谷歌在iOS和Android上推出了更强大的密码保护的Chrome86,MacOS Big Sur的VP9视频编解码器,一系列新的开发者功能,以及更多

2020-10-07 15:12:42

谷歌今天发布了适用于Windows、Mac、Linux、Android和iOS的Chrome86。Chrome86为Android和iOS带来了密码保护,为MacOS Big Sur带来了VP9,为不安全的表单提供了自动升级,文件系统访问API,焦点指示器改进,以及一系列开发者功能。你现在可以使用Chrome的内置更新程序更新到最新版本,也可以直接从google.com/chrome下载。

Chrome拥有超过10亿用户,既是浏览器,也是网络开发者必须考虑的主要平台。事实上,对于Chrome的定期添加和更改,开发人员必须掌握所有可用的东西--以及已经弃用或移除的东西。例如,Chrome86不支持FTP URL,从1%的用户开始,到Chrome88达到100%。

Android和iOS版的Chrome现在会告诉你,你要求Chrome记住的密码是否被泄露了。Chrome会将你的用户名和密码的加密副本发送给谷歌,谷歌会将它们与已知被泄露的凭据列表进行核对。该公司声称,由于它们是加密的,谷歌无法看到你的用户名或密码。如果你有一个泄露的密码,Chrome会直接把你带到正确的“更改密码”表单。

如果有问题的网站设置了用于更改密码的众所周知的URL(如domain.com/change-password),则最后一部分起作用。URL的目的是将用户重定向到实际的更改密码页面。有关详细信息,请参阅“通过添加用于更改密码的知名URL帮助用户轻松更改密码”。

你不能单独做保安 新冠肺炎游戏安全报道,了解游戏最新攻击动向。访问此处。

谷歌今天还宣布,它计划将Chrome83中首次引入的安全检查功能引入移动设备。除了为你处理泄露的密码之外,安全检查还会标记谷歌的安全浏览服务是否已关闭,以及你的Chrome版本是否为最新版本。

Android版的Chrome86正在Google Play上缓慢推出。ChangeLog还不可用-它只声明“此版本包括稳定性和性能改进”。

然而,我们确实知道,Chrome for Android现在拥有谷歌增强的安全浏览功能,该公司今年早些时候将其引入Chrome桌面。安全浏览通过向Chrome、Firefox和Safari浏览器以及互联网服务提供商(ISP)提供包含恶意软件或网络钓鱼内容的URL列表来保护超过40亿台设备。增强的安全浏览功能更进一步,针对网络钓鱼、恶意软件和其他基于网络的威胁提供更主动和量身定制的保护。如果你打开它,Chrome会主动检查页面和下载是否有危险,方法是将页面和下载的信息发送到谷歌安全浏览(Google Safe Browsing)。

如果您已登录Chrome,增强的安全浏览功能将进一步保护您使用的Google应用程序(Gmail、Drive等)中的数据。“基于你在网络上遇到的威胁和针对你谷歌账户的攻击的整体视图。”谷歌表示,在那些能够实时检查网站和下载的用户中,其预测性钓鱼保护发现,在钓鱼网站上键入密码的用户数量下降了约20%。

同时,iOS版Chrome86在苹果的App Store上发布,并有通常的“稳定性和性能改进”。以下是完整的更改日志:

您可以检查您保存的密码是否已被泄露,如果已被泄露,则可以检查如何修复它们。转到Chrome设置&>密码&>>检查密码。

点击并按住“书签”、“历史记录”、“最近”选项卡和“稍后阅读”,您现在可以有更多的共享、打开和其他选项。

如果你打开了“更好地搜索和浏览”,Chrome将通过与谷歌实时检查已知的钓鱼网站来提供一些额外的保护。

谷歌还承诺,下一版Chrome for iOS将增加更多密码功能。在自动填写密码之前,将有一个生物识别身份验证步骤-您将能够使用面部ID、Touch ID或您的手机密码进行身份验证。

很快,您还可以将保存的登录详细信息自动填充到其他应用程序或浏览器中。

Chrome86将VP9视频编解码器带到MacOS Big Sur,只要底层硬件支持它。VP9是VP8的继任者,这两个版本都属于Google的WebM项目,该项目旨在将网络编解码器从版税限制中解放出来。

如果您使用Media Capability API来检测播放流畅度和电源效率,视频播放器中的逻辑应该会自动开始首选更高分辨率的VP9。为了充分利用这一功能,Google建议开发人员将他们的VP9文件编码为多种分辨率,以适应不同的用户带宽和连接。

谷歌一直在劝说开发人员避免使用HTTP,以使网络支持HTTPS。虽然Chrome用户在HTTPS上花费了超过90%的浏览时间,但谷歌还没有结束。Chrome79引入了一项解锁混合脚本、iframe和浏览器默认屏蔽的其他类型内容的设置。Chrome80开始自动升级HTTPS站点中的混合音频和视频资源,方法是在安全内容不可用时将URL重写为HTTPS,而不会退回到HTTP。Chrome81开始将混合图像自动升级到HTTPS。

Chrome86现在可以自动更新不安全提交数据的表单。适用于桌面和Android的Chrome在您提交嵌入HTTPS页面的不安全表单之前,会向您显示混合表单警告。Chrome86还将阻止或警告常见滥用文件类型的安全页面启动的不安全下载。安全页面最终只能启动任何类型的安全下载。

HTTPS是Internet上用于将用户连接到网站的HTTP协议的更安全版本。安全连接被广泛认为是降低用户易受内容注入(可能导致窃听、中间人攻击和其他数据修改)风险的必要措施。数据受到第三方的保护,用户可以更有信心地与正确的网站进行通信。

Google的最终目标是确保Chrome中的HTTPS页面只能加载安全的HTTPS子资源。如果您是希望清理混合内容的开发人员,请查看内容安全策略、灯塔和此HTTPS指南。

[$N/A][1127322]关键CVE-2020-15967:免费付款后使用。GitHub安全实验室满月莫2020-09-11报道。

[$N/A][1108299]高CVE-2020-15970:近场免费后使用。GitHub安全实验室满月莫2020-07-22报道。

[$N/A]高CVE-2020-15971:打印免费后使用。Microsoft浏览器漏洞研究(Microsoft Browser Vulnerability Research,2020-08-07)小津俊(Jun Kokatsu)报道

[$待定][1133671]高CVE-2020-15990:自动填充免费后使用。奇虎360 Alpha Lab荣健、广功2020-09-30报道。

[$待定][1133688]高CVE-2020-15991:在密码管理器中免费使用。奇虎360 Alpha Lab荣健、广功2020-09-30报道。

[1104103]中型CVE-2020-15974:闪烁中的整数溢出。由Theori的Juno Im(Junorouse)于2020-07-10报道。

[1123522]中型CVE-2020-15976:webxr免费后使用。Raon Whitehat的Young Joo Lee(@ashuu_lee)于2020-08-31报道。

[1083278]中型CVE-2020-6557:网络实施不当。马蒂亚斯·吉尔林斯(Matthias Gierling)和马库斯·布林克曼(Marcus Brinkmann)(NDS Ruhr-University Bochum)于2020-05-15报道。

[1097724]中型CVE-2020-15977:对话框中的数据验证不足。纳伦德拉·巴蒂(Narendra Bhati)报道(https://twitter.com/imnarendrabhati),2020年6月22日。

[1116280]中型CVE-2020-15978:导航数据验证不足。Luan Herrera(@lbherrera_)于2020-08-14报道。

[1127319]中型CVE-2020-15979:V8执行不当。由Avihay Cohen@SeraphicAlgorithms于2020-09-11报道

[1092453]中型CVE-2020-15980:意图政策执行不足。腾讯安全玄武实验室(腾讯安全玄武实验室)王永科(@Rudykewang)和阿里布1n(@aryb1n)于2020年6月8日报道。

[1123023]中型CVE-2020-15981:音频读取越界。克里斯托夫·古坦丁(Christoph Guttandin)于2020-08-28报道。

[1039882]中型CVE-2020-15982:缓存中的侧通道信息泄漏。栾赫雷拉(@lbherrera_)于2020-01-07报道。

[$N/A][1076786]中型CVE-2020-15983:WebUI中的数据验证不足。Microsoft浏览器漏洞研究2020-04-30,Jun Kokatsu报道。

[$N/A][1099276]中型CVE-2020-15985:闪烁时执行不当。阿卜杜勒拉赫曼·阿尔卡班迪报道,微软浏览器漏洞研究,2020-06-25。

[$N/A][1100247]中型CVE-2020-15986:介质中的整数溢出。谷歌零项目(Project Zero)马克·布兰德(Mark Brand)于2020-06-29报道。

[$N/A][1110195]中型云服务器-2020年-15992:网络策略执行不足。艾莉森·赫夫曼(Alison Huffman)报道,微软浏览器漏洞研究于2020-07-28。

因此,谷歌为此次发布花费了至少72,000美元的‬漏洞赏金,与其通常的支出相比,这是一个巨大的数字。一如既往,仅安全修复就足以激励您升级。

最初作为Origin试用版提供的文件系统访问API现在在Chrome86中可用。API允许开发人员构建功能强大的Web应用程序,这些应用程序可以与用户本地设备上的文件交互,例如IDE、照片和视频编辑器、文本编辑器等。

Chrome86为焦点指示器引入了两个改进,这对于依赖辅助技术浏览网络的用户来说是一个重要的功能。第一个是CSS选择器:Focus-Visible,它允许开发人员选择浏览器在决定是否显示默认焦点指示器时使用的相同启发式。第二个是名为Quick Focus Highlight的用户设置,该设置会使活动元素上方出现额外的焦点指示器。重要的是,即使页面禁用了带有CSS的焦点样式,此指示器也将可见,并且它会导致始终显示任何:Focus或:Focus-Visible样式。

Chrome提供Origin Trials,可以让你尝试新功能,并向网络标准社区提供反馈。Chrome86有五个新的Origin Trials:WebHID API、跨屏幕窗口放置、省电元标签、安全支付确认和跨地域开放策略报告API。

一如既往,Chrome86包含最新的V8JavaScript引擎。V8V8.6提供了更受尊重的代码基、开源的JS-Fuzzer、Number.Prototype.toString中的加速、启动时的SIMD以及更快的Wasm到JS调用。有关更多信息,请查看完整的ChangeLog。

PointerEvents v3的海拔和方位角:向PointerEvents添加海拔和方位角。将倾斜X和倾斜度添加到高度和方位角变换,将高度和方位角添加到倾斜X和倾斜变换,具体取决于设备中提供的对。这些角度是通常由设备测量的角度。高度和方位可以用三角法从倾角X,倾角计算出来。从硬件的角度来看,测量tiltX和tilty更容易,成本也更低。

自定义协议处理程序计算URL时更改空格字符的编码:Navigator.registerProtocolHandler()处理程序现在将空格替换为“%20”而不是“+”。这使得Chrome与其他浏览器(如Firefox)保持一致。

Css::mark伪元素:添加用于自定义<;ul>;和<;ol>;元素的数字和项目符号的伪元素。此更改允许开发人员控制颜色、大小、项目符号形状和数字类型。

Document-Policy Header:Document Policy在每个文档的基础上限制Web平台的外围应用,类似于IFRAME沙箱,但更灵活。

EME Persistent-Usage-Record Session:添加一个名为“Persistent-Usage-Record Session”的新MediaKeySessionType,对于该新MediaKeySessionType,许可证和密钥不会被持久保存,而当会话中可用的密钥被销毁时,密钥使用记录将被持久保存。此功能可帮助内容提供商了解如何将解密密钥用于欺诈检测等目的。

FetchEvent.Handled:调度给服务工作人员的FetchEvent位于加载管道中,这是性能敏感的。新的FetchEvent.handed属性返回一个承诺,该承诺在服务工作人员向其客户端返回响应时解析。这使服务人员可以延迟只能在响应完成后运行的任务。

HTMLMediaElement.presvesPitch:添加属性以确定在调整回放速率时是否应保留音频或视频元素的音调。此功能用于创造性目的(例如,“DJ DECK”风格应用程序中的音调变换)。它还可以防止在非常接近1.00的回放速度下从基音保持算法中引入伪影。Safari和Firefox已经支持它。

命令性阴影DOM分发API:Web开发人员现在可以显式设置为Slot元素分配的节点。有关新API如何解决这些问题的信息,请参阅命令性阴影DOM分发API解释器。

Move window.location.FramentDirective:window.location.FramentDirective属性已移动到document。FragmentDirective。这是对文本片段功能的更改。

<;fieldset>;元素的新显示值:<;fieldset>;元素现在支持CSS“display”属性的“inline-grid”、“grid”、“inline-flex”和“flex”关键字。

ParentNode.replaceChildren()方法:添加一个方法,将ParentNode的所有子节点替换为传入的节点。

用于注册的安全列表分布式Web方案ProtocolHandler():Chrome扩展了可以通过registerProtocolHandler()覆盖的URL方案列表,包括CABAL、DAT、DID、DWEB、Etherum、HYPER、IPFS、IPN和SSB。扩展列表以包括分散的Web协议允许独立于提供访问的网站或网关解析到通用实体的链接。有关更多信息,请参阅Are We Distributed中的可编程自定义协议处理程序?

对异步剪贴板API的text/html支持:异步剪贴板API目前不支持text/html格式。Chrome86增加了对从剪贴板复制和粘贴HTML的支持。HTML在被读取和写入剪贴板时被清理。这也是为了帮助替换用于复制和粘贴功能的Docent.execCommand()。

WebRTC Insertable Streams:允许在WebRTC MediaStreamTrack的编码和解码中插入用户定义的处理步骤。这允许应用程序插入自定义数据处理。这支持的一个重要用例是通过中间服务器在RTCPeerConnections之间传输的编码数据的端到端加密。

要全面了解新功能,请查看Chrome86里程碑热点列表。

谷歌大约每六周发布一次新版本的浏览器。Chrome87将于11月中旬上市。