Firefox 74 bertsioa

Web arakatzailea kaleratu da Firefox 74Eta mugikorren bertsioa Firefox 68.6 Android plataformarako. Horrez gain, eguneraketa bat sortu da adar epe luzerako laguntza 68.6.0. Laster agertokira beta probak Firefox 75 adarra mugituko da, eta horren kaleratzea apirilaren 7rako aurreikusita dago (proiektua mugitu 4-5 astez garapen zikloa). Firefox 75 beta-rako hasi zen eraketa batzarrak Linuxerako Flatpak formatuan.

Nagusia berrikuntzak:

• Linux eraikitzek isolamendu mekanismo bat erabiltzen dute RLBox, hirugarrenen funtzio-liburutegietako ahulezien ustiapena blokeatzera zuzenduta. Fase honetan, isolamendua liburutegirako soilik gaituta dago Graphite, letra-tipoak errendatzearen arduraduna. RLBox-ek liburutegi isolatuaren C/C++ kodea konpilatzen du maila baxuko WebAssembly bitarteko kode batean, gero WebAssembly modulu gisa diseinatuta dagoena, zeinaren baimenak modulu honi bakarrik ezartzen zaizkio. Muntatutako moduluak memoria-eremu bereizi batean funtzionatzen du eta ez du gainerako helbide-espaziorako sarbidea. Liburutegiko ahultasun bat ustiatzen bada, erasotzailea mugatua izango da eta ezin izango du prozesu nagusiko memoria-eremuetan sartu edo ingurune isolatutik kanpo transferitu kontrola.
• DNS HTTPS modua (DoH, DNS HTTPS bidez) lehenespenez gaituta AEBetako erabiltzaileentzat. DNS hornitzaile lehenetsia CloudFlare da (mozilla.cloudflare-dns.com zerrendatuta в bloke-zerrendak Roskomnadzor), eta NextDNS aukera gisa eskuragarri dago. Aldatu hornitzailea edo gaitu DoH AEB ez beste herrialde batzuetan, ko ahal sareko konexioaren ezarpenetan. DoH-ri buruz gehiago irakur dezakezu Firefox-en iragarki bereizia.
  

• Desgaituta TLS 1.0 eta TLS 1.1 protokoloetarako laguntza. Komunikazio kanal seguru baten bidez guneetara sartzeko, zerbitzariak gutxienez TLS 1.2rako laguntza eman behar du. Google-ren arabera, gaur egun web orrien deskargaren % 0.5 inguru TLS-ren bertsio zaharkituak erabiliz egiten jarraitzen da. Itzaltzea ezarritakoaren arabera egin da gomendioak IETF (Internet Engineering Task Force). TLS 1.0/1.1 onartzeari uko egiteko arrazoia zifratze modernoen (adibidez, ECDHE eta AEAD) euskarririk eza eta zifraketa zaharrak onartzeko eskakizuna da, zeinen fidagarritasuna zalantzan jartzen baita informatika teknologiaren garapenaren egungo fasean ( adibidez, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHArako euskarria beharrezkoa da, MD5 osotasuna egiaztatzeko eta autentifikaziorako erabiltzen da eta SHA-1). TLS 1.0 eta TLS 1.1 Firefox 74rekin hasita erabiltzen saiatzean, errore bat bistaratuko da. TLS bertsio zaharkituekin lan egiteko gaitasuna berrezarri dezakezu security.tls.version.enable-deprecated = true ezarriz edo protokolo zaharra duen gune bat bisitatzean bistaratzen den errore-orriko botoia erabiliz.
  

• Argitalpen-oharrak gehigarri bat gomendatzen du Facebook Edukiontzia, automatikoki blokeatzen dituen hirugarrenen Facebook widgetak autentifikatzeko, iruzkintzeko eta gustuko izateko erabiltzen diren. Facebook-en identifikazio-parametroak bereizitako edukiontzi batean isolatuta daude, eta zaila da erabiltzailea bisitatzen dituen guneekin identifikatzea. Facebook gune nagusiarekin lan egiteko gaitasuna geratzen da, baina beste guneetatik isolatuta dago.

  Gune arbitrarioen isolamendu malguagoa lortzeko, gehigarri bat proposatzen da Kontu anitzeko edukiontziak testuinguru-edukiontzien kontzeptuaren ezarpenarekin. Edukiontziek eduki mota desberdinak isolatzeko gaitasuna ematen dute profil bereizirik sortu gabe, eta horri esker, orrialde talde indibidualen informazioa bereizteko aukera ematen du. Adibidez, komunikazio pertsonalerako, lanerako, erosketak egiteko eta banku-transakzioetarako eremu bereiziak eta isolatuak sor ditzakezu, edo erabiltzaile-kontu desberdinen aldi berean erabiltzeko gune batean antola dezakezu. Edukiontzi bakoitzak denda bereiziak erabiltzen ditu Cookieak, Local Storage API, indexedDB, cachea eta OriginAttributes edukietarako.

• "browser.tabs.allowTabDetach" ezarpena gehitu da about:config fitxak leiho berrietan ez desegiteko. Ustekabeko fitxak kentzea konpondu behar den Firefox-eko akats gogaikarrienetako bat da. bilatu 9 urte. Arakatzaileak saguari fitxa bat leiho berri batera arrastatzea ahalbidetzen dio, baina, zenbait kasutan, fitxa aparteko leiho batean askatzen da funtzionamenduan zehar, sagua kontu handiz mugitzen denean fitxan klik egiten duenean.
• Etenda Era borobil batean instalatutako gehigarrientzako euskarria eta erabiltzaile-profilei lotuta ez daudenak. Aldaketak sistemako Firefox instantzia guztiek prozesatutako direktorio partekatuetan (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ edo ~/.mozilla/extensions/) instalatzeari eragiten dio soilik ( erabiltzailearekin lotuta ez dagoena). Metodo hau normalean banaketetan gehigarriak aurretiaz instalatzeko, hirugarrenen aplikazioekin eskatu gabeko ordezkapenak egiteko, gehigarri gaiztoak integratzeko edo bere instalatzailearekin gehigarri bat bereizita emateko erabiltzen da. Firefox 73-n, aurretik behartuta instalatutako gehigarriak automatikoki eraman dira partekatutako direktoriotik banakako erabiltzaile-profiletara eta orain egin daitezke. kendu gehigarrien kudeatzaile arruntaren bidez.
• Arakatzailean sartzen den Lockwise sistemaren gehigarrian, gordetako pasahitzak kudeatzeko "about:logins" interfazea eskaintzen duena, onartzen ordenatu alderantzizko ordenan (Ztik Atik).
• WebRTC-k barneko IP helbideari buruzko informazioa isurtzearen aurkako babesa areagotu du ahots- eta bideo-deiak erabiliz "mDNS ICE", Multicast DNS bidez zehaztutako dinamikoki sortutako ausazko identifikatzaile baten atzean tokiko helbidea ezkutatuz.
• Instagram-en argazki sorta kargatzeko interfazearen hurrengo irudiaren botoia gainjartzen zuen argazki-irudiko ikuspegiaren etengailuaren kokapena aldatu da.
• JavaScript-en gehitu du “?.” operadorea, propietate edo deien kate osoa aldi berean egiaztatzeko diseinatua. Adibidez, "db?.user?.name?.length" zehaztuz, orain "db.user.name.length"-ren balioa atzi dezakezu aldez aurretiko egiaztapenik gabe. Elementuren bat nulu edo definitu gabe gisa prozesatzen bada, irteera "definituta" izango da.
• Etenda laguntza webguneetan eta Object.toSource() metodoaren eta uneval() funtzio globalaren gehigarrietan.
• Gertaera berria gehitu da hizkuntza-aldaketa_baita eta lotutako jabetza hizkuntza aldaketa, erabiltzaileak interfazearen hizkuntza aldatzen duenean kudeatzaile bati deitzeko aukera ematen duena.
• HTTP goiburua prozesatzea gaituta Jatorri gurutzatua-Baliabide-Politika (CORP.), guneek beste domeinu batzuetatik kargatutako baliabideak (adibidez, irudiak eta script-ak) txertatzea saihesteko (jatorri gurutzatua eta gune gurutzatua). Goiburuak bi balio har ditzake: "jatorri berekoa" (eskema, ostalari-izena eta ataka-zenbaki berdina duten baliabideen eskaerak soilik onartzen ditu) eta "gune berekoa" (gune bereko eskaerak soilik onartzen ditu).

  Jatorri gurutzatua-Baliabide-politika: gune berekoa

• HTTP goiburua gaituta lehenespenez Ezaugarri-politika, APIaren portaera kontrolatzeko eta funtzio jakin batzuk gaitzeko aukera ematen dizu (adibidez, Geolocation APIrako sarbidea desgai dezakezu, kamera, mikrofonoa, pantaila osoa, erreprodukzio automatikoa, enkriptatutako multimedia, animazioa, Ordainketa APIa, XMLHttpRequest modu sinkronikoa, etab.). iframe blokeetarako, atributua "baimendu", orriaren kodean erabil daiteke iframe bloke jakin batzuei eskubideak esleitzeko.

  Ezaugarri-politika: mikrofonoa 'none'; geokokapena 'bat ere ez'

  Gune batek, "baimendu" atributuaren bidez, iframe zehatz baterako baliabide batekin lan egitea ahalbidetzen badu eta iframe-tik baliabide honekin lan egiteko baimenak lortzeko eskaera jasotzen bada, arakatzaileak baimenak emateko elkarrizketa-koadro bat bistaratzen du orain. orrialde nagusiaren testuingurua eta erabiltzaileak berretsitako eskubideak iframe-ri delegatzen dizkio (iframe eta orri nagusiaren berrespen bereizi baten ordez). Baina, orrialde nagusiak baimena atributuaren bidez eskatutako baliabiderako baimenik ez badu, iframeak berehala izango du baliabiderako sarbidea. blokeatuta, erabiltzaileari elkarrizketa-koadrorik erakutsi gabe.

• CSS propietateen laguntza lehenespenez gaituta dago 'testu-azpimarra-posizioa', testuaren azpimarratzeko posizioa zehazten duena (adibidez, testua bertikalki bistaratzen denean, ezkerrean edo eskuinaldean azpimarra antola dezakezu, eta horizontalean bistaratzen denean, behetik ez ezik, goitik ere). Gainera, azpimarratzeko estiloa kontrolatzen duten CSS propietateetan testua-azpimarra-desplazamendua и testu-apainketa-lodiera Ehuneko balioak erabiltzeko laguntza gehitu da.
• CSS propietate batean eskema-estiloa, elementuen inguruko lerro-estiloa definitzen duena, lehenetsita "auto" (aurretik desgaituta GNOMEn arazoak direla eta).
• JavaScript arazketan gehitu habiaratutako Web Langileak arazteko gaitasuna, hauen exekuzioa eten eta urratsez urrats arazteko aukera eten-puntuak erabiliz.
  

• Web-orriak ikuskatzeko interfazeak z-indizearen, goiko, ezkerreko, beheko eta eskuineko kokatutako elementuen araberakoak diren CSS propietateen abisuak eskaintzen ditu orain.
  

• Windows eta macOSentzat, Chromium motorra oinarritutako Microsoft Edge arakatzailetik profilak inportatzeko gaitasuna ezarri da.

Berrikuntzez eta akatsen konponketez gain, Firefox 74 konpondu du 20 ahultasun, horietatik 10 (azpian bilduak CVE-2020-6814 и CVE-2020-6815) berariaz diseinatutako orrialdeak irekitzean erasotzaileen kodea exekutatzeko gai direla markatzen dira. Gogora iezaiguzu azkenaldian arriskutsu gisa markatu direla memoria-arazoak, hala nola buffer gainezkatzea eta dagoeneko libre dauden memoria-eremuetarako sarbidea, baina ez larritzat.

Iturria: opennet.ru