فایرفاکس 72 منتشر شد

مرورگر وب منتشر شد فایرفاکس 72و نسخه موبایل فایرفاکس ۶۸.۸ برای این پلتفرم Android. علاوه بر این، یک به روز رسانی ایجاد شده است شاخه ها با پشتیبانی طولانی مدت 68.4.0. به زودی روی صحنه می آید تست بتا به شاخه فایرفاکس ۷۳ منتقل خواهد شد که انتشار آن برای ۱۱ فوریه برنامه‌ریزی شده است (پروژه نقل مکان کرد به مدت 4 هفته چرخه توسعه).

اصلی نوآوری ها:

• در حالت استاندارد پیش‌فرض مسدود کردن محتوای ناخواسته مشمول محافظت در برابر ردیابی کاربر با استفاده از روش‌های شناسایی پنهان ("اثر انگشت مرورگر") که توسط ... انجام می‌شود. دسته‌های اضافی در فهرست Disconnect.me، که شامل میزبان‌هایی است که مشخص شده از اسکریپت‌هایی برای احراز هویت پنهان استفاده می‌کنند. احراز هویت پنهان به ذخیره شناسه‌ها در مناطقی که برای ذخیره‌سازی مداوم در نظر گرفته نشده‌اند ("سوپرکوکی‌ها") و همچنین تولید شناسه‌ها بر اساس داده‌های غیرمستقیم، مانند وضوح صفحه، لیست انواع MIME پشتیبانی شده، پارامترهای خاص در هدر (HTTP / 2 и HTTPS، تجزیه و تحلیل نصب شده است افزونه ها و فونت ها، در دسترس بودن برخی از API های وب خاص، مخصوص کارت های ویدئویی ویژگی های رندر با استفاده از WebGL و Canvas، دستکاری - اعمال نفوذ با CSS، تجزیه و تحلیل ویژگی های کار با موش и یک صفحه کلید.
  
• فعال شده روش ها مبارزه با درخواست‌های مجوز مزاحم (Notification.requestPermission()، PushManager.subscribe() و MediaDevices.getDisplayMedia()). درخواست‌های مجوز دیگر مرور را قطع نمی‌کنند، بلکه پس از شناسایی تعامل کاربر با صفحه (کلیک ماوس یا فشردن کلید) یک نشانگر در نوار آدرس نمایش می‌دهند. بسیاری از وب‌سایت‌ها از درخواست‌های مجوز مرورگر سوءاستفاده می‌کنند، در درجه اول با نمایش دوره‌ای درخواست‌های اعلان فشار. تجزیه و تحلیل تله‌متری نشان داد که ۹۷٪ از چنین درخواست‌هایی رد می‌شوند، از جمله ۱۹٪ که در آن کاربر بلافاصله صفحه را بدون کلیک روی دکمه رضایت یا رد می‌بندد.
• اضافه تجربی پشتیبانی پروتکل HTTP/3 (برای فعال کردن آن، باید گزینه "network.http.http3.enabled" را در about:config تنظیم کنید). پشتیبانی HTTP/3 در فایرفاکس بر اساس ... است. neqo، پیاده‌سازی کلاینت و سرور پروتکل QUIC (HTTP/3) که به زبان Rust نوشته شده است استاندارد می کند (استفاده از پروتکل QUIC به عنوان حامل برای HTTP/2).
• مطابق با الزامات قانونی که لازم الاجرا شد CCPA (قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا) اضافه امکان حذف داده‌های تله‌متری از سرورهای موزیلا. حذف داده‌ها در صورتی انجام می‌شود که در بخش "about:preferences#privacy" ("Firefox Data Collection and Use") از جمع‌آوری تله‌متری انصراف دهید. اگر کادر "Allow Firefox to send technical and interaction data to Mozilla" را که ارسال تله‌متری را کنترل می‌کند، بردارید، موزیلا متعهد می‌شود طی 30 روز حذف تمام داده‌های جمع‌آوری‌شده قبل از غیرفعال شدن انتقال تله‌متری. داده‌های ذخیره‌شده در سرورهای موزیلا در طول جمع‌آوری تله‌متری شامل اطلاعاتی در مورد عملکرد فایرفاکس، امنیت و پارامترهای عمومی، مانند تعداد تب‌های باز و مدت زمان جلسه (اطلاعات مربوط به وب‌سایت‌های بازدید شده و عبارات جستجو منتقل نمی‌شوند) است. جزئیات کامل داده‌های جمع‌آوری‌شده را می‌توانید در صفحه "about:telemetry" بیابید.
  
• برای Linux и macOS ما قابلیت مشاهده ویدیوها در حالت تصویر در تصویر را اضافه کرده‌ایم. این به شما امکان می‌دهد ویدیو را جدا کرده و یک پنجره شناور ایجاد کنید که در حین پیمایش مرورگر قابل مشاهده باقی بماند. برای مشاهده ویدیوها در این حالت، روی راهنمای ابزار کلیک کنید یا از منوی زمینه‌ای که هنگام کلیک راست روی ویدیو نمایش داده می‌شود، «تصویر در تصویر» را انتخاب کنید (در یوتیوب، که از کنترل‌کننده منوی زمینه خاص خود استفاده می‌کند، روی دکمه سمت راست ماوس دوبار کلیک کنید یا Shift را نگه دارید و کلیک کنید).
  
• وقتی نوار پیمایش نمایش داده می‌شود گرفتار رنگ پس زمینه صفحه فعلی.
• حذف شده فرصت پین کردن کلید عمومی (PKP)، که به هدر HTTP پین‌های کلید عمومی اجازه می‌دهد تا به صراحت تعیین کند که کدام گواهی‌های CA برای استفاده در یک وب‌سایت مشخص قابل قبول هستند. دلیل ذکر شده برای عدم تقاضای این ویژگی و خطر مشکلات سازگاری (پشتیبانی از PKP) خاتمه یافت در کروم) و توانایی مسدود کردن سایت خود به دلیل اتصال کلیدهای اشتباه یا از دست دادن کلیدها (به عنوان مثال، حذف تصادفی یا به خطر افتادن در نتیجه هک).
• ساختار پذیرفته شده تکه ها، اجازه دادن به OpenBSD درگیر کردن فراخوانی‌های سیستمی پرده برداری() и تعهد() برای جداسازی بیشتر سیستم فایل و فرآیندها.
• پشتیبانی از مسدود کردن تصاویر از دامنه‌های خاص حذف شده است. دلیل ذکر شده برای حذف، عدم تقاضای کاربران و رابط کاربری نامناسب برای مسدود کردن است.
• در مجامع برای Windows یک ویژگی آزمایشی برای استفاده از گواهی‌های کلاینت از مخزن گواهی مشترک سیستم عامل پیاده‌سازی شده است (برای فعال کردن آن، گزینه security.osclientcerts.autoload باید در about:config فعال شود).
• پشتیبانی از بخش‌های سایه CSS به طور پیش‌فرض فعال است، از جمله ویژگی ".بخش"و شبه عنصر"::بخش"، به شما امکان می‌دهد عناصر مشخص شده را به صورت انتخابی نمایش دهید سایه DOM.

  
  یک پاراگراف
  

  ... در CSS برای انتخاب عناصر در اتصال به ویژگی part:

  عنصر سفارشی::part(مثال) {
  حاشیه: مشکی یکدست ۱ پیکسلی؛
  شعاع مرز: 5px؛
  بالشتک: 5px؛
  }

• پشتیبانی از مشخصات اضافه شد مسیر حرکت در CSSکه به شما امکان می‌دهد مسیر اشیاء متحرک را با استفاده از CSS بدون استفاده از کد جاوا اسکریپت و بدون مسدود کردن فرآیند رندر و ورودی در حین اجرای انیمیشن تعریف کنید. ویژگی‌های CSS برای کنترل انیمیشن ارائه شده‌اند.
  چاپ افست,
  آفست مسیر,
  لنگر افست,
  فاصله افست и
  چرخش-جابجایی.
• ویژگی‌های تبدیل CSS انتخاب‌شده به‌طور پیش‌فرض فعال هستند مقیاس, چرخاندن и ترجمه کردنوابسته به اموال نیست تبدیل (یعنی در CSS اکنون می‌توانید به جای "transform: scale(2);" از "scale: 2;" استفاده کنید).
• جاوا اسکریپت عملگر منطقی اتحاد را پیاده‌سازی می‌کند.??که اگر عملوند چپ NULL یا تعریف نشده باشد، عملوند سمت راست را برمی‌گرداند و برعکس. برای مثال، "const foo = bar ?? 'default string'" اگر bar تهی باشد، رشته را برمی‌گرداند، یا در غیر این صورت مقدار bar را برمی‌گرداند، از جمله زمانی که bar برابر با 0 و ' ' باشد، برخلاف عملگر "||".
• API اضافه شد رویداد فرم داده و رویداد فرم‌دیتاکه امکان استفاده از کنترل‌کننده‌های جاوا اسکریپت را برای افزودن داده‌ها به فرم در مرحله ارسال، بدون نیاز به ذخیره داده‌ها در عناصر ورودی پنهان، فراهم می‌کنند.
• API منطقه جغرافیایی برای مطابقت با مشخصات جدید به‌روزرسانی شد، برای مثال، Coordinates به GeolocationCoordinates، Position به GeolocationPosition تغییر نام داد، و
  خطای موقعیت در موقعیت جغرافیایی.
• در دیباگر جاوا اسکریپت اضافه پشتیبانی از نقاط شکست شرطی (نقطه مراقبت)، زمانی فعال می‌شود که ویژگی‌های خاصی از اشیاء تغییر داده شوند یا خوانده شوند.
  
• اشکال‌زدای جاوا اسکریپت اکنون وقتی تعداد زیادی تب باز باشد، سریع‌تر اجرا می‌شود (تب‌های قابل مشاهده اکنون اولویت‌بندی شده‌اند).
• حالت طراحی واکنش‌گرا اکنون مقادیر مختلف متای viewport را شبیه‌سازی می‌کند. یک شبیه‌ساز مقدار "prefers-color-scheme" به حالت بازرسی صفحه اضافه شده است.
• В کنسول‌های وب در حالت تفسیر چندخطی جاوااسکریپت، پشتیبانی برای ذخیره و باز کردن فایل‌ها با استفاده از ترکیب‌های Ctrl + O و Ctrl + S اضافه شده است.
• اضافه تنظیم javascript.options.asyncstack امکان جداسازی بصری پیام‌های ناهمزمان را در کنسول وب فراهم می‌کند. وقتی فعال باشد، پشته فراخوانی کامل برای console.trace() و console.error() نمایش داده می‌شود و به شما امکان می‌دهد زمان‌بندی تایمرها، رویدادها، promiseها، ژنراتورها و سایر توابع را درک کنید.
  
• در حالت بازرسی WebSocket، تجزیه و نمایش بصری متادیتای فرمت SignalR را که در پیام‌های ASP.NET Core استفاده می‌شود، پیاده‌سازی کرده‌ایم. شمارنده‌هایی نیز اضافه شده‌اند که حجم کل داده‌های ارسالی و دانلود شده را نشان می‌دهند.
• در ابزار نظارت بر فعالیت شبکه، در تب Timings، به طور جداگانه نمایش داده شده داده‌های مربوط به زمان قرارگیری در صف دانلود، شروع دانلود و تکمیل دانلود هر منبع.
• محیط از ابزارهای توسعه‌دهنده وب حذف شده است صفحه خراش، طراحی شده برای آزمایش با کد جاوا اسکریپت (Scratchpad در نسخه قبلی با یک حالت کنسول وب چند خطی جایگزین شده بود).

فایرفاکس 72 علاوه بر نوآوری ها و رفع اشکالات، آن را برطرف کرده است 20 آسیب پذیریکه از این تعداد، ۱۷ مورد (جمع‌آوری‌شده تحت CVE-2019-17025 и CVE-2019-17024) به عنوان مواردی که به طور بالقوه می‌توانند منجر به اجرای کد مخرب هنگام باز کردن صفحات دستکاری‌شده‌ی خاص شوند، علامت‌گذاری شده‌اند. به عنوان یادآوری، مشکلات حافظه مانند سرریز بافر و دسترسی به حافظه پس از آزادسازی آن، اخیراً به عنوان خطرناک، اما نه بحرانی، علامت‌گذاری شده‌اند. نکته‌ی قابل توجه، مشکل CVE-2019-17017 در XPCVariant.cpp است که به طور بالقوه منجر به اجرای کد نیز می‌شود.

منبع: opennet.ru