Рэліз Firefox 147

Адбыўся рэліз web-браўзэра Firefox 147 і сфарміраваны абнаўленні мінулых галінак з працяглым тэрмінам падтрымкі – 140.7.0 і 115.32.0. На стадыю бэта-тэставанні пераведзена галінка Firefox 148, рэліз якой намечаны на 24 лютага.

Асноўныя навіны ў Firefox 147 (1, 2, 3):

• Дададзена падтрымка спецыфікацыі Freedesktop.org XDG Base Directory і магчымасць выкарыстання каталога "~/.config/mozilla" для захоўвання профіляў, дадаткаў, налад і ўнутраных БД. Падтрымка размяшчэння дадзеных у старым каталогу "~/.mozilla" захавана ў якасці опцыі, якая актывуецца пры запуску з зменнай асяроддзя "MOZ_LEGACY_HOME=1".
• Дададзена падтрымка механізму "Compression Dictionary Transport" (RFC 9842), які дазваляе скараціць памер дадзеных, якія перадаюцца паміж кліентам і серверам, за кошт выкарыстання алгарытмаў сціску Zstandard (Content-Encoding: dcz) і Brotli (Content-Encoding: dcb) у спалучэнні са сціскам тыпавых канструкцый з выкарыстаннем слоўнікаў. Даступна два сцэнары выкарыстання Compression Dictionary Transport - сціск кантэнту па папярэдне перададзеным серверам слоўнікам і выкарыстанне раней перададзенага кантэнту ў якасці слоўніка для сціску яго новай версіі (дэльта-сціск, пры якім перадаюцца толькі змены ў параўнанні з наяўнай версіяй).

  Напрыклад, пры запыце "GET /index.html" сервер можа перадаць звесткі аб наяўнасці слоўніка, вярнуўшы шлях да яго ў загалоўку 'Link: <…/dict>; rel="compression-dictionary"'. Пры загрузцы кліентам слоўніка «…/dict» сервер выдасць інфармацыю аб яго ўжыванні да HTML-файлаў, выставіўшы загаловак 'Use-As-Dictionary: match=»/*html»'. Пры наступным запыце html-рэсурсу, напрыклад, "GET /index2.html", кліент пакажа звесткі аб наяўнасці ў яго слоўніка праз загаловак 'Available-Dictionary: хэш_слоўніка"'. Калі сервер мае на сваім баку слоўнік з дадзеным хэшам, тое верне змесціва index2.html, сціснутае з выкарыстаннем дадзенага слоўніка.

  Для дэльта-сціску розных версій JavaSсript-файлаў у адказ на запыт "GET /app.v1.js" сервер можа выставіць загаловак 'Use-As-Dictionary: match="/app*js"', які інфармуе што вернуты кантэнт у далейшым можна выкарыстоўваць у якасці слоўніка для шляхоў. Пры наступным запыце файла, які адпавядае дадзенай масцы, напрыклад, "GET /app.v2.js", кліент перадасць хэш наяўнага слоўніка праз загаловак "Available-Dictionary:", а сервер верне толькі змены паміж файламі app.v1.js і app.v2.js.

• Дададзена старонка about:keyboard для налады камбінацый клавіш і перавызначэння наяўных гарачых клавіш, напрыклад, для задання больш звыклых для сябе варыянтаў або выключэнні канфліктаў з іншымі праграмамі.
• Аптымізавана прайграванне відэа з выкарыстаннем апаратнага паскарэння дэкадавання на GPU AMD. На сістэмах з GPU AMD апаратна дэкадаванае відэа зараз прайграваецца без дадатковага капіявання дадзеных (рэжым zero-copy), як гэта раней было рэалізавана для сістэм з GPU Intel і NVIDIA.
• Для версіі 5 абноўлена рэалізацыя пратаколу Safe Browsing, які ўжываецца для праверкі URL на прадмет наяўнасці ў спісах небяспечных рэсурсаў (фішынгавыя сайты, старонкі з шкоднасным ПЗ і да т.п.), якія прадстаўляюцца Google. Новая версія пратаколу дазваляе загружаць спісы блакавання для выкарыстання на лакальнай сістэме (БД з прэфіксамі хэшаў SHA256 праблемных URL), якія зараз ужываюцца ў Firefox.
• Дададзена опцыя для аўтаматычнага працягу прайгравання відэа ў рэжыме «малюначак у малюнку» у выпадку пераключэння ўкладкі.
• У рэжыме ўзмоцненай абароны ад адсочвання перасоўванняў (ETP, Enhanced Tracking Protection => Strict) уключана па змаўчанні ўжыванне спецыфікацыі LNA (Local Network Access) для абмежавання зваротаў да лакальнай сістэмы (loopback, 127.0.0.0/8) або ўнутранай сеткі (192.168.0.0.0.0.0.0/ да т.п.) пры ўзаемадзеянні з публічнымі сайтамі. Зварот да ўнутраных рэсурсаў выкарыстоўваюцца зламыснікамі для ажыццяўлення CSRF-нападаў на маршрутызатары, кропкі доступу, друкаркі, карпаратыўныя web-інтэрфейсы і іншыя прылады і сэрвісы, якія прымаюць запыты толькі з лакальнай сеткі. Акрамя таго, сканіраванне ўнутраных рэсурсаў можа выкарыстоўвацца для ўскоснай ідэнтыфікацыі або збору звестак аб лакальнай сетцы.
• На Linuх-сістэмах з GNOME і кампазітным серверам Mutter вырашана праблема з невыразным адлюстраваннем кантэнту пры выкарыстанні дробавага ўзроўня маштабавання.
• На кампутарах Apple з чыпамі Apple Silicon і АС macOS уключана падтрымка API WebGPU.
• Якія выстаўляюцца ў HTTP-загалоўку Accept-Language прыярытэты выбару мовы (q-параметры) сінхранізаваныя са значэннямі, якія выстаўляюцца іншымі браўзэрамі, што вырашыла некаторыя праблемы з пераноснасцю. Напрыклад, для другой мовы зараз выстаўляецца прыярытэт q=0.9 замест q=0.5, а для кожнай наступнай мовы прыярытэт памяншаецца на 0.1.
• Бібліятэка ICU абноўлена да версіі 78 з падтрымкай Unicode 17 і абнаўленнем дадзеных лакаляў.
• У Service Worker-ах дазволена выкарыстанне JavaScript-модуляў ESM (ECMAScript Module), якія імпартуюцца і экспартуюцца праз выразы import і export.
• Дададзена падтрымка спецыфікацыі CSS Module Scripts, якая дазваляе выкарыстоўваць сістэму модуляў JavaScript для імпарту CSS-рэсурсаў. Напрыклад: import styles from "./styles.css" with {type: "css"};
• У псеўда-элеменце "::marker", які дазваляе наладзіць параметры лікаў і кропак для пералічэнняў у блоках і , дазволена выкарыстоўваць CSS-уласцівасці "counter-*" і "quotes".
• У API CompressionStream і DecompressionStream дададзена падтрымка фармату сціску Brotli.
• У API View Transitions, ужывальным для стварэння анімацыйных эфектаў пры пераключэнні паміж рознымі станамі DOM, дададзена ўласцівасць «type», утрымоўвальнае масіў з тыпамі пераходаў. Таксама дададзены адпаведны CSS-селектар ":active-view-transition-type" і ўласцівасць document.activeViewTransition, якое вяртае асобнік актыўнага для дакумента аб'екта ViewTransition.
• Уключаны набор CSS-уласцівасцяў для кіравання паказам элементаў, прывязаных да месцазнаходжання іншых элементаў (CSS Anchor Positioning), без выкарыстання JavaScript, напрыклад, для прымацавання да элементаў усплываючых вокнаў (popover), якія з'яўляюцца па аналогіі з усплываючымі падказкамі.
• Рэалізаваная спецыфікацыя "Storage Access Headers", якая вызначае загаловак запыту "Sec-Fetch-Storage-Access" і загаловак адказу "Activate-Storage-Access" для атрымання доступу да іншых Cookie без выкліку метаду document.requestStorageAccess(). Сервер можа запытаць доступ да Cookie праз загаловак "Activate-Storage-Access" і ён будзе адпраўлены кліентам, калі раней карыстач пацвярджаў падаванне доступу да сховішча Cookie праз API Storage Access.
• У CSS-уласцівасць "root-font-relative" дададзена падтрымка адносных адзінак вымярэння rcap, rch, rex і ric.
• Рэалізаваны API Navigation, які дазваляе web-прыкладанням перахапляць аперацыі навігацыі ў акне, ініцыяваць пераход і аналізаваць гісторыю дзеянняў з дадаткам. API дае альтэрнатыву ўласцівасцям window.history і window.location, аптымізаваную для аднастаронкавых web-прыкладанняў.
• У прыладах для web-распрацоўнікаў у панэлі з правіламі CSS рэалізаваная падтрымка рэдагавання і даданні селектараў псеўдаэлементаў. У інтэрфейс для прагляду дадзеных у фармаце JSON дададзена кнопка для імпарту рэсурсу ў сістэму прафілявання (Firefox Profiler) для вызначэння інфармацыі аб яго памеры. У панэлях інспектавання HTML-элементаў і анімацыі забяспечана адлюстраванне псеўдаэлементаў View Transitions. У панэлі з правіламі CSS рэалізавана адлюстраванне правіл @position-try, ужывальных для кіравання паказам элементаў, прывязаных да месцазнаходжання іншых элементаў (CSS Anchor Positioning).
• У версіі Firefox для Android дададзена абарона ад нападаў па іншых каналах, такіх як Spectre, якія ўжываюцца для абыходу ізаляцыі паміж сайтамі. Раней падобная абарона была доступу толькі ў зборках для дэсктоп-сістэм.

Акрамя навін і выпраўленні памылак у Firefox 147 ухілена 23 уразлівасці. 10 уразлівасцяў выкліканыя праблемамі працы з памяццю, такімі як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці. Патэнцыйна дадзеныя праблемы здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак. 3 уразлівасці дазваляюць абыйсці sandbox-ізаляцыю з-за некарэктнай праверкі межаў і цэлалікавага перапаўнення ў кампаненце для працы з графікай.

Крыніца: opennet.ru