Le navigateur Web est sorti et Firefox 68.4 pour la plateforme Android. De plus, une mise à jour a été générée avec un accompagnement à long terme . Bientôt sur scène va migrer la branche Firefox 73 dont la sortie est prévue le 11 février (projet pendant 4 semaines ).
:
- Dans le mode de blocage standard par défaut pour les contenus inappropriés protection contre le suivi des utilisateurs par des méthodes d’identification cachées (« empreintes digitales du navigateur »), qui est réalisée par sur la liste Disconnect.me, qui comprend les hôtes qui utilisent des scripts pour une identification cachée. L'identification cachée fait référence au stockage d'identifiants dans des zones non destinées au stockage permanent d'informations (« Supercookies »), ainsi qu'à la génération d'identifiants basés sur des données indirectes, telles que , liste des types MIME pris en charge, options spécifiques à l'en-tête ( и ), analyse des établis , disponibilité de certaines API Web spécifiques aux cartes vidéo rendu en utilisant WebGL et Canvas, avec CSS, analyse des fonctionnalités de travail avec и .
- методы avec des demandes ennuyeuses pour accorder au site des autorisations supplémentaires (Notification.requestPermission(), PushManager.subscribe() et MediaDevices.getDisplayMedia()). Les demandes de confirmation d'autorisation n'interrompront plus le travail avec le navigateur, mais entraîneront uniquement l'affichage d'un indicateur dans la barre d'adresse après que l'interaction de l'utilisateur avec la page (clic de souris ou appui sur une touche) ait été enregistrée. De nombreux sites abusent de la capacité du navigateur à demander des autorisations, principalement en demandant périodiquement des notifications push. L'analyse télémétrique a montré que 97 % de ces demandes sont rejetées, et que dans 19 % des cas, l'utilisateur ferme immédiatement la page sans cliquer sur le bouton d'accord ou de rejet.
- expérimental Protocole HTTP/3 (pour l'activer dans about:config, vous devez définir l'option « network.http.http3.enabled »). La prise en charge HTTP/3 dans Firefox est basée sur , écrit en langage Rust, implémentant le client et le serveur du protocole QUIC (HTTP/3 utilisant le protocole QUIC comme transport pour HTTP/2).
- Conformément aux exigences de la loi entrée en vigueur (Loi californienne sur la protection de la vie privée des consommateurs) possibilité de supprimer les données de télémétrie des serveurs Mozilla. Les données sont supprimées si vous refusez de collecter des données télémétriques dans la section « about:preferences#privacy » (section « Collecte et utilisation des données Firefox »). Lorsque vous décochez la case « Autoriser Firefox à envoyer des données techniques et d'interaction à Mozilla » qui contrôle l'envoi de télémétrie, Mozilla dans 30 jours toutes les données collectées pendant la période précédant l’échec de la transmission télémétrique. Les données qui aboutissent sur les serveurs de Mozilla pendant le processus de collecte de télémétrie comprennent des informations sur les performances, la sécurité et les paramètres généraux de Firefox tels que le nombre d'onglets ouverts et la durée de la session (les informations sur les sites ouverts et les requêtes de recherche ne sont pas transmises). Tous les détails des données collectées peuvent être consultés sur la page « à propos de la télémétrie ».
- Pour Linux et macOS, la possibilité de visualiser la vidéo en mode Picture-in-Picture a été ajoutée, permettant de détacher la vidéo sous la forme d'une fenêtre flottante qui reste visible lors de la navigation dans le navigateur. Pour visualiser dans ce mode, vous devez cliquer sur l'info-bulle ou dans le menu contextuel affiché lorsque vous faites un clic droit sur la vidéo, sélectionner « Image dans l'image » (dans YouTube, qui remplace son propre gestionnaire de menu contextuel, vous devez droite- cliquez deux fois ou cliquez avec la touche Maj enfoncée).
- Lorsque la barre de défilement est affichée couleur de fond de la page actuelle.
- des liaisons de clés publiques (PKP, Public Key Pinning), qui permettent, à l'aide de l'en-tête HTTP Public-Key-Pins, de déterminer explicitement les certificats dont les autorités de certification peuvent être utilisées pour un site donné. La raison invoquée est la faible demande pour cette fonction, le risque de problèmes de compatibilité (support PKP dans Chrome) et la possibilité de bloquer votre propre site en raison de la liaison de mauvaises clés ou de la perte de clés (par exemple, suppression accidentelle ou compromission suite à un piratage).
- la composition autoriser dans OpenBSD appels système и pour une isolation supplémentaire du système de fichiers et des processus.
- Suppression de la prise en charge du blocage des images de domaines individuels. La raison de la suppression est le manque de demande pour la fonction parmi les utilisateurs et l'interface de blocage peu pratique.
- Dans les versions pour Windows, une fonctionnalité expérimentale a été implémentée pour utiliser les certificats clients du magasin général de certificats du système d'exploitation (l'option security.osclientcerts.autoload doit être activée pour l'activer dans about:config).
- La prise en charge des CSS Shadow Parts est activée par défaut, y compris le "" et pseudo-élément "", vous permettant d'afficher sélectivement les éléments spécifiés de .
Un paragraphe
...en CSS pour sélectionner les éléments liés à l'attribut part :
élément personnalisé :: part (exemple) {
bordure : noire unie de 1 px ;
border-radius: 5px;
padding: 5px;
} - Prise en charge des spécifications ajoutée , qui vous permet de définir le chemin des objets d'animation à l'aide de CSS sans utiliser de code JavaScript et sans bloquer le processus de rendu et de saisie pendant l'animation. Les propriétés CSS sont fournies pour contrôler l'animation
,
,
,
и
. - Les propriétés de transformation CSS sélectionnées sont activées par défaut , и , non lié à une propriété (c'est-à-dire qu'en CSS, vous pouvez désormais spécifier « scale : 2 ; » au lieu de « transform : scale(2); »).
- JavaScript implémente l'opérateur de concaténation logique "", qui renvoie l'opérande de droite si l'opérande de gauche est NULL ou indéfini, et vice versa. Par exemple, "const foo = bar ?? 'chaîne par défaut'" si bar est nulle, renverra la valeur de bar dans le cas contraire, y compris lorsque bar vaut 0 et ' ", par opposition à l'opérateur "||".
- API ajoutée et événement , qui permettent d'utiliser des gestionnaires JavaScript pour ajouter des données au formulaire lors de sa soumission, sans avoir à stocker les données dans des éléments d'entrée masqués.
- API mis à jour pour correspondre à la nouvelle spécification, par exemple renommé Coordonnées en GeolocationCoordonnées, Position en GeolocationPosition et
PositionError dans GeolocationPositionError. - Dans le débogueur JavaScript prise en charge des points d'arrêt conditionnels (), déclenché lorsque certaines propriétés des objets sont modifiées ou lues.
- Le démarrage du débogueur JavaScript a été accéléré lorsqu'un très grand nombre d'onglets sont ouverts (tout d'abord, la priorité est désormais donnée aux onglets visibles).
- Le mode Responsive Design implémente la simulation de différentes valeurs de méta-fenêtre. Ajout du simulateur de valeur « préfère le schéma de couleurs » au mode d'inspection des pages.
- В en mode d'interprétation JavaScript multiligne, ajout de la prise en charge de l'enregistrement et de l'ouverture de fichiers à l'aide des combinaisons Ctrl + O et Ctrl + S.
- configuration de javascript.options.asyncstack pour séparer visuellement les messages asynchrones dans la console Web. Lorsque vous activez les paramètres de console.trace() et console.error(), la pile complète des appels des opérations asynchrones s'affiche, vous permettant de comprendre comment planifier le lancement des timers, des événements, des promesses, des générateurs, etc.
- Dans le mode d'inspection WebSocket, l'analyse et l'affichage visuel des métadonnées au format SignalR utilisé dans les messages ASP.NET Core ont été implémentés. Des compteurs ont également été ajoutés pour afficher la taille totale des données envoyées et téléchargées.
- Dans l'outil de surveillance de l'activité du réseau dans l'onglet Timings séparément des informations sur le moment où chaque ressource a été mise en file d'attente pour le téléchargement, quand le téléchargement a commencé et quand le téléchargement est terminé.
- Environnement exclu des outils pour développeurs web , conçu pour expérimenter le code JavaScript (Scratchpad a été remplacé dans la dernière version par un mode console web multiligne).
En plus des innovations et des corrections de bugs, Firefox 72 a corrigé , dont 11 (collectés sous и ) sont signalés comme potentiellement capables de conduire à l'exécution de code par un attaquant lors de l'ouverture de pages spécialement conçues. Rappelons que les problèmes de mémoire, tels que les débordements de tampon et l'accès aux zones mémoire déjà libérées, ont récemment été marqués comme dangereux, mais pas critiques. Il convient également de noter en particulier le problème CVE-2019-17017 dans le code XPCVariant.cpp, qui peut également potentiellement conduire à l'exécution de code.
Source: opennet.ru