Chrome 84 se entrega con cambios de cookies de SameSite, API de OTP web y API de animación web


Última oportunidad: regístrese para Transform, el evento de IA del año de VB, que tendrá lugar en línea del 15 al 17 de julio.


Google lanzó Chrome 84 para Windows, Mac, Linux, Android e iOS hoy. Chrome 84 continúa los cambios de cookies de SameSite, incluye la API de OTP web y la API de animación web, y elimina las versiones anteriores de Seguridad de la capa de transporte (TLS). Ahora puede actualizar a la última versión utilizando el Actualizador de Chrome incorporado o descargarlo directamente desde google.com/chrome. [196559003] Con más de mil millones de usuarios, Chrome es tanto un navegador como una plataforma importante que los desarrolladores web deben tener en cuenta. De hecho, con las adiciones y cambios regulares de Chrome, los desarrolladores deben realizar un seguimiento de todo lo que está disponible y de lo que está desactualizado o eliminado.

TLS 1.0 y TLS 1.1, que fueron desaprobados por primera vez con Chrome 81 en abril, ahora se eliminan por completo con Chrome 84. Esto es especialmente cierto para las personas que administran un sitio web, incluso si no usan Chrome en casa o en el trabajo. TLS es un protocolo criptográfico que proporciona seguridad de comunicación a través de una red informática. Los sitios web lo usan para asegurar toda la comunicación entre sus servidores y navegadores. TLS también tiene éxito en Secure Sockets Layer (SSL) y, por lo tanto, asume el cifrado de cada conexión HTTPS.

Chrome 84 llega tarde. Cuando llegó la crisis del virus de la corona, Google retrasó Chrome 81, omitió Chrome 82 en general y empujó a Chrome 83 algunas semanas. Microsoft siguió el cronograma de lanzamiento de Edge, que está en línea con el proyecto Chromium de código abierto de Google, en el que se basan tanto Chrome como Edge. Mozilla ahora se ha comprometido a no cambiar el calendario de lanzamiento de Firefox. Se lanza una nueva versión cada cuatro semanas.

Cambios en las cookies de SameSite

Chrome 51 se introdujo en mayo de 2016. El atributo SameSite, que permite a los sitios web declarar si las cookies están relacionadas con su contexto El sitio web (primera parte) debe estar restringido. La esperanza era que esto reduciría la falsificación de solicitudes de ubicaciones cruzadas (CSRF).

Chrome 80 comenzó a aplicar un nuevo sistema de clasificación de cookies seguro estándar que trataba las cookies sin un valor de SameSite declarado como SameSite = Lax cookies. Solo cookies como SameSite = None; Seguro está disponible en contextos de terceros si se accede a ellos a través de conexiones seguras. Sin embargo, debido a la crisis del virus corona, Google ha dejado de hacer cambios a las cookies de SameSite y planea reanudar la aplicación a finales de este verano. La aplicación de cookies de SameSite ahora se ha reanudado con un lanzamiento gradual para Chrome 80 y versiones posteriores en las próximas semanas.

Los siguientes comportamientos compatibles con versiones anteriores se han eliminado en Chrome 80 y versiones posteriores:

  • La configuración predeterminada del atributo SameSite en "Ninguno" no está permitida & # 39;: El atributo SameSite ahora es Lax por defecto, lo que significa que solo sus cookies están disponibles para otros sitios web a través de la navegación de nivel superior. Como se implementó originalmente en Chrome, el atributo SameSite es "Ninguno" de forma predeterminada. Esto era esencialmente el status quo de la web. Las cookies tienen casos válidos de uso entre sitios, pero si el propietario del sitio se negó previamente a permitir el uso de cookies entre sitios, no había forma de explicar o hacer cumplir tal intención.
  • Valor & # 39; Ninguno & # 39; ya no se permite contextos inseguros: Chrome ahora requiere que el atributo Seguro esté presente incluso si el atributo SameSite está establecido en Ninguno. El atributo seguro requiere que la cookie adjunta solo se pueda transferir utilizando un protocolo seguro como HTTPS.

Las cookies entre sitios que no tienen la configuración requerida se bloquean efectivamente.

Web OTP API y Web Animation API

  Web OTP API

Chrome 84 ejecuta la Web OTP API (anteriormente conocida como la API receptora de SMS referido a). Esta API ayuda a los usuarios a ingresar una contraseña de un solo uso (OTP) en un sitio web cuando se envía un mensaje SMS especialmente diseñado a su teléfono Android. Al verificar la propiedad de un número de teléfono, los desarrolladores suelen enviar una OTP por SMS, que el usuario debe ingresar manualmente (o copiar y pegar). El usuario debe cambiar a su aplicación de SMS nativa y volver a su aplicación web para ingresar el código. La API Web OTP permite a los desarrolladores ayudar a los usuarios a ingresar el código con un toque.

 API de animación web

Chrome 84 también utiliza la API de animación web, que brinda a los desarrolladores más control sobre la animación web. Se pueden usar para facilitar a los usuarios navegar en un área digital, recordar su aplicación o sitio web y dar consejos implícitos sobre cómo usar su producto. Partes de la API han existido durante algún tiempo, pero esta implementación brinda un mejor cumplimiento de las especificaciones y admite operaciones de composición que controlan cómo se combinan los efectos y muchos nuevos ganchos que permiten eventos intercambiables. La API también admite Promesas, que permiten la secuencia de animación y un mejor control sobre cómo interactúan las animaciones con otras funciones de la aplicación.

Android e iOS

Chrome 84 para Android tarda en iniciarse en Google Play. El registro de cambios aún no está disponible. Simplemente dice: "Esta versión contiene mejoras de estabilidad y rendimiento".

Chrome 84 para iOS ahora está disponible en la tienda de aplicaciones de Apple con las habituales "mejoras de estabilidad y rendimiento". Aquí está el registro completo de cambios:

  • Con nuestras nuevas funciones de Navegación segura, ahora está mejor protegido contra malware y phishing.
  • Chrome tiene mejor compatibilidad con mouse y trackpad en iPad.
  • Ahora puede compartir un sitio web creando y compartiendo un código QR. Primero, toca el ícono "Compartir" en la esquina superior derecha.
  • Puede encontrar sus descargas en la carpeta de descargas en el menú de Chrome o en la aplicación de archivos de su dispositivo.
  • Puede agregar apodos a sus tarjetas de pago guardadas en Chrome en su dispositivo. Agregue un apodo al guardar una nueva tarjeta o vaya a Configuración> Métodos de pago> Editar.

Correcciones de seguridad

Chrome 84 implementa 38 correcciones de seguridad. Investigadores externos encontraron lo siguiente:

  • [$TBD] [1103195] Crítico CVE-2020-6510: desbordamiento del búfer de almacenamiento dinámico durante la búsqueda de fondo. Reportado por Leecraso y Guang Gong de 360 ​​Alpha Lab en colaboración con 360 BugCloud el 2020-07-08
  • [$5000] [1074317] Alto CVE-2020-6511: Pérdida de información a través de canales secundarios en la política de seguridad de contenido. Informado por Mikhail Oblozhikhin el 24 de abril de 2020
  • [$5000] [1084820] Alto CVE-2020-6512: confusión tipo en V8. Informado por nocma, leogan, cheneyxu del equipo de seguridad de plataforma abierta de WeChat el 20 de mayo de 2020
  • [$2000] [1091404] Alto CVE-2020-6513: desbordamiento del búfer de almacenamiento dinámico en PDFium. Reportado por Aleksandar Nikolic de Cisco Talos el 4 de junio de 2020
  • [$TBD] [1076703] Alto CVE-2020-6514: Implementación inapropiada en WebRTC. Informado por Natalie Silvanovich de Google Project Zero el 30/04/2020
  • [$TBD] [1082755] Alto CVE-2020-6515: uso en tiras de pestañas después del uso gratuito. Informado por DDV_UA el 14/05/2020
  • [$TBD] [1092449] Alto CVE-2020-6516: Evasión de políticas en CORS. Reportado por Yongke Wang del Laboratorio Xuanwu de Tencent (xlab.tencent.com) el 8 de junio de 2018
  • [$TBD] [1095560] Alto CVE-2020-6517: Desbordamiento del búfer de almacenamiento dinámico en la historia. Reportado por ZeKai Wu (@hellowuzekai) de Tencent Security Xuanwu Lab el 16 de junio de 2020
  • [$3000] [986051] Medio CVE-2020-6518: Uso gratuito en herramientas para desarrolladores. Reportado por David Erceg el 20/07/2019
  • [$3000] [1064676] Medio CVE-2020-6519: Evasión de políticas en CSP. Reportado por Gal Weizman (@WeizmanGal) desde PerimeterX el 25/03/2020
  • [$1000] [1092274] Medio CVE-2020-6520: desbordamiento del búfer de almacenamiento dinámico en Skia. Reportado por Zhen Zhou del equipo de seguridad NSFOCUS el 8 de junio de 2020
  • [$500] [1075734] Medio CVE-2020-6521: Pérdida de información a través de canales laterales cuando se completa automáticamente. Reportado por Xu Lin (Universidad de Illinois en Chicago), Panagiotis Ilia (Universidad de Illinois en Chicago), Jason Polakis (Universidad de Illinois en Chicago) el 27 de abril de 2020
  • [$TBD] [1052093] Medio CVE-2020 -6522 : Implementación inapropiada en manejadores de protocolos externos. Reportado por Eric Lawrence de Microsoft el 13/02/2020
  • [$N/A] [1080481] Medio CVE-2020-6523: Escribiendo en Skia fuera de las fronteras. Reportado por Liu Wei y Wu Zekai de Tencent Security Xuanwu Lab el 8 de mayo de 2018
  • [$N/A] [1081722] Medio CVE-2020-6524: desbordamiento del búfer de almacenamiento dinámico en WebAudio. Reportado por Sung Ta (@ Mipu94) del Laboratorio SEFCOM, Universidad Estatal de Arizona el 2020-05-12
  • [$N/A] [1091670] Medio CVE-2020-6525: desbordamiento del búfer de almacenamiento dinámico en Skia. Informado por Zhen Zhou del equipo de seguridad NSFOCUS el 5 de junio de 2020
  • [$1000] [1074340] Bajo CVE-2020-6526: Implementación inadecuada en el entorno limitado de Iframe. Reportado por Jonathan Kingston el 24/04/2020
  • [$500] [992698] Bajo CVE-2020-6527: Inadecuada aplicación de políticas en CSP. Reportado por Zhong Zhaochen de andsecurity.cn el 10/08/2019
  • [$500] [1063690] Bajo CVE-2020-6528: Interfaz de usuario de seguridad incorrecta en autenticación básica. Reportado por Rayyan Bijoora el 22/03/2020
  • [$N/A] [978779] Bajo CVE-2020-6529: Implementación inapropiada en WebRTC. Reportado por kaustubhvats7 el 26/06/2019
  • [$N/A] [1016278] Bajo CVE-2020-6530: Acceso a la memoria fuera de los límites en las herramientas de desarrollador. Reportado por myvyang el 21/10/2019
  • [$TBD] [1042986] Bajo CVE-2020-6531: Pérdida de información debido a canales laterales al desplazarse al texto. Reportado por Jun Kokatsu, Investigación de Vulnerabilidad del Navegador Microsoft el 17/01/2020
  • [$N/A] [1069964] Bajo CVE-2020-6533: Confusión de tipo en V8. Reportado por Avihay Cohen @ SeraphicAlgorithms el 11/04/2020
  • [$N/A] [1072412] Bajo CVE-2020-6534: Desbordamiento del búfer de almacenamiento dinámico en WebRTC. Reportado por Anónimo el 20/04/2020
  • [$TBD] [1073409] Bajo CVE-2020-6535: Validación de datos inadecuada en la WebUI. Reportado por Jun Kokatsu, Investigación de Vulnerabilidad del Navegador Microsoft el 22/04/2020
  • [$TBD] [1080934] Bajo CVE-2020-6536: Interfaz de usuario de seguridad incorrecta en PWAs. Reportado por Zhiyang Zeng del Departamento de Plataforma de Seguridad de Tencent el 9 de mayo de 2020
  • [1105224] Varias soluciones de auditorías internas, borradores y otras iniciativas

Google gastó al menos $ 21,500 en recompensas de errores para esta versión. Como siempre, las actualizaciones de seguridad por sí solas deberían ser un incentivo para que actualices.

Características del desarrollador

Chrome ofrece Pruebas de origen para probar nuevas características y proporcionar comentarios sobre usabilidad, practicidad y efectividad a la comunidad de estándares web. Chrome 84 tiene cuatro nuevas versiones de prueba de Origin: Cookie Store API, Idle Detection, Origin Isolation y WebAssembly-SIMD. Además, se han completado dos versiones de prueba de Origin y ahora están habilitadas de forma predeterminada: API de indexación de contenido y API de Wake Lock basadas en promesas.

Como siempre, Chrome 84 incluye el último motor V8 JavaScript. La versión 8.4 de V8 trae mejoras a WebAssembly: mejor tiempo de inicio, mejor depuración y la versión de prueba SIMD Origin. También hay nuevas funciones de JavaScript: referencias débiles y finalizadores, así como métodos y accesores privados. Para obtener más información, consulte el registro de cambios completo.

Otras características del desarrollador en esta versión incluyen:

  • Accesos directos a aplicaciones: para respaldar la productividad del usuario y facilitar la reintegración en tareas importantes, Chrome ahora admite accesos directos a aplicaciones en Android. Dan a los desarrolladores web acceso rápido a un puñado de acciones comunes que los usuarios a menudo necesitan. Para los sitios web que ya son aplicaciones web progresivas, todo lo que necesita hacer es agregar elementos al manifiesto de la aplicación web para crear enlaces.
  • Contenido mixto de imágenes mixtas: "Contenido mixto" es cuando una página HTTPS carga contenido como scripts o imágenes sobre HTTP inseguro. Hasta ahora, se permitía cargar imágenes mixtas, pero el símbolo de bloqueo se eliminó y se reemplazó con un chip no seguro de Chrome 80. Esto ha sido confuso y no ha impedido suficientemente a los desarrolladores cargar contenido inseguro que compromete la confidencialidad e integridad de los datos del usuario. A partir de Chrome 84, el contenido de las imágenes mixtas se actualiza a https y las imágenes se bloquean si no se pueden cargar después de la actualización. Se espera la actualización automática de contenido mixto de audio y video en una versión futura.
  • Bloquear descargas inseguras desde contextos seguros (HTTPS): Chrome tiene la intención de bloquear descargas inseguras desde contextos seguros ("Descargas de contenido mixto"). Una vez descargado, un archivo malicioso puede omitir todas las protecciones que Chrome ha implementado. Además, Chrome no advierte ni puede advertir a los usuarios degradando los indicadores de seguridad en sitios seguros que inician descargas inseguras porque no sabe de manera confiable si una acción iniciará una descarga insegura hasta que se realice la solicitud. Las advertencias visibles para el usuario comenzarán en Chrome 84 en el escritorio, y se planea bloquear completamente las descargas inseguras en Chrome 88. En Android, las advertencias solo se muestran en Chrome 85.
  • ReportingObserver on Workers: la API ReportingObserver agregada en Chrome 69 proporciona una función de devolución de llamada de JavaScript que se llama en respuesta a las devaluaciones y las intervenciones del navegador. El informe puede guardarse, enviarse al servidor o procesarse con cualquier JavaScript. Esta función está destinada a proporcionar a los desarrolladores una mejor visión del funcionamiento de sus sitios web en dispositivos reales. A partir de Chrome 84, esta API está disponible para los trabajadores.
  • Resize Observer: La API Resize Observer se ha actualizado para cumplir con las especificaciones actuales. ResizeObserverEntry tiene tres nuevas propiedades: contentBoxSize borderBoxSize y devicePixelContentBoxSize para proporcionar información más detallada sobre la función DOM observada. Esta información se devuelve en una matriz de objetos ResizeObserverSize que también son nuevos.
  • Palabra clave "Restablecer": la palabra clave "Restablecer" restablece el estilo de un elemento a la configuración predeterminada del navegador.
  • Propiedad CSS de apariencia no fija: una versión no fija de la apariencia del kit web ahora está disponible en CSS como apariencia .
  • Propiedad CSS de posición de rubí no fija: la propiedad posición de rubí ahora es compatible
    en Chrome. Esta es una versión indefinida de -webkit-ruby-position que controla la posición de una anotación Ruby. Esta propiedad tiene tres valores posibles: sobre bajo y entre caracteres pero Chrome solo implementó los dos primeros. Este cambio conduce a la paridad de características con Firefox.
  • Web Authenticator API: soporte de iframe de origen cruzado: agrega soporte para llamadas de autenticación web a iframes de origen cruzado cuando está habilitado por una política de características. Esto pone a Chrome en línea con la especificación de Nivel de autenticación web 2.

Para obtener una visión general completa de las novedades, consulte la lista activa de hitos de Chrome 84.

Google ahora debería lanzar una nueva versión de su navegador cada seis años durante semanas más o menos. Chrome 85 llegará a mediados de agosto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *