2021年4月14日,谷歌发布了Chrome90,发布到稳定的桌面频道,它包括安全改进、新的AV1编码器,默认协议改为HTTPS。
Chrome90修复了37个安全漏洞,包括Pwn2Own竞争中使用的零天,并于周一在Twitter上公开发布。
最初计划于13日发布,据信谷歌推迟了一天来修复零日漏洞。
14日,谷歌将Chrome90升级到稳定的频道,Chrome91作为新的Beta版本,Chrome92将是金丝雀版。
Windows、Mac和Linux桌面用户可以通过转到Settings->Help->About GoogleChrome升级到Chrome 90。然后浏览器将自动检查新更新,并在可用时安装它。
HTTPS现在是默认协议
随着Chrome90的发布,地址栏中输入的不包含协议(https://或https://)的任何URL都将自动被视为https连接。
例如,如果键入示例.com在地址栏中按Enter键,GoogleChrome以前将尝试使用http://protocol连接到URL。
在Chrome90中,Google将默认协议切换到https://以提高浏览web时的安全性。此外,由于许多站点将HTTP连接重定向到HTTPS连接,因此新的默认值将提高性能,因为浏览器将不再重定向。
但是,这个新规则有一些例外。
在一篇发布此功能的博客文章中,Google指出,“IP地址、单个标签域和保留主机名(如test/或localhost/将继续默认为HTTP)
这个功能目前正在向Chrome用户推出,因此它可能还不能供所有人使用。
NAT滑流保护
Chrome90通过阻止连接在端口554上的FTP、HTTP和HTTPS,从而防止NAT滑流攻击。
NAT滑流攻击滥用路由器的应用级网关(ALG)功能,以获得对内部网络上任何端口的访问,可能允许威胁参与者访问通常由路由器保护的服务。
该端口以前被阻止以防止攻击,但在谷歌收到开发者投诉后,又重新打开。
在对该端口进行进一步分析后,Google确定,它仅用于所有请求的约0.00003%。由于使用率低,谷歌再次阻止了它。
Google Chrome获得AV1编码器
在Chrome90中,Google现在包含了一个AV1编码器,以提高使用WebRTC的视频会议软件的性能。
Google指出AV1编码器的好处是:
1.比其他类型的视频编码更有效地压缩,减少带宽消耗,提高视觉质量
2.在非常低带宽网络上为用户启用视频(提供30 kbps及更低的视频)
3.与VP9和其他编解码器相比,屏幕共享效率显著提高。
Google选项卡搜索继续推出
谷歌Chrome标签搜索功能继续在Chrome90中推出,希望更多的用户能够在不需要通过标志启用它的情况下获得它。
选项卡搜索功能允许您在所有打开的浏览器窗口中搜索打开的选项卡,以查找特定页面。
如果你和我一样,同时打开50多个选项卡,那么在所有打开的浏览器窗口中尝试找到一个特定的页面是一个主要的痛苦。
通过选项卡搜索,您可以单击选项卡右侧的小向下箭头,并搜索页面标题或URL中找到的特定关键字。然后,选项卡搜索将显示一个与搜索关键字匹配的打开选项卡列表,并允许您快速选择并制作活动选项卡。
Chrome 90中的显影剂更改
这个版本带来了许多新的API,试用和谷歌Chrome的改变。下面我们列出了主要的开发人员更改:
CSS溢出属性有一个新值。
功能策略API已重命名为权限策略。
还有一种新的方法来实现和使用阴影DOM直接在HTML中。
剪贴板:支持只读文件
WebAssembly异常处理
URL协议设置程序:文件URL的新限制
WebXR深度API
WebXR AR照明估计
有关更多详细信息,请务必查看chrome90开发者更改博客帖子。
企业该何去何从?
那么,您的网站是否已升级到https?您的https网站是否存在不安全问题?Chrome 90版本的重大更新将默认地址栏使用https连接是否对您的网站有影响?
随着人们对站点安全和隐私保护的愈加重视,https/SSL已然成为互联网络环境下的安全基础设施,当企业网站存在不安全问题时,不仅会让企业品牌形象大打折扣,还会导致企业站点数据与用户数据在互联网上裸奔。
面对复杂的网络环境,企业若想避开安全风险、抓住发展机遇,要有“治病于未有”的风险防范能力;要有“见微而知著”的风险洞察能力;要有“举一而反三”的风险遏制能力。面对谷歌释放的强力信号,相信不少企业已经迫不及待想要部署SSL证书以保障企业业务安全运转。但企业部署了SSL证书之后,就可以高枕无忧了吗?
举个例子,2014年10月,微软、苹果iCloud、雅虎等遭到大面积的SSL中间人攻击,是国际上非常严重的中间人攻击事件。我们国内的大部分用户的隐私也一览无遗,用户在这些网站上输入及存储在云端的照片、帐号、密码等都被黑客复制。那么问题来了,SSL安全证书原本是保障数据信息的完整性和保密性的,为什么还会有SSL中间人攻击呢?难道https也无法保证网络通信安全?
其实,SSL是十分安全的,SSL证书是一种安全协议,是为网络通信提供安全和数据的完整性的,它可以验证参与通讯的一方或双方使用的证书是不是由诸如数安时代GDCA这样权威可信的数字证书认证机构颁发的,并且能执行双向身份认证,要想攻破没那么简单。以数安时代SSL证书为例,符合国内外RSA/ECC/SM2等安全算法的标准,安全性非常好。
上述的SSL中间人攻击又是怎么回事呢?
用户所遇到的SSL中间人攻击方式是通过剥离、伪造SSL安全证书来达成的。也可以理解为,当遇到中间人攻击的时候,问题并不在SSL协议和SSL安全证书本身,而是在于证书的验证环节。通常来说是没有经严格校检和认证的伪造证书造成的。所以,真正的https是不存在SSL中间人攻击的。
普通用户如何判断网站是否安全?
1、最直观也最简单的是观察站点地址栏是否有https:// 标识,若有这个“S”标识,便可初步判定站点安全;
2、浏览器左上角有醒目安全锁标识,点击安全锁,即可看到安全提示、证书情况等信息以进一步判断站点情况;
3、对SSL进行完整的证书链校检,通过点击证书详情,校验证书链,若证书由诸如数安时代GDCA这样的正规数字证书颁发机构颁发,其网站安全性便可得到进一步验证。因为CA机构需要在检验申请者的真实身份后给才会颁发SSL安全证书,这便意味着保护用户信息安全的一道重要关卡。
最后,面对Chrome90带来的新“惊喜”,相信很多企业都想要部署安全可靠的SSL证书以实现https升级。对此,作为卓越的数字信任服务提供商,同时又是国内第一家专业的数字认证机构,数安时代GDCA将为您提供可靠解决方案。
声明:参考来源:bleepingcomputer本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
领取优惠
提交成功!