Firefox 74 eldono

La TTT-legilo estis liberigita Firefox 74Kaj movebla versio Fajrovulpo 68.6 por la platformo Android. Krome, ĝisdatigo estis generita branĉoj kun longtempa subteno 68.6.0. Baldaŭ venos al la scenejo beta-testado la branĉo Firefox 75 translokiĝos, kies liberigo estas planita por la 7-a de aprilo (projekto movita dum 4-5 semajnoj disvolva ciklo). Por Firefox 75 beta branĉo komencis formado asembleoj por Linux en Flatpak-formato.

Ĉefa novigoj:

• En asembleoj por Linux la izolada mekanismo estas engaĝita RLBox, celanta bloki la ekspluaton de vundeblecoj en triaj funkciobibliotekoj. En ĉi tiu etapo, izolado estas nur ebligita por la biblioteko Grafito, respondeca pri bildigo de tiparoj. RLBox kompilas la C/C++-kodon de la izolita biblioteko en malaltnivelan WebAssembly mezan kodon, kiu tiam estas dizajnita kiel WebAssembly-modulo, kies permesoj estas fiksitaj rilate nur al ĉi tiu modulo. La kunmetita modulo funkcias en aparta memorareo kaj ne havas aliron al la resto de la adresspaco. Se vundebleco en la biblioteko estas ekspluatata, la atakanto estos limigita kaj ne povos aliri memorareojn de la ĉefa procezo aŭ translokigi kontrolon ekster la izolita medio.
• DNS super HTTPS-reĝimo (DoH, DNS super HTTPS) ebligita defaŭlte por usonaj uzantoj. La defaŭlta DNS-provizanto estas CloudFlare (mozilla.cloudflare-dns.com listigitaj в bloklistoj Roskomnadzor), kaj NextDNS disponeblas kiel opcio. Ŝanĝu provizanton aŭ ebligu DoH en aliaj landoj ol Usono, povas en la agordoj de retkonekto. Vi povas legi pli pri DoH en Fajrovulpo ĉe aparta anonco.
  
• Malebligita subteno por TLS 1.0 kaj TLS 1.1 protokoloj. Por aliri retejojn per sekura komunika kanalo, la servilo devas provizi subtenon por almenaŭ TLS 1.2. Laŭ Guglo, nuntempe ĉirkaŭ 0.5% de retpaĝaj elŝutoj daŭre estas faritaj per malmodernaj versioj de TLS. La haltigo estis efektivigita laŭ rekomendoj IETF (Interreta Engineering Task Force). La kialo por rifuzi subteni TLS 1.0/1.1 estas la manko de subteno por modernaj ĉifroj (ekzemple, ECDHE kaj AEAD) kaj la postulo subteni malnovajn ĉifrojn, kies fidindeco estas pridubita en la nuna stadio de evoluo de komputika teknologio ( ekzemple, subteno por TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA estas bezonata, MD5 estas uzata por integreckontrolado kaj aŭtentigo kaj SHA-1). Kiam vi provas uzi TLS 1.0 kaj TLS 1.1 komencante per Firefox 74, eraro montriĝos. Vi povas restarigi la kapablon labori kun malnoviĝintaj TLS-versioj agordante security.tls.version.enable-deprecated = true aŭ uzante la butonon sur la erarpaĝo montrata kiam vi vizitas retejon kun la malnova protokolo.
  
• La eldonnoto rekomendas aldonaĵon Facebook-Ujo, kiu aŭtomate blokas triaj Fejsbukaj fenestraĵoj uzataj por aŭtentikigo, komentado kaj ŝatado. La identigaj parametroj de Facebook estas izolitaj en aparta ujo, malfaciligante identigi la uzanton kun la retejoj, kiujn ili vizitas. La kapablo labori kun la ĉefa Facebook retejo restas, sed ĝi estas izolita de aliaj retejoj.

  Por pli fleksebla izolado de arbitraj ejoj, aldonaĵo estas proponita Plurkontaj Ujoj kun la efektivigo de la koncepto de kuntekstaj ujoj. Ujoj disponigas la kapablon izoli malsamajn specojn de enhavo sen krei apartajn profilojn, kio ebligas al vi apartigi la informojn de individuaj grupoj de paĝoj. Ekzemple, vi povas krei apartajn, izolitajn areojn por persona komunikado, laboro, butikumado kaj bankaj transakcioj, aŭ organizi la samtempan uzon de malsamaj uzantkontoj en unu retejo. Ĉiu ujo uzas apartajn butikojn por Kuketoj, Loka Stokada API, indeksitaDB, kaŝmemoro kaj enhavo de OriginAttributes.

• Aldonita "browser.tabs.allowTabDetach" agordo al about:config por malhelpi langetojn esti dekroĉitaj en novajn fenestrojn. Akcidenta langeto-malligo estas unu el la plej ĝenaj cimoj de Firefox, kiuj bezonas ripari. serĉis 9 jaroj. La retumilo permesas al la muso treni langeton en novan fenestron, sed en certaj cirkonstancoj la langeto estas dekroĉita en apartan fenestron dum operacio kiam la muso moviĝas senzorge dum klakado sur la langeto.
• ĉesigita subteno por aldonaĵoj instalitaj laŭdirekte kaj ne ligita al uzantprofiloj. La ŝanĝo nur influas instaladon de aldonaĵoj en komunaj dosierujoj (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ aŭ ~/.mozilla/extensions/) prilaboritaj de ĉiuj Firefox-instancoj en la sistemo ( ne asociita kun uzanto). Ĉi tiu metodo estas kutime uzata por antaŭinstali aldonaĵojn en distribuoj, por nepetita anstataŭigo kun triapartaj aplikoj, por integri malicajn aldonaĵojn, aŭ por aparte liverado de aldonaĵo kun sia propra instalilo. En Firefox 73, antaŭe perforte instalitaj aldonaĵoj estis aŭtomate movitaj de la komuna dosierujo al individuaj uzantprofiloj kaj nun povas esti forigita per la regula aldonaĵmanaĝero.
• En la sistemo Lockwise-aldonaĵo inkluzivita en la retumilo, kiu ofertas la interfacon "pri: ensalutojn" por administri konservitajn pasvortojn, subteno ordigi en inversa ordo (Z al A).
• WebRTC pliigis protekton kontraŭ elfluo de informoj pri la interna IP-adreso dum voĉaj kaj videovokoj uzante la "mDNS GLACIO", kaŝante la lokan adreson malantaŭ dinamike generita hazarda identigilo determinita per Multicast DNS.
• Ŝanĝis la lokon de la bild-en-bilda vidoŝaltilo kiu interkovris la sekvan bildbutonon en la grupa alŝuta foto-interfaco sur Instagram.
• En JavaScript aldonis operatoro "?.", desegnita por samtempe kontroli la tutan ĉenon de propraĵoj aŭ vokoj. Ekzemple, specifante "db?.user?.name?.length" vi nun povas aliri la valoron de "db.user.name.length" sen iuj antaŭaj kontroloj. Se iu elemento estas prilaborita kiel nula aŭ nedifinita, la eligo estos "nedifinita".
• ĉesigita subteno en retejoj kaj en aldonaĵoj por la metodo Object.toSource() kaj la tutmonda funkcio uneval().
• Nova evento aldonita lingvoŝanĝo_even kaj la rilata posedaĵo onlanguagechange, kiuj permesas al vi voki prizorganton kiam la uzanto ŝanĝas la interfaclingvon.
• HTTP-kapa prilaborado ebligita Kruc-Origino-Rimedo-Politiko (KORP), permesante al retejoj malhelpi la enmeton de rimedoj (ekzemple bildoj kaj skriptoj) ŝarĝitaj de aliaj domajnoj (kruc-devenaj kaj trans-ejaj). La kaplinio povas preni du valorojn: "same-origino" (permesas nur petojn por rimedoj kun la sama skemo, gastiganta nomo kaj havenonumero) kaj "same-ejo" (permesas nur petojn de la sama retejo).

  Cross-Origin-Resource-Policy: sama-retejo

• HTTP-kapo ebligita defaŭlte Feature-Politiko, kiu ebligas al vi kontroli la konduton de la API kaj ebligi iujn funkciojn (ekzemple, vi povas malŝalti aliron al la Geolokiga API, fotilo, mikrofono, plena ekrano, aŭtomata ludado, ĉifrita amaskomunikilaro, animacio, Payment API, sinkrona XMLHttpRequest-reĝimo, ktp.). Por iframe-blokoj, la atributo “permesus", kiu povas esti uzata en la paĝkodo por atribui rajtojn al certaj iframe-blokoj.

  Karakterizaĵo-Politiko: mikrofono 'neniu'; geolokigo 'neniu'

  Se retejo permesas, per la "permesi" atributo, labori kun rimedo por specifa iframe, kaj peto estas ricevita de la iframe akiri permesojn labori kun ĉi tiu rimedo, la retumilo nun montras dialogon por doni permesojn en la kunteksto de la ĉefpaĝo kaj delegas la rajtojn konfirmitajn de la uzanto al la iframe (anstataŭ apartaj konfirmoj por iframe kaj ĉefpaĝo). Sed, se la ĉefpaĝo ne havas permeson al la rimedo petita per la atributo allow, la iframe havas aliron al la rimedo tuj blokita, sen montri dialogon al la uzanto.

• CSS-subteno estas ebligita defaŭlte 'teksto-substreko-pozicio', kiu determinas la pozicion de la substrekado de la teksto (ekzemple, kiam oni montras tekston vertikale, oni povas organizi substrekadon maldekstre aŭ dekstre, kaj kiam oni montras horizontale, ne nur de malsupre, sed ankaŭ de supre). Aldone en la CSS-ecoj, kiuj kontrolas la substrekan stilon teksto-substreko-ofseto и teksto-ornamado-dikeco Aldonita subteno por uzado de procentaj valoroj.
• En CSS-posedaĵo skizstila, kiu difinas la liniostilon ĉirkaŭ elementoj, defaŭlte estas "aŭtomata" (antaŭe malfunkciigita pro problemoj en GNOME).
• En la JavaScript-erarseĉilo aldonis la kapablo sencimi nestitajn Retajn Laboristojn, kies ekzekuto povas esti suspendita kaj sencimigita paŝo post paŝo uzante rompopunktojn.
  
• La retpaĝa inspekta interfaco nun disponigas avertojn por CSS-ecoj kiuj dependas de la z-indekso, supro, maldekstre, malsupre kaj dekstre poziciigitaj elementoj.
  
• Por Windows и macOS La kapablo importi profilojn el la retumilo Microsoft Edge bazita sur la motoro Chromium estas efektivigita.

Krom novigoj kaj korektoj de cimoj, Firefox 74 riparis 20 vundeblecoj, el kiuj 10 (kolektitaj sub CVE-2020-6814 и CVE-2020-6815) estas markitaj kiel eble kapablaj kaŭzi atakan kodekzekuton dum malfermado de speciale dizajnitaj paĝoj. Ni memorigu vin, ke memorproblemoj, kiel bufro-superfluoj kaj aliro al jam liberigitaj memorareoj, lastatempe estis markitaj kiel danĝeraj, sed ne kritikaj.

fonto: opennet.ru