إصدار Firefox 72

تم الافراج عن متصفح الويب فايرفوكس 72و اصدار المحمول فايرفوكس 68.4 لمنصة أندرويد. بالإضافة إلى ذلك، تم إنشاء تحديث الفروع دعم على المدى البعيد 68.4.0. قريبا على المسرح اختبار بيتا سيتم نقل فرع Firefox 73، ومن المقرر إصداره في 11 فبراير (project انتقل لمدة 4 أسابيع دورة التنمية).

رئيسي الابتكارات:

• في وضع الحظر القياسي الافتراضي للمحتوى غير المناسب يتم تضمين الحماية ضد تتبع المستخدم باستخدام طرق تحديد الهوية المخفية ("بصمات المتصفح")، والتي يتم تنفيذها بواسطة فئات إضافية في قائمة Disconnect.me، والتي تتضمن المضيفين الذين وجد أنهم يستخدمون البرامج النصية لتحديد الهوية المخفية. يشير التعريف المخفي إلى تخزين المعرفات في مناطق غير مخصصة للتخزين الدائم للمعلومات ("ملفات تعريف الارتباط الفائقة")، بالإضافة إلى إنشاء معرفات بناءً على بيانات غير مباشرة، مثل دقة الشاشة، قائمة بأنواع MIME المدعومة، ومعلمات محددة في الرؤوس (HTTP / 2 и HTTPS)، تحليل المثبتة الإضافات والخطوط، توفر واجهات برمجة تطبيقات ويب معينة خاصة ببطاقات الفيديو ملامح العرض باستخدام WebGL وCanvas، تلاعب مع CSS، تحليل ميزات العمل معها الفأر и لوحة المفاتيح.
  

• مفعل طرق النضال مع طلبات مزعجة لمنح الموقع أذونات إضافية (Notification.requestPermission() وPushManager.subscribe() وMediaDevices.getDisplayMedia()). لن تؤدي طلبات تأكيد التفويض إلى مقاطعة العمل مع المتصفح بعد الآن، ولكنها ستؤدي فقط إلى عرض مؤشر في شريط العناوين بعد تسجيل تفاعل المستخدم مع الصفحة (النقر بالماوس أو الضغط على المفتاح). تسيء العديد من المواقع استخدام قدرة المتصفح على طلب الأذونات، وذلك بشكل أساسي عن طريق طلب إشعارات الدفع بشكل دوري. أظهر تحليل القياس عن بعد أن 97% من هذه الطلبات يتم رفضها، بما في ذلك في 19% من الحالات، يقوم المستخدم بإغلاق الصفحة على الفور دون النقر فوق زر الموافقة أو الرفض.
• أضيفت بواسطة تجريبي دعم بروتوكول HTTP/3 (للتنشيط في about:config تحتاج إلى ضبط الخيار "network.http.http3.enabled"). يعتمد دعم HTTP/3 في Firefox على com.neqo، مكتوب بلغة Rust، وينفذ العميل والخادم لبروتوكول QUIC (HTTP/3 يوحد باستخدام بروتوكول QUIC كوسيلة نقل لـ HTTP/2).
• وفقا لمتطلبات القانون الذي دخل حيز التنفيذ CCPA (قانون خصوصية المستهلك في كاليفورنيا) مضاف القدرة على حذف بيانات القياس عن بعد من خوادم موزيلا. يتم حذف البيانات إذا رفضت جمع بيانات القياس عن بعد في قسم "about:preferences#privacy" (قسم "جمع واستخدام بيانات Firefox"). عندما تقوم بإلغاء تحديد مربع الاختيار "السماح لـ Firefox بإرسال البيانات التقنية وبيانات التفاعل إلى Mozilla" الذي يتحكم في إرسال القياس عن بعد، فإن Mozilla يتعهد في غضون أيام 30 نزع جميع البيانات التي تم جمعها خلال الفترة التي سبقت فشل إرسال القياس عن بعد. تتضمن البيانات التي تنتهي على خوادم Mozilla أثناء عملية جمع القياس عن بعد معلومات حول أداء Firefox وأمانه ومعلمات عامة مثل عدد علامات التبويب المفتوحة ومدة الجلسة (لا يتم نقل المعلومات حول المواقع المفتوحة واستعلامات البحث). يمكن الاطلاع على التفاصيل الكاملة للبيانات التي تم جمعها على صفحة "حول: القياس عن بعد".
  

• بالنسبة لنظام التشغيل Linux وmacOS، تمت إضافة القدرة على عرض الفيديو في وضع صورة داخل صورة، مما يسمح لك بفصل الفيديو في شكل نافذة عائمة تظل مرئية أثناء التنقل في المتصفح. للعرض في هذا الوضع، تحتاج إلى النقر فوق تلميح الأداة أو في قائمة السياق المعروضة عند النقر بزر الماوس الأيمن على الفيديو، حدد "صورة داخل صورة" (في YouTube، الذي يحل محل معالج قائمة السياق الخاص به، يجب عليك النقر بزر الماوس الأيمن على الفيديو انقر مرتين أو انقر مع الضغط على مفتاح Shift).
  

• عندما يتم عرض شريط التمرير متضمن لون خلفية الصفحة الحالية.
• تم الحذف فرصة روابط المفاتيح العامة (PKP، Public Key Pinning)، والتي تسمح، باستخدام رأس HTTP Public-Key-Pins، بتحديد الشهادات التي يمكن استخدام المراجع المصدقة الخاصة بها لموقع معين بشكل صريح. السبب المذكور هو انخفاض الطلب على هذه الوظيفة، وخطر مشاكل التوافق (دعم PKP منتهية في Chrome) والقدرة على حظر موقعك الخاص بسبب ربط المفاتيح الخاطئة أو فقدان المفاتيح (على سبيل المثال، الحذف العرضي أو التسوية نتيجة القرصنة).
• هيكل وافقت بقعالسماح في OpenBSD يخطب مكالمات النظام كشف النقاب () и يتعهد() لنظام ملفات إضافي وعزل العملية.
• تمت إزالة الدعم لحظر الصور من المجالات الفردية. سبب الإزالة هو قلة الطلب على الوظيفة بين المستخدمين والواجهة غير الملائمة للحظر.
• في إصدارات Windows، تم تنفيذ ميزة تجريبية لاستخدام شهادات العميل من مخزن شهادات نظام التشغيل العام (يجب تنشيط خيار Security.osclientcerts.autoload لتمكينه في about:config).
• يتم تمكين دعم CSS Shadow Parts بشكل افتراضي، بما في ذلك "جزء"والعنصر الزائف"::جزء"، مما يسمح لك بعرض العناصر المحددة بشكل انتقائي من الظل DOM.

  
  فقرة
  

  ...في CSS لتحديد العناصر المرتبطة بسمة الجزء:

  العنصر المخصص::جزء(مثال) {
  الحدود: صلبة 1 بكسل أسود؛
  دائرة نصف قطرها الحدود: 5px ؛
  الحشو: 5px.
  }

• تمت إضافة دعم المواصفات مسار حركة CSS، والذي يسمح لك بتحديد مسار كائنات الرسوم المتحركة باستخدام CSS دون استخدام كود JavaScript ودون حظر عملية العرض والإدخال أثناء الرسوم المتحركة. يتم توفير خصائص CSS للتحكم في الرسوم المتحركة
  عوض,
  مسار الإزاحة,
  إزاحة مرساة,
  مسافة الإزاحة и
  إزاحة تدوير.

• يتم تمكين خصائص تحويل CSS المحددة بشكل افتراضي مقياس, تناوب и ترجمه، غير ملزم بالممتلكات تحول (أي في CSS يمكنك الآن تحديد "المقياس: 2؛" بدلاً من "التحويل: مقياس (2)؛").
• تنفذ JavaScript عامل التسلسل المنطقي "??"، والذي يُرجع المعامل الأيمن إذا كان المعامل الأيسر NULL أو غير محدد، والعكس صحيح. على سبيل المثال، "const foo = bar ؟؟ 'السلسلة الافتراضية'" إذا كانت قيمة الشريط فارغة، فستُرجع قيمة الشريط بخلاف ذلك، بما في ذلك عندما تكون قيمة الشريط 0 و' '، بدلاً من عامل التشغيل "||".
• تمت إضافة API FormDataEvent والحدث بيانات النموذج، والتي تتيح استخدام معالجات JavaScript لإضافة البيانات إلى النموذج عند إرساله، دون الحاجة إلى تخزين البيانات في عناصر الإدخال المخفية.
• API تحديد الموقع الجغرافي تم تحديثها لتتوافق مع المواصفات الجديدة، على سبيل المثال تمت إعادة تسمية الإحداثيات إلى إحداثيات الموقع الجغرافي، والموضع إلى GeolocationPosition و
  خطأ في تحديد الموقع الجغرافي.

• في مصحح أخطاء جافا سكريبت مضاف دعم نقاط التوقف المشروطة (نقطة المراقبة)، يتم تشغيله عند تغيير خصائص معينة للكائنات أو قراءتها.
  

• تم تسريع بدء تشغيل مصحح أخطاء JavaScript عندما يكون هناك عدد كبير جدًا من علامات التبويب المفتوحة (أولاً وقبل كل شيء، تُعطى الأولوية الآن لعلامات التبويب المرئية).
• ينفذ وضع التصميم المستجيب محاكاة لقيم إطار العرض التعريفية المختلفة. تمت إضافة محاكي القيمة "يفضل نظام الألوان" إلى وضع فحص الصفحة.
• В وحدات تحكم الويب في وضع تفسير جافا سكريبت متعدد الأسطر، تمت إضافة دعم لحفظ الملفات وفتحها باستخدام المجموعات Ctrl + O وCtrl + S.
• أضيفت بواسطة إعداد javascript.options.asyncstack لفصل الرسائل غير المتزامنة بشكل مرئي في وحدة تحكم الويب. عند تنشيط إعدادات console.trace() وconsole.error()، يتم عرض مجموعة الاستدعاءات الكاملة للعمليات غير المتزامنة، مما يسمح لك بفهم كيفية جدولة إطلاق الموقتات والأحداث والوعود والمولدات وما إلى ذلك.
  

• في وضع فحص WebSocket، تم تنفيذ التحليل والعرض المرئي للبيانات التعريفية بتنسيق SignalR المستخدم في رسائل ASP.NET Core، كما تمت إضافة عدادات توضح الحجم الإجمالي للبيانات المرسلة والمحملة.
• في أداة مراقبة نشاط الشبكة في علامة التبويب "التوقيتات" بشكل منفصل عرض معلومات حول وقت وضع كل مورد في قائمة الانتظار للتنزيل، ومتى بدأ التنزيل، ومتى اكتمل التنزيل.
• البيئة مستبعدة من الأدوات لمطوري الويب Scratchpad، مصمم لتجربة تعليمات JavaScript البرمجية (تم استبدال Scratchpad في الإصدار الأخير بوضع وحدة تحكم الويب متعدد الأسطر).

بالإضافة إلى الابتكارات وإصلاحات الأخطاء في Firefox 72 ، 20 نقاط ضعفمنها 11 (تم جمعها تحت CVE-2019-17025 и CVE-2019-17024) تم وضع علامة عليها باعتبارها قادرة على التسبب في تنفيذ تعليمات برمجية للمهاجم عند فتح صفحات مصممة خصيصًا. دعنا نذكرك بأن مشكلات الذاكرة، مثل تجاوز سعة المخزن المؤقت والوصول إلى مناطق الذاكرة المحررة بالفعل، تم تصنيفها مؤخرًا على أنها خطيرة، ولكنها ليست خطيرة. وتجدر الإشارة أيضًا بشكل خاص إلى المشكلة CVE-2019-17017 في التعليمات البرمجية XPCVariant.cpp، والتي من المحتمل أن تؤدي أيضًا إلى تنفيذ التعليمات البرمجية.

المصدر: opennet.ru