Izdanje Firefoxa 74

Web preglednik je objavljen Firefox 74I mobilna verzija Firefox 68.6 za Android platformu. Osim toga, generirano je ažuriranje grane uz dugoročnu podršku 68.6.0. Uskoro na pozornici beta testiranje premjestit će se ogranak Firefoxa 75, čije je izdanje zakazano za 7. travnja (projekt pomaknuto za 4-5 tjedana razvojni ciklus). Za Firefox 75 beta ogranak počeo formacija sklopovi za Linux u formatu Flatpak.

Glavni inovacije:

• Linux međugradnje koriste mehanizam izolacije RLBox, s ciljem blokiranja iskorištavanja ranjivosti u bibliotekama funkcija trećih strana. U ovoj fazi izolacija je omogućena samo za knjižnicu Grafit, odgovoran za iscrtavanje fontova. RLBox kompajlira C/C++ kod izolirane biblioteke u međukod WebAssembly niske razine, koji se zatim dizajnira kao modul WebAssembly, čije su dozvole postavljene samo u odnosu na ovaj modul. Sastavljeni modul radi u zasebnom memorijskom području i nema pristup ostatku adresnog prostora. Ako se iskoristi ranjivost u knjižnici, napadač će biti ograničen i neće moći pristupiti memorijskim područjima glavnog procesa ili prenijeti kontrolu izvan izoliranog okruženja.
• DNS preko HTTPS moda (DoH, DNS preko HTTPS) omogućeno prema zadanim postavkama za korisnike iz SAD-a. Zadani DNS pružatelj je CloudFlare (mozilla.cloudflare-dns.com navedeni в blok liste Roskomnadzor), a NextDNS je dostupan kao opcija. Promijenite pružatelja usluga ili omogućite DoH u drugim zemljama osim SAD-a, može se u postavkama mrežne veze. Više o DoH-u možete pročitati u Firefoxu na zasebna najava.
  

• Onemogućeno podrška za protokole TLS 1.0 i TLS 1.1. Za pristup stranicama preko sigurnog komunikacijskog kanala, poslužitelj mora pružiti podršku za najmanje TLS 1.2. Prema Googleu, trenutno se oko 0.5% preuzimanja web stranica i dalje provodi pomoću zastarjelih verzija TLS-a. Gašenje je izvršeno u skladu s preporuke IETF (Internet Engineering Task Force). Razlog odbijanja podrške za TLS 1.0/1.1 je nedostatak podrške za moderne šifre (na primjer, ECDHE i AEAD) i zahtjev za podrškom za stare šifre, čija se pouzdanost dovodi u pitanje u sadašnjoj fazi razvoja računalne tehnologije ( na primjer, potrebna je podrška za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 se koristi za provjeru integriteta i autentifikaciju i SHA-1). Kada pokušate koristiti TLS 1.0 i TLS 1.1 počevši od Firefoxa 74, prikazat će se pogreška. Možete vratiti mogućnost rada sa zastarjelim verzijama TLS-a postavljanjem security.tls.version.enable-deprecated = true ili korištenjem gumba na stranici s pogreškom koja se prikazuje prilikom posjeta web-mjestu sa starim protokolom.
  

• Napomena o izdanju preporučuje dodatak Facebook kontejner, koji automatski blokira Facebook widgete trećih strana koji se koriste za provjeru autentičnosti, komentiranje i lajkanje. Facebookovi identifikacijski parametri izolirani su u zasebnom spremniku, što otežava identifikaciju korisnika sa stranicama koje posjećuju. Mogućnost rada s glavnom Facebook stranicom ostaje, ali je izolirana od ostalih stranica.

  Za fleksibilniju izolaciju proizvoljnih stranica, predlaže se dodatak Spremnici s više računa uz implementaciju koncepta kontejnera konteksta. Kontejneri pružaju mogućnost izdvajanja različitih tipova sadržaja bez stvaranja zasebnih profila, što vam omogućuje razdvajanje informacija pojedinačnih grupa stranica. Na primjer, možete kreirati odvojena, izolirana područja za osobnu komunikaciju, posao, kupovinu i bankovne transakcije ili organizirati istovremeno korištenje različitih korisničkih računa na jednom mjestu. Svaki spremnik koristi zasebna spremišta za kolačiće, API za lokalnu pohranu, indeksiranu bazu podataka, predmemoriju i sadržaj OriginAttributes.

• Dodana je postavka “browser.tabs.allowTabDetach” u about:config kako bi se spriječilo odvajanje kartica u nove prozore. Slučajno odvajanje kartice jedna je od najiritantnijih grešaka Firefoxa koju treba popraviti. tražio 9 godina. Preglednik dopušta mišu da povuče karticu u novi prozor, ali pod određenim okolnostima kartica se odvaja u poseban prozor tijekom rada kada se miš nemarno pomiče dok klika na karticu.
• Ukinuto podrška za dodatke instalirane na zaobilazan način i nevezane za korisničke profile. Promjena utječe samo na instalaciju dodataka u dijeljenim direktorijima (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ili ~/.mozilla/extensions/) koje obrađuju sve instance Firefoxa u sustavu ( nije povezan s korisnikom). Ova se metoda obično koristi za predinstalaciju dodataka u distribucijama, za neželjenu zamjenu aplikacijama trećih strana, za integraciju zlonamjernih dodataka ili za zasebnu isporuku dodatka s vlastitim instalacijskim programom. U Firefoxu 73, prethodno prisilno instalirani dodaci automatski su premješteni iz dijeljenog direktorija u pojedinačne korisničke profile i sada se mogu uklonjen putem redovnog upravitelja dodataka.
• U dodatku sustava Lockwise uključenom u preglednik, koji nudi sučelje “about:logins” za upravljanje spremljenim lozinkama, podržati poredati obrnutim redoslijedom (Z do A).
• WebRTC ima povećanu zaštitu od curenja informacija o internoj IP adresi tijekom glasovnih i videopoziva pomoću "mDNS ICE“, skrivajući lokalnu adresu iza dinamički generiranog nasumičnog identifikatora određenog putem Multicast DNS-a.
• Promijenjena je lokacija prekidača prikaza slike u slici koji je prekrivao gumb sljedeće slike u sučelju skupnog prijenosa fotografija na Instagramu.
• U JavaScriptu dodano operator “?.”, dizajniran za istovremenu provjeru cijelog lanca svojstava ili poziva. Na primjer, navođenjem "db?.user?.name?.length" sada možete pristupiti vrijednosti "db.user.name.length" bez ikakvih preliminarnih provjera. Ako je bilo koji element obrađen kao null ili nedefiniran, izlaz će biti "nedefiniran".
• Ukinuto podrška na web stranicama i u dodacima za metodu Object.toSource() i globalnu funkciju uneval().
• Dodan novi događaj languagechange_even i pripadajuće imovine onlanguagechange, koji vam omogućuju pozivanje rukovatelja kada korisnik promijeni jezik sučelja.
• Obrada HTTP zaglavlja omogućena Politika resursa između izvora (KORP), dopuštajući web-mjestima da spriječe umetanje resursa (na primjer, slika i skripti) učitanih s drugih domena (s različitih izvora i s različitih stranica). Zaglavlje može imati dvije vrijednosti: "same-origin" (dopušta samo zahtjeve za resursima s istom shemom, nazivom glavnog računala i brojem priključka) i "same-site" (dopušta samo zahtjeve s iste stranice).

  Politika izvora za više izvora: isto mjesto

• HTTP zaglavlje omogućeno prema zadanim postavkama Politika značajki, koji vam omogućuje kontrolu ponašanja API-ja i omogućavanje određenih značajki (na primjer, možete onemogućiti pristup Geolocation API-ju, kameri, mikrofonu, cijelom zaslonu, automatskoj reprodukciji, šifriranim medijima, animaciji, Payment API-ju, sinkronom načinu rada XMLHttpRequest, itd.). Za iframe blokove, atribut "Dopustite“, koji se može koristiti u kodu stranice za dodjelu prava određenim iframe blokovima.

  Pravila značajki: mikrofon 'nema'; geolokacija 'nema'

  Ako web-mjesto dopušta, putem atributa "allow", rad s resursom za određeni iframe, a od iframea je primljen zahtjev za dobivanje dopuštenja za rad s tim resursom, preglednik sada prikazuje dijaloški okvir za dodjelu dopuštenja u kontekstu glavne stranice i delegira prava koja je potvrdio korisnik na iframe (umjesto zasebnih potvrda za iframe i glavnu stranicu). Ali, ako glavna stranica nema dopuštenje za resurs traženo putem atributa dopuštanja, iframe ima pristup resursu odmah blokiran, bez prikazivanja dijaloga korisniku.

• Podrška za CSS svojstva omogućena je prema zadanim postavkama 'tekst-podcrtavanje-položaj', koji određuje položaj podcrtavanja teksta (na primjer, kod okomitog prikaza teksta možete organizirati podcrtavanje s lijeve ili desne strane, a kod vodoravnog prikaza ne samo odozdo, već i odozgo). Dodatno u CSS svojstvima koja kontroliraju stil podcrtavanja tekst-podcrtano-pomak и tekst-ukras-debljina Dodana podrška za korištenje postotnih vrijednosti.
• U CSS svojstvu outline-style, koji definira stil linije oko elemenata, zadana je vrijednost "auto" (prethodno onemogućeno zbog problema u GNOME-u).
• U alatu za ispravljanje pogrešaka JavaScripta dodao sposobnost otklanjanja pogrešaka ugniježđenih Web radnika, čije se izvršavanje može obustaviti i otklanjati pogreške korak po korak pomoću prijelomnih točaka.
  

• Sučelje za pregled web stranice sada nudi upozorenja za CSS svojstva koja ovise o z-indeksu, elementima na vrhu, lijevo, dolje i desno.
  

• Za Windows i macOS implementirana je mogućnost uvoza profila iz Microsoft Edge preglednika temeljenog na Chromium motoru.

Uz inovacije i ispravke grešaka, Firefox 74 je popravio 20 ranjivosti, od toga 10 (sakupljeno pod CVE-2020-6814 и CVE-2020-6815) označeni su kao potencijalno sposobni dovesti do izvršavanja koda napadača prilikom otvaranja posebno dizajniranih stranica. Podsjetimo, problemi s memorijom, poput prelijevanja međuspremnika i pristupa već oslobođenim područjima memorije, nedavno su označeni kao opasni, ali ne i kritični.

Izvor: opennet.ru