Se lanzó el navegador web. y Firefox 68.6 para la plataforma Android. Además, se ha generado una actualización. Soporte a largo plazo . Próximamente al escenario Se trasladará la rama Firefox 75, cuyo lanzamiento está previsto para el 7 de abril (proyecto durante 4-5 semanas ). Para la rama beta de Firefox 75 formación para Linux en formato Flatpak.
:
- Las compilaciones de Linux utilizan un mecanismo de aislamiento , destinado a bloquear la explotación de vulnerabilidades en bibliotecas de funciones de terceros. En esta etapa, el aislamiento solo está habilitado para la biblioteca. , responsable de representar las fuentes. RLBox compila el código C/C++ de la biblioteca aislada en código intermedio WebAssembly de bajo nivel, que luego se diseña como un módulo WebAssembly, cuyos permisos se establecen en relación únicamente con este módulo. El módulo ensamblado opera en un área de memoria separada y no tiene acceso al resto del espacio de direcciones. Si se explota una vulnerabilidad en la biblioteca, el atacante estará limitado y no podrá acceder a áreas de memoria del proceso principal ni transferir el control fuera del entorno aislado.
- Modo DNS sobre HTTPS (DoH, DNS sobre HTTPS) para usuarios de EE. UU. El proveedor de DNS predeterminado es CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), y NextDNS está disponible como opción. Cambiar de proveedor o habilitar DoH en países distintos de EE. UU., en la configuración de conexión de red. Puedes leer más sobre DoH en Firefox en .
- soporte para los protocolos TLS 1.0 y TLS 1.1. Para acceder a sitios a través de un canal de comunicación seguro, el servidor debe brindar soporte para al menos TLS 1.2. Según Google, actualmente alrededor del 0.5% de las descargas de páginas web se siguen realizando con versiones obsoletas de TLS. El cierre se llevó a cabo de acuerdo con IETF (Grupo de Trabajo de Ingeniería de Internet). La razón para negarse a admitir TLS 1.0/1.1 es la falta de soporte para cifrados modernos (por ejemplo, ECDHE y AEAD) y el requisito de admitir cifrados antiguos, cuya confiabilidad está en duda en la etapa actual de desarrollo de la tecnología informática ( por ejemplo, se requiere soporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 se usa para verificación de integridad y autenticación y SHA-1). Al intentar utilizar TLS 1.0 y TLS 1.1 a partir de Firefox 74, se mostrará un error. Puede restaurar la capacidad de trabajar con versiones TLS obsoletas configurando security.tls.version.enable-deprecated = true o usando el botón en la página de error que se muestra al visitar un sitio con el protocolo anterior.
- La nota de la versión recomienda un complemento. , que bloquea automáticamente los widgets de Facebook de terceros utilizados para la autenticación, los comentarios y los me gusta. Los parámetros de identificación de Facebook están aislados en un contenedor separado, lo que dificulta identificar al usuario con los sitios que visita. Se mantiene la capacidad de trabajar con el sitio principal de Facebook, pero está aislado de otros sitios.
Para un aislamiento más flexible de sitios arbitrarios, se propone un complemento con la implementación del concepto de contenedores de contexto. Los contenedores brindan la capacidad de aislar diferentes tipos de contenido sin crear perfiles separados, lo que le permite separar la información de grupos individuales de páginas. Por ejemplo, puede crear áreas separadas y aisladas para comunicación personal, trabajo, compras y transacciones bancarias, u organizar el uso simultáneo de diferentes cuentas de usuario en un sitio. Cada contenedor utiliza almacenes separados para cookies, API de almacenamiento local, indexedDB, caché y contenido de OriginAttributes.
- Se agregó la configuración “browser.tabs.allowTabDetach” a about:config para evitar que las pestañas se separen en nuevas ventanas. La separación accidental de pestañas es uno de los errores de Firefox más molestos que debe corregirse. 9 años. El navegador permite que el mouse arrastre una pestaña a una nueva ventana, pero bajo ciertas circunstancias la pestaña se separa en una ventana separada durante la operación cuando el mouse se mueve descuidadamente al hacer clic en la pestaña.
- soporte para complementos instalados de forma indirecta y no vinculados a perfiles de usuario. El cambio solo afecta la instalación de complementos en directorios compartidos (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ o ~/.mozilla/extensions/) procesados por todas las instancias de Firefox en el sistema ( no asociado con un usuario). Este método se utiliza normalmente para preinstalar complementos en distribuciones, para sustitución no solicitada con aplicaciones de terceros, para integrar complementos maliciosos o para entregar por separado un complemento con su propio instalador. En Firefox 73, los complementos previamente instalados se han movido automáticamente del directorio compartido a perfiles de usuario individuales y ahora se pueden a través del administrador de complementos habitual.
- En el complemento del sistema Lockwise incluido en el navegador, que ofrece la interfaz "about:logins" para administrar las contraseñas guardadas, ordenar en orden inverso (Z a A).
- WebRTC ha aumentado la protección contra la fuga de información sobre la dirección IP interna durante llamadas de voz y video usando el "“, ocultando la dirección local detrás de un identificador aleatorio generado dinámicamente y determinado a través de DNS de multidifusión.
- Se cambió la ubicación del interruptor de vista de imagen en imagen que se superponía al botón de siguiente imagen en la interfaz de carga de fotos por lotes en Instagram.
- En JavaScript operador “?.”, diseñado para verificar simultáneamente toda la cadena de propiedades o llamadas. Por ejemplo, al especificar "db?.user?.name?.length", ahora puede acceder al valor de "db.user.name.length" sin realizar comprobaciones preliminares. Si algún elemento se procesa como nulo o indefinido, la salida será "indefinida".
- soporte en sitios web y complementos para el método Object.toSource() y la función global uneval().
- Nuevo evento agregado y la propiedad asociada , que le permiten llamar a un controlador cuando el usuario cambia el idioma de la interfaz.
- Procesamiento de encabezado HTTP habilitado (), permitiendo a los sitios evitar la inserción de recursos (por ejemplo, imágenes y scripts) cargados desde otros dominios (entre orígenes y entre sitios). El encabezado puede tomar dos valores: "mismo origen" (solo permite solicitudes de recursos con el mismo esquema, nombre de host y número de puerto) y "mismo sitio" (solo permite solicitudes del mismo sitio).
Política de recursos de origen cruzado: mismo sitio
- Encabezado HTTP habilitado de forma predeterminada , que le permite controlar el comportamiento de la API y habilitar ciertas funciones (por ejemplo, puede deshabilitar el acceso a la API de geolocalización, cámara, micrófono, pantalla completa, reproducción automática, medios cifrados, animación, API de pago, modo XMLHttpRequest sincrónico, etc.). Para bloques iframe, el atributo "“, que se puede utilizar en el código de la página para asignar derechos a ciertos bloques de iframe.
Política de funciones: micrófono 'ninguno'; geolocalización 'ninguna'
Si un sitio permite, a través del atributo "permitir", trabajar con un recurso para un iframe específico y se recibe una solicitud del iframe para obtener permisos para trabajar con este recurso, el navegador ahora muestra un cuadro de diálogo para otorgar permisos en el contexto de la página principal y delega los derechos confirmados por el usuario al iframe (en lugar de confirmaciones separadas para el iframe y la página principal). Pero, si la página principal no tiene permiso para el recurso solicitado a través del atributo enable, el iframe tiene acceso al recurso inmediatamente. , sin mostrar un cuadro de diálogo al usuario.
- La compatibilidad con propiedades CSS está habilitada de forma predeterminada '', que determina la posición del subrayado del texto (por ejemplo, cuando se muestra el texto verticalmente, puede organizar el subrayado a la izquierda o hacia la derecha, y cuando se muestra horizontalmente, no solo desde abajo, sino también desde arriba). Además en las propiedades CSS que controlan el estilo de subrayado. и Se agregó soporte para el uso de valores porcentuales.
- En una propiedad CSS , que define el estilo de línea alrededor de los elementos, por defecto es "auto" (anteriormente debido a problemas en GNOME).
- En el depurador de JavaScript la capacidad de depurar trabajadores web anidados, cuya ejecución se puede suspender y depurar paso a paso mediante puntos de interrupción.
- La interfaz de inspección de la página web ahora proporciona advertencias para las propiedades CSS que dependen del índice z y de los elementos ubicados arriba, izquierda, abajo y derecha.
- Para Windows y macOS, se ha implementado la posibilidad de importar perfiles desde el navegador Microsoft Edge basado en el motor Chromium.
Además de las innovaciones y correcciones de errores en Firefox 74, , de los cuales 10 (recogidos en и ) están marcados como potencialmente capaces de provocar la ejecución de código de un atacante al abrir páginas especialmente diseñadas. Le recordamos que los problemas de memoria, como el desbordamiento del búfer y el acceso a áreas de memoria ya liberadas, se han marcado recientemente como peligrosos, pero no críticos.
Fuente: opennet.ru