Firefox 72-ի թողարկում

Վեբ զննարկիչը թողարկվել է Firefox 72Իսկ բջջային տարբերակ Firefox 68.4 Android պլատֆորմի համար: Բացի այդ, ստեղծվել է թարմացում մասնաճյուղերը երկարաժամկետ աջակցությամբ 68.4.0. Շուտով բեմ բետա փորձարկում Firefox 73 մասնաճյուղը կտեղափոխվի, որի թողարկումը նախատեսված է փետրվարի 11-ին (նախագիծ տեղափոխվել է 4 շաբաթվա ընթացքում զարգացման ցիկլը).

Հիմնական նորամուծություններ:

• Անհամապատասխան բովանդակության համար կանխադրված ստանդարտ արգելափակման ռեժիմում ներառված պաշտպանություն օգտատերերի հետևումից՝ օգտագործելով թաքնված նույնականացման մեթոդները («բրաուզերի մատնահետք»), որն իրականացվում է լրացուցիչ կատեգորիաներ Disconnect.me ցուցակում, որը ներառում է թաքնված նույնականացման համար սկրիպտներ օգտագործող հյուրընկալողներ: Թաքնված նույնականացումը վերաբերում է նույնացուցիչների պահպանմանը այն տարածքներում, որոնք նախատեսված չեն տեղեկատվության մշտական ​​պահպանման համար («գերթխուկներ»), ինչպես նաև անուղղակի տվյալների վրա հիմնված նույնացուցիչների ստեղծումը, ինչպիսիք են. էկրանի լուծում, աջակցվող MIME տեսակների ցանկ, հատուկ պարամետրեր վերնագրերում (HTTP / 2 и HTTPS), տեղադրվածի վերլուծություն պլագիններ և տառատեսակներ, որոշակի վեբ API-ների առկայությունը՝ հատուկ վիդեո քարտերին առանձնահատկությունները մատուցում WebGL-ի և Canvas-ի միջոցով, մանիպուլյացիա CSS-ով, հետ աշխատելու առանձնահատկությունների վերլուծություն մուկ и ստեղնաշար.
  

• Ակտիվացված է մեթոդները պայքարը կայքին լրացուցիչ թույլտվություններ տրամադրելու տհաճ խնդրանքներով (Notification.requestPermission(), PushManager.subscribe() և MediaDevices.getDisplayMedia()): Թույլտվության հաստատման հարցումներն այլևս չեն ընդհատի բրաուզերի հետ աշխատանքը, այլ միայն կհանգեցնեն ցուցիչի ցուցադրմանը հասցեագոտում այն ​​բանից հետո, երբ օգտատիրոջ փոխազդեցությունն արձանագրվել է էջի հետ (մկնիկի սեղմում կամ ստեղնաշարի սեղմում): Շատ կայքեր չարաշահում են բրաուզերի՝ թույլտվություններ պահանջելու հնարավորությունը, հիմնականում՝ պարբերաբար խնդրելով push ծանուցումներ: Հեռուստաչափական վերլուծությունը ցույց է տվել, որ նման հարցումների 97%-ը մերժվում է, այդ թվում՝ 19%-ի դեպքում օգտատերը անմիջապես փակում է էջը՝ առանց սեղմելու համաձայնել կամ մերժել կոճակը։
• Ավելացված է փորձարարական աջակցություն HTTP/3 պրոտոկոլ ( about:config-ում ակտիվացնելու համար անհրաժեշտ է սահմանել «network.http.http3.enabled» տարբերակը): HTTP/3-ի աջակցությունը Firefox-ում հիմնված է neqo, գրված է Rust լեզվով, որն իրականացնում է QUIC արձանագրության հաճախորդը և սերվերը (HTTP/3 ստանդարտացնում է օգտագործելով QUIC արձանագրությունը որպես HTTP/2-ի փոխադրում):
• ուժի մեջ մտած օրենքի պահանջներին համապատասխան CCPA- ն (Կալիֆորնիայի Սպառողների Գաղտնիության Օրենք) ավելացրել է Mozilla սերվերներից հեռաչափության տվյալները ջնջելու ունակություն: Տվյալները ջնջվում են, եթե դուք հրաժարվում եք հեռաչափություն հավաքելուց « about:preferences#privacy» բաժնում («Firefox Data Collection and Use» բաժնում): Երբ ջնջում եք «Թույլատրել Firefox-ին ուղարկել տեխնիկական և փոխազդեցության տվյալներ Mozilla-ին» վանդակը, որը վերահսկում է հեռաչափությունը, Mozilla-ն ստանձնում է 30 օրվա ընթացքում հեռացնել բոլոր տվյալները, որոնք հավաքագրվել են այն ժամանակի ընթացքում, որը տանում է դեպի հեռաչափության փոխանցման ձախողումը: Տվյալները, որոնք հայտնվում են Mozilla-ի սերվերներում հեռաչափության հավաքագրման գործընթացում, ներառում են տեղեկություններ Firefox-ի աշխատանքի, անվտանգության և ընդհանուր պարամետրերի մասին, ինչպիսիք են բաց ներդիրների քանակը և աշխատաշրջանի տևողությունը (բացված կայքերի և որոնման հարցումների մասին տեղեկատվությունը չի փոխանցվում): Հավաքված տվյալների ամբողջական մանրամասները կարելի է դիտել «about:telemetry» էջում:
  

• Linux-ի և macOS-ի համար ավելացվել է «Պատկեր նկարի մեջ» ռեժիմով տեսանյութ դիտելու հնարավորությունը, որը թույլ է տալիս անջատել տեսանյութը լողացող պատուհանի տեսքով, որը տեսանելի է մնում դիտարկիչում նավարկելու ժամանակ: Այս ռեժիմում դիտելու համար հարկավոր է սեղմել գործիքի հուշման վրա կամ տեսանյութի վրա աջ սեղմելիս ցուցադրվող համատեքստի ընտրացանկում ընտրել «Նկարը նկարում» (YouTube-ում, որը փոխարինում է իր համատեքստի ընտրացանկի մշակիչին, պետք է աջ. սեղմեք երկու անգամ կամ սեղմեք Shift ստեղնը սեղմած):
  

• Երբ ոլորման տողը ցուցադրվում է ներգրավված ընթացիկ էջի ֆոնի գույնը:
• Ջնջված է առիթ հանրային բանալիների կապեր (PKP, Public Key-ի ամրացում), որը թույլ է տալիս, օգտագործելով Public-Key-Pins HTTP վերնագիրը, հստակորեն որոշել հավաստագրերը, որոնց հավաստագրման մարմինները կարող են օգտագործվել տվյալ կայքի համար: Նշված պատճառը այս ֆունկցիայի ցածր պահանջարկն է, համատեղելիության խնդիրների ռիսկը (PKP աջակցություն դադարեցվել է Chrome-ում) և ձեր սեփական կայքը արգելափակելու հնարավորությունը սխալ ստեղների կապակցման կամ բանալիների կորստի պատճառով (օրինակ՝ պատահաբար ջնջվել կամ կոտրվել է կոտրման արդյունքում):
• Կառուցվածքը ընդունված կարկատաններթույլ տալով OpenBSD-ում ներգրավվել համակարգային զանգեր բացել () и գրավ () լրացուցիչ ֆայլային համակարգի և գործընթացի մեկուսացման համար:
• Հեռացվել է անհատական ​​տիրույթներից պատկերների արգելափակման աջակցությունը: Հեռացման պատճառը օգտատերերի շրջանում ֆունկցիայի պահանջարկի բացակայությունն է և արգելափակման համար անհարմար ինտերֆեյսը։
• Windows-ի համար նախատեսված կառուցվածքներում փորձարարական հատկություն է ներդրվել՝ օգտագործելու հաճախորդի վկայականները ընդհանուր օպերացիոն համակարգի վկայականների պահոցից (security.osclientcerts.autoload տարբերակը պետք է ակտիվացվի, որպեսզի այն թույլատրվի about:config-ում):
• CSS Shadow Parts-ի աջակցությունը լռելյայն միացված է, ներառյալ «մաս«և կեղծ տարր»::մաս«, որը թույլ է տալիս ընտրողաբար ցուցադրել նշված տարրերը Shadow DOM.

  
  Մի պարբերություն
  

  ... CSS-ում՝ part հատկանիշին կապված տարրեր ընտրելու համար.

  custom-element::part(օրինակ) {
  եզրագիծը՝ պինդ 1px սև;
  սահման-շառավիղ `5px;
  լիցք: 5px;
  }

• Ավելացված է հստակեցման աջակցություն CSS շարժման ուղի, որը թույլ է տալիս սահմանել անիմացիոն օբյեկտների ուղին CSS-ի միջոցով՝ առանց JavaScript կոդ օգտագործելու և առանց անիմացիայի ընթացքում ռենդերացման և մուտքագրման գործընթացն արգելափակելու։ CSS հատկությունները տրամադրվում են անիմացիան կառավարելու համար
  փոխհատուցել,
  օֆսեթ-ուղի,
  օֆսեթ-խարիսխ,
  օֆսեթ-հեռավորություն и
  օֆսեթ-պտտել.

• CSS փոխակերպման ընտրված հատկությունները լռելյայն միացված են մասշտաբ, պտտել и թարգմանել, կապված չէ սեփականության հետ փոխակերպել (այսինքն՝ CSS-ում այժմ կարող եք նշել «scale: 2;» «transform: scale(2);») փոխարեն:
• JavaScript-ն իրականացնում է տրամաբանական կապակցման օպերատորը »??«, որը վերադարձնում է աջ օպերանդը, եթե ձախ օպերանդը NULL է կամ չսահմանված, և հակառակը։ Օրինակ, «const foo = բար ?? 'կանխադրված տողը'», եթե բարը զրոյական է, կվերադարձնի բարի արժեքը հակառակ դեպքում, ներառյալ, երբ բարը 0 է և ' ', ի տարբերություն «||» օպերատորի:
• Ավելացվեց API FormDataEvent և իրադարձություն FormData, որոնք հնարավորություն են տալիս օգտագործել JavaScript մշակիչներ՝ ձևին տվյալներ ավելացնելու համար, երբ այն ներկայացվում է, առանց տվյալների թաքնված մուտքագրման տարրերում պահելու:
• API Երկրաշարժը թարմացվել է նոր բնութագրին համապատասխանելու համար, օրինակ՝ վերանվանվել է Կոորդինատները՝ GeolocationCoordinates, Position to GeolocationPosition և
  PositionError GeolocationPositionError-ում:

• JavaScript վրիպազերծիչում ավելացրել է աջակցություն պայմանական ընդմիջման կետերին (դիտակետ), գործարկվում է, երբ օբյեկտների որոշակի հատկություններ փոխվում կամ ընթերցվում են:
  

• JavaScript կարգաբերիչի գործարկումն արագացվել է, երբ բաց են շատ մեծ թվով ներդիրներ (առաջին հերթին այժմ առաջնահերթությունը տրվում է տեսանելի ներդիրներին):
• Responsive Design Mode-ն իրականացնում է մետա դիտակետի տարբեր արժեքների մոդելավորում: Էջի ստուգման ռեժիմին ավելացվել է «նախընտրում է գույների սխեման» արժեքի սիմուլյատորը:
• В վեբ կոնսուլներ JavaScript-ի բազմաշերտ մեկնաբանման ռեժիմում ավելացվել է ֆայլեր պահելու և բացելու աջակցություն՝ օգտագործելով Ctrl + O և Ctrl + S համակցությունները:
• Ավելացված է javascript.options.asyncstack-ի կարգավորում՝ վեբ վահանակում ասինխրոն հաղորդագրությունները տեսողականորեն առանձնացնելու համար: Երբ ակտիվացնում եք console.trace()-ի և console.error(-ի կարգավորումները), ցուցադրվում է ասինխրոն գործողությունների զանգերի ամբողջական փաթեթը, որը թույլ է տալիս հասկանալ, թե ինչպես կարելի է պլանավորել ժամանակաչափերի, իրադարձությունների, խոստումների, գեներատորների և այլնի գործարկումը:
  

• WebSocket ստուգման ռեժիմում իրականացվել է ASP.NET Core հաղորդագրություններում օգտագործվող SignalR ձևաչափով մետատվյալների վերլուծություն և տեսողական ցուցադրում: Ավելացվել են նաև հաշվիչներ, որոնք ցույց են տալիս ուղարկված և ներբեռնված տվյալների ընդհանուր չափը:
• Ցանցի գործունեության մոնիտորինգի գործիքում՝ Ժամկետներ ներդիրում առանձին ցուցադրվում է տեղեկատվություն այն մասին, թե երբ է յուրաքանչյուր ռեսուրս հերթագրվել ներբեռնման համար, երբ է սկսվել ներբեռնումը և երբ է ավարտվել ներբեռնումը:
• Վեբ մշակողների համար նախատեսված գործիքներից բացառված միջավայր scratchpad, որը նախատեսված է JavaScript կոդով փորձարկելու համար (վերջին թողարկումում Scratchpad-ը փոխարինվել է բազմագիծ վեբ վահանակի ռեժիմով):

Բացի նորարարություններից և սխալների շտկումից, Firefox 72-ը շտկել է 20 խոցելիություն, որից 11-ը (հավաքած CVE-2019-17025- ը и CVE-2019-17024- ը) դրոշակված են որպես պոտենցիալ կերպով, որոնք կարող են հանգեցնել հարձակվողի կոդի կատարման հատուկ մշակված էջեր բացելիս: Հիշեցնենք, որ հիշողության հետ կապված խնդիրները, ինչպիսիք են բուֆերների արտահոսքը և արդեն ազատված հիշողության տարածքների հասանելիությունը, վերջերս նշվել են որպես վտանգավոր, բայց ոչ կրիտիկական: Հատկանշական է նաև CVE-2019-17017 խնդիրը XPCVariant.cpp կոդի մեջ, որը նույնպես կարող է հանգեցնել կոդի կատարման:

Source: opennet.ru