Byl uvolněn webový prohlížeč a Firefox 68.4 pro platformu Android. Kromě toho byla vygenerována aktualizace s dlouhodobou podporou . Již brzy na scéně přesune se větev Firefoxu 73, jejíž vydání je naplánováno na 11. února (projekt po dobu 4 týdnů ).
:
- Ve výchozím standardním režimu blokování nevhodného obsahu ochrana před sledováním uživatelů pomocí skrytých identifikačních metod („otisky prstů v prohlížeči“), které provádí na seznamu Disconnect.me, který zahrnuje hostitele, u kterých bylo zjištěno, že používají skripty pro skrytou identifikaci. Skrytou identifikací se rozumí ukládání identifikátorů v oblastech, které nejsou určeny k trvalému ukládání informací („Supercookies“), stejně jako generování identifikátorů na základě nepřímých údajů, jako je např. , seznam podporovaných typů MIME, možnosti specifické pro záhlaví ( и ), analýza zavedených dostupnost určitých webových rozhraní API specifických pro grafické karty vykreslování pomocí WebGL a Canvas, s CSS, analýza funkcí práce s и .
- metody s otravnými požadavky na udělení dalších oprávnění webu (Notification.requestPermission(), PushManager.subscribe() a MediaDevices.getDisplayMedia()). Žádosti o potvrzení autorizace již nebudou přerušovat práci s prohlížečem, ale po zaznamenání interakce uživatele se stránkou (kliknutí myší nebo stisk klávesy) povedou pouze k zobrazení indikátoru v adresním řádku. Mnoho webů zneužívá možnost prohlížeče žádat o oprávnění, a to především tím, že pravidelně žádá o oznámení push. Telemetrická analýza ukázala, že 97 % takových požadavků je odmítnuto, včetně v 19 % případů uživatel stránku okamžitě zavře, aniž by kliknul na tlačítko souhlasit nebo odmítnout.
- experimentální HTTP/3 protokol (pro aktivaci v about:config je potřeba nastavit volbu “network.http.http3.enabled”). Podpora HTTP/3 ve Firefoxu je založena na , napsaný v jazyce Rust, implementující klienta a server protokolu QUIC (HTTP/3 pomocí protokolu QUIC jako přenosu pro HTTP/2).
- V souladu s požadavky zákona, který vstoupil v platnost (Kalifornský zákon na ochranu soukromí spotřebitelů) schopnost mazat telemetrická data ze serverů Mozilla. Data budou vymazána, pokud odmítnete shromažďovat telemetrii v části „about:preferences#privacy“ (část „Shromažďování a používání dat aplikace Firefox“). Když zrušíte zaškrtnutí políčka „Povolit Firefoxu odesílat technická a interakční data do Mozilly“, které ovládá odesílání telemetrie, Mozilla do 30 dnů všechna data shromážděná během doby před selháním telemetrického přenosu. Data, která skončí na serverech Mozilly během procesu shromažďování telemetrie, zahrnují informace o výkonu, zabezpečení a obecných parametrech Firefoxu, jako je počet otevřených karet a trvání relace (nepřenášejí se informace o otevřených stránkách a vyhledávacích dotazech). Úplné podrobnosti o shromážděných datech si můžete prohlédnout na stránce „about:telemetry“.
- Pro Linux a macOS byla přidána možnost zobrazení videa v režimu Obraz v obraze, což umožňuje odpojit video ve formě plovoucího okna, které zůstane viditelné při navigaci v prohlížeči. Chcete-li zobrazit v tomto režimu, musíte kliknout na nápovědu nebo v kontextové nabídce zobrazené po kliknutí pravým tlačítkem na video vybrat „Obraz v obrázku“ (na YouTube, který nahrazuje vlastní obslužný program kontextové nabídky, byste měli klikněte dvakrát nebo klikněte se stisknutou klávesou Shift).
- Když se zobrazí posuvník barva pozadí aktuální stránky.
- vazby veřejného klíče (PKP, Public Key Pinning), která umožňuje pomocí HTTP hlavičky Public-Key-Pins explicitně určit certifikáty, které certifikační autority lze pro daný web použít. Důvodem je nízká poptávka po této funkci, riziko problémů s kompatibilitou (podpora PKP v Chrome) a možnost zablokovat svůj vlastní web kvůli vázání nesprávných klíčů nebo ztrátě klíčů (například náhodné smazání nebo kompromitace v důsledku hackování).
- Struktura umožňující v OpenBSD systémová volání и pro další izolaci systému souborů a procesů.
- Odebrána podpora blokování obrázků z jednotlivých domén. Důvodem odstranění je malá poptávka po funkci mezi uživateli a nepohodlné rozhraní pro blokování.
- V sestaveních pro Windows byla implementována experimentální funkce pro použití klientských certifikátů z úložiště certifikátů obecného operačního systému (pro povolení v about:config musí být aktivována volba security.osclientcerts.autoload).
- Podpora pro CSS Shadow Parts je ve výchozím nastavení povolena, včetně ""a pseudoprvek"", což vám umožňuje selektivně zobrazit zadané prvky z .
Odstavec
...v CSS pro výběr prvků vázaných na atribut part:
custom-element::part(example) {
okraj: plný 1px černý;
okraj poloměru: 5px;
padding: 5px;
} - Přidána podpora specifikací , který umožňuje definovat cestu objektů animace pomocí CSS bez použití kódu JavaScript a bez blokování procesu vykreslování a zadávání během animace. Vlastnosti CSS jsou poskytovány pro ovládání animace
,
,
,
и
. - Vybrané vlastnosti transformace CSS jsou ve výchozím nastavení povoleny , и , není vázán na nemovitost (tj. v CSS nyní můžete zadat „měřítko: 2;“ místo „transform: scale(2);“).
- JavaScript implementuje operátor logického zřetězení "", který vrací pravý operand, pokud je levý operand NULL nebo nedefinovaný, a naopak. Například „const foo = bar ?? 'default string'“, pokud je bar null, vrátí hodnotu baru jinak, včetně případů, kdy je bar 0 a ' ', na rozdíl od operátoru "||".
- Přidáno API a událost , které umožňují používat obslužné rutiny JavaScriptu k přidávání dat do formuláře při jeho odeslání, aniž by bylo nutné data ukládat do skrytých vstupních prvků.
- API aktualizovány tak, aby odpovídaly nové specifikaci, například přejmenovány souřadnice na GeolocationCoordinates, Position na GeolocationPosition a
PositionError v GeolocationPositionError. - V ladicím programu JavaScript podpora podmíněných zarážek (), spouští se při změně nebo čtení určitých vlastností objektů.
- Spouštění ladicího programu JavaScriptu bylo urychleno, když je otevřeno velmi velké množství karet (přednost mají nyní viditelné karty).
- Responsive Design Mode implementuje simulaci různých hodnot meta výřezu. Do režimu kontroly stránky byl přidán simulátor hodnot „prefers-color-scheme“.
- В v režimu víceřádkové interpretace JavaScriptu přidána podpora pro ukládání a otevírání souborů pomocí kombinací Ctrl + O a Ctrl + S.
- nastavení javascript.options.asyncstack pro vizuální oddělení asynchronních zpráv ve webové konzoli. Když aktivujete nastavení pro console.trace() a console.error(), zobrazí se celý zásobník volání asynchronních operací, což vám umožní pochopit, jak naplánovat spouštění časovačů, událostí, příslibů, generátorů atd.
- V kontrolním režimu WebSocket byla implementována analýza a vizuální zobrazení metadat ve formátu SignalR používaném ve zprávách ASP.NET Core.Přidány byly také čítače, které ukazují celkovou velikost odeslaných a stažených dat.
- V nástroji pro sledování síťové aktivity v záložce Časování samostatně informace o tom, kdy byl každý prostředek zařazen do fronty ke stažení, kdy stahování začalo a kdy bylo stahování dokončeno.
- Prostředí vyloučené z nástrojů pro webové vývojáře , navržený pro experimentování s kódem JavaScript (Scratchpad byl v minulém vydání nahrazen režimem víceřádkové webové konzole).
Kromě inovací a oprav chyb Firefox 72 opravil , z toho 11 (shromážděno pod и ) jsou označeny jako potenciálně schopné vést ke spuštění kódu útočníka při otevírání speciálně navržených stránek. Připomeňme, že problémy s pamětí, jako je přetečení vyrovnávací paměti a přístup k již uvolněným oblastem paměti, byly nedávno označeny jako nebezpečné, ale nikoli kritické. Za zmínku stojí také problém CVE-2019-17017 v kódu XPCVariant.cpp, který může také potenciálně vést ke spuštění kódu.
Zdroj: opennet.ru