Firefox 74 kiadás

Megjelent a webböngésző Firefox 74És mobil verzió Firefox 68.6 Android platformra. Emellett egy frissítés is készült ágak hosszú távú támogatás 68.6.0. Hamarosan a színpadon béta tesztelés átköltözik a Firefox 75 ága, amelynek megjelenését április 7-re tervezik (projekt megmozdult 4-5 hétig fejlesztési ciklus). Firefox 75 béta ághoz kezdődött képződés szerelvények Linuxhoz Flatpak formátumban.

A főbb innovációk:

• A Linux buildek elkülönítési mechanizmust használnak RLBox, amelynek célja, hogy megakadályozza a harmadik féltől származó függvénykönyvtárak sebezhetőségeinek kihasználását. Ebben a szakaszban az elkülönítés csak a könyvtár számára engedélyezett Grafit, felelős a betűtípusok megjelenítéséért. Az RLBox az elkülönített könyvtár C/C++ kódját alacsony szintű WebAssembly közbenső kódba fordítja, amelyet aztán WebAssembly modulként terveznek meg, amelynek engedélyei csak ehhez a modulhoz vannak beállítva. Az összeszerelt modul külön memóriaterületen működik, és nem fér hozzá a címtér többi részéhez. Ha a könyvtár egy biztonsági rését kihasználják, a támadó korlátozott lesz, és nem tud hozzáférni a fő folyamat memóriaterületeihez, és nem tudja átvinni az irányítást az elszigetelt környezeten kívülre.
• DNS HTTPS-módon (DoH, DNS HTTPS-en keresztül) alapértelmezés szerint engedélyezve van amerikai felhasználók számára. Az alapértelmezett DNS-szolgáltató a CloudFlare (mozilla.cloudflare-dns.com listázott в blokklisták Roskomnadzor), és a NextDNS opcióként elérhető. Szolgáltató módosítása vagy DoH engedélyezése az Egyesült Államokon kívüli országokban, tud a hálózati kapcsolat beállításainál. A Firefox DoH-ról bővebben itt olvashat külön hirdetmény.
  

• Tiltva támogatja a TLS 1.0 és TLS 1.1 protokollokat. A webhelyek biztonságos kommunikációs csatornán keresztüli eléréséhez a szervernek támogatnia kell legalább a TLS 1.2-t. A Google szerint jelenleg a weboldalletöltések körülbelül 0.5%-a továbbra is a TLS elavult verzióival történik. A leállás a szerint történt ajánlásokat IETF (Internet Engineering Task Force). A TLS 1.0/1.1 támogatásának megtagadásának oka a modern titkosítások (például ECDHE és AEAD) támogatásának hiánya, valamint a régi titkosítások támogatásának követelménye, amelyek megbízhatósága a számítástechnika fejlődésének jelenlegi szakaszában megkérdőjelezhető ( például a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA támogatása szükséges, az MD5 az integritás ellenőrzésére és hitelesítésre, valamint az SHA-1 használatára szolgál). Amikor megpróbálja használni a TLS 1.0-t és a TLS 1.1-et a Firefox 74-től kezdődően, hibaüzenet jelenik meg. Visszaállíthatja az elavult TLS-verziókkal való munkavégzés képességét a security.tls.version.enable-deprecated = true beállításával, vagy a régi protokollt használó webhely meglátogatásakor megjelenő hibaoldalon található gomb használatával.
  

• A kiadási megjegyzés kiegészítést javasol Facebook konténer, amely automatikusan blokkolja a harmadik féltől származó Facebook widgeteket, amelyeket hitelesítésre, megjegyzésekre és kedvelésre használnak. A Facebook azonosítási paraméterei külön tárolóban vannak elkülönítve, így nehéz azonosítani a felhasználót az általa látogatott oldalakkal. A fő Facebook-webhellyel való együttműködés továbbra is megmarad, de az el van szigetelve a többi webhelytől.

  A tetszőleges helyek rugalmasabb elkülönítéséhez egy kiegészítőt javasolunk Többfiókos konténerek a kontextustárolók koncepciójának megvalósításával. A tárolók lehetővé teszik a különböző típusú tartalmak elkülönítését külön profilok létrehozása nélkül, ami lehetővé teszi az egyes oldalcsoportok információinak elkülönítését. Létrehozhat például különálló, elszigetelt területeket a személyes kommunikációhoz, munkához, vásárláshoz és banki tranzakciókhoz, vagy megszervezheti a különböző felhasználói fiókok egyidejű használatát egy oldalon. Minden tároló külön tárolót használ a cookie-k, a Local Storage API, az indexedDB, a gyorsítótár és az OriginAttributes tartalom számára.

• A „browser.tabs.allowTabDetach” beállítás hozzáadva az about:config-hoz, hogy megakadályozza a lapok leválasztását az új ablakokban. A fül véletlenszerű leválasztása az egyik legbosszantóbb Firefox-hiba, amelyet javítani kell. keresett 9 év. A böngésző lehetővé teszi, hogy az egér áthúzzon egy lapot egy új ablakba, de bizonyos körülmények között a fül külön ablakba válik le működés közben, amikor az egér hanyagul mozog, miközben a fülre kattint.
• Megszakított a körforgalomban telepített és nem felhasználói profilokhoz kötött kiegészítők támogatása. A változás csak a bővítmények telepítését érinti a rendszer összes Firefox-példánya által feldolgozott megosztott könyvtárakba (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ vagy ~/.mozilla/extensions/). nincs felhasználóhoz társítva). Ezt a módszert általában a disztribúciók bővítményeinek előtelepítésére, harmadik féltől származó alkalmazásokkal való kéretlen helyettesítésre, rosszindulatú bővítmények integrálására vagy egy kiegészítő saját telepítővel történő külön szállítására használják. A Firefox 73-ban a korábban kényszertelepített bővítmények automatikusan átkerültek a nyilvános könyvtárból az egyéni felhasználói profilokba, és most már eltávolították a szokásos bővítménykezelőn keresztül.
• A böngészőben található Lockwise rendszerbővítményben, amely az „about:logins” felületet kínálja a mentett jelszavak kezelésére, támogatás fordított sorrendben rendezni (Z-től A-ig).
• A WebRTC fokozott védelmet nyújtott a belső IP-címre vonatkozó információk kiszivárgásával szemben a hang- és videohívások során a "mDNS ICE", elrejti a helyi címet egy dinamikusan generált véletlenszerű azonosító mögé, amelyet a Multicast DNS-en keresztül határoz meg.
• Módosult a kép a képben nézet kapcsoló helye, amely átfedte a következő kép gombot az Instagram kötegelt feltöltési felületén.
• JavaScriptben - tette hozzá „?.” operátor, amely a tulajdonságok vagy hívások teljes láncának egyidejű ellenőrzésére szolgál. Például a "db?.user?.name?.length" megadásával most már minden előzetes ellenőrzés nélkül hozzáférhet a "db.user.name.length" értékéhez. Ha bármely elem nullaként vagy nem definiáltként kerül feldolgozásra, a kimenet „undefined” lesz.
• Megszakított az Object.toSource() metódus és az uneval() globális függvény támogatása a webhelyeken és a kiegészítőkben.
• Új esemény hozzáadva nyelvváltoztatás_páros és a hozzá tartozó tulajdonság nyelvcsere, amelyek lehetővé teszik egy kezelő hívását, amikor a felhasználó megváltoztatja a felület nyelvét.
• HTTP-fejléc-feldolgozás engedélyezve Kereszt-eredet-forrás-politika (TEST), lehetővé téve a webhelyek számára, hogy megakadályozzák más tartományokból (cross-eredet és cross-site) betöltött erőforrások (például képek és szkriptek) beszúrását. A fejléc két értéket vehet fel: „same-origin” (csak ugyanazzal a sémával, gazdagépnévvel és portszámmal rendelkező erőforrások kérését teszi lehetővé) és „same-site” (csak ugyanarról a helyről engedélyezi a kéréseket).

  Kereszt-eredet-forrás-politika: ugyanazon a helyen

• A HTTP-fejléc alapértelmezés szerint engedélyezve van Funkció-politika, amely lehetővé teszi az API viselkedésének szabályozását és bizonyos funkciók engedélyezését (például letilthatja a Geolocation API-hoz való hozzáférést, a kamerát, a mikrofont, a teljes képernyőt, az automatikus lejátszást, a titkosított médiát, az animációt, a Payment API-t, a szinkron XMLHttpRequest módot, stb.). iframe blokkok esetén a " attribútumlehetővé“, amely az oldal kódjában használható bizonyos iframe blokkokhoz való jogok hozzárendelésére.

  Funkciópolitika: mikrofon „nincs”; földrajzi hely "nincs"

  Ha egy webhely az „allow” attribútumon keresztül lehetővé teszi, hogy egy adott iframe-hez tartozó erőforrással dolgozzon, és az iframe-től kérés érkezik, hogy engedélyeket szerezzen az erőforrással való együttműködéshez, a böngésző megjelenít egy párbeszédpanelt az engedélyek megadásához a a főoldal kontextusában, és delegálja a felhasználó által megerősített jogokat az iframe-re (az iframe és a főoldal külön megerősítése helyett). De ha a főoldalnak nincs engedélye az allow attribútummal kért erőforráshoz, az iframe azonnal hozzáfér az erőforráshoz zárolt, anélkül, hogy párbeszédpanelt jelenítenének meg a felhasználónak.

• A CSS tulajdonságok támogatása alapértelmezés szerint engedélyezve vanszöveg-aláhúzás-pozíció', amely meghatározza a szöveg aláhúzásának helyzetét (például szöveg függőleges megjelenítésénél balra vagy jobbra, vízszintes megjelenítésnél pedig nem csak alulról, hanem felülről is szervezhetjük az aláhúzásokat). Ezenkívül az aláhúzási stílust szabályozó CSS-tulajdonságokban szöveg-aláhúzás-eltolás и szöveg-dísz-vastagság Támogatás hozzáadva a százalékos értékek használatához.
• CSS-tulajdonban vázlat stílusú, amely meghatározza az elemek körüli vonalstílust, alapértelmezés szerint "auto" (korábban Tiltva GNOME problémák miatt).
• A JavaScript hibakeresőben tette hozzá a beágyazott Web Workers hibakeresésének lehetősége, melynek végrehajtása töréspontok segítségével lépésről lépésre felfüggeszthető és hibakereshető.
  

• A weboldal-ellenőrző felület mostantól figyelmeztetéseket ad a CSS-tulajdonságokra, amelyek a z-indextől, valamint a felső, bal, alsó és jobb pozíciójú elemektől függenek.
  

• Windows és macOS esetén a Chromium motoron alapuló profilok importálása a Microsoft Edge böngészőből megvalósult.

Az újítások és hibajavítások mellett a Firefox 74 javított 20 sebezhetőség, ebből 10 (a alatt gyűjtve CVE-2020 6814- и CVE-2020 6815-). Emlékeztetünk arra, hogy a memóriaproblémákat, mint például a puffer túlcsordulása és a már felszabadult memóriaterületekhez való hozzáférés, a közelmúltban veszélyesnek jelölték, de nem kritikusnak.

Forrás: opennet.ru