Рэліз Firefox 74

Адбыўся рэліз web-браўзэра Firefox 74, а таксама мабільнай версіі Firefox 68.6 для Android платформы. Акрамя таго, сфарміравана абнаўленне галінкі з працяглым тэрмінам падтрымкі 68.6.0. У бліжэйшы час на стадыю бэта-тэставанні пяройдзе галінка Firefox 75, рэліз якой намечаны на 7 красавіка (праект перайшоў на 4-5-тыднёвы цыкл распрацоўкі). Для бэта-галінкі Firefox 75 пачалося фарміраванне зборак для Linux у фармаце Flatpak.

Асноўныя навіны:

• У зборках для Linux задзейнічаны механізм ізаляцыі RLBox, нацэлены на блакіраванне эксплуатацыі ўразлівасцяў у іншых бібліятэках функцый. На дадзеным этапе ізаляцыя ўключана толькі для бібліятэкі. графітавых, якая адказвае за адмалёўку шрыфтоў. RLBox выконвае кампіляцыю C/C++ кода ізаляванай бібліятэкі ў нізкаўзроўневы прамежкавы код WebAssembly, які затым афармляецца ў выглядзе WebAssembly-модуля, паўнамоцтвы якога задаюцца ў прывязцы толькі да гэтага модуля. Сабраны модуль працуе ў асобнай вобласці памяці і не мае доступу да астатняй адраснай прасторы. У выпадку эксплуатацыі ўразлівасці ў бібліятэцы атакавалы будзе абмежаваны і не зможа звярнуцца да абласцей памяці асноўнага працэсу або перадаць кіраванне па-за ізаляваным асяроддзем.
• Рэжым DNS па-над HTTPS (DoH, DNS over HTTPS) уключаны па змаўчанні для карыстальнікаў з ЗША. У якасці DNS-правайдэра па змаўчанні прапануецца CloudFlare (mozilla.cloudflare-dns.com занесены в спісы блакавання Роскомнадзора), а ў якасці опцыі даступны NextDNS. Змяніць правайдэра або ўключыць DoH ў краінах, адрозных ад ЗША, можна у наладах сеткавага злучэння. Падрабязней аб DoH у Firefox можна прачытаць у асобным анонсе.
  

• Адключана падтрымка пратаколаў TLS 1.0 і TLS 1.1. Для звароту да сайтаў па абароненым канале сувязі сервер павінен падаць падтрымку прынамсі TLS 1.2. Па дадзеных Google у наш час каля 0.5% загрузак web-старонак працягвае ажыццяўляцца з выкарыстаннем састарэлых версій TLS. Адключэнне праведзена ў адпаведнасці з рэкамендацыямі IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена ​​под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 і SHA-1). Пры спробе выкарыстання TLS 1.0 і TLS 1.1 пачынальна з Firefox 74 будзе выводзіцца памылка. Вярнуць магчымасць працы з састарэлымі версіямі TLS можна праз наладу security.tls.version.enable-deprecated = true або пры дапамозе кнопкі на старонцы з памылкай, якая выводзіцца пры заходзе на сайт са старым пратаколам.
  

• У заўвазе да выпуску рэкамендаваны дадатак Кантэйнер Facebook, якое аўтаматычна блакуе размешчаныя на іншых сайтах фішкі Facebook, якія прымяняюцца для аўтэнтыфікацыі, адпраўкі каментароў і лайкаў. Параметры ідэнтыфікацыі Facebook ізалююцца ў асобным кантэйнеры, абцяжарваючы атаясамліванне карыстальніка з наведвальнымі сайтамі. Магчымасць працы з асноўным сайтам Facebook захоўваецца, але робіцца яго ізаляцыя ад астатніх сайтаў.

  Для больш гнуткай ізаляцыі адвольных сайтаў прапануецца дадатак Кантэйнеры для некалькіх уліковых запісаў з рэалізацыяй канцэпцыі кантэкстных кантэйнераў. Кантэйнеры даюць магчымасць ізаляцыі розных тыпаў кантэнту без стварэння асобных профіляў, што дазваляе аддзяліць паміж сабой інфармацыю асобных груп старонак. Напрыклад, можна стварыць асобныя, ізаляваныя сябар ад сябра, вобласці для персанальных зносін, працы, пакупак і банкаўскіх аперацый або арганізаваць адначасовае выкарыстанне розных акаўнтаў карыстача на адным сайце. У кожным кантэйнеры выкарыстоўваюцца асобныя сховішчы для Cookies, Local Storage API, indexedDB, кэша і змесціва OriginAttributes.

• У about:config дададзена налада "browser.tabs.allowTabDetach", якая дазваляе забараніць адлучэнне ўкладак у новыя вокны. Выпадковае адлучэнне ўкладкі з'яўляецца адной з самых раздражняльных недапрацовак Firefox, ухіленні якой дамагаліся 9 год. Браўзэр дазваляе мышшу перацягнуць укладку ў новае акно, але пры вызначаным збегу акалічнасцяў укладка адлучаецца ў асобнае акно і падчас прац пры неасцярожным руху мышы падчас кліку на ўкладку.
• Спынена падтрымкі дапаўненняў, якія ўстанаўліваюцца абыходным шляхам і не прывязаны да карыстацкіх профіляў. Змена дакранаецца толькі ўсталёўкі дадаткаў у агульныя каталогі (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ або ~/.mozilla/extensions/), апрацоўваныя ўсімі асобнікамі Firefox у сістэме (без прывязкі да карыстача) . Падобны метад звычайна ўжываецца для прадусталёўкі дадаткаў у дыстрыбутывах, для няпрошанай падстаноўкі разам са іншымі прыкладаннямі, для інтэграцыі шкоднасных дадаткаў або для адасобленай пастаўкі дадатку са сваім усталёўнікам. У Firefox 73 раней прымусова ўсталяваныя дадаткі былі аўтаматычна перанесены з агульнага каталога ў індывідуальныя профілі карыстачоў і зараз могуць быць выдаленыя праз штатны менеджэр дадаткаў.
• У які ўваходзіць у склад браўзэра сістэмным дадатку Lockwise, які прапануе інтэрфейс «about:logins» для кіравання захаванымі паролямі, з'явілася падтрымка сартавання ў зваротным парадку (ад Z да A).
• У WebRTC падвышаная абарона ад уцечкі звестак аб унутраным IP-адрасе падчас галасавых і гутарку пры дапамозе механізмуmDNS ICE«, які хавае лакальны адрас за дынамічна генераваным выпадковым ідэнтыфікатарам, вызначаным праз Multicast DNS.
• Зменена размяшчэнне перамыкача рэжыму прагляду «карцінка ў малюнку», які перакрываў кнопку пераходу да наступнай выявы ў інтэрфейсе пакетнай загрузкі фатаграфій у Instagram.
• У JavaScript дададзены аператар "?.", прызначаны для аднаразовай праверкі ўсяго ланцужка ўласцівасцяў або выклікаў. Напрыклад, паказаўшы "db?.user?.name?.length" зараз можна звярнуцца да значэння "db.user.name.length" без папярэдніх праверак. Калі нейкі элемент апрацаваны як null ці undefined на вынахадзе будзе выдадзена значэнне "undefined".
• Спынена падтрымка на сайтах і ў дадатках метаду Object.toSource() і глабальнай функцыі uneval().
• Дададзена новая падзея languagechange_even і звязанае з ім уласцівасць onlanguagechange, якія дазваляюць выклікаць апрацоўшчык пры змене карыстальнікам мовы інтэрфейсу.
• Уключана апрацоўка HTTP-загалоўка Cross-Origin-Resource-Policy (КАРП), які дазваляе сайтам забараніць устаўку рэсурсаў (напрыклад, малюнкаў і скрыптоў), загружаных з іншых даменаў (cross-origin і cross-site). Загаловак можа прымаць два значэнні: "same-origin" (дазваляе толькі запыты рэсурсаў з той жа схемай, імем хаста і нумарам порта) і "same-site" (дазваляе толькі запыты з таго ж сайта).

  Cross-Origin-Resource-Policy: same-site

• Уключаны па змаўчанні HTTP-загаловак Feature-Policy, які дазваляе кіраваць паводзінамі API і ўключэннем вызначаных магчымасцяў (напрыклад, можна адключыць доступ да Geolocation API, камеры, мікрафону, пераходу на поўны экран, аўтапрайграванню, encrypted-media, анімацыі, Payment API, сінхроннаму рэжыму працы XMLHttpRequest і да т.п.). Для блокаў iframe асобна прапанаваны атрыбутдазваляць«, які можа прымяняцца ў кодзе старонкі для прызначэння правоў для пэўных блокаў iframe.

  Feature-Policy: microphone 'none'; geolocation 'none'

  У выпадку дазволу сайтам праз атрыбут «allow» працы з рэсурсам для вызначанага iframe, і паступленні запыту з iframe на атрыманні паўнамоцтваў для працы з гэтым рэсурсам, браўзэр зараз выводзіць дыялог прадастаўлення паўнамоцтваў у кантэксце асноўнай старонкі і дэлегуе пацверджаныя карыстальнікам правы ў iframe (замест асобнага). пацверджання для iframe і асноўнай старонкі). Але, калі асноўная старонка не мае паўнамоцтваў на рэсурс, запытаны праз атрыбут allow, доступ для iframe да рэсурсу адразу блакуецца, без вываду дыялогу карыстальніку.

• Уключаная па змаўчанні падтрымка CSS-уласцівасці 'text-underline-position', якое вызначае пазіцыю падкрэслення тэксту (напрыклад, пры вертыкальным адлюстраванні тэксту можна арганізаваць падкрэсленне злева ці справа, а пры гарызантальным не толькі знізу, але і зверху). Дадаткова ў кіраўнікоў стылем падкрэслення CSS-уласцівасцях text-underline-offset и тэкст-ўпрыгожванне-таўшчыня дададзена падтрымка выкарыстання значэнняў у працэнтах.
• У CSS-уласцівасці контур-стыль, Які вызначае стыль лініі вакол элементаў, па змаўчанні дазволена выкарыстанне значэння «auto» (раней было адключана з-за праблем у GNOME).
• У адладчык JavaScript дададзена магчымасць адладкі ўкладзеных Web Worker-ов, выкананне якіх можа быць прыпынена і пакрокава адладжана з ужываннем кропак супыну.
  

• У інтэрфейсе для інспектавання web-старонак забяспечана адлюстраванне папярэджанняў для CSS-уласцівасцяў, якія залежаць ад пазіцыянуюцца элементаў z-index, top, left, bottom і right.
  

• Для Windows і macOS рэалізавана магчымасць імпарту профіляў з браўзэра Microsoft Edge на базе рухавічка Chromium.

Акрамя навін і выпраўленні памылак у Firefox 74 ухілена 20 уразлівасцяў, з якіх 10 (сабраны пад CVE-2020-6814 и CVE-2020-6815) пазначаныя як патэнцыйна здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак. Нагадаем, што праблемы з памяццю, такія як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці, з нядаўніх часоў адзначаюцца як небяспечныя, але не крытычныя.

Крыніца: opennet.ru