Lanzamiento de Firefox 135

Se ha lanzado el navegador web Firefox 135 y se han realizado actualizaciones para las ramas anteriores con un largo período de soporte: 115.20.0 y 128.7.0. La rama 136 de Firefox ha sido trasladada a la etapa de prueba beta, con un lanzamiento programado para el 4 de marzo.

Innovaciones clave en Firefox 135:

• El traductor integrado ahora admite la traducción al ruso (antes estaba disponible la traducción del ruso a otros idiomas, pero no había traducción al ruso), así como la traducción del coreano, japonés y chino simplificado. Se ha mejorado la calidad de la traducción, por ejemplo, se han eliminado situaciones en las que el modelo de IA sustituye palabras ficticias. El sistema de traducción integrado de Firefox realiza la traducción en el sistema local del usuario sin acceder a servicios de nube externos. El sistema se basa en el motor abierto Bergamot. El motor es un envoltorio del marco de traducción automática Marian, que utiliza una red neuronal recurrente (RNN) y modelos de lenguaje basados ​​en transformadores.
• Un chatbot de inteligencia artificial integrado está disponible para todos los usuarios, que utiliza modelos de lenguaje amplios para interactuar en lenguaje natural. El chatbot aparece en la barra lateral y puede funcionar a través de los servicios Anthropic Claude, ChatGPT, Google Gemini, HuggingChat (Hugging Face) y Le Chat Mistral. El usuario puede cambiar entre servicios a voluntad. Para trabajar es necesario registrarse en cada uno de los servicios soportados (en el panel se abre la aplicación web de cada servicio). Además del chat, al menú contextual se le ha añadido el botón “Preguntar…”, a través del cual se puede pasar un fragmento seleccionado de la página al chatbot, por ejemplo, para crear un resumen del contenido o explicar la esencia en palabras sencillas. Para agregar sus propios modelos de idioma que se ejecuten en su sistema local, puede utilizar el kit de herramientas llamafile.
• Para los usuarios de todos los países donde está disponible el servicio de recomendaciones Mozilla Stories, se ha habilitado un nuevo diseño para la página que se muestra al abrir una nueva pestaña. En la versión anterior, el nuevo diseño solo se ofrecía a usuarios de EE. UU. y Canadá. La nueva versión incorpora una barra de búsqueda y una lista de páginas recomendadas, así como un cambio en el diseño del bloque con los sitios frecuentemente visitados y fijados, que ahora se muestran no en una cuadrícula, sino en una sola línea. El número de columnas de contenido se selecciona dependiendo del ancho de la ventana, lo que le permite utilizar de manera efectiva todo el espacio de pantalla disponible.
• Se ha habilitado para todos los usuarios el soporte para la memorización y el llenado automático de números de tarjetas de crédito en formularios web. El código CVV no se recuerda y los números de la tarjeta se almacenan en un almacenamiento seguro, para cuyo acceso se puede establecer una contraseña independiente.
• La verificación obligatoria está habilitada certificados TLS Servidores web en registros públicos de Transparencia de Certificados, diseñados para identificar certificados creados sin pasar por los procesos estándar de las CA (por ejemplo, creación de certificados clandestina debido a abusos de empleados o vulnerabilidades de la CA). La CA transmite información sobre todos los certificados nuevos a varios registros independientes de Transparencia de Certificados, lo que permite auditar todos los cambios. Si se accede a un sitio web con un certificado que no aparece en el registro, el navegador lo marcará como inseguro.

  Las revistas son mantenidas por varias organizaciones no relacionadas. Para protegerse contra la corrupción retroactiva de datos, al almacenar datos se utiliza la estructura de árbol Merkle, en la que cada rama verifica todas las ramas y nodos subyacentes mediante hash de árbol. Al tener el hash final, el usuario puede verificar la corrección de todo el historial de operaciones, así como la corrección de los estados anteriores de la base de datos.

• Para acelerar la comprobación de revocación de los certificados TLS, se utiliza el mecanismo CRLite, que se ejecuta en el sistema del usuario. La base de datos con información del certificado almacenada en el lado del usuario se sincroniza periódicamente con la base de datos externa de Mozilla. Para reducir el tamaño de la base de datos, se utilizan filtros Bloom en cascada: una estructura probabilística que permite una determinación falsa de un elemento faltante, pero excluye la omisión de un elemento existente. Por ejemplo, los datos de 100 millones de certificados se empaquetan en una estructura de aproximadamente 1 MB de tamaño.

  En comparación con el acceso a un centro de certificación mediante OCSP (Online Certificate Status Protocol), el uso de CRLite no solo elimina los retrasos en el envío de una solicitud de red, sino que también aumenta la confidencialidad (al usar OCSP, el navegador envía una solicitud cada vez que accede a sitios web, es decir, realmente transmite datos al centro de certificación sobre qué sitios web abre) y elimina la dependencia de la disponibilidad de los servidores OCSP (un atacante puede realizar un ataque DDoS en un servidor OCSP para bloquear el procesamiento de solicitudes).

• Se agregó protección contra manipulaciones que dificultan la navegación usando los botones de atrás y adelante debido a que llenan el historial de navegación con entradas ficticias creadas mediante la API de historial. La esencia de la protección se reduce a ignorar los registros que no están relacionados con las acciones del usuario al procesar los clics en los botones “atrás” y “adelante”.
• Las compilaciones de Linux y macOS ahora tienen una opción para cerrar solo la pestaña actual, en lugar de todas, después de presionar el atajo de teclado para salir de la aplicación (Alt + F4).
• La opción para enviar el encabezado HTTP "No rastrear" ("DNT") a los sitios se ha eliminado de la página de configuración de privacidad (about:preferences#privacy). El encabezado DNT informa a los sitios web que un usuario no desea almacenar información que pueda utilizarse para rastrear sus movimientos y preferencias. El encabezado DNT es opcional y muchos sitios lo ignoran. En lugar de DNT, se recomienda utilizar el mecanismo GPC (Global Privacy Control), que informa a los sitios sobre la prohibición de vender datos personales y utilizar datos para rastrear el comportamiento o movimiento del usuario. A diferencia de DNT, el cumplimiento de la GPC es obligatorio según la CCPA actual (Ley de Privacidad del Consumidor de California).
• La operación del menú contextual "Copiar sin seguimiento de sitio" ha cambiado de nombre a "Copiar enlace limpio" y se ha ampliado para incluir la posibilidad de utilizarla para URL simples en texto (sin hipervínculos). La operación permite copiar la URL del enlace seleccionado al portapapeles, habiendo recortado previamente los parámetros utilizados para rastrear las transiciones entre sitios.
• La barra de direcciones ahora le permite buscar nombres de grupos de pestañas y navegar a los grupos encontrados. La búsqueda incluye, entre otras cosas, grupos cerrados y guardados.
• Para comprimir las compilaciones de Firefox para la plataforma Linux se utiliza el formato XZ, que, comparado con el formato bz2, permite una reducción del tamaño de los datos descargados de media del 25% y una reducción del tiempo de descompresión de más de la mitad.
• HTTP/3 ahora admite el algoritmo de intercambio de claves híbrido resistente a la tecnología cuántica "mlkem768x25519", que es una combinación de X25519 ECDH y el algoritmo ML-KEM (CRYSTALS-Kyber), estandarizado el año pasado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ML-KEM utiliza métodos criptográficos basados ​​en la resolución de problemas de teoría de redes, cuyo tiempo de solución es el mismo en computadoras convencionales y cuánticas.
• Los atributos de la interfaz PointerEvent que definen las coordenadas del puntero ahora admiten la transferencia de valores no enteros. El cambio permite que los eventos se manejen con más precisión en situaciones en las que el elemento de destino se transforma a través de CSS o cuando se amplía la ventana gráfica.
• Se ha cambiado el comportamiento de los eventos mouseenter, mouseleave, pointerenter y pointerleave para que coincida con la especificación.
• Se ha agregado el método getClientCapabilities() a la API WebAuthn.
• Web Developer Tools ahora muestra una advertencia cuando se utiliza la propiedad content-visibility con elementos que no tienen una restricción de tamaño.
• Se ha agregado el comando "$$$" a la consola web, diseñado para buscar páginas teniendo en cuenta el contenido del shadow DOM.
• Capacidades ampliadas para depurar complementos de WebExtension: funcionamiento mejorado de puntos de interrupción en scripts de procesamiento de contenido y visualización de trabajadores al seleccionar un contexto en el panel de la consola.
• La versión de Android tiene una opción para enviar automáticamente informes de fallos del navegador a Mozilla sin confirmación del usuario.

Además de nuevas funciones y correcciones de errores, Firefox 135 corrige 19 vulnerabilidades. Las 13 vulnerabilidades calificadas como graves son causadas por problemas de memoria, como desbordamientos de búfer y acceso a la memoria después de haberla liberado. Estos problemas podrían provocar potencialmente la ejecución de código malicioso cuando se abren páginas especialmente diseñadas.

Firefox 136 beta permite la decodificación de video acelerada por hardware en sistemas con GPU AMD en compilaciones de Linux. El modo HTTPS-First está habilitado de forma predeterminada, y reemplaza las solicitudes "http://" con "https://" cuando se sigue un enlace o se ingresa una URL, así como cuando se cargan subrecursos como imágenes, scripts y hojas de estilo. Se agregó soporte para enviar y recibir video en formato AV1 a través de WebRTC.

Fuente: opennet.ru