إصدار Firefox 74

تم الافراج عن متصفح الويب فايرفوكس 74و اصدار المحمول فايرفوكس 68.6 لمنصة أندرويد. بالإضافة إلى ذلك، تم إنشاء تحديث الفروع دعم على المدى البعيد 68.6.0. قريبا على المسرح اختبار بيتا سيتم نقل فرع Firefox 75، ومن المقرر إصداره في 7 أبريل (project انتقل لمدة 4-5 أسابيع دورة التنمية). لفرع فايرفوكس 75 بيتا بدأت تشكيل التجمعات لنظام التشغيل Linux بتنسيق Flatpak.

رئيسي الابتكارات:

• تستخدم إصدارات Linux آلية العزل RLBox، بهدف منع استغلال الثغرات الأمنية في مكتبات وظائف الطرف الثالث. في هذه المرحلة، يتم تمكين العزل للمكتبة فقط الجرافيت، المسؤول عن تقديم الخطوط. يقوم RLBox بتجميع كود C/C++ الخاص بالمكتبة المعزولة في كود WebAssembly المتوسط ​​منخفض المستوى، والذي تم تصميمه بعد ذلك كوحدة WebAssembly، حيث يتم تعيين أذوناتها فيما يتعلق بهذه الوحدة فقط. تعمل الوحدة المجمعة في منطقة ذاكرة منفصلة ولا يمكنها الوصول إلى بقية مساحة العنوان. إذا تم استغلال ثغرة أمنية في المكتبة، فسيكون المهاجم محدودًا ولن يتمكن من الوصول إلى مناطق الذاكرة الخاصة بالعملية الرئيسية أو التحكم في النقل خارج البيئة المعزولة.
• DNS عبر وضع HTTPS (DoH، DNS عبر HTTPS) ممكّن افتراضيًا للمستخدمين في الولايات المتحدة. موفر DNS الافتراضي هو CloudFlare (mozilla.cloudflare-dns.com المدرجة в قوائم الحظر Roskomnadzor)، وNextDNS متاح كخيار. تغيير المزود أو تمكين DoH في بلدان أخرى غير الولايات المتحدة، يمكن للمرء في إعدادات اتصال الشبكة. يمكنك قراءة المزيد عن DoH في Firefox على إعلان منفصل.
  

• عاجز دعم بروتوكولات TLS 1.0 وTLS 1.1. للوصول إلى المواقع عبر قناة اتصال آمنة، يجب أن يوفر الخادم الدعم لـ TLS 1.2 على الأقل. وفقًا لشركة Google، لا يزال يتم حاليًا تنفيذ حوالي 0.5% من تنزيلات صفحات الويب باستخدام إصدارات قديمة من TLS. تم تنفيذ عملية الإيقاف وفقًا لـ التوصيات IETF (فريق عمل هندسة الإنترنت). سبب رفض دعم TLS 1.0/1.1 هو عدم وجود دعم للشفرات الحديثة (على سبيل المثال، ECDHE وAEAD) ومتطلبات دعم التشفيرات القديمة، التي يتم التشكيك في موثوقيتها في المرحلة الحالية من تطور تكنولوجيا الحوسبة ( على سبيل المثال، يلزم دعم TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA، ويتم استخدام MD5 للتحقق من التكامل والمصادقة وSHA-1). عند محاولة استخدام TLS 1.0 وTLS 1.1 بدءًا من Firefox 74، سيتم عرض خطأ. يمكنك استعادة القدرة على العمل مع إصدارات TLS القديمة عن طريق تعيين Security.tls.version.enable-deprecated = true أو باستخدام الزر الموجود في صفحة الخطأ المعروضة عند زيارة موقع باستخدام البروتوكول القديم.
  

• توصي مذكرة الإصدار بوجود وظيفة إضافية حاوية فيسبوك، والذي يقوم تلقائيًا بحظر أدوات Facebook التابعة لجهات خارجية والمستخدمة للمصادقة والتعليق والإعجاب. يتم عزل معلمات التعريف الخاصة بفيسبوك في حاوية منفصلة، ​​مما يجعل من الصعب التعرف على المستخدم من خلال المواقع التي يزورها. تبقى إمكانية العمل مع موقع الفيسبوك الرئيسي، ولكنها معزولة عن المواقع الأخرى.

  لمزيد من العزلة المرنة للمواقع التعسفية، يتم اقتراح وظيفة إضافية حاويات متعددة الحسابات مع تنفيذ مفهوم حاويات السياق. توفر الحاويات القدرة على عزل أنواع مختلفة من المحتوى دون إنشاء ملفات تعريف منفصلة، ​​مما يسمح لك بفصل معلومات مجموعات الصفحات الفردية. على سبيل المثال، يمكنك إنشاء مناطق منفصلة ومعزولة للاتصالات الشخصية والعمل والتسوق والمعاملات المصرفية، أو تنظيم الاستخدام المتزامن لحسابات مستخدمين مختلفة في موقع واحد. تستخدم كل حاوية مخازن منفصلة لملفات تعريف الارتباط وواجهة برمجة التطبيقات للتخزين المحلي وقاعدة البيانات المفهرسة وذاكرة التخزين المؤقت ومحتوى OriginAttributes.

• تمت إضافة الإعداد "browser.tabs.allowTabDetach" إلى about:config لمنع فصل علامات التبويب إلى نوافذ جديدة. يعد الانفصال العرضي لعلامة التبويب أحد أكثر أخطاء Firefox المزعجة التي تحتاج إلى إصلاح. طلب 9 سنوات. يسمح المتصفح للماوس بسحب علامة التبويب إلى نافذة جديدة، ولكن في ظل ظروف معينة، يتم فصل علامة التبويب في نافذة منفصلة أثناء التشغيل عندما يتحرك الماوس بلا مبالاة أثناء النقر فوق علامة التبويب.
• توقف دعم الوظائف الإضافية المثبتة بطريقة ملتوية وغير مرتبطة بملفات تعريف المستخدمين. يؤثر التغيير فقط على تثبيت الوظائف الإضافية في الدلائل المشتركة (/usr/lib/mozilla/extensions/، /usr/share/mozilla/extensions/ أو ~/.mozilla/extensions/) التي تتم معالجتها بواسطة جميع مثيلات Firefox على النظام ( غير مرتبط بمستخدم). تُستخدم هذه الطريقة عادةً للتثبيت المسبق للوظائف الإضافية في التوزيعات، أو للاستبدال غير المرغوب فيه بتطبيقات الطرف الثالث، أو لدمج الوظائف الإضافية الضارة، أو لتوصيل وظيفة إضافية بشكل منفصل باستخدام برنامج التثبيت الخاص بها. في Firefox 73، تم نقل الوظائف الإضافية التي تم فرض تثبيتها مسبقًا تلقائيًا من الدليل المشترك إلى ملفات تعريف المستخدمين الفردية ويمكن الآن أن تكون إزالة من خلال مدير الوظيفة الإضافية العادية.
• في الوظيفة الإضافية لنظام Lockwise المضمنة في المتصفح، والتي توفر واجهة "about:logins" لإدارة كلمات المرور المحفوظة، دعم فرز بترتيب عكسي (من Z إلى A).
• قام WebRTC بزيادة الحماية ضد تسرب المعلومات حول عنوان IP الداخلي أثناء مكالمات الصوت والفيديو باستخدام "ام دي ان اس آيس"، لإخفاء العنوان المحلي خلف معرف عشوائي تم إنشاؤه ديناميكيًا ويتم تحديده من خلال Multicast DNS.
• تم تغيير موقع مفتاح عرض صورة داخل صورة الذي يتداخل مع زر الصورة التالية في واجهة تحميل الصور المجمعة على Instagram.
• في جافا سكريبت مضاف المشغل "؟"، مصمم للتحقق في نفس الوقت من سلسلة الخصائص أو المكالمات بأكملها. على سبيل المثال، من خلال تحديد "db?.user?.name?.length" يمكنك الآن الوصول إلى قيمة "db.user.name.length" دون أي عمليات تحقق أولية. إذا تمت معالجة أي عنصر باعتباره خاليًا أو غير محدد، فسيكون الإخراج "غير محدد".
• توقف الدعم على مواقع الويب والوظائف الإضافية لأسلوب Object.toSource() والدالة العامة uneval().
• تمت إضافة حدث جديد languagechange_even والممتلكات المرتبطة بها com.onlanguagechange، والتي تسمح لك باستدعاء المعالج عندما يقوم المستخدم بتغيير لغة الواجهة.
• تم تمكين معالجة رأس HTTP سياسة الموارد المشتركة (CORP)، مما يسمح للمواقع بمنع إدراج الموارد (على سبيل المثال، الصور والبرامج النصية) التي تم تحميلها من نطاقات أخرى (من مصدر مشترك وموقع مشترك). يمكن أن يأخذ الرأس قيمتين: "نفس الأصل" (يسمح فقط بطلبات الموارد ذات نفس المخطط واسم المضيف ورقم المنفذ) و"نفس الموقع" (يسمح فقط بالطلبات من نفس الموقع).

  سياسة الموارد المشتركة: نفس الموقع

• يتم تمكين رأس HTTP بشكل افتراضي سياسة الميزة، والذي يسمح لك بالتحكم في سلوك واجهة برمجة التطبيقات وتمكين ميزات معينة (على سبيل المثال، يمكنك تعطيل الوصول إلى واجهة برمجة تطبيقات تحديد الموقع الجغرافي والكاميرا والميكروفون والشاشة الكاملة والتشغيل التلقائي والوسائط المشفرة والرسوم المتحركة وواجهة برمجة تطبيقات الدفع ووضع XMLHttpRequest المتزامن، إلخ.). بالنسبة لكتل ​​iframe، السمة "السماح"، والذي يمكن استخدامه في رمز الصفحة لتعيين الحقوق لبعض كتل iframe.

  سياسة الميزة: الميكروفون "لا شيء"؛ تحديد الموقع الجغرافي "لا شيء"

  إذا كان الموقع يسمح، من خلال السمة "السماح"، بالعمل مع مورد لإطار iframe محدد، وتم تلقي طلب من iframe للحصول على أذونات للعمل مع هذا المورد، فسيعرض المتصفح الآن مربع حوار لمنح الأذونات في سياق الصفحة الرئيسية ويفوض الحقوق التي أكدها المستخدم إلى iframe (بدلاً من تأكيدات منفصلة لـ iframe والصفحة الرئيسية). ولكن، إذا لم يكن لدى الصفحة الرئيسية إذن للوصول إلى المورد المطلوب من خلال سمة السماح، فإن إطار iframe لديه حق الوصول إلى المورد على الفور منعت، دون عرض مربع حوار للمستخدم.

• يتم تمكين دعم خاصية CSS بشكل افتراضي.نص تسطير الموقف'، الذي يحدد موضع التسطير في النص (على سبيل المثال، عند عرض النص عموديًا، يمكنك تنظيم التسطير على اليسار أو اليمين، وعند العرض أفقيًا، ليس فقط من الأسفل، ولكن أيضًا من الأعلى). بالإضافة إلى ذلك، في خصائص CSS التي تتحكم في نمط التسطير إزاحة تسطير النص и سمك زخرفة النص تمت إضافة دعم لاستخدام قيم النسبة المئوية.
• في خاصية CSS نمط المخطط التفصيلي، الذي يحدد نمط الخط حول العناصر، يكون الإعداد الافتراضي هو "تلقائي" (سابقًا عاجز بسبب مشاكل في جنوم).
• في مصحح أخطاء جافا سكريبت مضاف القدرة على تصحيح أخطاء عمال الويب المتداخلين، والتي يمكن تعليق تنفيذها وتصحيح الأخطاء خطوة بخطوة باستخدام نقاط التوقف.
  

• توفر واجهة فحص صفحة الويب الآن تحذيرات لخصائص CSS التي تعتمد على عناصر الفهرس z والعناصر العلوية واليسرى والسفلية واليمنى.
  

• بالنسبة لنظامي التشغيل Windows وmacOS، تم تنفيذ القدرة على استيراد الملفات الشخصية من متصفح Microsoft Edge استنادًا إلى محرك Chromium.

بالإضافة إلى الابتكارات وإصلاحات الأخطاء في Firefox 74 ، 20 نقاط ضعفمنها 10 (تم جمعها تحت CVE-2020-6814 и CVE-2020-6815) تم وضع علامة عليها باعتبارها قادرة على التسبب في تنفيذ تعليمات برمجية للمهاجم عند فتح صفحات مصممة خصيصًا. دعنا نذكرك بأن مشكلات الذاكرة، مثل تجاوز سعة المخزن المؤقت والوصول إلى مناطق الذاكرة المحررة بالفعل، تم تصنيفها مؤخرًا على أنها خطيرة، ولكنها ليست خطيرة.

المصدر: opennet.ru