O navegador web foi lanzado E Firefox 68.6 para a plataforma Android. Ademais, xerouse unha actualización apoio a longo prazo . Próximamente ao escenario trasladarase a rama de Firefox 75, cuxo lanzamento está previsto para o 7 de abril (proxecto durante 4-5 semanas ). Para a rama beta de Firefox 75 formación para Linux en formato Flatpak.
:
- As compilacións de Linux usan un mecanismo de illamento , destinado a bloquear a explotación de vulnerabilidades en bibliotecas de funcións de terceiros. Nesta fase, o illamento só está habilitado para a biblioteca , responsable de renderizar fontes. RLBox compila o código C/C++ da biblioteca illada en código WebAssembly intermedio de baixo nivel, que despois está deseñado como un módulo WebAssembly, cuxos permisos se establecen en relación só con este módulo. O módulo montado funciona nunha área de memoria separada e non ten acceso ao resto do espazo de enderezos. Se se explota unha vulnerabilidade da biblioteca, o atacante estará limitado e non poderá acceder ás áreas de memoria do proceso principal nin transferir o control fóra do contorno illado.
- Modo DNS sobre HTTPS (DoH, DNS sobre HTTPS) para usuarios estadounidenses. O provedor de DNS predeterminado é CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) e NextDNS está dispoñible como opción. Cambiar de provedor ou habilitar DoH en países distintos dos EE. UU. na configuración de conexión de rede. Podes ler máis sobre DoH en Firefox en .
- soporte para protocolos TLS 1.0 e TLS 1.1. Para acceder aos sitios a través dunha canle de comunicación segura, o servidor debe proporcionar soporte para polo menos TLS 1.2. Segundo Google, actualmente preto do 0.5% das descargas de páxinas web seguen realizándose utilizando versións obsoletas de TLS. A parada realizouse de acordo co IETF (Internet Engineering Task Force). A razón para rexeitar a compatibilidade con TLS 1.0/1.1 é a falta de soporte para os cifrados modernos (por exemplo, ECDHE e AEAD) e a esixencia de admitir cifrados antigos, cuxa fiabilidade está cuestionada na fase actual de desenvolvemento da tecnoloxía informática ( por exemplo, é necesario o soporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 utilízase para a verificación e autenticación de integridade e SHA-1). Ao tentar usar TLS 1.0 e TLS 1.1 a partir de Firefox 74, aparecerá un erro. Podes restaurar a capacidade de traballar con versións de TLS obsoletas configurando security.tls.version.enable-deprecated = true ou usando o botón da páxina de erros que se mostra ao visitar un sitio co protocolo antigo.
- A nota de publicación recomenda un complemento , que bloquea automaticamente os widgets de Facebook de terceiros usados para a autenticación, comentarios e gústame. Os parámetros de identificación de Facebook están illados nun contedor separado, o que dificulta a identificación do usuario cos sitios que visita. A capacidade de traballar co sitio principal de Facebook permanece, pero está illado doutros sitios.
Para un illamento máis flexible de sitios arbitrarios, proponse un complemento coa implantación do concepto de contedores de contexto. Os contedores ofrecen a posibilidade de illar diferentes tipos de contido sen crear perfís separados, o que permite separar a información de grupos individuais de páxinas. Por exemplo, pode crear áreas separadas e illadas para a comunicación persoal, o traballo, as compras e as transaccións bancarias, ou organizar o uso simultáneo de diferentes contas de usuario nun sitio. Cada contedor usa tendas separadas para cookies, API de almacenamento local, indexedDB, caché e contido de OriginAttributes.
- Engadiuse a configuración "browser.tabs.allowTabDetach" a about:config para evitar que as pestanas se desprendan en novas fiestras. O desprendemento accidental de pestanas é un dos erros máis molestos de Firefox que hai que corrixir. 9 anos. O navegador permite que o rato arrastre unha pestana a unha nova xanela, pero en determinadas circunstancias, a pestana se separa nunha xanela separada durante a operación cando o rato se move descoidado mentres fai clic na pestana.
- soporte para complementos instalados de forma indirecta e non vinculados aos perfís de usuario. O cambio só afecta á instalación de complementos en directorios compartidos (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ou ~/.mozilla/extensions/) procesados por todas as instancias de Firefox no sistema ( non asociado a un usuario). Este método adoita utilizarse para preinstalar complementos en distribucións, para substituír non solicitados por aplicacións de terceiros, para integrar complementos maliciosos ou para entregar un complemento por separado co seu propio instalador. En Firefox 73, os complementos previamente instalados por forza movéronse automaticamente do directorio compartido aos perfís de usuario individuais e agora pódense a través do xestor de complementos normal.
- No complemento do sistema Lockwise incluído no navegador, que ofrece a interface "about:logins" para xestionar os contrasinais gardados, ordenar en orde inversa (Z a A).
- WebRTC aumentou a protección contra a fuga de información sobre o enderezo IP interno durante as chamadas de voz e video mediante o "", ocultando o enderezo local detrás dun identificador aleatorio xerado dinámicamente determinado mediante Multicast DNS.
- Cambiouse a localización do interruptor de vista de imaxe en imaxe que se solapaba co seguinte botón de imaxe na interface de carga de fotos por lotes en Instagram.
- En JavaScript operador “?.”, deseñado para comprobar simultaneamente toda a cadea de propiedades ou chamadas. Por exemplo, especificando "db?.user?.name?.length" agora pode acceder ao valor de "db.user.name.length" sen ningunha comprobación preliminar. Se algún elemento se procesa como nulo ou indefinido, a saída será "indefinida".
- soporte en sitios web e en complementos para o método Object.toSource() e a función global uneval().
- Engadiuse un novo evento e a propiedade asociada , que permiten chamar a un controlador cando o usuario cambia o idioma da interface.
- Procesamento de cabeceira HTTP activado (), permitindo que os sitios eviten a inserción de recursos (por exemplo, imaxes e scripts) cargados doutros dominios (orixe cruzada e sitios cruzados). A cabeceira pode tomar dous valores: "same-origin" (só permite solicitudes de recursos co mesmo esquema, nome de host e número de porto) e "same-site" (só permite solicitudes do mesmo sitio).
Cross-Origin-Resource-Policy: mesmo sitio
- A cabeceira HTTP está activada de forma predeterminada , que che permite controlar o comportamento da API e activar determinadas funcións (por exemplo, podes desactivar o acceso á API de xeolocalización, cámara, micrófono, pantalla completa, reprodución automática, medios cifrados, animación, API de pago, modo XMLHttpRequest sincrónico, etc.). Para bloques iframe, o atributo “", que se pode usar no código da páxina para asignar dereitos a determinados bloques de iframe.
Política de características: micrófono "ninguno"; xeolocalización 'ningunha'
Se un sitio permite, a través do atributo "permitir", traballar cun recurso para un iframe específico e recibe unha solicitude do iframe para obter permisos para traballar con este recurso, agora o navegador mostra un diálogo para conceder permisos no contexto da páxina principal e delega os dereitos confirmados polo usuario no iframe (en lugar de confirmacións separadas para o iframe e a páxina principal). Pero, se a páxina principal non ten permiso para o recurso solicitado a través do atributo allow, o iframe ten acceso ao recurso inmediatamente , sen mostrar un diálogo ao usuario.
- A compatibilidade de propiedades CSS está activada por defecto '', que determina a posición do subliñado do texto (por exemplo, cando se mostra o texto verticalmente, pódese organizar o subliñado á esquerda ou á dereita, e cando se mostra horizontalmente, non só desde abaixo, senón tamén desde arriba). Ademais nas propiedades CSS que controlan o estilo de subliñado и Engadido soporte para o uso de valores porcentuais.
- Nunha propiedade CSS , que define o estilo de liña arredor dos elementos, por defecto é "automático" (anteriormente debido a problemas en GNOME).
- No depurador de JavaScript a capacidade de depurar Web Workers anidados, cuxa execución se pode suspender e depurar paso a paso mediante puntos de interrupción.
- A interface de inspección da páxina web agora ofrece avisos para as propiedades CSS que dependen dos elementos situados no índice z, superior, esquerdo, inferior e dereito.
- Para Windows e macOS, implementouse a posibilidade de importar perfís desde o navegador Microsoft Edge baseado no motor Chromium.
Ademais das innovacións e correccións de erros en Firefox 74, , dos cales 10 (recollidos baixo и ) están marcados como potencialmente capaces de levar á execución de código do atacante ao abrir páxinas deseñadas especialmente. Lembrámosche que os problemas de memoria, como os desbordamentos do búfer e o acceso a áreas de memoria xa liberadas, foron marcados recentemente como perigosos, pero non críticos.
Fonte: opennet.ru