谷歌本周将Chrome更新到了76版,修复了43个安全漏洞,并默认了关闭Flash的承诺。该公司支付了28000美元,是上一个周期的三倍多,作为向六名研究人员报告其中一些漏洞的漏洞奖。五个漏洞被评为“高”,这是谷歌四步评级中第二严重的类别。一个为发现者支付了1万美元,另一个得到了6000美元。没有人被评为“严重”,这是最重要的威胁。
由于Chrome将在后台更新,大多数用户只需重启浏览器即可完成升级。要手动更新,请从右上角垂直省略号下的“帮助”菜单中选择“关于谷歌Chrome”;生成的选项卡显示浏览器已更新或显示下载过程,然后显示重启按钮。Chrome新手?从这里下载最新版本的Windows、macOS和Linux。
Chrome最后的反Flash步骤完全取消了它。
随着76版的登场,浏览器默认禁用Flash,Chrome状态将保持不变,直到2020年底取消所有支持。
需要插件的网站会显示“缺失拼图”的符号和“Adobe Flash Player被屏蔽”的消息。如果不输入设置,用户将无法运行闪存。在设置、高级、隐私和安全、站点设置、闪存、询问优先(最后,通过从运行闪存的块站点切换开关(推荐))中重新启用闪存后,Chrome用户可以再次运行闪存并显示闪存内容,但必须在单击授权后。
注意:在Chrome中管理Flash的IT设置组策略不受版本76中更改的影响。谷歌表示,你仍然可以使用DefaultPluginsSetting、PluginsAllowedForUrls和PluginsBlockedForUrls来控制Flash行为。
Chrome现在领先于第二款浏览器Mozilla的Firefox,转向Flash。(唯一的浏览器,苹果的Safari,从2010年Cupertino告诉用户获取flash开始就一直反闪。)
谷歌通过了之前提出的“信息棒”。如果用户通过设置手动重启Flash,将显示一个信息栏,警告2020年12月以后将完全不支持该插件。它还提供了更多禁令信息的链接。
目前Chrome将全面支持Flash版本,将于2020年12月登场。
Chrome利用隐形模式漏洞把门关上。
Chrome 76还关闭了一些漏洞,一些网站正在利用这些漏洞关闭试图超过文章计数器的用户。
很多有付费墙的网站——“纽约时报”——允许访问者免费观看X故事,这是一种展示墙后内容质量的方式。当达到该计数时,访问被阻止。浏览器的隐私模式,包括Chrome的隐形模式,是读者“重置”血糖仪,阅读超过分配数量的文章的一种方式。
当然,网站发布者已经进入隐私模式策略,并在Chrome中监控在隐形模式下自动停用的API。如果对应用编程接口的调用返回错误——就像应用编程接口关闭时一样——网站会假设访问者处于私有模式,然后阻止他们阅读。
两周前,谷歌宣布将关闭其网站通过API嗅探隐形模式的功能。谷歌新闻和网络合作伙伴组织经理Barb Palser在公司博客文章中承诺,“Chrome还可以解决任何其他当前或未来的隐形模式检测手段。”
她还向那些利用API检测故事数量的藐视法律的网站发布者提供了建议。Palser写道:“想要防止计量规避的网站有一些选择,比如减少某人在登录前可以查看的免费文章数量,要求免费注册才能查看任何内容,或者加强他们的付费墙。“其他网站提供更广泛的大米,以发展潜在用户之间的亲和力,并意识到有些人会一直寻找解决方案。”
网站出版商可以利用帕尔瑟主动提供的建议来解释这种微风,看看谷歌的商业模式是如何与大多数网站相对立的。
PWA不是你呕吐的声音。
作为推广Progressive Web Apps(PWA)的另一部分,这些独立于平台的应用程序与标准桌面应用程序非常相似,Chrome 76简化了安装。
如果发行网站符合PWA安装标准,Chrome现在会在地址栏右边缘显示一个小图标;单击此图标将启动PWA安装过程。用PWA。
的可用性放在首位,谷歌希望提高对该标准的认识。在桌面上,通常没有迹象表明用户可以安装Progressive Web App,如果是,则安装流程隐藏在三点式菜单中,”Google开发人员倡导者Pete LePage在6月份的一份文件中写道。。“我们通过向地址栏添加安装按钮,让用户更容易在桌面上安装Progressive Web Apps。”
(毫不奇怪,Chrome是PWA的巨大助推器;谷歌创造了这个词。)
仅限企业用户
Chrome 76的一些补充和改进仅适用于管理浏览器的组织。
在此版本中,私有托管的Chrome插件 - 换句话说,不在Chrome网上应用店电子市场中的插件 - 必须与CRX3格式打包在一起。(先前格式CRX2使用SHA1加密哈希函数来保护扩展更新;但是,CRX2的SHA1在技术上可能会被破坏,可能会使拦截互联网更新的攻击者以一种方式将恶意代码注入到添加中在刷新。)
“如果您的组织强行安装以CRX2格式打包的托管在Chrome网上应用店外的私有托管扩展程序或第三方扩展程序,则扩展程序将停止在Chrome 76中进行更新,新扩展程序的安装将失败,”Google警告。
Chrome 76还使IT员工无法使用群组政策退出2007年推出的版本63的网站隔离技术。一年前,Google为绝大多数Chrome用户启用了网站隔离功能。
但由于网站隔离影响了Chrome的性能,谷歌已经让管理浏览器的企业禁用了防御技术。现在已经结束了。
“从Chrome 76开始,我们将删除使用SitePerProcess或IsolateOrigins政策在桌面上选择退出网站隔离的功能,”Google宣布。此更改仅适用于桌面Chrome,包括Chrome操作系统; 在Android上,可以继续使用类似的SitePerProcessAndroid和IsolateOriginsAndroid策略来关闭站点隔离。
Google还为企业IT 创建了新的Chrome政策列表。值得注意的是,该列表可以通过平台 - macOS,Windows,Android等 - 以及Chrome版本进行过滤。
Chrome的下一次升级版本77应该会在9月10日左右到达用户。