谷歌本周将Chrome更新为76版,修补了43个安全漏洞并且默认了关闭Flash的承诺。该公司支付了28,000美元 - 比上一个周期的三倍多 - 在向六位研究人员报告其中一些漏洞的漏洞奖励中。其中五个漏洞被评为“高”,这是谷歌四步收视率中第二严重的类别,其中一个为其发现者支付了10,000美元,另一个获得了6000美元。没有人被评为“严重”,是最重要的威胁。
由于Chrome会在后台进行更新,因此大多数用户只需重新启动浏览器即可完成升级。要手动更新,请从右上方垂直省略号下的“帮助”菜单中选择“关于Google Chrome”; 生成的选项卡显示浏览器已更新或显示下载过程,然后再显示“重新启动”按钮。Chrome新手?从这里下载适用于Windows,macOS和Linux的最新版本。
Chrome之前的最后一个反Flash步骤完全取消了它
随着版本76的首次亮相,浏览器默认禁用Flash,Chrome状态将保持不变,直到所有支持都在2020年末被淘汰。
需要插件的网站将显示“缺少拼图”符号和消息“Adobe Flash Player被阻止”。如果没有进入“设置”,用户将无法运行Flash。在“设置”>“高级”>“隐私和安全”>“站点设置”>“闪存”>“首先询问”(最后通过从运行Flash的块站点切换交换机(推荐))重新启用Flash后,Chrome用户可以再次运行Flash并显示Flash内容,但只有通过点击授权后。
注意:在Chrome中管理Flash的IT设置组策略不受版本76更改的影响。谷歌表示,你仍然可以使用DefaultPluginsSetting,PluginsAllowedForUrls和PluginsBlockedForUrls控制Flash行为。
Chrome现在领先第二名浏览器Mozilla的Firefox,以转向Flash。(唯一的浏览器,Apple的Safari,自2010年以来一直是反闪存,当时Cupertino告诉用户自己获取Flash。)
谷歌通过之前提出的“信息棒”获得了通过。如果用户通过“设置”手动重新启动Flash,则会显示信息栏,警告该插件在2020年12月之后根本不受支持。它还提供了有关禁令的更多信息的链接。
目前,Chrome将完全支持Flash版本87,该版本将于2020年12月首次亮相。
Chrome在隐身模式漏洞上猛击门
Chrome 76还关闭了一些漏洞,一些网站正在利用这个漏洞来关闭那些试图超过文章计数器的用户。
许多带付费墙的网站 - “纽约时报”一个 - 让访问者可以免费查看x个故事,这是一种展示墙后内容质量的方法。达到该计数后,访问被阻止。浏览器的隐私模式,包括Chrome的隐身模式,是读者“重置”计量表并阅读超过分配数量的文章的一种方式。
当然,网站发布商已进入隐私模式策略,并在Chrome中监控在隐身模式下自动停用的API。如果对API的调用返回错误 - 就像API关闭时那样 - 该站点假定访问者处于隐私模式,然后阻止他们阅读。
两周前,谷歌宣布它正在关闭网站通过API嗅探隐身模式的能力。谷歌新闻和网络合作伙伴组织的经理Barb Palser在一篇公司博客的帖子中承诺,“Chrome同样可以解决任何其他当前或未来的隐身模式检测手段。”
她还为使用API检测故事数量scofflaws的网站发布者提供了建议。“希望阻止计量规避的网站有一些选项,例如减少有人在登录前可以查看的免费文章数量,要求免费注册以查看任何内容或加强他们的付费墙,”Palser写道。“其他网站提供更宽大的米,以此来发展潜在用户之间的亲和力,认识到有些人总会寻找解决方法。”
网站出版商可以通过Palser的未经请求的建议来解释微风,看看Google的商业模式与大多数网站的对立面如何。
PWA不是你吐的声音
作为推动Progressive Web Apps(PWA)的又一部分,这些独立于平台的应用程序与标准桌面应用程序非常相似,Chrome 76简化了安装。
如果分发网站符合PWA安装标准,Chrome现在会在地址栏的右边缘显示一个小图标; 单击该图标将启动PWA安装过程。通过将PWA的可用性放在首位,谷歌希望提高对该标准的认识。
在桌面上,通常没有迹象表明用户可以安装Progressive Web App,如果是,则安装流程隐藏在三点式菜单中,”Google开发人员倡导者Pete LePage在6月份的一份文件中写道。。“我们通过向地址栏添加安装按钮,让用户更容易在桌面上安装Progressive Web Apps。”
(毫不奇怪,Chrome是PWA的巨大助推器;谷歌创造了这个词。)
仅限企业用户
Chrome 76的一些补充和改进仅适用于管理浏览器的组织。
在此版本中,私有托管的Chrome插件 - 换句话说,不在Chrome网上应用店电子市场中的插件 - 必须与CRX3格式打包在一起。(先前格式CRX2使用SHA1加密哈希函数来保护扩展更新;但是,CRX2的SHA1在技术上可能会被破坏,可能会使拦截互联网更新的攻击者以一种方式将恶意代码注入到添加中在刷新。)
“如果您的组织强行安装以CRX2格式打包的托管在Chrome网上应用店外的私有托管扩展程序或第三方扩展程序,则扩展程序将停止在Chrome 76中进行更新,新扩展程序的安装将失败,”Google警告。
Chrome 76还使IT员工无法使用群组政策退出2007年推出的版本63的网站隔离技术。一年前,Google为绝大多数Chrome用户启用了网站隔离功能。
但由于网站隔离影响了Chrome的性能,谷歌已经让管理浏览器的企业禁用了防御技术。现在已经结束了。
“从Chrome 76开始,我们将删除使用SitePerProcess或IsolateOrigins政策在桌面上选择退出网站隔离的功能,”Google宣布。此更改仅适用于桌面Chrome,包括Chrome操作系统; 在Android上,可以继续使用类似的SitePerProcessAndroid和IsolateOriginsAndroid策略来关闭站点隔离。
Google还为企业IT 创建了新的Chrome政策列表。值得注意的是,该列表可以通过平台 - macOS,Windows,Android等 - 以及Chrome版本进行过滤。
Chrome的下一次升级版本77应该会在9月10日左右到达用户。
