Адбыўся рэліз web-браўзэра , а таксама Firefox 68.4 для Android платформы. Акрамя таго, сфарміравана абнаўленне з працяглым тэрмінам падтрымкі . У бліжэйшы час на стадыю пяройдзе галінка Firefox 73, рэліз якой намечаны на 11 лютага (праект на 4-тыднёвы ).
:
- У прымяняецца па змаўчанні стандартным рэжыме блакіроўкі непажаданага кантэнту абарона ад адсочвання карыстальнікаў з дапамогай метадаў утоенай ідэнтыфікацыі («browser fingerprinting»), якая ажыццяўляецца па у спісе Disconnect.me, улучальным хасты, абвінавачаныя ў выкарыстанні скрыптоў для ўтоенай ідэнтыфікацыі. Пад утоенай ідэнтыфікацыяй маецца на ўвазе захоўванне ідэнтыфікатараў у абласцях, не прызначаных для сталага захоўвання інфармацыі («Supercookies»), а таксама генерацыя ідэнтыфікатараў на аснове ўскосных дадзеных, такіх як , спіс падтрымліваемых MIME-тыпаў, спецыфічныя параметры ў загалоўках ( и ), аналіз устаноўленых , даступнасць пэўных Web API, спецыфічныя для відэакарт адмалёўкі пры дапамозе WebGL і Canvas, з CSS, аналіз асаблівасцяў працы з и .
- метады з назойлівымі запытамі на прадастаўленне сайту дадатковых паўнамоцтваў (Notification.requestPermission(), PushManager.subscribe() і MediaDevices.getDisplayMedia()). Запыты пацверджання паўнамоцтваў зараз не будуць перарываць працу з браўзэрам, а толькі стануць прыводзіць да высновы індыкатара ў адрасным радку пасля таго, як зафіксавана ўзаемадзеянне карыстача са старонкай (клік мышшу або націск клавіш). Многія сайты злоўжываюць якая прадстаўляецца ў браўзэрах магчымасцю запыту паўнамоцтваў, галоўнай выявай шляхам перыядычнай высновы запытаў на атрыманне push-паведамленняў. Аналіз тэлеметрыі паказаў, што 97% падобных запытаў адхіляюцца, у тым ліку ў 19% выпадках карыстач адразу зачыняе старонку не націскаючы кнопку згоды або адхіленні.
- эксперыментальная пратаколу HTTP/3 (для актывацыі ў about:config трэба ўсталяваць опцыю "network.http.http3.enabled"). Падтрымка HTTP/3 у Firefox заснавана на , напісанай на мове Rust рэалізацыі кліента і сервера пратакола QUIC (HTTP/3 выкарыстанне пратаколу QUIC у якасці транспарта для HTTP/2).
- У адпаведнасці з патрабаваннямі які ўступіў у сілу закона (California Consumer Privacy Act) магчымасць выдалення дадзеных тэлеметрыі з сервераў Mozilla. Выдаленне дадзеных робіцца ў выпадку адмовы ад збору тэлеметрыі ў секцыі "about:preferences#privacy" ("Firefox Data Collection and Use"). Пры зняцці сцяжка "Allow Firefox to send technical and interaction data to Mozilla", які кіруе адпраўкай тэлеметрыі, Mozilla на працягу 30 дзён усе дадзеныя, сабраныя за час да адмовы перадачы тэлеметрыі. З дадзеных, якія абсоўваюцца на серверах Mozilla падчас збору тэлеметрыі адзначаецца інфармацыя аб прадукцыйнасці, бяспецы Firefox і агульных параметрах, такіх як лік адкрытых укладак і працягласць сеансу (звесткі аб адчыняных сайтах і пошукавых запытах не перадаюцца). Поўныя звесткі аб дадзеных можна паглядзець на старонцы «about:telemetry».
- Для Linux і macOS дададзена магчымасць прагляду відэа ў рэжыме «карцінка ў малюнку» (Picture-in-Picture), які дазваляе адлучыць відэа ў форме плавае акна, якое застаецца навідавоку падчас навігацыі ў браўзэры. Для прагляду ў дадзеным рэжыме неабходна націснуць на ўсплывальную падказку або ў кантэкстным меню, якое адлюстроўваецца пры кліку на відэа правай кнопкай мышы, выбраць "Picture in picture" (у YouTube, які падстаўляе свой апрацоўшчык кантэкстнага меню, варта два разы клікнуць правай кнопкай мышы або клікнуць з націснутай клавішай Shift).
- Пры адлюстраванні паласы пракруткі колеру фону бягучай старонкі.
- прывязкі адчыненых ключоў (PKP, Public Key Pinning), якая дазваляе пры дапамозе HTTP-загалоўка Public-Key-Pins відавочна вызначыць сертыфікаты якіх якія сведчаць цэнтраў дапушчальна выкарыстаць для зададзенага сайта. У якасці прычыны называецца нізкая запатрабаванасць дадзенай функцыі, рызыка праблем з сумяшчальнасцю (падтрымка PKP у Chrome) і магчымасць заблакаваць уласны сайт з-за прывязкі не тых ключоў ці страты ключоў (напрыклад, выпадковае выдаленне ці кампраметацыя ў выніку ўзлому).
- У склад , якія дазваляюць у OpenBSD сістэмныя выклікі и для дадатковай ізаляцыі файлавай сістэмы і працэсаў.
- Выдалена падтрымка блакіроўкі малюнкаў з асобных даменаў. У якасці прычыны выдалення паказваецца незапатрабаванасць функцыі сярод карыстальнікаў і нязручны інтэрфейс для блакіроўкі.
- У зборках для Windows рэалізаваная эксперыментальная магчымасць выкарыстання кліенцкіх сертыфікатаў з агульнага сховішча сертыфікатаў аперацыйнай сістэмы (для ўключэння ў about:config варта актываваць опцыю security.osclientcerts.autoload).
- Актываваная па змаўчанні падтрымка CSS Shadow Parts, уключаючы атрыбут» і псеўдаэлемент ««, якія дазваляюць выбарачна адлюстроўваць зададзеныя элементы з .
A paragraph
… у CSS для выбару элементаў у прывязцы да атрыбуту part:
custom-element::part(example) {
border: solid 1px black;
мяжа-радыус: 5 пікселяў;
абіўка: 5px;
} - Дададзена падтрымка спецыфікацыі , якая дазваляе вызначаць траекторыю руху аб'ектаў анімацыі пры дапамозе CSS без выкарыстання кода на JavaScript і без блакавання працэсу адмалёўкі і ўводу падчас паказу анімацыі. Для кіравання анімацыяй прадстаўлены CSS-уласцівасці
,
,
,
и
. - Уключаны па змаўчанні асобныя CSS-уласцівасці трансфармацыі. , и , не прывязаныя да ўласцівасці (г.зн. у CSS зараз можна паказаць "scale: 2;" замест "transform: scale(2);").
- У JavaScript рэалізаваны лагічны аператар аб'яднання«, які вяртае правы аперанд, калі левы аперанд мае значэнне NULL ці undefined, і наадварот. Напрыклад, «const foo=bar ?? 'default string'» калі bar роўны null верне сцёку або значэнне bar у адваротным выпадку, у тым ліку калі bar роўны 0 і ' ', у адрозненне ад аператара "||".
- Дададзены API і падзея , якія даюць магчымасць выкарыстоўваць апрацоўшчыкі на JavaScript для дадання дадзеных у форму на этапе яе адпраўкі без неабходнасці захоўваць дадзеныя ва ўтоеных элементах input.
- API абноўлены для адпаведнасці новай спецыфікацыі, напрыклад, перайменаваны Coordinates ў GeolocationCoordinates, Position у GeolocationPosition і
PositionError у GeolocationPositionError. - У адладчык JavaScript падтрымка ўмоўных кропак супыну (), якія спрацоўваюць пры змяненні або чытанні пэўных уласцівасцей аб'ектаў.
- Паскораны запуск адладчыка JavaScript ва ўмовах адкрыцця вельмі вялікай колькасці ўкладак (у першую чаргу прыярытэт зараз аддаецца бачным укладкам).
- У Responsive Design Mode рэалізаваная сімуляцыя розных значэнняў meta viewport. У рэжыме інспектавання старонак дададзены сімулятар значэнняў "prefers-color-scheme".
- В у шматрадковым рэжыме інтэрпрэтацыі JavaScript дададзена падтрымка захавання і адкрыцці файлаў пры дапамозе камбінацый Ctrl + O і Ctrl + S.
- настройка javascript.options.asyncstack для візуальнага падзелу асінхронных паведамленняў у web-кансолі. Пры актывацыі налады для console.trace() і console.error() выводзіцца поўны стэк выкліку асінхронных аперацый, які дазваляе разабрацца ў планаванні запуску таймераў, падзей, promise, генератараў і да т.п.
- У рэжыме інспектавання WebSocket рэалізаваны разбор і нагляднае адлюстраванне метададзеных фармату SignalR, які ўжываецца ў паведамленнях ASP.NET Core, Таксама дададзены лічыльнікі, якія паказваюць сумарны памер аддадзеных і загружаных дадзеных.
- У прыладзе для маніторынгу сеткавай актыўнасці ва ўкладцы Timings паасобна дадзеныя аб часе памяшкання ў чаргу для загрузкі, пачатку загрузкі і завяршэнні загрузкі кожнага рэсурсу.
- З інструментаў для web-распрацоўшчыкаў выключана асяроддзе , Прызначанае для эксперыментаў у кодам JavaScript (на змену Scratchpad у мінулым выпуску прыйшоў шматрадковы рэжым працы web-кансолі).
Акрамя навін і выпраўленні памылак у Firefox 72 ухілена , з якіх 11 (сабраны пад и ) пазначаныя як патэнцыйна здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак. Нагадаем, што праблемы з памяццю, такія як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці, з нядаўніх часоў адзначаюцца як небяспечныя, але не крытычныя. Адмысловай увагі таксама заслугоўвае праблема CVE-2019-17017 у кодзе XPCVariant.cpp, якая таксама патэнцыйна можа прывесці да выканання кода.
Крыніца: opennet.ru