殊確認。
- 新增了 CSS 選擇器“”,它使用瀏覽器在決定是否顯示焦點更改指示器時使用的相同啟發式(當使用鍵盤快捷鍵將焦點移動到按鈕時,指示器出現,但當用滑鼠單擊時,它不會出現) 。 以前可用的 CSS 選擇器“:focus”始終突出顯示焦點。
此外,「快速焦點突出顯示」選項已添加到設定中,啟用後,活動元素旁邊將顯示一個額外的焦點指示器,即使在頁面上禁用視覺突出顯示焦點的樣式元素,該指示器仍然可見。 CSS 。 - 幾個新的 API 已添加到 Origin Trials 模式(需要單獨激活的實驗性功能)。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API,或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
- 用於對HID 裝置(人機介面裝置、鍵盤、滑鼠、遊戲手把、觸控板)進行低階訪問,讓您在JavaScript 中實現使用HID 裝置的邏輯,以便在不存在特定驅動程式的情況下組織使用罕見的HID 設備在系統中。
首先,新的API旨在提供對遊戲手把的支援。 - ,擴展了Window Placement API以支援多螢幕配置。 與 window.screen 不同,新的 API 允許您在多顯示器系統的整個螢幕空間中操縱視窗的位置,而不必局限於當前螢幕。
- 元標籤 ,網站可以通知瀏覽器需要啟動模式以降低功耗和最佳化 CPU 負載。
- API 報告可能違反隔離規定的行為 (COEP)和 (COOP),沒有施加實際限制。
- 在API中 已提出一種新型憑證 ,提供正在執行的支付交易的額外確認。 依賴方(例如銀行)能夠產生公鑰(PublicKeyCredential),商家可以請求該公鑰來進行額外的安全支付確認。
- 用於對HID 裝置(人機介面裝置、鍵盤、滑鼠、遊戲手把、觸控板)進行低階訪問,讓您在JavaScript 中實現使用HID 裝置的邏輯,以便在不存在特定驅動程式的情況下組織使用罕見的HID 設備在系統中。
- 在API中 為了確定手寫筆的傾斜度,添加了對高度角(手寫筆與屏幕之間的角度)和方位角(X 軸與手寫筆在屏幕上的投影之間的角度)的支持,而不是 TiltX 和TiltY角度(觸筆與其中一根軸的平面與Y 軸和Y 軸Z 的平面之間的角度)。 也增加了高度/方位角和TiltX/TiltY之間的轉換功能。
- 在協議處理程序中評估時更改了 URL 中的空格編碼 - navigator.registerProtocolHandler() 方法現在將空格替換為“%20”而不是“+”,這統一了與其他瀏覽器(如 Firefox)的行為。
- 新增CSS偽元素“”,它允許您自訂區塊中清單的數字和點的顏色、大小、形狀和類型和。
- 新增了 HTTP 標頭支持 , 存取文件的規則,類似於iframe的沙箱隔離機制,但更通用。 例如,透過Document-Policy您可以限制使用低品質影像,停用慢速JavaScript API,配置載入iframe、影像和腳本的規則,限制整體文件大小和流量,禁止導致頁面重繪的方法,停用功能 .
- 至元素 新增了透過「display」CSS 屬性設定的「inline-grid」、「grid」、「inline-flex」和「flex」參數的支援。
- 添加方法 用另一個 DOM 節點取代父節點的所有子節點。 以前,您可以使用node.removeChild() 和node.append() 或node.innerHTML 和node.append() 的組合來取代節點。
- 允許使用 registerProtocolHandler() 覆蓋的 URL 方案範圍。 方案清單包括去中心化協定 cabal、dat、did、dweb、ethereum、hyper、ipfs、ipns 和 ssb,它允許您定義元素的鏈接,無論提供資源存取的網站或網關如何。
- 在API中 增加了對 text/html 格式的支持,用於透過剪貼簿複製和貼上 HTML(寫入和讀取剪貼簿時會清除危險的 HTML 結構)。 例如,此變更可讓您在 Web 編輯器中組織帶有圖像和連結的格式化文字的插入和複製。
- 在WebRTC中 連接在 WebRTC MediaStreamTrack 的編碼或解碼階段調用的您自己的資料處理程序的能力。 例如,此功能可用於新增對透過中間伺服器傳輸的資料的端對端加密的支援。
- 在 JavaScript 引擎 V8 中提高了 75% Number.prototype.toString 的實作。 在具有空值的非同步類別中新增了 .name 屬性。 Atomics.wake 方法已被刪除,該方法一度被重新命名為 Atomics.notify 以符合 ECMA-262 規範。 模糊測試工具包程式碼開放 .
- 上一版本中發布的 WebAssembly 的 Liftoff 基線編譯器包括使用向量指令的功能 以加快計算速度。 從測試來看,優化使得某些測試速度提高了2.8倍。 另一項最佳化使得從 WebAssembly 呼叫匯入的 JavaScript 函數變得更快。
- Web開發人員工具:媒體面板添加了頁面上用於播放視頻的播放器的信息,包括事件資料、日誌、屬性值和幀解碼參數(例如,您可以確定幀丟失和交互問題的原因)來自JavaScript) 。
在「元素」面板的上下文功能表中,新增了建立所選元素的螢幕截圖的功能(例如,您可以建立目錄或表格的螢幕截圖)。
在 Web 控制台中,問題警告面板已替換為常規訊息,且第三方 Cookie 的問題預設隱藏在「問題」標籤中,並透過特殊複選框啟用。
“禁用本地字體”按鈕已添加到渲染選項卡,它允許您模擬沒有本地字體,並且傳感器選項卡能夠模擬用戶不活動(對於使用空閒檢測 API 的應用程序)。
應用程式面板提供有關每個 iframe、打開的視窗和彈出視窗的詳細信息,包括有關使用 COEP 和 COOP 進行跨來源隔離的資訊。
- 協議實現替換 IETF 規範中開發的選項,而不是 Google QUIC 選項。
除了創新和錯誤修復外,新版本還消除了 . 許多漏洞是通過自動化測試工具識別出來的 , , , и 。 一個漏洞(CVE-2020-15967,存取與 Google Payments 互動的程式碼中釋放的記憶體)被標記為嚴重漏洞,即允許您繞過所有層級的瀏覽器保護並在沙箱環境以外的系統上執行程式碼。 作為為當前版本的漏洞提供現金獎勵計劃的一部分,Google 支付了27 個價值71500 美元的獎勵(15000 個7500 美元獎勵、5000 個3000 美元獎勵、200 個500 美元獎勵、13 個XNUMX 美元獎勵、XNUMX 個XNUMX 美元獎勵和XNUMX 個XNUMX 美元獎勵)。 XNUMX項獎勵的金額尚未確定。
來源: opennet.ru