فایرفاکس 72 منتشر شد

مرورگر وب منتشر شد فایرفاکس 72و نسخه موبایل فایرفاکس 68.4 برای پلتفرم اندروید. علاوه بر این، یک به روز رسانی ایجاد شده است شاخه ها با پشتیبانی طولانی مدت 68.4.0. به زودی روی صحنه می آید تست بتا شعبه فایرفاکس 73 تغییر خواهد کرد که انتشار آن برای 11 فوریه برنامه ریزی شده است (پروژه نقل مکان کرد به مدت 4 هفته چرخه توسعه).

اصلی نوآوری ها:

• در حالت مسدود کردن استاندارد پیش فرض برای محتوای نامناسب مشمول محافظت در برابر ردیابی کاربر با استفاده از روش های شناسایی پنهان ("اثرانگشت مرورگر") که توسط دسته های اضافی در لیست Disconnect.me، که شامل میزبان هایی است که از اسکریپت هایی برای شناسایی پنهان استفاده می کنند. شناسایی پنهان به ذخیره شناسه ها در مناطقی اشاره دارد که برای ذخیره سازی دائمی اطلاعات در نظر گرفته نشده است ("Supercookies")، و همچنین تولید شناسه ها بر اساس داده های غیر مستقیم، مانند وضوح صفحه، لیست انواع MIME پشتیبانی شده، پارامترهای خاص در هدر (HTTP / 2 и HTTPS، تجزیه و تحلیل نصب شده است افزونه ها و فونت ها، در دسترس بودن برخی از API های وب خاص، مخصوص کارت های ویدئویی ویژگی های رندر با استفاده از WebGL و Canvas، دستکاری - اعمال نفوذ با CSS، تجزیه و تحلیل ویژگی های کار با موش и یک صفحه کلید.
  

• فعال شد روش ها مبارزه با درخواست‌های آزاردهنده برای اعطای مجوزهای اضافی به سایت (Notification.requestPermission)، PushManager.subscribe () و MediaDevices.getDisplayMedia ()). درخواست‌های تأیید مجوز دیگر کار با مرورگر را قطع نمی‌کند، بلکه تنها پس از ثبت تعامل کاربر با صفحه (کلیک ماوس یا فشار دادن کلید) به نمایش یک نشانگر در نوار آدرس منجر می‌شود. بسیاری از سایت ها از توانایی مرورگر برای درخواست مجوز سوء استفاده می کنند، عمدتاً با درخواست دوره ای برای اعلان های فشار. تجزیه و تحلیل تله متری نشان داد که 97٪ از این درخواست ها رد می شوند، از جمله در 19٪ موارد کاربر بلافاصله صفحه را بدون کلیک کردن روی دکمه موافقت یا رد می بندد.
• اضافه تجربی پشتیبانی پروتکل HTTP/3 (برای فعال کردن در about:config باید گزینه "network.http.http3.enabled" را تنظیم کنید). پشتیبانی HTTP/3 در فایرفاکس بر اساس آن است neqo، به زبان Rust نوشته شده است و کلاینت و سرور پروتکل QUIC را پیاده سازی می کند (HTTP/3 استاندارد می کند با استفاده از پروتکل QUIC به عنوان یک انتقال برای HTTP/2).
• مطابق با الزامات قانونی که لازم الاجرا شده است CCPA (قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا) اضافه توانایی حذف داده های تله متری از سرورهای موزیلا. در صورت امتناع از جمع آوری تله متری در «درباره: ترجیحات# حریم خصوصی» (بخش «جمع آوری و استفاده از داده های فایرفاکس») داده ها حذف می شوند. هنگامی که کادر انتخاب "اجازه دادن به فایرفاکس برای ارسال داده های فنی و تعاملی به موزیلا" را که ارسال تله متری را کنترل می کند، پاک می کنید، موزیلا متعهد می شود طی 30 روز حذف تمام داده های جمع آوری شده در طول زمان منتهی به شکست انتقال تله متری. داده هایی که در طول فرآیند جمع آوری تله متری به سرورهای موزیلا می رسند شامل اطلاعاتی در مورد عملکرد فایرفاکس، امنیت و پارامترهای کلی مانند تعداد برگه های باز و مدت زمان جلسه (اطلاعات مربوط به سایت های باز شده و درخواست های جستجو مخابره نمی شود). جزئیات کامل داده های جمع آوری شده را می توان در صفحه "درباره: تله متری" مشاهده کرد.
  

• برای لینوکس و macOS، قابلیت مشاهده ویدیو در حالت تصویر در تصویر اضافه شده است که به شما امکان می دهد ویدیو را به شکل یک پنجره شناور جدا کنید که در حین پیمایش در مرورگر قابل مشاهده است. برای مشاهده در این حالت، باید بر روی راهنمای ابزار کلیک کنید یا در منوی زمینه که هنگام کلیک راست بر روی ویدیو نمایش داده می‌شود، «تصویر در تصویر» را انتخاب کنید (در یوتیوب که جایگزین کنترل‌کننده منوی زمینه خود می‌شود، باید راست-راست کنید- دوبار کلیک کنید یا با فشار دادن کلید Shift کلیک کنید).
  

• وقتی نوار اسکرول نمایش داده می شود گرفتار رنگ پس زمینه صفحه فعلی
• حذف شده فرصت اتصالات کلید عمومی (PKP، پین کردن کلید عمومی)، که با استفاده از هدر HTTP-Public-Key-Pins، اجازه می دهد تا به صراحت گواهی هایی را مشخص کند که کدام مقامات صدور گواهی می توانند برای یک سایت خاص استفاده شوند. دلیل ذکر شده تقاضای کم برای این عملکرد، خطر مشکلات سازگاری (پشتیبانی PKP خاتمه یافت در کروم) و توانایی مسدود کردن سایت خود به دلیل اتصال کلیدهای اشتباه یا از دست دادن کلیدها (به عنوان مثال، حذف تصادفی یا به خطر افتادن در نتیجه هک).
• ساختار پذیرفته شده تکه هااجازه در OpenBSD مشغول کردن تماس های سیستمی پرده برداری () и سوگند - تعهد() برای سیستم فایل اضافی و جداسازی فرآیند.
• پشتیبانی برای مسدود کردن تصاویر از دامنه های جداگانه حذف شد. دلیل حذف عدم تقاضا برای عملکرد در بین کاربران و رابط نامناسب برای مسدود کردن است.
• در ساخت‌های ویندوز، یک ویژگی آزمایشی برای استفاده از گواهی‌های کلاینت از فروشگاه گواهی سیستم عامل عمومی پیاده‌سازی شده است (گزینه security.osclientcerts.autoload باید فعال شود تا در about:config فعال شود).
• پشتیبانی از CSS Shadow Parts به طور پیش فرض فعال است، از جمله "بخش"و شبه عنصر"::قسمت"، به شما امکان می دهد عناصر مشخص شده را به صورت انتخابی نمایش دهید سایه DOM.

  
  یک پاراگراف
  

  در CSS برای انتخاب عناصر محدود به ویژگی part:

  custom-element::part(مثال) {
  حاشیه: جامد 1 پیکسل مشکی؛
  شعاع مرز: 5px؛
  بالشتک: 5px؛
  }

• پشتیبانی از مشخصات اضافه شده است مسیر حرکت CSSکه به شما امکان می دهد بدون استفاده از کد جاوا اسکریپت و بدون مسدود کردن فرآیند رندر و ورودی در طول انیمیشن، مسیر اشیاء انیمیشن را با استفاده از CSS تعریف کنید. ویژگی های CSS برای کنترل انیمیشن ارائه شده است
  چاپ افست,
  آفست مسیر,
  افست-لنگر,
  افست-فاصله и
  افست-چرخش.

• ویژگی های تبدیل CSS انتخاب شده به طور پیش فرض فعال هستند مقیاس, چرخاندن и ترجمه کردن، به یک ملک مقید نیست تبدیل (یعنی در CSS اکنون می توانید به جای «transform: scale(2);» «scale: 2;» را مشخص کنید).
• جاوا اسکریپت عملگر الحاق منطقی را پیاده سازی می کند.??"، که اگر عملوند سمت چپ NULL یا تعریف نشده باشد، عملوند سمت راست را برمی گرداند و بالعکس. به عنوان مثال، "const foo = bar ?? "رشته پیش فرض"" اگر نوار خالی باشد، مقدار نوار را در غیر این صورت، از جمله زمانی که نوار 0 و " " باشد، بر خلاف عملگر "||" برمی گرداند.
• API اضافه شد FormDataEvent و رویداد FormData، که استفاده از کنترل کننده های جاوا اسکریپت را برای افزودن داده به فرم هنگام ارسال بدون نیاز به ذخیره داده ها در عناصر ورودی مخفی ممکن می کند.
• API منطقه جغرافیایی به روز شد تا با مشخصات جدید مطابقت داشته باشد، برای مثال نام مختصات به GeolocationCoordinates، Position به GeolocationPosition و
  PositionError در GeolocationPositionError.

• در دیباگر جاوا اسکریپت اضافه پشتیبانی از نقاط شکست شرطی (نقطه مراقبت)، هنگامی فعال می شود که ویژگی های خاصی از اشیا تغییر یا خوانده شود.
  

• راه اندازی دیباگر جاوا اسکریپت با باز شدن تعداد بسیار زیادی از برگه ها تسریع شده است (اول از همه، اکنون اولویت به برگه های قابل مشاهده است).
• Responsive Design Mode شبیه سازی مقادیر مختلف Meta viewport را پیاده سازی می کند. شبیه‌ساز ارزش «ترجیح می‌دهد» به حالت بازرسی صفحه اضافه شد.
• В کنسول های وب در حالت تفسیر چند خطی جاوا اسکریپت، پشتیبانی برای ذخیره و باز کردن فایل ها با استفاده از ترکیب های Ctrl + O و Ctrl + S اضافه شده است.
• اضافه راه اندازی javascript.options.asyncstack برای جداسازی بصری پیام های ناهمزمان در کنسول وب. هنگامی که تنظیمات console.trace() و console.error() را فعال می‌کنید، پشته تماس کامل عملیات ناهمزمان نمایش داده می‌شود و به شما امکان می‌دهد نحوه زمان‌بندی راه‌اندازی تایمرها، رویدادها، وعده‌ها، ژنراتورها و غیره را درک کنید.
  

• در حالت بازرسی WebSocket تجزیه و نمایش تصویری متادیتا با فرمت SignalR مورد استفاده در پیام های ASP.NET Core پیاده سازی شده است.همچنین شمارنده هایی اضافه شده است که حجم کل داده های ارسالی و دانلود شده را نشان می دهد.
• در ابزار نظارت بر فعالیت شبکه در تب Times به صورت جداگانه نمایش داده اطلاعاتی در مورد زمان قرار گرفتن هر منبع برای دانلود، زمان شروع دانلود و زمان تکمیل دانلود.
• محیطی که از ابزارهای توسعه‌دهندگان وب حذف شده است صفحه خراش، برای آزمایش کد جاوا اسکریپت طراحی شده است (Scratchpad در آخرین نسخه با حالت کنسول وب چند خطی جایگزین شد).

فایرفاکس 72 علاوه بر نوآوری ها و رفع اشکالات، آن را برطرف کرده است 20 آسیب پذیری، که 11 مورد (جمع آوری شده در زیر CVE-2019-17025 и CVE-2019-17024) به عنوان بالقوه قادر به اجرای کد مهاجم در هنگام باز کردن صفحات طراحی شده علامت گذاری می شوند. به شما یادآوری می کنیم که مشکلات حافظه، مانند سرریز شدن بافر و دسترسی به مناطق حافظه از قبل آزاد شده، اخیراً به عنوان خطرناک علامت گذاری شده اند، اما حیاتی نیستند. همچنین نکته قابل توجه CVE-2019-17017 در کد XPCVariant.cpp است که می تواند به طور بالقوه منجر به اجرای کد شود.

منبع: opennet.ru