S'ha llançat el navegador web I Firefox 68.6 per a la plataforma Android. A més, s'ha generat una actualització amb suport a llarg termini . Aviat a l'escenari la branca de Firefox 75 es traslladarà, el llançament de la qual està previst per al 7 d'abril (projecte durant 4-5 setmanes ). Per a la branca beta de Firefox 75 formació per Linux en format Flatpak.
:
- En assemblees per a Linux el mecanisme d'aïllament està activat , dirigit a bloquejar l'explotació de vulnerabilitats en biblioteques de funcions de tercers. En aquesta fase, l'aïllament només està habilitat per a la biblioteca , responsable de representar els tipus de lletra. RLBox compila el codi C/C++ de la biblioteca aïllada en codi intermedi WebAssembly de baix nivell, que després es dissenya com un mòdul WebAssembly, els permisos del qual s'estableixen només en relació amb aquest mòdul. El mòdul muntat funciona en una àrea de memòria independent i no té accés a la resta de l'espai d'adreces. Si s'explota una vulnerabilitat de la biblioteca, l'atacant es veurà limitat i no podrà accedir a les àrees de memòria del procés principal ni transferir el control fora de l'entorn aïllat.
- Mode DNS sobre HTTPS (DoH, DNS sobre HTTPS) per als usuaris dels EUA. El proveïdor de DNS predeterminat és CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) i NextDNS està disponible com a opció. Canviar de proveïdor o habilitar DoH en països diferents dels EUA, a la configuració de connexió de xarxa. Podeu llegir més sobre DoH a Firefox a .
- suport per als protocols TLS 1.0 i TLS 1.1. Per accedir als llocs a través d'un canal de comunicació segur, el servidor ha de proporcionar suport com a mínim per a TLS 1.2. Segons Google, actualment al voltant del 0.5% de les descàrregues de pàgines web es continuen realitzant amb versions obsoletes de TLS. L'aturada es va dur a terme d'acord amb IETF (Internet Engineering Task Force). El motiu per negar-se a donar suport a TLS 1.0/1.1 és la manca de suport per a xifratges moderns (per exemple, ECDHE i AEAD) i el requisit de suportar xifratge antic, la fiabilitat dels quals es qüestiona en l'etapa actual de desenvolupament de la tecnologia informàtica ( per exemple, es requereix suport per a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 s'utilitza per a la verificació d'integritat i l'autenticació i SHA-1). Quan intenteu utilitzar TLS 1.0 i TLS 1.1 a partir de Firefox 74, es mostrarà un error. Podeu restaurar la capacitat de treballar amb versions de TLS obsoletes configurant security.tls.version.enable-deprecated = true o fent servir el botó de la pàgina d'error que es mostra quan visiteu un lloc amb el protocol antic.
- La nota de la versió recomana un complement , que bloqueja automàticament els ginys de Facebook de tercers utilitzats per a l'autenticació, els comentaris i els m'agrada. Els paràmetres d'identificació de Facebook estan aïllats en un contenidor separat, cosa que dificulta la identificació de l'usuari amb els llocs que visita. Es manté la possibilitat de treballar amb el lloc principal de Facebook, però està aïllat d'altres llocs.
Per a un aïllament més flexible de llocs arbitraris, es proposa un complement amb la implementació del concepte de contenidors de context. Els contenidors ofereixen la possibilitat d'aïllar diferents tipus de contingut sense crear perfils separats, cosa que us permet separar la informació de grups individuals de pàgines. Per exemple, podeu crear àrees separades i aïllades per a la comunicació personal, el treball, les compres i les transaccions bancàries, o bé organitzar l'ús simultani de diferents comptes d'usuari en un mateix lloc. Cada contenidor utilitza magatzems separats per a galetes, API d'emmagatzematge local, indexedDB, memòria cau i contingut d'OriginAttributes.
- S'ha afegit la configuració "browser.tabs.allowTabDetach" a about:config per evitar que les pestanyes es deslliguin a finestres noves. El despreniment de pestanyes accidental és un dels errors més molests de Firefox que cal arreglar. 9 anys. El navegador permet que el ratolí arrossegui una pestanya a una finestra nova, però en determinades circumstàncies la pestanya es desenganxa en una finestra separada durant el funcionament quan el ratolí es mou descuidadament mentre fa clic a la pestanya.
- suport per a complements instal·lats de manera indirecta i no vinculats als perfils d'usuari. El canvi només afecta la instal·lació de complements als directoris compartits (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ o ~/.mozilla/extensions/) processats per totes les instàncies de Firefox al sistema ( no associat amb un usuari). Aquest mètode s'utilitza normalment per instal·lar complements prèviament a les distribucions, per a la substitució no sol·licitada amb aplicacions de tercers, per integrar complements maliciosos o per lliurar per separat un complement amb el seu propi instal·lador. A Firefox 73, els complements que s'havien instal·lat força abans s'han mogut automàticament del directori compartit als perfils d'usuari individuals i ara es poden mitjançant el gestor de complements habitual.
- Al complement del sistema Lockwise inclòs al navegador, que ofereix la interfície "about:logins" per gestionar les contrasenyes desades, ordenar en ordre invers (Z a A).
- WebRTC ha augmentat la protecció contra la filtració d'informació sobre l'adreça IP interna durant les trucades de veu i de vídeo mitjançant el "", amagant l'adreça local darrere d'un identificador aleatori generat dinàmicament determinat mitjançant Multicast DNS.
- S'ha canviat la ubicació de l'interruptor de visualització d'imatge a imatge que es superposava al botó d'imatge següent a la interfície de càrrega de fotos per lots a Instagram.
- En JavaScript operador “?.”, dissenyat per comprovar simultàniament tota la cadena de propietats o trucades. Per exemple, especificant "db?.user?.name?.length" ara podeu accedir al valor de "db.user.name.length" sense cap comprovació preliminar. Si algun element es processa com a nul o sense definir, la sortida serà "indefinit".
- suport en llocs web i en complements per al mètode Object.toSource() i la funció global uneval().
- S'ha afegit un nou esdeveniment i la propietat associada , que us permeten trucar a un gestor quan l'usuari canvia l'idioma de la interfície.
- S'ha activat el processament de la capçalera HTTP (), permetent als llocs evitar la inserció de recursos (per exemple, imatges i scripts) carregats des d'altres dominis (origen creuat i entre llocs). La capçalera pot prendre dos valors: "same-origin" (només permet sol·licituds de recursos amb el mateix esquema, nom d'amfitrió i número de port) i "same-site" (només admet sol·licituds des del mateix lloc).
Cross-Origin-Resource-Policy: mateix lloc
- La capçalera HTTP està activada per defecte , que us permet controlar el comportament de l'API i habilitar determinades funcions (per exemple, podeu desactivar l'accés a l'API de geolocalització, càmera, micròfon, pantalla completa, reproducció automàtica, mitjans xifrats, animació, API de pagament, mode XMLHttpRequest síncron, etc.). Per als blocs iframe, l'atribut “", que es pot utilitzar al codi de pàgina per assignar drets a determinats blocs iframe.
Política de funcions: micròfon "cap"; geolocalització "cap"
Si un lloc permet, mitjançant l'atribut "permetre", treballar amb un recurs per a un iframe específic i es rep una sol·licitud de l'iframe per obtenir permisos per treballar amb aquest recurs, ara el navegador mostra un diàleg per atorgar permisos al context de la pàgina principal i delega els drets confirmats per l'usuari a l'iframe (en lloc d'una confirmació separada per a iframe i pàgina principal). Però, si la pàgina principal no té permís per al recurs sol·licitat mitjançant l'atribut allow, l'iframe té accés immediatament al recurs. , sense mostrar cap diàleg a l'usuari.
- El suport de propietats CSS està activat per defecte '', que determina la posició del subratllat del text (per exemple, quan es mostra el text verticalment, podeu organitzar el subratllat a l'esquerra o a la dreta, i quan es mostra horitzontalment, no només des de baix, sinó també des de dalt). A més a les propietats CSS que controlen l'estil de subratllat и S'ha afegit suport per utilitzar valors percentuals.
- En una propietat CSS , que defineix l'estil de línia al voltant dels elements, per defecte és "automàtic" (anteriorment a causa de problemes a GNOME).
- Al depurador de JavaScript la capacitat de depurar els treballadors web imbricats, l'execució dels quals es pot suspendre i depurar pas a pas mitjançant punts d'interrupció.
- La interfície d'inspecció de la pàgina web ara proporciona advertències per a les propietats CSS que depenen dels elements situats a l'índex z, superior, esquerra, inferior i dreta.
- Per Windows и macOS S'ha implementat la capacitat d'importar perfils des del navegador Microsoft Edge basat en el motor Chromium.
A més de les innovacions i correccions d'errors, Firefox 74 ha corregit , dels quals 10 (recollits sota и ) es marquen com a potencialment capaços de conduir a l'execució de codi atacant quan s'obren pàgines especialment dissenyades. Us recordem que els problemes de memòria, com ara els desbordaments de memòria intermèdia i l'accés a àrees de memòria ja alliberades, s'han marcat recentment com a perillosos, però no crítics.
Font: opennet.ru
