Le navigateur Web est sorti et Firefox 68.6 pour la plateforme Android. De plus, une mise à jour a été générée avec un accompagnement à long terme . Bientôt sur scène la branche Firefox 75 va migrer, dont la sortie est prévue le 7 avril (projet pendant 4-5 semaines ). Pour la branche bêta de Firefox 75 façonner pour Linux au format Flatpak.
:
- Les versions Linux utilisent un mécanisme d'isolation , visant à bloquer l'exploitation des vulnérabilités des bibliothèques de fonctions tierces. A ce stade, l'isolation n'est activée que pour la bibliothèque , responsable du rendu des polices. RLBox compile le code C/C++ de la bibliothèque isolée en code intermédiaire WebAssembly de bas niveau, qui est ensuite conçu comme un module WebAssembly dont les permissions sont définies uniquement par rapport à ce module. Le module assemblé fonctionne dans une zone mémoire séparée et n'a pas accès au reste de l'espace d'adressage. Si une vulnérabilité de la bibliothèque est exploitée, l'attaquant sera limité et ne pourra pas accéder aux zones mémoire du processus principal ni transférer le contrôle en dehors de l'environnement isolé.
- Mode DNS sur HTTPS (DoH, DNS sur HTTPS) pour les utilisateurs américains. Le fournisseur DNS par défaut est CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), et NextDNS est disponible en option. Changer de fournisseur ou activer DoH dans des pays autres que les États-Unis, dans les paramètres de connexion réseau. Vous pouvez en savoir plus sur DoH dans Firefox sur .
- prise en charge des protocoles TLS 1.0 et TLS 1.1. Pour accéder aux sites via un canal de communication sécurisé, le serveur doit prendre en charge au moins TLS 1.2. Selon Google, environ 0.5 % des téléchargements de pages Web continuent actuellement d'être effectués à l'aide de versions obsolètes de TLS. L'arrêt a été effectué conformément aux IETF (Groupe de travail sur l'ingénierie Internet). La raison du refus de prendre en charge TLS 1.0/1.1 est le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et la nécessité de prendre en charge les anciens chiffrements, dont la fiabilité est remise en question au stade actuel de développement de la technologie informatique ( par exemple, la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est requise, MD5 est utilisé pour la vérification de l'intégrité et l'authentification et SHA-1). Lorsque vous essayez d'utiliser TLS 1.0 et TLS 1.1 à partir de Firefox 74, une erreur s'affichera. Vous pouvez restaurer la possibilité de travailler avec des versions TLS obsolètes en définissant security.tls.version.enable-deprecated = true ou en utilisant le bouton sur la page d'erreur affichée lors de la visite d'un site avec l'ancien protocole.
- La note de version recommande un module complémentaire , qui bloque automatiquement les widgets Facebook tiers utilisés pour l'authentification, les commentaires et les likes. Les paramètres d'identification de Facebook sont isolés dans un conteneur séparé, ce qui rend difficile l'identification de l'utilisateur avec les sites qu'il visite. La possibilité de travailler avec le site principal de Facebook demeure, mais elle est isolée des autres sites.
Pour une isolation plus flexible des sites arbitraires, un module complémentaire est proposé avec la mise en œuvre du concept de conteneurs de contexte. Les conteneurs offrent la possibilité d'isoler différents types de contenu sans créer de profils distincts, ce qui vous permet de séparer les informations de groupes de pages individuels. Par exemple, vous pouvez créer des zones distinctes et isolées pour la communication personnelle, le travail, les achats et les transactions bancaires, ou organiser l'utilisation simultanée de différents comptes d'utilisateurs sur un même site. Chaque conteneur utilise des magasins distincts pour le contenu des cookies, de l'API de stockage local, de la base de données indexée, du cache et des OriginAttributes.
- Ajout du paramètre «browser.tabs.allowTabDetach» à about:config pour empêcher les onglets d'être détachés dans de nouvelles fenêtres. Le détachement accidentel d’onglets est l’un des bugs les plus ennuyeux de Firefox qui doit être corrigé. 9 années. Le navigateur permet à la souris de faire glisser un onglet dans une nouvelle fenêtre, mais dans certaines circonstances, l'onglet est détaché dans une fenêtre séparée pendant le fonctionnement lorsque la souris bouge négligemment en cliquant sur l'onglet.
- prise en charge des modules complémentaires installés de manière détournée et non liés aux profils utilisateur. Le changement affecte uniquement l'installation des modules complémentaires dans les répertoires partagés (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ou ~/.mozilla/extensions/) traités par toutes les instances de Firefox sur le système ( non associé à un utilisateur) . Cette méthode est généralement utilisée pour préinstaller des modules complémentaires dans les distributions, pour une substitution non sollicitée par des applications tierces, pour intégrer des modules complémentaires malveillants ou pour fournir séparément un module complémentaire avec son propre programme d'installation. Dans Firefox 73, les modules complémentaires précédemment installés de force ont été automatiquement déplacés du répertoire partagé vers les profils utilisateur individuels et peuvent désormais être via le gestionnaire de modules complémentaires habituel.
- Dans le module complémentaire du système Lockwise inclus dans le navigateur, qui propose l'interface « about:logins » pour gérer les mots de passe enregistrés, trier dans l’ordre inverse (Z à A).
- WebRTC a augmenté la protection contre les fuites d'informations sur l'adresse IP interne lors des appels vocaux et vidéo en utilisant le "», cachant l’adresse locale derrière un identifiant aléatoire généré dynamiquement et déterminé via Multicast DNS.
- Modification de l'emplacement du commutateur d'affichage d'image dans l'image qui chevauchait le bouton d'image suivant dans l'interface de téléchargement de photos par lots sur Instagram.
- En Javascript opérateur « ? », conçu pour vérifier simultanément toute la chaîne de propriétés ou d'appels. Par exemple, en spécifiant "db?.user?.name?.length", vous pouvez désormais accéder à la valeur de "db.user.name.length" sans aucune vérification préalable. Si un élément est traité comme nul ou indéfini, la sortie sera « indéfini ».
- prise en charge sur les sites Web et dans les modules complémentaires de la méthode Object.toSource() et de la fonction globale uneval().
- Nouvel événement ajouté et les biens associés , qui vous permettent d'appeler un gestionnaire lorsque l'utilisateur change la langue de l'interface.
- Traitement de l'en-tête HTTP activé (), permettant aux sites d'empêcher l'insertion de ressources (par exemple, des images et des scripts) chargées depuis d'autres domaines (cross-origin et cross-site). L'en-tête peut prendre deux valeurs : "same-origin" (autorise uniquement les requêtes de ressources avec le même schéma, nom d'hôte et numéro de port) et "same-site" (autorise uniquement les requêtes provenant du même site).
Politique de ressources d'origine croisée : même site
- En-tête HTTP activé par défaut , qui vous permet de contrôler le comportement de l'API et d'activer certaines fonctionnalités (par exemple, vous pouvez désactiver l'accès à l'API de géolocalisation, à la caméra, au microphone, au plein écran, à la lecture automatique, aux médias cryptés, à l'animation, à l'API de paiement, au mode XMLHttpRequest synchrone, etc.). Pour les blocs iframe, l'attribut "», qui peut être utilisé dans le code de la page pour attribuer des droits à certains blocs iframe.
Politique de fonctionnalité : microphone « aucun » ; géolocalisation 'aucun'
Si un site permet, via l'attribut « autoriser », de travailler avec une ressource pour une iframe spécifique et qu'une demande est reçue de l'iframe pour obtenir des autorisations pour travailler avec cette ressource, le navigateur affiche désormais une boîte de dialogue pour accorder des autorisations dans le contexte de la page principale et délègue les droits confirmés par l'utilisateur à l'iframe (au lieu de confirmations séparées pour l'iframe et la page principale). Mais, si la page principale n'a pas l'autorisation d'accéder à la ressource demandée via l'attribut Allow, l'iframe a immédiatement accès à la ressource. , sans afficher de boîte de dialogue à l'utilisateur.
- La prise en charge des propriétés CSS est activée par défaut '', qui détermine la position du soulignement du texte (par exemple, lors de l'affichage du texte verticalement, vous pouvez organiser le soulignement à gauche ou à droite, et lors de l'affichage horizontal, non seulement par le bas, mais également par le haut). De plus dans les propriétés CSS qui contrôlent le style de soulignement и Ajout de la prise en charge de l'utilisation de valeurs en pourcentage.
- Dans une propriété CSS , qui définit le style de ligne autour des éléments, est par défaut "auto" (auparavant en raison de problèmes dans GNOME).
- Dans le débogueur JavaScript la possibilité de déboguer des Web Workers imbriqués, dont l'exécution peut être suspendue et déboguée étape par étape à l'aide de points d'arrêt.
- L'interface d'inspection des pages Web fournit désormais des avertissements pour les propriétés CSS qui dépendent des éléments z-index, positionnés en haut, à gauche, en bas et à droite.
- Pour Windows et macOS, la possibilité d'importer des profils depuis le navigateur Microsoft Edge basé sur le moteur Chromium a été implémentée.
En plus des innovations et des corrections de bugs, Firefox 74 a corrigé , dont 10 (collectés sous и ) sont signalés comme potentiellement capables de conduire à l'exécution de code par un attaquant lors de l'ouverture de pages spécialement conçues. Rappelons que les problèmes de mémoire, tels que les débordements de tampon et l'accès aux zones mémoire déjà libérées, ont récemment été marqués comme dangereux, mais pas critiques.
Source: opennet.ru