فایرفاکس 75 منتشر شد

صورت گرفت انتشار مرورگر وب فایرفاکس 75و نسخه موبایل فایرفاکس 68.7 برای پلتفرم اندروید. علاوه بر این، یک به روز رسانی ایجاد شده است شاخه ها با پشتیبانی طولانی مدت 68.7.0. به زودی روی صحنه می آید تست بتا شعبه فایرفاکس 76 تغییر خواهد کرد، که انتشار آن برای 5 می برنامه ریزی شده است (پروژه نقل مکان کرد به مدت 4-5 هفته چرخه توسعه).

اصلی نوآوری ها:

• شکل گیری برای لینوکس آغاز شده است ساخت های رسمی با فرمت Flatpak
• طراحی نوار آدرس به روز شده است. هنگامی که روی نوار آدرس کلیک می کنید، یک لیست کشویی از پیوندهای پرکاربرد اکنون بلافاصله بدون شروع به تایپ نمایش داده می شود. راهنمای ابزار نتایج جستجو برای کارکرد بهتر در صفحه نمایش های کوچکتر بهینه شده است. در زمینه توصیه های متنی، نکاتی برای حل مشکلات رایجی که هنگام کار با مرورگر ایجاد می شود ارائه می شود.

  نمایش پروتکل https:// و زیر دامنه "www." نمایش داده نمی شود. در بلوک کشویی پیوندهایی که در حین تایپ در نوار آدرس نمایش داده می شود (به عنوان مثال، https://opennet.ru و https://www.opennet.ru، که در محتوا متفاوت هستند، غیر قابل تشخیص خواهند شد). پروتکل http:// بدون تغییر در نتایج جستجو نشان داده می شود.

  

• برای لینوکس، رفتار هنگام کلیک کردن در نوار آدرس تغییر کرده است (مانند Windows و macOS) - یک کلیک تمام محتوا را بدون قرار دادن آن در کلیپ بورد انتخاب می کند، یک کلیک دوبار یک کلمه را انتخاب می کند، یک کلیک سه بار همه محتوا را انتخاب می کند و آن را در کلیپ بورد قرار می دهد.
• اجرا شد فرصت تصاویری را که خارج از ناحیه قابل مشاهده هستند بارگیری نکنید تا زمانی که کاربر محتوای صفحه را به مکان بلافاصله قبل از تصویر پیمایش کند. برای کنترل بارگذاری تنبل صفحات، ویژگی “img” به تگ “img” اضافه شده است.بارگیری"، که می تواند مقدار "تنبل" را بگیرد. انتظار می رود که بارگذاری تنبل باعث کاهش مصرف حافظه، کاهش ترافیک و افزایش سرعت باز شدن صفحه اولیه شود. گزینه "dom.image-lazy-loading.enabled" به about:config برای کنترل بارگذاری تنبل اضافه شد.
• اجرا شد پشتیبانی کامل از WebGL در محیط هایی که از پروتکل Wayland استفاده می کنند. تا به حال، عملکرد WebGL در ساخت‌های لینوکس فایرفاکس به دلیل عدم پشتیبانی از شتاب سخت‌افزاری، مشکلات درایورهای gfx برای X11 و استفاده از استانداردهای مختلف، بسیار مورد انتظار بوده است. هنگام استفاده از Wayland، وضعیت به لطف ظهور یک جدید تغییر کرده است باطنبا استفاده از مکانیزم DMABUF. علاوه بر شتاب سخت افزاری، باطن WebGL نیز مجاز پیاده سازی پشتیبانی از شتاب رمزگشایی ویدیوی H.264 با استفاده از VA-API (API شتاب ویدیو) و FFmpegDataDecoder (پشتیبانی از VP9 و سایر فرمت های رمزگذاری ویدیو انتظار می رود در فایرفاکس 76). برای کنترل فعال بودن شتاب در about:config، پارامترهای "widget.wayland-dmabuf-webgl.enabled" و "widget.wayland-dmabuf-vaapi.enabled" پیشنهاد شده‌اند.
• برای کاربران بریتانیایی، نمایش بلوک های پرداخت شده توسط حامیان مالی در صفحه شروع در بخش محتوای توصیه شده توسط سرویس جیبی فعال است. بلوک ها به وضوح به عنوان تبلیغات علامت گذاری شده اند و می توانند در تنظیمات غیرفعال شوند. قبلاً تبلیغ می کرد نشان داد فقط کاربران ایالات متحده
• اجرا شد حالت برای پاک کردن کوکی‌های قدیمی و داده‌های سایت هنگام دسترسی به سایت‌هایی با کد رهگیری ناوبری که کاربر به صورت تعاملی با آنها تعامل نداشته است. هدف این حالت مبارزه با ردیابی از طریق تغییر مسیرها است.
• آغاز شده پیاده سازی دیالوگ های معین که به تب های جداگانه گره خورده است و کل رابط را مسدود نمی کند.
  

• اضافه امکان نصب و باز کردن سایت ها در قالب برنامه ها (Apps) که به شما امکان می دهد کار با سایت را مانند یک برنامه دسکتاپ معمولی سازماندهی کنید. برای فعال کردن آن در about:config، باید تنظیمات "browser.ssb.enabled=true" را اضافه کنید، پس از آن مورد "Install Website as App" در منوی زمینه اقدامات با صفحه ظاهر می شود (بیضی در آدرس نوار)، به شما امکان می دهد آن را روی دسکتاپ یا در میانبر برنامه های منو برای باز کردن سایت فعلی به طور جداگانه قرار دهید. توسعه ادامه دارد توسعه مفهوم "مرورگر خاص سایت"(SSB)، که به معنای باز کردن سایت در یک پنجره جداگانه بدون منو، نوار آدرس و سایر عناصر رابط مرورگر است. در پنجره فعلی، فقط پیوندهای صفحات سایت فعال باز می شود و دنبال کردن پیوندهای خارجی منجر به ایجاد یک پنجره جداگانه با یک مرورگر معمولی می شود.
  

• منبسط اجرای "بیهوش کردن"، از طریق هدر HTTP "X-Content-Type-Options" فعال می شود، که اکنون منطق تشخیص خودکار نوع MIME را برای اسناد HTML غیرفعال می کند و نه فقط برای جاوا اسکریپت و CSS. این حالت به محافظت در برابر حملات مربوط به دستکاری نوع MIME کمک می کند. مرورگر پیش فرض نوع محتوای در حال پردازش را تجزیه و تحلیل می کند و آن را بر اساس نوع خاص پردازش می کند. به عنوان مثال، اگر کد HTML را در یک فایل ".jpg" ذخیره کنید، پس از باز شدن، این فایل به عنوان HTML پردازش می شود، نه به عنوان یک تصویر. مهاجم می‌تواند از یک فرم آپلود تصویر برای یک فایل jpg، از جمله html با کد جاوا اسکریپت استفاده کند، و سپس پیوندی به این فایل منتشر کند، پس از باز شدن مستقیم، کد جاوا اسکریپت در زمینه سایتی که آپلود در آن انجام شده است، اجرا می‌شود. (شما می توانید کوکی ها و سایر داده های سایت مرتبط با کاربری که پیوند را باز کرده است تعریف کنید).
• همه گواهی‌های PKI CA قابل اعتماد شناخته شده برای موزیلا به صورت محلی ذخیره می‌شوند و سازگاری با سرورهای وب با پیکربندی ضعیف را بهبود می‌بخشند.
• در صفحاتی که از طریق HTTP بدون رمزگذاری باز می شوند، استفاده از Web Crypto API ممنوع است.
• برای ویندوز، یک حالت کامپوزیت مستقیم برای بهبود بهره وری و سرعت بخشیدن به اجرای سیستم کامپوزیت پیاده سازی شده است. WebRender، به زبان Rust نوشته شده و رندر محتوای صفحه را به سمت GPU برون سپاری می کند.
• برای macOS، یک ویژگی آزمایشی برای استفاده از گواهی‌های مشتری از فروشگاه گواهی عمومی سیستم عامل پیاده‌سازی شده است (گزینه security.osclientcerts.autoload برای فعال کردن آن در about:config باید فعال باشد). با شروع فایرفاکس 72، این ویژگی فقط برای ویندوز در دسترس بود.
• به دنبال لینوکس، بیلدهای macOS از مکانیزم ایزوله استفاده می کنند RLBox، با هدف جلوگیری از بهره برداری از آسیب پذیری ها در کتابخانه های تابع شخص ثالث. در این مرحله، ایزوله فقط برای کتابخانه فعال است گرافیت، مسئول رندر فونت ها است. RLBox کد C/C++ کتابخانه ایزوله را در کد میانی WebAssembly سطح پایین کامپایل می کند که سپس به عنوان یک ماژول WebAssembly طراحی می شود که مجوزهای آن فقط در رابطه با این ماژول تنظیم شده است. ماژول مونتاژ شده در یک قسمت حافظه جداگانه کار می کند و به بقیه فضای آدرس دسترسی ندارد. اگر یک آسیب پذیری در کتابخانه مورد سوء استفاده قرار گیرد، مهاجم محدود خواهد شد و نمی تواند به مناطق حافظه فرآیند اصلی دسترسی داشته باشد یا کنترل را به خارج از محیط ایزوله منتقل کند.
• ویژگی "نوع" در یک عنصر теперь может принимать только значение «text/css».
• توابع پیاده سازی شده در CSS دقیقه (), حداکثر () и گیره ().
• برای ویژگی های CSS متن-تزیین-جوهر-پرش پشتیبانی از مقدار "همه" اجرا شده است، که نیاز به یک شکاف اجباری در خطوط زیر خط و خط خطی در هنگام تلاقی با حروف نگاره های متنی دارد (مقدار "خودکار" قبلاً استفاده شده به صورت تطبیقی ​​شکسته می شود و لمس را حذف نمی کند؛ با تمام مقدار، لمس ها با گلیف کاملاً ممنوع است).
• جاوا اسکریپت فعال شد میدان های استاتیک عمومی برای نمونه‌هایی از کلاس‌های جاوا اسکریپت که به شما امکان می‌دهند خصوصیات از پیش تعریف‌شده‌ای را که خارج از سازنده مقداردهی اولیه می‌شوند، مشخص کنید.

  کلاس ClassWithStaticField {
  static staticField = "فیلد استاتیک"
  }

• پشتیبانی کلاس اضافه شد محلیکه روش‌هایی را برای تجزیه و پردازش تنظیمات زبان، منطقه و سبک خاص محلی، و همچنین برای خواندن و نوشتن برچسب‌های پسوند یونیکد و ذخیره تنظیمات محلی تعریف‌شده توسط کاربر در قالب سریالی ارائه می‌دهد.
• پیاده سازی ویژگی Function.caller با آخرین پیش نویس مشخصات جدید ECMAScript مطابقت دارد (اکنون اگر فراخوانی از تابعی با ویژگی strict، async یا generator انجام شود، به جای TypeError، null را پرتاب می کند).
• متد به HTMLFormElement اضافه شد requestSubmit()، که ارسال برنامه ای داده های فرم را همانند کلیک بر روی دکمه ارسال آغاز می کند. این تابع می تواند هنگام توسعه دکمه های ارسال فرم خود استفاده شود که فراخوانی ()form.submit برای آنها کافی نیست زیرا به صورت تعاملی پارامترها را تأیید نمی کند، یک رویداد 'submit' ایجاد نمی کند و داده ها را به دکمه ارسال منتقل نمی کند.
• رویداد ارسال اکنون توسط یک شی با نوع SubmitEvent به جای Event پیاده سازی می شود. SubmitEvent شامل ویژگی های جدیدی است که به شما امکان می دهد عنصری که باعث ارسال فرم شده است را بشناسید. به عنوان مثال، SubmitEvent امکان استفاده از یک کنترل کننده را فراهم می کند که برای دکمه ها و پیوندهای مختلف که منجر به ارسال فرم می شود، مشترک است.
• هنگام فراخوانی متد click() برای عناصر جدا شده (نه بخشی از درخت DOM) انتقال صحیح رویداد کلیک را اجرا کرد.
• در API انیمیشن های وب قابلیت اتصال انیمیشن به فریم کلید اولیه یا نهایی را اضافه کرد و خود مرورگر حالت نهایی یا اولیه را محاسبه می کند (کافی است فقط اولین یا آخرین فریم کلید را مشخص کنید). به‌طور پیش‌فرض فعال‌شده‌اند Animation.timeline، Document.timeline، DocumentTimeline، AnimationTimeline، Document.getAnimations() و Element.getAnimations().
• امکان فعال کردن رابط پروفایل صفحه بدون نصب افزونه جداگانه با کلیک روی دکمه "فعال کردن منوی پروفایلر" در سایت اضافه شده است. profiler.firefox.com. حالت تجزیه و تحلیل عملکرد فقط برای برگه فعال اضافه شده است.
• کنسول وب اکنون حالتی برای محاسبه فوری عبارات دارد که به توسعه دهندگان این امکان را می دهد که به سرعت خطاها را هنگام وارد کردن عبارات پیچیده با نمایش یک نتیجه اولیه هنگام تایپ کردن، شناسایی و تصحیح کنند.
• В ابزار برای اندازه گیری مساحت های صفحه (ابزار اندازه گیری)، قابلیت تغییر اندازه قاب مستطیلی اضافه شده است (قبلاً اگر دکمه ماوس را رها می کردید، کادر قابل تغییر نبود و در صورت هدف گیری نادرست، لازم بود از ابتدا اندازه گیری کنید).
• رابط بازرسی صفحه اکنون از جستجوی عناصر با استفاده از عبارات XPath، علاوه بر جستجوی قبلی با استفاده از انتخابگرهای CSS پشتیبانی می کند.
• قابلیت فیلتر کردن پیام‌های WebSocket با استفاده از عبارات معمولی را اضافه کرد (قبلاً فقط ماسک‌های متنی پشتیبانی می‌شدند).
• پشتیبانی از اتصال نقاط شکست به کنترل کننده رویداد WebSocket در اشکال زدایی جاوا اسکریپت اضافه شد.
• رابط برای تجزیه و تحلیل فعالیت شبکه پاک شد. بهینه سازی جدول هنگام پردازش تعداد زیادی اتصال به طور همزمان. جداکننده‌های ستون و دکمه‌هایی برای اعمال فیلترها با کنتراست بیشتری ایجاد کرد. در پنل مسدود کردن درخواست شبکه، امکان استفاده از کاراکتر "*" در ماسک های URL پیاده سازی شده است (به شما امکان می دهد رفتار سایت را در شرایط خرابی بارگیری منابع ارزیابی کنید).
  

علاوه بر نوآوری ها و رفع اشکال، فایرفاکس 75 را حذف کرده است مجموعه ای از آسیب پذیری ها، که تعدادی از آنها به عنوان بحرانی علامت گذاری شده اند، i.e. می تواند منجر به اجرای کد مهاجم در هنگام باز کردن صفحات طراحی شده خاص شود. در حال حاضر اطلاعاتی در مورد جزئیات مشکلات امنیتی رفع شده در دسترس نیست، اما انتظار می رود لیستی از آسیب پذیری ها ظرف چند ساعت منتشر شود.

منبع: opennet.ru