Der Webbrowser wurde veröffentlicht , und auch Firefox 68.6 für die Android-Plattform. Darüber hinaus wurde ein Update erstellt mit langfristiger Unterstützung . Kommt bald auf die Bühne Der Firefox 75-Zweig wird verschoben, dessen Veröffentlichung für den 7. April geplant ist (Projekt). für 4-5 Wochen ). Für Firefox 75 Beta-Zweig Gestaltung für Linux im Flatpak-Format.
:
- Linux-Builds verwenden einen Isolationsmechanismus , mit dem Ziel, die Ausnutzung von Schwachstellen in Funktionsbibliotheken Dritter zu blockieren. Zu diesem Zeitpunkt ist die Isolation nur für die Bibliothek aktiviert , verantwortlich für die Darstellung von Schriftarten. RLBox kompiliert den C/C++-Code der isolierten Bibliothek in Low-Level-WebAssembly-Zwischencode, der dann als WebAssembly-Modul entworfen wird, dessen Berechtigungen nur in Bezug auf dieses Modul festgelegt werden. Das zusammengebaute Modul arbeitet in einem separaten Speicherbereich und hat keinen Zugriff auf den Rest des Adressraums. Wenn eine Schwachstelle in der Bibliothek ausgenutzt wird, ist der Angreifer eingeschränkt und kann nicht auf Speicherbereiche des Hauptprozesses zugreifen oder die Kontrolle außerhalb der isolierten Umgebung übertragen.
- DNS über HTTPS-Modus (DoH, DNS über HTTPS) für US-Benutzer. Der Standard-DNS-Anbieter ist CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) und NextDNS ist optional verfügbar. Wechseln Sie den Anbieter oder aktivieren Sie DoH in anderen Ländern als den USA. in den Netzwerkverbindungseinstellungen. Weitere Informationen zu DoH in Firefox finden Sie unter .
- Unterstützung für die Protokolle TLS 1.0 und TLS 1.1. Um über einen sicheren Kommunikationskanal auf Websites zugreifen zu können, muss der Server mindestens TLS 1.2 unterstützen. Laut Google werden derzeit noch etwa 0.5 % der Webseiten-Downloads über veraltete TLS-Versionen durchgeführt. Die Abschaltung erfolgte gem IETF (Internet Engineering Task Force). Der Grund für die Verweigerung der Unterstützung von TLS 1.0/1.1 ist die mangelnde Unterstützung moderner Verschlüsselungsverfahren (z. B. ECDHE und AEAD) und die Anforderung, alte Verschlüsselungsverfahren zu unterstützen, deren Zuverlässigkeit im gegenwärtigen Entwicklungsstadium der Computertechnologie in Frage gestellt wird ( Beispielsweise ist Unterstützung für TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA erforderlich, MD5 wird für die Integritätsprüfung und Authentifizierung verwendet und SHA-1). Beim Versuch, TLS 1.0 und TLS 1.1 ab Firefox 74 zu verwenden, wird ein Fehler angezeigt. Sie können die Funktion zum Arbeiten mit veralteten TLS-Versionen wiederherstellen, indem Sie security.tls.version.enable-deprecated = true setzen oder die Schaltfläche auf der Fehlerseite verwenden, die beim Besuch einer Site mit dem alten Protokoll angezeigt wird.
- In der Versionsmitteilung wird ein Add-on empfohlen , das automatisch Facebook-Widgets von Drittanbietern blockiert, die zur Authentifizierung, Kommentierung und Liken verwendet werden. Die Identifikationsparameter von Facebook sind in einem separaten Container isoliert, wodurch es schwierig ist, den Benutzer anhand der von ihm besuchten Websites zu identifizieren. Die Möglichkeit, mit der Hauptseite von Facebook zu arbeiten, bleibt bestehen, sie ist jedoch von anderen Seiten isoliert.
Zur flexibleren Isolierung beliebiger Standorte wird ein Add-on vorgeschlagen mit der Umsetzung des Konzepts der Kontextcontainer. Container bieten die Möglichkeit, verschiedene Arten von Inhalten zu isolieren, ohne separate Profile zu erstellen, wodurch Sie die Informationen einzelner Seitengruppen trennen können. So können Sie beispielsweise separate, isolierte Bereiche für persönliche Kommunikation, Arbeit, Shopping und Bankgeschäfte erstellen oder die gleichzeitige Nutzung verschiedener Benutzerkonten auf einer Seite organisieren. Jeder Container verwendet separate Stores für Cookies, Local Storage API, indexedDB, Cache und OriginAttributes-Inhalte.
- Einstellung „browser.tabs.allowTabDetach“ zu about:config hinzugefügt, um zu verhindern, dass Tabs in neue Fenster getrennt werden. Das versehentliche Lösen von Tabs ist einer der nervigsten Firefox-Fehler, der behoben werden muss. 9 Jahre. Der Browser ermöglicht es der Maus, eine Registerkarte in ein neues Fenster zu ziehen. Unter bestimmten Umständen wird die Registerkarte jedoch während des Betriebs in ein separates Fenster gelöst, wenn die Maus beim Klicken auf die Registerkarte unachtsam bewegt wird.
- Unterstützung für Add-ons, die auf Umwegen installiert werden und nicht an Benutzerprofile gebunden sind. Die Änderung betrifft nur die Installation von Add-ons in freigegebenen Verzeichnissen (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ oder ~/.mozilla/extensions/), die von allen Firefox-Instanzen auf dem System verarbeitet werden ( keinem Benutzer zugeordnet). Diese Methode wird normalerweise für die Vorinstallation von Add-ons in Distributionen, für den unaufgeforderten Ersatz durch Anwendungen von Drittanbietern, für die Integration bösartiger Add-ons oder für die separate Bereitstellung eines Add-ons mit eigenem Installer verwendet. In Firefox 73 wurden zuvor zwangsweise installierte Add-ons automatisch aus dem freigegebenen Verzeichnis in einzelne Benutzerprofile verschoben und können nun installiert werden über den regulären Add-on-Manager.
- Im im Browser enthaltenen Lockwise-System-Add-on, das die „about:logins“-Schnittstelle zur Verwaltung gespeicherter Passwörter bietet, in umgekehrter Reihenfolge sortieren (Z nach A).
- WebRTC hat den Schutz vor dem Verlust von Informationen über die interne IP-Adresse bei Sprach- und Videoanrufen mithilfe des „„und verbirgt die lokale Adresse hinter einer dynamisch generierten Zufallskennung, die über Multicast-DNS ermittelt wird.
- Die Position des Bild-in-Bild-Ansichtsschalters, der die Schaltfläche „Nächstes Bild“ in der Benutzeroberfläche zum Stapel-Upload von Fotos auf Instagram überlappte, wurde geändert.
- In JavaScript Operator „?.“ dient zur gleichzeitigen Überprüfung der gesamten Kette von Eigenschaften oder Aufrufen. Durch die Angabe von „db?.user?.name?.length“ können Sie nun ohne vorherige Prüfungen auf den Wert von „db.user.name.length“ zugreifen. Wenn ein Element als null oder undefiniert verarbeitet wird, lautet die Ausgabe „undefiniert“.
- Unterstützung auf Websites und in Add-ons für die Methode Object.toSource() und die globale Funktion uneval().
- Neue Veranstaltung hinzugefügt und das dazugehörige Eigentum , mit denen Sie einen Handler aufrufen können, wenn der Benutzer die Sprache der Benutzeroberfläche ändert.
- HTTP-Header-Verarbeitung aktiviert (), wodurch Websites das Einfügen von Ressourcen (z. B. Bildern und Skripten) verhindern können, die von anderen Domänen (Cross-Origin und Cross-Site) geladen werden. Der Header kann zwei Werte annehmen: „same-origin“ (erlaubt nur Anfragen für Ressourcen mit demselben Schema, Hostnamen und derselben Portnummer) und „same-site“ (erlaubt nur Anfragen von derselben Site).
Cross-Origin-Resource-Policy: gleiche Site
- HTTP-Header standardmäßig aktiviert , mit dem Sie das Verhalten der API steuern und bestimmte Funktionen aktivieren können (z. B. können Sie den Zugriff auf die Geolocation-API, Kamera, Mikrofon, Vollbild, automatische Wiedergabe, verschlüsselte Medien, Animation, Zahlungs-API, synchronen XMLHttpRequest-Modus usw. deaktivieren. usw.). Für Iframe-Blöcke ist das Attribut „“, der im Seitencode verwendet werden kann, um bestimmten Iframe-Blöcken Rechte zuzuweisen.
Feature-Policy: Mikrofon „none“; Geolokalisierung „keine“
Wenn eine Site über das Attribut „allow“ die Arbeit mit einer Ressource für einen bestimmten Iframe zulässt und vom Iframe eine Anfrage zum Erhalt von Berechtigungen zum Arbeiten mit dieser Ressource eingeht, zeigt der Browser jetzt einen Dialog zum Erteilen von Berechtigungen in an Kontext der Hauptseite und delegiert die vom Benutzer bestätigten Rechte an den Iframe (anstelle einer separaten Bestätigung für Iframe und Hauptseite). Wenn die Hauptseite jedoch keine Berechtigung für die über das Attribut „allow“ angeforderte Ressource hat, hat der Iframe sofort Zugriff auf die Ressource , ohne dem Benutzer einen Dialog anzuzeigen.
- Unterstützung für CSS-Eigenschaften „standardmäßig aktiviert“„, das die Position der Unterstreichung des Textes bestimmt (z. B. können Sie bei vertikaler Textanzeige die Unterstreichung links oder rechts anordnen, bei horizontaler Anzeige nicht nur von unten, sondern auch von oben). Zusätzlich in den CSS-Eigenschaften, die den Unterstreichungsstil steuern и Unterstützung für die Verwendung von Prozentwerten hinzugefügt.
- In einer CSS-Eigenschaft , das den Linienstil um Elemente herum definiert, ist standardmäßig auf „auto“ (zuvor) eingestellt aufgrund von Problemen in GNOME).
- Im JavaScript-Debugger die Möglichkeit, verschachtelte Web Worker zu debuggen, deren Ausführung mithilfe von Haltepunkten angehalten und Schritt für Schritt debuggt werden kann.
- Die Webseiten-Inspektionsoberfläche bietet jetzt Warnungen für CSS-Eigenschaften, die vom Z-Index sowie den oben, links, unten und rechts positionierten Elementen abhängen.
- Für Windows und macOS wurde die Möglichkeit implementiert, Profile aus dem Microsoft Edge-Browser basierend auf der Chromium-Engine zu importieren.
Neben Neuerungen und Fehlerbehebungen hat Firefox 74 auch Fehlerbehebungen vorgenommen , davon 10 (gesammelt unter и ) werden als potenziell geeignet gekennzeichnet, die beim Öffnen speziell gestalteter Seiten zur Ausführung von Angreifercode führen können. Wir möchten Sie daran erinnern, dass Speicherprobleme wie Pufferüberläufe und Zugriff auf bereits freigegebene Speicherbereiche kürzlich als gefährlich, aber nicht kritisch eingestuft wurden.
Source: opennet.ru