Izdanje Firefox 74

Objavljen je web pretraživač Firefox 74I mobilna verzija Firefox 68.6 za Android platformu. Osim toga, generirano je ažuriranje podružnice uz dugoročnu podršku 68.6.0. Uskoro na pozornici beta testiranje Prebacit će se grana Firefox 75, čije je objavljivanje zakazano za 7. april (projekat preselio za 4-5 sedmica razvojni ciklus). Za Firefox 75 beta granu započeo formacije skupštine za Linux u Flatpak formatu.

Glavni inovacije:

• Linux verzije koriste mehanizam izolacije RLBox, čiji je cilj blokiranje iskorištavanja ranjivosti u bibliotekama funkcija trećih strana. U ovoj fazi, izolacija je omogućena samo za biblioteku Grafit, odgovoran za prikazivanje fontova. RLBox kompajlira C/C++ kod izolovane biblioteke u WebAssembly međukod niskog nivoa, koji je zatim dizajniran kao WebAssembly modul, čije su dozvole postavljene samo u odnosu na ovaj modul. Sastavljeni modul radi u posebnom memorijskom području i nema pristup ostatku adresnog prostora. Ako se iskoristi ranjivost u biblioteci, napadač će biti ograničen i neće moći pristupiti memorijskim područjima glavnog procesa ili prenijeti kontrolu izvan izolovanog okruženja.
• DNS preko HTTPS način (DoH, DNS preko HTTPS) omogućeno po defaultu za američke korisnike. Zadani DNS provajder je CloudFlare (mozilla.cloudflare-dns.com na listi в blok liste Roskomnadzor), a NextDNS je dostupan kao opcija. Promijenite provajdera ili omogućite DoH u zemljama koje nisu SAD, moći u postavkama mrežne veze. Više o DoH u Firefoxu možete pročitati na zasebna najava.
  

• Onemogućeno podrška za TLS 1.0 i TLS 1.1 protokole. Za pristup lokacijama preko sigurnog komunikacijskog kanala, server mora osigurati podršku za najmanje TLS 1.2. Prema Google-u, trenutno se oko 0.5% preuzimanja web stranica i dalje obavlja pomoću zastarjelih verzija TLS-a. Isključivanje je izvršeno u skladu sa preporuke IETF (Internet Engineering Task Force). Razlog odbijanja podrške TLS 1.0/1.1 je nedostatak podrške za moderne šifre (na primjer, ECDHE i AEAD) i zahtjev da se podrže stare šifre, čija je pouzdanost dovedena u pitanje u sadašnjoj fazi razvoja računarske tehnologije ( na primjer, potrebna je podrška za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 se koristi za provjeru integriteta i autentifikaciju i SHA-1). Prilikom pokušaja korištenja TLS 1.0 i TLS 1.1 počevši od Firefoxa 74, prikazat će se greška. Možete vratiti mogućnost rada sa zastarjelim verzijama TLS-a postavljanjem security.tls.version.enable-deprecated = true ili korištenjem gumba na stranici s greškom koja se prikazuje kada posjetite web lokaciju sa starim protokolom.
  

• Napomena o izdanju preporučuje dodatak Facebook kontejner, koji automatski blokira Facebook widgete treće strane koji se koriste za autentifikaciju, komentiranje i lajkanje. Facebook-ovi identifikacioni parametri su izolovani u posebnom kontejneru, što otežava identifikaciju korisnika sa sajtovima koje posećuju. Mogućnost rada sa glavnom Facebook stranicom ostaje, ali je izolirana od drugih stranica.

  Za fleksibilniju izolaciju proizvoljnih lokacija predlaže se dodatak Kontejneri za više računa uz implementaciju koncepta kontekstnih kontejnera. Kontejneri pružaju mogućnost izolacije različitih tipova sadržaja bez kreiranja zasebnih profila, što vam omogućava da odvojite informacije pojedinačnih grupa stranica. Na primjer, možete kreirati odvojene, izolirane oblasti za ličnu komunikaciju, posao, kupovinu i bankovne transakcije ili organizirati istovremenu upotrebu različitih korisničkih računa na jednom mjestu. Svaki kontejner koristi odvojena spremišta za kolačiće, API za lokalnu pohranu, indeksiranu DB, keš memoriju i sadržaj OriginAttributes.

• Dodata je postavka “browser.tabs.allowTabDetach” u about:config kako bi se spriječilo odvajanje kartica u nove prozore. Slučajno odvajanje kartice je jedna od najneugodnijih Firefox grešaka koje je potrebno popraviti. tražio 9 godina. Pretraživač dozvoljava mišu da prevuče karticu u novi prozor, ali pod određenim okolnostima kartica se odvaja u poseban prozor tokom rada kada se miš neoprezno pomera dok klika na karticu.
• Prekinut podrška za dodatke instalirane na zaobilazni način i nisu vezani za korisničke profile. Promjena utiče samo na instalaciju dodataka u dijeljene direktorije (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ili ~/.mozilla/extensions/) koje obrađuju sve Firefox instance na sistemu ( nije povezana s korisnikom). Ova metoda se obično koristi za predinstaliranje dodataka u distribucijama, za neželjenu zamjenu aplikacijama trećih strana, za integraciju zlonamjernih dodataka ili za zasebno isporuku dodatka s vlastitim instalaterom. U Firefoxu 73, prethodno prisilno instalirani dodaci su automatski premješteni iz dijeljenog direktorija u pojedinačne korisničke profile i sada se mogu uklonjen preko redovnog upravitelja dodataka.
• U sistemskom dodatku Lockwise uključenom u pretraživač, koji nudi interfejs "about:logins" za upravljanje sačuvanim lozinkama, podrška sortirati obrnutim redoslijedom (Z do A).
• WebRTC ima povećanu zaštitu od curenja informacija o internoj IP adresi tokom glasovnih i video poziva koristeći "mDNS ICE“, skrivajući lokalnu adresu iza dinamički generiranog slučajnog identifikatora određenog preko Multicast DNS-a.
• Promijenjena je lokacija prekidača za prikaz slika u slici koji se preklapa s gumbom za sljedeću sliku u interfejsu za grupno otpremanje fotografija na Instagramu.
• U JavaScriptu dodano operator “?.”, dizajniran da istovremeno provjerava cijeli lanac svojstava ili poziva. Na primjer, navođenjem "db?.user?.name?.length" sada možete pristupiti vrijednosti "db.user.name.length" bez ikakvih preliminarnih provjera. Ako se bilo koji element obradi kao null ili nedefiniran, izlaz će biti “nedefiniran”.
• Prekinut podrška na web stranicama i u dodacima za metodu Object.toSource() i globalnu funkciju uneval().
• Dodan je novi događaj languagechange_even i pripadajuću imovinu onlanguagechange, koji vam omogućavaju da pozovete rukovalac kada korisnik promijeni jezik interfejsa.
• Omogućena je obrada HTTP zaglavlja Cross-Origin-Resource Policy (CORP.), omogućavajući web lokacijama da spriječe umetanje resursa (na primjer, slika i skripti) učitanih s drugih domena (više podrijetla i više lokacija). Zaglavlje može imati dvije vrijednosti: "same-origin" (dozvoli samo zahtjeve za resurse sa istom shemom, imenom hosta i brojem porta) i "same-site" (dozvoljava samo zahtjeve sa iste stranice).

  Cross-Origin-Resource Policy: ista lokacija

• HTTP zaglavlje je omogućeno po defaultu Funkcija-Politika, koji vam omogućava da kontrolirate ponašanje API-ja i omogućite određene funkcije (na primjer, možete onemogućiti pristup Geolocation API-ju, kameri, mikrofonu, cijelom ekranu, autoplay, encrypted-media, animaciji, Payment API, sinhroni XMLHttpRequest mod, itd.). Za iframe blokove, atribut “dopustiti“, koji se može koristiti u kodu stranice za dodjelu prava određenim iframe blokovima.

  Funkcija-Politika: mikrofon 'nema'; geolokacija 'nema'

  Ako web lokacija dozvoljava, preko atributa "allow", rad sa resursom za određeni iframe, a od iframea se primi zahtjev za dobivanje dozvola za rad s ovim resursom, preglednik sada prikazuje dijalog za dodjelu dozvola u kontekst glavne stranice i delegira prava koja je korisnik potvrdio na iframe (umjesto zasebnih potvrda za iframe i glavnu stranicu). Ali, ako glavna stranica nema dozvolu za resurs koji se traži preko atributa dozvole, iframe ima pristup resursu odmah blokiran, bez prikaza dijaloga korisniku.

• Podrška za CSS svojstva 'podrazumevano omogućena'tekst-podvučena-pozicija‘, koji određuje položaj podvlačenja teksta (na primjer, kada se tekst prikazuje okomito, možete organizirati podvlačenje lijevo ili desno, a kada se prikazuje horizontalno, ne samo odozdo, već i odozgo). Dodatno u CSS svojstvima koja kontrolišu stil podvlačenja text-underline-offset и text-decoration-debljina Dodata podrška za korištenje procentualnih vrijednosti.
• U CSS svojstvu outline-style, koji definira stil linije oko elemenata, zadana je vrijednost "auto" (prethodno onemogućeno zbog problema u GNOME-u).
• U JavaScript debugger-u dodano mogućnost otklanjanja grešaka u ugniježđenim web radnicima, čije se izvršavanje može obustaviti i otkloniti korak po korak korištenjem tačaka prekida.
  

• Interfejs za inspekciju web stranice sada pruža upozorenja za CSS svojstva koja zavise od z-indeksa, gornjih, lijevo, donjih i desnih pozicioniranih elemenata.
  

• Za Windows i macOS implementirana je mogućnost uvoza profila iz Microsoft Edge pretraživača zasnovanog na Chromium engine-u.

Pored inovacija i ispravki grešaka, Firefox 74 je popravio 20 ranjivosti, od čega 10 (sakupljeno pod CVE-2020-6814 и CVE-2020-6815) označeni su kao potencijalno sposobni da dovedu do izvršenja napadačkog koda prilikom otvaranja posebno dizajniranih stranica. Podsjetimo, problemi s memorijom, poput prekoračenja bafera i pristupa već oslobođenim memorijskim područjima, nedavno su označeni kao opasni, ali ne i kritični.

izvor: opennet.ru