Рэліз Firefox 88

Адбыўся рэліз web-браўзэра Firefox 88. Акрамя таго, сфарміравана абнаўленне галінкі з працяглым тэрмінам падтрымкі 78.10.0. На стадыю бэта-тэставанні хуткім часам будзе пераведзена галінка Firefox 89, рэліз якой вызначаны на 1 чэрвеня.

Асноўныя навіны:

• У праглядніку PDF дададзена падтрымка інтэграваных у PDF-файлы формаў уводу, у якіх для забеспячэння інтэрактыўнага ўзаемадзеяння з карыстачом выкарыстоўваецца JavaScript.
• Уведзена абмежаванне на інтэнсіўнасць паказу запыту паўнамоцтваў для доступу да мікрафона і камеры. Падобныя запыты не будуць паказвацца, калі на працягу апошніх 50 секунд карыстач ужо падаваў доступ да той жа прылады, для таго ж сайта і той жа ўкладкі.
• Выклік прылады для стварэння скрыншотаў выдалены з меню «Page Actions», якое паказваецца пры націску на шматкроп'е ў адрасным радку. Для стварэння скрыншотаў рэкамендуецца выклікаць адпаведную прыладу для кантэкстнага меню, якое паказваецца пры кліку правай кнопкай мышы або размясціць цэтлік у панэлі праз інтэрфейс налады вонкавага выгляду.
• Дададзена падтрымка маштабавання шчыпком на тачпадах у Linux з графічнымі асяродкамі на базе пратаколу Wayland.
• У сістэме вываду на друк выканана лакалізацыя адзінак вымярэння, якія выкарыстоўваюцца для задання палёў.
• Пры запуску Firefox у асяроддзі Xfce і KDE актываванае выкарыстанне рухавічка кампазітынгу WebRender. У Firеfox 89 чакаецца ўключэнне WebRender для ўсіх астатніх карыстачоў Linux, уключаючы ўсе версіі Mesa і сістэмы з драйверамі NVIDIA (раней webRender быў уключаны толькі для GNOME пры наяўнасці драйвераў Intel і AMD). WebRender напісаны на мове Rust і дазваляе дамагчыся істотнага павелічэння хуткасці адмалёўкі і паніжэнні нагрузкі на CPU за рахунак вынасу на бок GPU аперацый адмалёўкі змесціва старонкі, якія рэалізаваныя праз выкананыя ў GPU шэйдары. Для прымусовага ўключэння ў about:config варта актываваць наладу "gfx.webrender.enabled" або запусціць Firefox з выстаўленай зменнай асяроддзі MOZ_WEBRENDER=1.
• Пачалося паэтапнае ўключэнне пратаколаў HTTP/3 і QUIC. Спачатку падтрымка HTTP/3 будзе актываваная толькі для невялікага адсотка карыстачоў і, калі не паўстане непрадбачаных праблем, будзе даведзена да ўсіх да канца траўня. Для выкарыстання HTTP/3 патрабуецца падтрымка на баку кліента і сервера адной і той жа версіі чарнавога стандарту QUIC і HTTP/3, якая паказваецца ў загалоўку Alt-Svc (Firefox падтрымлівае чарнавікі спецыфікацыі з 27 па 32).
• Адключаная па змаўчанні падтрымка пратаколу FTP. Настройка network.ftp.enabled па змаўчанні ўсталявана ў значэнне false, а параметр для пашырэнняў browserSettings.ftpProtocolEnabled пераведзены ў рэжым толькі для чытання. У наступным выпуску будзе выдалены ўвесь код, зьвязаны з FTP. У якасці чынніку завецца зніжэнне рызык нападаў на стары, мелы гісторыю выяўлення ўразлівасцяў і мелы праблемы з суправаджэннем код з рэалізацыяй падтрымкі FTP. Таксама згадваецца збавенне ад пратаколаў, якія не падтрымліваюць шыфраванне, якія неабаронены ад мадыфікацыі і перахопу транзітнага трафіку пры здзяйсненні MITM-нападаў.
• Для блакавання магчымых міжсайтавых уцечак забяспечана ізаляцыя значэння ўласцівасці "window.name" першасным сайтам, з якога адкрыта старонка.
• У JavaScript для выніку выканання рэгулярных выразаў дададзена ўласцівасць "indices", якое ўтрымоўвае масіў з пачатковымі і канчатковымі пазіцыямі груп супадзенняў. Уласцівасць запаўняецца толькі пры выкананні рэгулярнага выраза са сцягам "/d". let re = /quick\s(brown).+?(jumps)/igd; let result = re.exec('The Quick Brown Fox Jumps Over The Lazy Dog'); // result.indices[0] === Array [ 4, 25 ] // result.indices[1] === Array [ 10, 15 ] // result.indices[2] === Array [ 20, 25 ]
• У Intl.DisplayNames() і Intl.ListFormat() стала больш жорсткай праверка таго, што опцыі, якія перадаюцца ў канструктар, з'яўляюцца аб'ектамі. Пры спробе перадачы радкоў ці іншых прымітываў будзе генеравацца выключэнні.
• Для DOM прадстаўлены новы статычны метад AbortSignal.abort(), які вяртае AbortSignal, для якой ужо выстаўлены параметр aborted.
• У CSS рэалізаваны новыя псеўда-класы ":user-valid" і ":user-invalid", якія вызначаюць стан праверкі элемента формы, для якога пасля ўзаемадзеяння карыстальніка з формай была выканана праверка карэктнасці паказаных значэнняў. Ключавым адрозненнем ":user-valid" і ":user-invalid" ад псеўда-класаў ":valid" і ":invalid" з'яўляецца тое, што праверка пачынаецца толькі пасля таго, як карыстач перайшоў на іншы элемент (напрыклад, пераключыўся табуляцыяй на іншае поле).
• CSS-функцыя image-set(), якая дазваляе абраць малюнак з набору варыянтаў з розным дазволам, найболей падыходнае для бягучых параметраў экрана і прапускной здольнасці сеткавага падлучэння, зараз можа выкарыстоўвацца ў CSS-уласцівасцях "content" і "cursor". h2::before { content: image-set( url("small-icon.jpg") 1x, url("large-icon.jpg") 2x); }
• У CSS-уласцівасці outline забяспечана адпаведнасць контуру, усталяванаму пры дапамозе ўласцівасці border-radius.
• Для macOS монашырынны шрыфт па змаўчанні зменены на Menlo.
• У прыладах для web-распрацоўнікаў у панэлі інспектавання сеткі з'явіўся перамыкач паміж паказам HTTP-адказаў у фармаце JSON і ў нязменным выглядзе, у якім адказы перададзеныя па сетцы.
• Уключэнне па змаўчанні падтрымкі фармату малюнкаў AVIF (AV1 Image Format), у якім задзейнічаны тэхналогіі ўнутрыкадравага сціску з фармату кадавання відэа AV1, адкладзена да наступнага выпуску. У версіі Firefox 89 таксама плануецца прапанаваць абноўлены інтэрфейс карыстальніка і інтэграваць у адрасны радок калькулятар (уключаецца праз suggest.calculator у about:config)

Акрамя навін і выпраўленні памылак у Firefox 88 ухілена 17 уразлівасцяў, з якіх 9 пазначаныя як небяспечныя. 5 уразлівасцяў (сабраныя пад CVE-2021-29947) выкліканыя праблемамі працы з памяццю, такімі як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці. Патэнцыйна дадзеныя праблемы здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак.

Крыніца: opennet.ru