Byl uvolněn webový prohlížeč a Firefox 68.6 pro platformu Android. Kromě toho byla vygenerována aktualizace s dlouhodobou podporou . Již brzy na scéně přesune se větev Firefoxu 75, jejíž vydání je naplánováno na 7. dubna (projekt po dobu 4-5 týdnů ). Pro větev Firefox 75 beta tvarování pro Linux ve formátu Flatpak.
:
- Sestavení Linuxu používají izolační mechanismus , zaměřené na blokování zneužití zranitelností ve funkčních knihovnách třetích stran. V této fázi je izolace povolena pouze pro knihovnu , zodpovědný za vykreslování písem. RLBox zkompiluje C/C++ kód izolované knihovny do nízkoúrovňového intermediálního kódu WebAssembly, který je následně navržen jako modul WebAssembly, jehož oprávnění jsou nastavena pouze ve vztahu k tomuto modulu. Sestavený modul pracuje v samostatné paměťové oblasti a nemá přístup ke zbytku adresního prostoru. V případě zneužití zranitelnosti v knihovně bude útočník omezen a nebude moci získat přístup k paměťovým oblastem hlavního procesu ani přenést řízení mimo izolované prostředí.
- Režim DNS přes HTTPS (DoH, DNS over HTTPS) pro uživatele v USA. Výchozím poskytovatelem DNS je CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) a NextDNS je k dispozici jako volitelná možnost. Změnit poskytovatele nebo povolit DoH v jiných zemích než v USA, v nastavení síťového připojení. Více o DoH ve Firefoxu si můžete přečíst na .
- podpora protokolů TLS 1.0 a TLS 1.1. Chcete-li přistupovat k webům prostřednictvím zabezpečeného komunikačního kanálu, musí server poskytovat podporu alespoň pro TLS 1.2. Podle společnosti Google se v současnosti asi 0.5 % stahování webových stránek nadále provádí pomocí zastaralých verzí TLS. Odstávka byla provedena v souladu s IETF (Internet Engineering Task Force). Důvodem odmítnutí podpory TLS 1.0/1.1 je nedostatečná podpora moderních šifer (například ECDHE a AEAD) a požadavek na podporu starých šifer, jejichž spolehlivost je v současné fázi vývoje výpočetní techniky zpochybňována ( například je vyžadována podpora pro TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 se používá pro kontrolu integrity a autentizaci a SHA-1). Při pokusu o použití TLS 1.0 a TLS 1.1 počínaje Firefoxem 74 se zobrazí chyba. Schopnost pracovat se zastaralými verzemi TLS můžete obnovit nastavením security.tls.version.enable-deprecated = true nebo pomocí tlačítka na chybové stránce zobrazené při návštěvě webu se starým protokolem.
- Poznámka k vydání doporučuje doplněk , která automaticky blokuje widgety Facebooku třetích stran používané k ověřování, komentování a lajkování. Identifikační parametry Facebooku jsou izolovány v samostatném kontejneru, což ztěžuje identifikaci uživatele s weby, které navštěvuje. Schopnost pracovat s hlavní stránkou Facebooku zůstává, ale je izolována od ostatních stránek.
Pro flexibilnější izolaci libovolných stránek je navržen doplněk s implementací konceptu kontextových kontejnerů. Kontejnery poskytují možnost izolovat různé typy obsahu bez vytváření samostatných profilů, což umožňuje oddělit informace jednotlivých skupin stránek. Můžete například vytvořit oddělené izolované oblasti pro osobní komunikaci, práci, nakupování a bankovní transakce nebo organizovat současné používání různých uživatelských účtů na jednom místě. Každý kontejner používá samostatné úložiště pro soubory cookie, rozhraní API místního úložiště, indexedDB, mezipaměť a obsah OriginAttributes.
- Do about:config bylo přidáno nastavení „browser.tabs.allowTabDetach“, aby se zabránilo oddělování karet do nových oken. Náhodné odpojení karty je jednou z nejotravnějších chyb Firefoxu, kterou je třeba opravit. 9 let. Prohlížeč umožňuje myší přetáhnout kartu do nového okna, ale za určitých okolností se karta během provozu oddělí do samostatného okna, když se myš při kliknutí na kartu neopatrně pohybuje.
- podpora doplňků nainstalovaných kruhovým objezdem a nevázaných na uživatelské profily. Změna se týká pouze instalace doplňků do sdílených adresářů (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ nebo ~/.mozilla/extensions/) zpracovávaných všemi instancemi Firefoxu v systému ( není spojen s uživatelem). Tato metoda se obvykle používá pro předinstalaci doplňků v distribucích, pro nevyžádané nahrazení aplikací třetích stran, pro integraci škodlivých doplňků nebo pro samostatné dodání doplňku s vlastním instalačním programem. Ve Firefoxu 73 byly dříve vynucené doplňky automaticky přesunuty ze sdíleného adresáře do jednotlivých uživatelských profilů a nyní je lze prostřednictvím běžného správce doplňků.
- V systémovém doplňku Lockwise obsaženém v prohlížeči, který nabízí rozhraní „about:logins“ pro správu uložených hesel, řazení v obráceném pořadí (Z do A).
- WebRTC zvýšilo ochranu proti úniku informací o interní IP adrese během hlasových hovorů a videohovorů pomocí „“, skrývá místní adresu za dynamicky generovaný náhodný identifikátor určený pomocí Multicast DNS.
- Změnilo se umístění přepínače zobrazení obrazu v obraze, který překrýval tlačítko dalšího obrázku v rozhraní hromadného nahrávání fotografií na Instagramu.
- V JavaScriptu operátor "?.", navržený tak, aby současně kontroloval celý řetězec vlastností nebo volání. Například zadáním "db?.user?.name?.length" nyní získáte přístup k hodnotě "db.user.name.length" bez jakýchkoliv předběžných kontrol. Pokud je jakýkoli prvek zpracován jako null nebo nedefinovaný, výstup bude „nedefinovaný“.
- podpora na webových stránkách a v doplňcích pro metodu Object.toSource() a globální funkci uneval().
- Přidána nová událost a související majetek , které vám umožňují zavolat handler, když uživatel změní jazyk rozhraní.
- Zpracování záhlaví HTTP povoleno (), což webům umožňuje zabránit vkládání zdrojů (například obrázků a skriptů) načtených z jiných domén (cross-origin a cross-site). Hlavička může nabývat dvou hodnot: "same-origin" (umožňuje pouze požadavky na zdroje se stejným schématem, názvem hostitele a číslem portu) a "same-site" (povoluje pouze požadavky ze stejného webu).
Cross-Origin-Resource-Policy: stejný web
- HTTP hlavička je ve výchozím nastavení povolena , která vám umožňuje ovládat chování API a povolit určité funkce (například můžete zakázat přístup k Geolocation API, kameru, mikrofon, celou obrazovku, automatické přehrávání, šifrovaná média, animaci, Payment API, synchronní režim XMLHttpRequest, atd.). U bloků iframe je atribut „“, který lze použít v kódu stránky k přiřazení práv k určitým blokům iframe.
Zásady funkcí: mikrofon „žádný“; geolokace „žádná“
Pokud web umožňuje prostřednictvím atributu „allow“ pracovat se zdrojem pro konkrétní prvek iframe a z prvku iframe je přijat požadavek na získání oprávnění k práci s tímto zdrojem, prohlížeč nyní zobrazí dialogové okno pro udělení oprávnění v kontextu hlavní stránky a deleguje práva potvrzená uživatelem na iframe (místo samostatných potvrzení pro iframe a hlavní stránku). Pokud však hlavní stránka nemá oprávnění ke zdroji požadovanému prostřednictvím atributu allow, prvek iframe má ke zdroji přístup okamžitě , aniž by se uživateli zobrazil dialog.
- Podpora vlastností CSS je ve výchozím nastavení povolena '', který určuje polohu podtržení textu (např. při vertikálním zobrazení textu můžete organizovat podtržení vlevo nebo vpravo a při horizontálním zobrazení nejen zespodu, ale i shora). Navíc ve vlastnostech CSS, které řídí styl podtržení и Přidána podpora pro použití procentuálních hodnot.
- Ve vlastnosti CSS , který definuje styl čáry kolem prvků, je ve výchozím nastavení "auto" (dříve kvůli problémům v GNOME).
- V ladicím programu JavaScript schopnost ladit vnořené webové pracovníky, jejichž provádění lze pozastavit a ladit krok za krokem pomocí bodů přerušení.
- Rozhraní pro kontrolu webových stránek nyní poskytuje varování pro vlastnosti CSS, které závisí na prvcích umístěných na z-indexu, nahoře, vlevo, dole a vpravo.
- Pro Windows a macOS byla implementována možnost importovat profily z prohlížeče Microsoft Edge založeného na enginu Chromium.
Kromě inovací a oprav chyb Firefox 74 opravil , z toho 10 (shromážděno pod и ) jsou označeny jako potenciálně schopné vést ke spuštění kódu útočníka při otevírání speciálně navržených stránek. Připomeňme, že problémy s pamětí, jako je přetečení vyrovnávací paměti a přístup k již uvolněným oblastem paměti, byly nedávno označeny jako nebezpečné, ale nikoli kritické.
Zdroj: opennet.ru