Le navigateur Web est sorti et Firefox 68.6 pour la plateforme Android. De plus, une mise Ă jour a Ă©tĂ© gĂ©nĂ©rĂ©e avec un accompagnement Ă long terme . BientĂŽt sur scĂšne la branche Firefox 75 va migrer, dont la sortie est prĂ©vue le 7 avril (projet pendant 4-5 semaines ). Pour la branche bĂȘta de Firefox 75 façonner pour Linux au format Flatpak.
:
- Dans les assemblées pour Linux le mécanisme d'isolation est activé , visant à bloquer l'exploitation des vulnérabilités des bibliothÚques de fonctions tierces. A ce stade, l'isolation n'est activée que pour la bibliothÚque , responsable du rendu des polices. RLBox compile le code C/C++ de la bibliothÚque isolée en code intermédiaire WebAssembly de bas niveau, qui est ensuite conçu comme un module WebAssembly dont les permissions sont définies uniquement par rapport à ce module. Le module assemblé fonctionne dans une zone mémoire séparée et n'a pas accÚs au reste de l'espace d'adressage. Si une vulnérabilité de la bibliothÚque est exploitée, l'attaquant sera limité et ne pourra pas accéder aux zones mémoire du processus principal ni transférer le contrÎle en dehors de l'environnement isolé.
- Mode DNS sur HTTPS (DoH, DNS sur HTTPS) pour les utilisateurs amĂ©ricains. Le fournisseur DNS par dĂ©faut est CloudFlare (mozilla.cloudflare-dns.com ĐČ Roskomnadzor), et NextDNS est disponible en option. Changer de fournisseur ou activer DoH dans des pays autres que les Ătats-Unis, dans les paramĂštres de connexion rĂ©seau. Vous pouvez en savoir plus sur DoH dans Firefox sur .
- prise en charge des protocoles TLS 1.0 et TLS 1.1. Pour accĂ©der aux sites via un canal de communication sĂ©curisĂ©, le serveur doit prendre en charge au moins TLS 1.2. Selon Google, environ 0.5 % des tĂ©lĂ©chargements de pages Web continuent actuellement d'ĂȘtre effectuĂ©s Ă l'aide de versions obsolĂštes de TLS. L'arrĂȘt a Ă©tĂ© effectuĂ© conformĂ©ment aux IETF (Groupe de travail sur l'ingĂ©nierie Internet). La raison du refus de prendre en charge TLS 1.0/1.1 est le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et la nĂ©cessitĂ© de prendre en charge les anciens chiffrements, dont la fiabilitĂ© est remise en question au stade actuel de dĂ©veloppement de la technologie informatique ( par exemple, la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est requise, MD5 est utilisĂ© pour la vĂ©rification de l'intĂ©gritĂ© et l'authentification et SHA-1). Lorsque vous essayez d'utiliser TLS 1.0 et TLS 1.1 Ă partir de Firefox 74, une erreur s'affichera. Vous pouvez restaurer la possibilitĂ© de travailler avec des versions TLS obsolĂštes en dĂ©finissant security.tls.version.enable-deprecated = true ou en utilisant le bouton sur la page d'erreur affichĂ©e lors de la visite d'un site avec l'ancien protocole.
- La note de version recommande un module complémentaire , qui bloque automatiquement les widgets Facebook tiers utilisés pour l'authentification, les commentaires et les likes. Les paramÚtres d'identification de Facebook sont isolés dans un conteneur séparé, ce qui rend difficile l'identification de l'utilisateur avec les sites qu'il visite. La possibilité de travailler avec le site principal de Facebook demeure, mais elle est isolée des autres sites.
Pour une isolation plus flexible des sites arbitraires, un module complĂ©mentaire est proposĂ© avec la mise en Ćuvre du concept de conteneurs de contexte. Les conteneurs offrent la possibilitĂ© d'isoler diffĂ©rents types de contenu sans crĂ©er de profils distincts, ce qui vous permet de sĂ©parer les informations de groupes de pages individuels. Par exemple, vous pouvez crĂ©er des zones distinctes et isolĂ©es pour la communication personnelle, le travail, les achats et les transactions bancaires, ou organiser l'utilisation simultanĂ©e de diffĂ©rents comptes d'utilisateurs sur un mĂȘme site. Chaque conteneur utilise des magasins distincts pour le contenu des cookies, de l'API de stockage local, de la base de donnĂ©es indexĂ©e, du cache et des OriginAttributes.
- Ajout du paramĂštre «browser.tabs.allowTabDetach» Ă about:config pour empĂȘcher les onglets d'ĂȘtre dĂ©tachĂ©s dans de nouvelles fenĂȘtres. Le dĂ©tachement accidentel dâonglets est lâun des bugs les plus ennuyeux de Firefox qui doit ĂȘtre corrigĂ©. 9 annĂ©es. Le navigateur permet Ă la souris de faire glisser un onglet dans une nouvelle fenĂȘtre, mais dans certaines circonstances, l'onglet est dĂ©tachĂ© dans une fenĂȘtre sĂ©parĂ©e pendant le fonctionnement lorsque la souris bouge nĂ©gligemment en cliquant sur l'onglet.
- prise en charge des modules complĂ©mentaires installĂ©s de maniĂšre dĂ©tournĂ©e et non liĂ©s aux profils utilisateur. Le changement affecte uniquement l'installation des modules complĂ©mentaires dans les rĂ©pertoires partagĂ©s (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ou ~/.mozilla/extensions/) traitĂ©s par toutes les instances de Firefox sur le systĂšme ( non associĂ© Ă un utilisateur) . Cette mĂ©thode est gĂ©nĂ©ralement utilisĂ©e pour prĂ©installer des modules complĂ©mentaires dans les distributions, pour une substitution non sollicitĂ©e par des applications tierces, pour intĂ©grer des modules complĂ©mentaires malveillants ou pour fournir sĂ©parĂ©ment un module complĂ©mentaire avec son propre programme d'installation. Dans Firefox 73, les modules complĂ©mentaires prĂ©cĂ©demment installĂ©s de force ont Ă©tĂ© automatiquement dĂ©placĂ©s du rĂ©pertoire partagĂ© vers les profils utilisateur individuels et peuvent dĂ©sormais ĂȘtre via le gestionnaire de modules complĂ©mentaires habituel.
- Dans le module complĂ©mentaire du systĂšme Lockwise inclus dans le navigateur, qui propose l'interface « about:logins » pour gĂ©rer les mots de passe enregistrĂ©s, trier dans lâordre inverse (Z Ă A).
- WebRTC a augmentĂ© la protection contre les fuites d'informations sur l'adresse IP interne lors des appels vocaux et vidĂ©o en utilisant le "», cachant lâadresse locale derriĂšre un identifiant alĂ©atoire gĂ©nĂ©rĂ© dynamiquement et dĂ©terminĂ© via Multicast DNS.
- Modification de l'emplacement du commutateur d'affichage d'image dans l'image qui chevauchait le bouton d'image suivant dans l'interface de téléchargement de photos par lots sur Instagram.
- En Javascript opérateur « ? », conçu pour vérifier simultanément toute la chaßne de propriétés ou d'appels. Par exemple, en spécifiant "db?.user?.name?.length", vous pouvez désormais accéder à la valeur de "db.user.name.length" sans aucune vérification préalable. Si un élément est traité comme nul ou indéfini, la sortie sera « indéfini ».
- prise en charge sur les sites Web et dans les modules complémentaires de la méthode Object.toSource() et de la fonction globale uneval().
- Nouvel événement ajouté et les biens associés , qui vous permettent d'appeler un gestionnaire lorsque l'utilisateur change la langue de l'interface.
- Traitement de l'en-tĂȘte HTTP activĂ© (), permettant aux sites d'empĂȘcher l'insertion de ressources (par exemple, des images et des scripts) chargĂ©es depuis d'autres domaines (cross-origin et cross-site). L'en-tĂȘte peut prendre deux valeurs : "same-origin" (autorise uniquement les requĂȘtes de ressources avec le mĂȘme schĂ©ma, nom d'hĂŽte et numĂ©ro de port) et "same-site" (autorise uniquement les requĂȘtes provenant du mĂȘme site).
Politique de ressources d'origine croisĂ©e : mĂȘme site
- En-tĂȘte HTTP activĂ© par dĂ©faut , qui vous permet de contrĂŽler le comportement de l'API et d'activer certaines fonctionnalitĂ©s (par exemple, vous pouvez dĂ©sactiver l'accĂšs Ă l'API de gĂ©olocalisation, Ă la camĂ©ra, au microphone, au plein Ă©cran, Ă la lecture automatique, aux mĂ©dias cryptĂ©s, Ă l'animation, Ă l'API de paiement, au mode XMLHttpRequest synchrone, etc.). Pour les blocs iframe, l'attribut "», qui peut ĂȘtre utilisĂ© dans le code de la page pour attribuer des droits Ă certains blocs iframe.
Politique de fonctionnalité : microphone « aucun » ; géolocalisation 'aucun'
Si un site permet, via l'attribut « autoriser », de travailler avec une ressource pour une iframe spécifique et qu'une demande est reçue de l'iframe pour obtenir des autorisations pour travailler avec cette ressource, le navigateur affiche désormais une boßte de dialogue pour accorder des autorisations dans le contexte de la page principale et délÚgue les droits confirmés par l'utilisateur à l'iframe (au lieu de confirmations séparées pour l'iframe et la page principale). Mais, si la page principale n'a pas l'autorisation d'accéder à la ressource demandée via l'attribut Allow, l'iframe a immédiatement accÚs à la ressource. , sans afficher de boßte de dialogue à l'utilisateur.
- La prise en charge des propriétés CSS est activée par défaut '', qui détermine la position du soulignement du texte (par exemple, lors de l'affichage du texte verticalement, vous pouvez organiser le soulignement à gauche ou à droite, et lors de l'affichage horizontal, non seulement par le bas, mais également par le haut). De plus dans les propriétés CSS qui contrÎlent le style de soulignement О Ajout de la prise en charge de l'utilisation de valeurs en pourcentage.
- Dans une propriété CSS , qui définit le style de ligne autour des éléments, est par défaut "auto" (auparavant en raison de problÚmes dans GNOME).
- Dans le dĂ©bogueur JavaScript la possibilitĂ© de dĂ©boguer des Web Workers imbriquĂ©s, dont l'exĂ©cution peut ĂȘtre suspendue et dĂ©boguĂ©e Ă©tape par Ă©tape Ă l'aide de points d'arrĂȘt.
- L'interface d'inspection des pages Web fournit désormais des avertissements pour les propriétés CSS qui dépendent des éléments z-index, positionnés en haut, à gauche, en bas et à droite.
- Pour Windows О macOS La possibilité d'importer des profils depuis le navigateur Microsoft Edge basé sur le moteur Chromium a été implémentée.
En plus des innovations et des corrections de bugs, Firefox 74 a corrigé , dont 10 (collectés sous О ) sont signalés comme potentiellement capables de conduire à l'exécution de code par un attaquant lors de l'ouverture de pages spécialement conçues. Rappelons que les problÚmes de mémoire, tels que les débordements de tampon et l'accÚs aux zones mémoire déjà libérées, ont récemment été marqués comme dangereux, mais pas critiques.
Source: opennet.ru
