Firefox 74 udgivelse

Webbrowseren blev frigivet Firefox 74og mobil version Firefox 68.6 til Android-platformen. Derudover er der genereret en opdatering grene med langvarig støtte 68.6.0. Kommer snart på scenen beta test Firefox 75-grenen vil flytte over, hvis udgivelse er planlagt til den 7. april (projekt flyttet i 4-5 uger udviklingscyklus). Til Firefox 75 beta filial begyndte formation forsamlinger til Linux i Flatpak-format.

The main innovationer:

• Linux builds bruger en isolationsmekanisme RLBox, der har til formål at blokere udnyttelsen af ​​sårbarheder i tredjeparts funktionsbiblioteker. På dette stadium er isolering kun aktiveret for biblioteket Graphite, ansvarlig for gengivelse af skrifttyper. RLBox kompilerer C/C++-koden for det isolerede bibliotek til WebAssembly-mellemkode på lavt niveau, som derefter er designet som et WebAssembly-modul, hvis tilladelser kun er sat i forhold til dette modul. Det samlede modul fungerer i et separat hukommelsesområde og har ikke adgang til resten af ​​adresserummet. Hvis en sårbarhed i biblioteket udnyttes, vil angriberen være begrænset og vil ikke være i stand til at få adgang til hukommelsesområder i hovedprocessen eller overføre kontrol uden for det isolerede miljø.
• DNS over HTTPS-tilstand (DoH, DNS over HTTPS) aktiveret som standard for amerikanske brugere. Standard DNS-udbyderen er CloudFlare (mozilla.cloudflare-dns.com opført в blokeringslister Roskomnadzor), og NextDNS er tilgængelig som en mulighed. Skift udbyder eller aktiver DoH i andre lande end USA, man kan i netværksforbindelsesindstillingerne. Du kan læse mere om DoH i Firefox på særskilt meddelelse.
  

• handicappet understøttelse af TLS 1.0 og TLS 1.1 protokoller. For at få adgang til websteder via en sikker kommunikationskanal skal serveren yde support til mindst TLS 1.2. Ifølge Google udføres i øjeblikket omkring 0.5 % af downloads af websider ved at bruge forældede versioner af TLS. Nedlukningen er udført iht anbefalinger IETF (Internet Engineering Task Force). Årsagen til at nægte at understøtte TLS 1.0/1.1 er manglen på understøttelse af moderne ciphers (for eksempel ECDHE og AEAD) og kravet om at understøtte gamle ciphers, hvis pålidelighed stilles spørgsmålstegn ved det nuværende udviklingsstadium af computerteknologi ( for eksempel er understøttelse af TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA påkrævet, MD5 bruges til integritetskontrol og godkendelse og SHA-1). Når du prøver at bruge TLS 1.0 og TLS 1.1 startende med Firefox 74, vises en fejl. Du kan gendanne muligheden for at arbejde med forældede TLS-versioner ved at indstille security.tls.version.enable-deprecated = true eller ved at bruge knappen på fejlsiden, der vises, når du besøger et websted med den gamle protokol.
  

• Udgivelsesnoten anbefaler en tilføjelse Facebook Container, som automatisk blokerer tredjeparts Facebook-widgets, der bruges til godkendelse, kommentering og like. Facebooks identifikationsparametre er isoleret i en separat beholder, hvilket gør det svært at identificere brugeren med de sider, de besøger. Muligheden for at arbejde med det primære Facebook-websted forbliver, men det er isoleret fra andre websteder.

  For mere fleksibel isolering af vilkårlige steder foreslås en tilføjelse Containere med flere konti med implementering af konceptet kontekstbeholdere. Containere giver mulighed for at isolere forskellige typer indhold uden at oprette separate profiler, hvilket giver dig mulighed for at adskille oplysningerne fra individuelle grupper af sider. For eksempel kan du oprette separate, isolerede områder til personlig kommunikation, arbejde, indkøb og banktransaktioner eller organisere samtidig brug af forskellige brugerkonti på ét websted. Hver container bruger separate lagre til cookies, Local Storage API, indexedDB, cache og OriginAttributes-indhold.

• Tilføjet "browser.tabs.allowTabDetach" indstilling til about:config for at forhindre faner i at blive løsrevet til nye vinduer. Utilsigtet løsrivelse af faner er en af ​​de mest irriterende Firefox-fejl, der skal rettes. søgte 9 år. Browseren tillader musen at trække en fane ind i et nyt vindue, men under visse omstændigheder frigøres fanen i et separat vindue under drift, når musen bevæger sig skødesløst, mens den klikker på fanen.
• Udgået understøttelse af tilføjelser installeret i en rundkørsel og ikke bundet til brugerprofiler. Ændringen påvirker kun installation af tilføjelser i delte mapper (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ eller ~/.mozilla/extensions/), der behandles af alle Firefox-instanser på systemet ( ikke knyttet til en bruger). Denne metode bruges normalt til forudinstallation af tilføjelser i distributioner, til uopfordret substitution med tredjepartsapplikationer, til integration af ondsindede tilføjelser eller til separat levering af et tilføjelsesprogram med sit eget installationsprogram. I Firefox 73 er ​​tidligere tvangsinstallerede tilføjelser automatisk blevet flyttet fra den delte mappe til individuelle brugerprofiler og kan nu fjernet gennem den almindelige add-on manager.
• I Lockwise-systemtilføjelsen inkluderet i browseren, som tilbyder "about:logins"-grænsefladen til håndtering af gemte adgangskoder, støtte sorter i omvendt rækkefølge (Z til A).
• WebRTC har øget beskyttelse mod lækage af information om den interne IP-adresse under tale- og videoopkald ved hjælp af "mDNS ICE", skjuler den lokale adresse bag en dynamisk genereret tilfældig identifikator bestemt gennem Multicast DNS.
• Ændrede placeringen af ​​billed-i-billede-visningskontakten, der overlappede den næste billedknap i batch-upload-fotogrænsefladen på Instagram.
• I JavaScript tilføjet operatør “?.”, designet til samtidig at kontrollere hele kæden af ​​ejendomme eller opkald. For eksempel, ved at angive "db?.bruger?.navn?.længde" kan du nu få adgang til værdien af ​​"db.bruger.navn.længde" uden nogen foreløbig kontrol. Hvis et element behandles som null eller udefineret, vil outputtet være "udefineret".
• Udgået support på websteder og i tilføjelser til Object.toSource()-metoden og den globale funktion uneval().
• Ny begivenhed tilføjet sprogskift_selv og den tilhørende ejendom på sprogændring, som giver dig mulighed for at kalde en handler, når brugeren ændrer grænsefladesproget.
• HTTP-headerbehandling aktiveret Cross-Origin-Resource-Policy (LEGEME), hvilket giver websteder mulighed for at forhindre indsættelse af ressourcer (f.eks. billeder og scripts), der er indlæst fra andre domæner (på tværs af oprindelse og på tværs af websteder). Headeren kan have to værdier: "same-origin" (tillader kun anmodninger om ressourcer med samme skema, værtsnavn og portnummer) og "same-site" (tillader kun anmodninger fra samme site).

  Cross-Origin-Resource-Policy: samme sted

• HTTP-header aktiveret som standard Funktionspolitik, som giver dig mulighed for at kontrollere adfærden af ​​API'en og aktivere visse funktioner (f.eks. kan du deaktivere adgangen til Geolocation API, kamera, mikrofon, fuld skærm, autoplay, krypterede medier, animation, Payment API, synkron XMLHttpRequest-tilstand, etc.). For iframe-blokke er attributten "tillade", som kan bruges i sidekoden til at tildele rettigheder til visse iframe-blokke.

  Funktionspolitik: mikrofon 'ingen'; geolocation 'ingen'

  Hvis et websted via attributten "allow" tillader at arbejde med en ressource til en specifik iframe, og der modtages en anmodning fra iframen om at få tilladelser til at arbejde med denne ressource, viser browseren nu en dialogboks til at give tilladelser i konteksten af ​​hovedsiden og delegerer de rettigheder, der er bekræftet af brugeren til iframen (i stedet for en separat bekræftelse for iframe og hovedside). Men hvis hovedsiden ikke har tilladelse til den ressource, der anmodes om via tillade-attributten, har iframen adgang til ressourcen med det samme blokeretuden at vise en dialog for brugeren.

• Understøttelse af CSS-egenskaber "aktiveret som standard"tekst-understregning-position', som bestemmer placeringen af ​​tekstens understregning (for eksempel, når du viser tekst lodret, kan du organisere understregning til venstre eller højre, og når du viser vandret, ikke kun nedefra, men også ovenfra). Derudover i CSS-egenskaberne, der styrer understregningsstilen tekst-understregning-offset и tekst-dekoration-tykkelse Tilføjet støtte til brug af procentværdier.
• I en CSS-ejendom konturstil, som definerer linjestilen omkring elementer, er standard til "auto" (tidligere handicappet på grund af problemer i GNOME).
• I JavaScript-debuggeren tilføjet evnen til at debugge indlejrede Web Workers, hvis eksekvering kan suspenderes og debugges trin for trin ved hjælp af breakpoints.
  

• Websideinspektionsgrænsefladen giver nu advarsler for CSS-egenskaber, der afhænger af z-indeks, top, venstre, bund og højre placerede elementer.
  

• For Windows og macOS er muligheden for at importere profiler fra Microsoft Edge-browseren baseret på Chromium-motoren blevet implementeret.

Ud over innovationer og fejlrettelser har Firefox 74 rettet 20 sårbarheder, hvoraf 10 (samlet under CVE-2020-6814 и CVE-2020-6815) er markeret som potentielt i stand til at føre til kørsel af hackerkode, når der åbnes specielt designede sider. Lad os minde dig om, at hukommelsesproblemer, såsom bufferoverløb og adgang til allerede frigjorte hukommelsesområder, for nylig er blevet markeret som farlige, men ikke kritiske.

Kilde: opennet.ru