Firefox 74-ի թողարկում

Վեբ զննարկիչը թողարկվել է Firefox 74Իսկ բջջային տարբերակ Firefox 68.6 Android պլատֆորմի համար: Բացի այդ, ստեղծվել է թարմացում մասնաճյուղերը երկարաժամկետ աջակցությամբ 68.6.0. Շուտով բեմ բետա փորձարկում Firefox 75 մասնաճյուղը կտեղափոխվի, որի թողարկումը նախատեսված է ապրիլի 7-ին (նախագիծ տեղափոխվել է 4-5 շաբաթվա ընթացքում զարգացման ցիկլը) Firefox 75 բետա մասնաճյուղի համար սկսվեց ձեւավորումը ժողովներ Linux-ի համար Flatpak ձևաչափով:

Հիմնական նորամուծություններ:

• Linux-ի կառուցումները օգտագործում են մեկուսացման մեխանիզմ RLBox, որի նպատակն է արգելափակել երրորդ կողմի գործառույթների գրադարաններում խոցելիության օգտագործումը: Այս փուլում մեկուսացումը միացված է միայն գրադարանի համար գրաֆիտ, պատասխանատու է տառատեսակների մատուցման համար։ RLBox-ը հավաքում է մեկուսացված գրադարանի C/C++ կոդը ցածր մակարդակի WebAssembly միջանկյալ կոդի մեջ, որն այնուհետ ձևավորվում է որպես WebAssembly մոդուլ, որի թույլտվությունները սահմանվում են միայն այս մոդուլի հետ կապված: Հավաքված մոդուլը գործում է առանձին հիշողության տարածքում և մուտք չունի հասցեների մնացած տարածք: Եթե ​​գրադարանի խոցելիությունը շահագործվի, հարձակվողը կսահմանափակվի և չի կարողանա մուտք գործել հիմնական գործընթացի հիշողության տարածքներ կամ փոխանցել վերահսկողությունը մեկուսացված միջավայրից դուրս:
• DNS՝ HTTPS ռեժիմով (DoH, DNS՝ HTTPS-ով) լռելյայն միացված է ԱՄՆ օգտատերերի համար։ Նախնական DNS մատակարարը CloudFlare-ն է (mozilla.cloudflare-dns.com նշված в արգելափակման ցուցակները Roskomnadzor), իսկ NextDNS-ը հասանելի է որպես տարբերակ: Փոխել մատակարարին կամ միացնել DoH-ը ԱՄՆ-ից բացի այլ երկրներում, կարելի ցանցային կապի կարգավորումներում: Դուք կարող եք ավելին կարդալ DoH-ի մասին Firefox-ում այստեղ առանձին հայտարարություն.
  

• Անաշխատունակ աջակցություն TLS 1.0 և TLS 1.1 արձանագրություններին: Անվտանգ կապի ալիքով կայքեր մուտք գործելու համար սերվերը պետք է ապահովի առնվազն TLS 1.2-ի աջակցություն: Google-ի տվյալներով՝ ներկայումս վեբ էջերի ներբեռնումների մոտ 0.5%-ը շարունակում է իրականացվել TLS-ի հնացած տարբերակների միջոցով։ Անջատումն իրականացվել է համաձայն առաջարկություններ IETF (Internet Engineering Task Force): TLS 1.0/1.1-ի աջակցությունից հրաժարվելու պատճառը ժամանակակից ծածկագրերի աջակցության բացակայությունն է (օրինակ՝ ECDHE և AEAD) և հին ծածկագրերին աջակցելու պահանջը, որոնց հուսալիությունը կասկածի տակ է դրվում հաշվողական տեխնոլոգիաների զարգացման ներկա փուլում ( օրինակ, անհրաժեշտ է աջակցություն TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA-ին, MD5-ն օգտագործվում է ամբողջականության ստուգման և իսկորոշման համար և SHA-1): Firefox 1.0-ից սկսած TLS 1.1-ը և TLS 74-ն օգտագործելու փորձ կատարելիս կցուցադրվի սխալ: Դուք կարող եք վերականգնել հնացած TLS տարբերակների հետ աշխատելու ունակությունը՝ սահմանելով security.tls.version.enable-deprecated = true կամ օգտագործելով սխալի էջի կոճակը, որը ցուցադրվում է հին արձանագրությամբ կայք այցելելիս:
  

• Թողարկման նշումը առաջարկում է հավելում Facebook կոնտեյներ, որն ավտոմատ կերպով արգելափակում է երրորդ կողմի ֆեյսբուքյան վիջեթները, որոնք օգտագործվում են նույնականացման, մեկնաբանությունների և հավանումների համար: Facebook-ի նույնականացման պարամետրերը մեկուսացված են առանձին կոնտեյներով, ինչը դժվարացնում է օգտատիրոջ նույնականացումը իր այցելած կայքերի հետ: Հիմնական ֆեյսբուքյան կայքի հետ աշխատելու հնարավորությունը մնում է, բայց այն մեկուսացված է այլ կայքերից։

  Կամայական կայքերի ավելի ճկուն մեկուսացման համար առաջարկվում է հավելում Բազմակողմանի տարաներ համատեքստային կոնտեյներների հայեցակարգի իրականացման հետ։ Կոնտեյներները հնարավորություն են տալիս առանձնացնել տարբեր տեսակի բովանդակություն՝ առանց առանձին պրոֆիլներ ստեղծելու, ինչը թույլ է տալիս առանձնացնել էջերի առանձին խմբերի տեղեկատվությունը։ Օրինակ, դուք կարող եք ստեղծել առանձին, մեկուսացված տարածքներ անձնական հաղորդակցության, աշխատանքի, գնումների և բանկային գործարքների համար կամ կազմակերպել տարբեր օգտատերերի միաժամանակյա օգտագործումը մեկ կայքում: Յուրաքանչյուր կոնտեյներ օգտագործում է առանձին պահեստներ «Cookies», «Local Storage API», «indexedDB», «cache» և «OriginAttributes» բովանդակությունը:

• Ավելացվեց «browser.tabs.allowTabDetach» պարամետրը about:config՝ կանխելու ներդիրների անջատումը նոր պատուհաններում: Պատահական ներդիրների անջատումը Firefox-ի ամենաանհանգստացնող սխալներից մեկն է, որը շտկելու կարիք ունի: փնտրել 9 տարի. Բրաուզերը թույլ է տալիս մկնիկին ներդիրը քաշել նոր պատուհան, սակայն որոշակի հանգամանքներում ներդիրն անջատվում է առանձին պատուհանի մեջ՝ շահագործման ընթացքում, երբ մկնիկը անզգուշորեն շարժվում է ներդիրի վրա սեղմելիս:
• Դադարեցվել է Աջակցում է հավելումների, որոնք տեղադրված են շրջանաձև ճանապարհով և կապված չեն օգտատերերի պրոֆիլների հետ: Փոփոխությունը վերաբերում է միայն հավելումների տեղադրմանը ընդհանուր գրացուցակներում (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ կամ ~/.mozilla/extensions/), որոնք մշակվում են համակարգի բոլոր Firefox-ի օրինակների կողմից ( կապակցված չէ օգտվողի հետ): Այս մեթոդը սովորաբար օգտագործվում է բաշխումների մեջ հավելումներ նախապես տեղադրելու, երրորդ կողմի հավելվածներով չպահանջված փոխարինման, վնասակար հավելումների ինտեգրման կամ սեփական տեղադրողի հետ հավելումը առանձին առաքելու համար: Firefox 73-ում նախկինում հարկադրաբար տեղադրված հավելումները ընդհանուր գրացուցակից ավտոմատ կերպով տեղափոխվել են անհատական ​​օգտատերերի պրոֆիլներ և այժմ կարող են լինել հանվել է սովորական հավելումների մենեջերի միջոցով:
• Բրաուզերում ներառված Lockwise համակարգի հավելումում, որն առաջարկում է «about:logins» ինտերֆեյսը պահպանված գաղտնաբառերը կառավարելու համար, աջակցություն տեսակավորել հակառակ հերթականությամբ (Z-ից A):
• WebRTC-ն ավելացրել է պաշտպանությունը ներքին IP հասցեի մասին տեղեկատվության արտահոսքից ձայնային և տեսազանգերի ժամանակ՝ օգտագործելով «mDNS ICE«, թաքցնելով տեղական հասցեն դինամիկ ձևավորված պատահական նույնացուցիչի հետևում, որը որոշվում է Multicast DNS-ի միջոցով:
• Փոխվել է «Նկար նկարի մեջ» դիտման անջատիչի տեղադրությունը, որը համընկնում է Instagram-ում լուսանկարների խմբաքանակի վերբեռնման միջերեսի հաջորդ պատկերի կոճակին:
• JavaScript-ում ավելացրեց օպերատոր «?», որը նախատեսված է միաժամանակ ստուգելու հատկությունների կամ զանգերի ամբողջ շղթան: Օրինակ՝ նշելով «db?.user?.name?.length»-ը, այժմ կարող եք մուտք գործել «db.user.name.length»-ի արժեքը՝ առանց որևէ նախնական ստուգման: Եթե ​​որևէ տարր մշակվում է որպես զրոյական կամ չսահմանված, ելքը կլինի «չսահմանված»:
• Դադարեցվել է աջակցություն վեբ կայքերում և հավելվածներում Object.toSource() մեթոդի և uneval() գլոբալ ֆունկցիայի համար:
• Ավելացվեց նոր իրադարձություն լեզվի փոփոխություն_նույնիսկ և հարակից գույքը լեզվի փոփոխություն, որը թույլ է տալիս զանգահարել մշակողին, երբ օգտատերը փոխում է ինտերֆեյսի լեզուն:
• HTTP վերնագրի մշակումը միացված է Cross-Origin-Resource-Policy (ԿՈՐՊ), թույլ տալով կայքերին կանխել այլ տիրույթներից բեռնված ռեսուրսների (օրինակ՝ պատկերների և սկրիպտների) ներդրումը (խոսքային ծագում և խաչմերուկ): Վերնագիրը կարող է ունենալ երկու արժեք՝ «նույն ծագումը» (թույլ է տալիս միայն նույն սխեմայով ռեսուրսների հարցումներ, հոսթի անուն և պորտի համար) և «նույն կայք» (թույլ է տալիս միայն հարցումներ նույն կայքից):

  Cross-Origin-Resource-Policy. նույն կայք

• HTTP վերնագիրը լռելյայն միացված է Առանձնահատկություն-Քաղաքականություն, որը թույլ է տալիս վերահսկել API-ի վարքագիծը և միացնել որոշակի գործառույթներ (օրինակ՝ կարող եք անջատել մուտքը Geolocation API, տեսախցիկ, խոսափող, ամբողջական էկրան, ավտոմատ նվագարկում, գաղտնագրված մեդիա, անիմացիա, վճարման API, համաժամանակյա XMLHttpRequest ռեժիմ, և այլն): iframe բլոկների համար հատկանիշը «թույլ տալ«, որը կարող է օգտագործվել էջի կոդում՝ որոշակի iframe բլոկների իրավունքներ վերագրելու համար:

  Առանձնահատկություն-քաղաքականություն. խոսափող «ոչ մի»; աշխարհագրական դիրք «ոչ մի»

  Եթե ​​կայքը թույլ է տալիս «թույլատրել» հատկանիշի միջոցով աշխատել որոշակի iframe-ի ռեսուրսի հետ, և iframe-ից հարցում է ստացվում՝ այս ռեսուրսի հետ աշխատելու թույլտվություններ ստանալու համար, զննարկիչն այժմ ցուցադրում է երկխոսություն՝ թույլտվություններ տրամադրելու համար: հիմնական էջի համատեքստում և օգտատիրոջ կողմից հաստատված իրավունքները փոխանցելով iframe-ին (iframe-ի և հիմնական էջի առանձին հաստատումների փոխարեն): Բայց, եթե հիմնական էջը թույլտվություն չունի թույլտվություն հատկանիշի միջոցով պահանջվող ռեսուրսին, iframe-ին անմիջապես հասանելի է ռեսուրսը: արգելափակված է, առանց օգտվողին երկխոսություն ցուցադրելու:

• CSS գույքի աջակցությունը լռելյայն միացված է:տեքստ-ընդգծում-դիրքորոշում', որը որոշում է տեքստի ընդգծման դիրքը (օրինակ, տեքստը ուղղահայաց ցուցադրելիս կարող եք կազմակերպել ընդգծումը ձախից կամ աջից, իսկ հորիզոնական ցուցադրելիս՝ ոչ միայն ներքևից, այլև վերևից): Բացի այդ, CSS հատկություններում, որոնք վերահսկում են ընդգծված ոճը տեքստ-ընդգծում-օֆսեթ и տեքստ-դեկորացիա-հաստություն Ավելացվեց աջակցություն տոկոսային արժեքների օգտագործման համար:
• CSS հատկությունում ուրվագիծ-ոճ, որը սահմանում է տարրերի շուրջ տողի ոճը, լռելյայն «ավտո» է (նախկինում անաշխատունակ GNOME-ի խնդիրների պատճառով):
• JavaScript վրիպազերծիչում ավելացրել է Ներկառուցված վեբ աշխատողների վրիպազերծման հնարավորությունը, որի կատարումը կարելի է կասեցնել և կարգաբերել քայլ առ քայլ՝ օգտագործելով ընդմիջման կետերը:
  

• Վեբ էջի ստուգման միջերեսն այժմ նախազգուշացումներ է տալիս CSS հատկությունների համար, որոնք կախված են z-ինդեքսից, վերևից, ձախից, ներքևից և աջից տեղակայված տարրերից:
  

• Windows-ի և macOS-ի համար ներդրվել է Chromium շարժիչի հիման վրա Microsoft Edge բրաուզերից պրոֆիլներ ներմուծելու հնարավորությունը։

Բացի նորարարություններից և սխալների շտկումից, Firefox 74-ը շտկել է 20 խոցելիություն, որից 10-ը (հավաքած CVE-2020-6814- ը и CVE-2020-6815- ը) դրոշակված են որպես պոտենցիալ կերպով, որոնք կարող են հանգեցնել հարձակվողի կոդի կատարման հատուկ մշակված էջեր բացելիս: Հիշեցնենք, որ հիշողության հետ կապված խնդիրները, ինչպիսիք են բուֆերների արտահոսքը և արդեն ազատված հիշողության տարածքների մուտքը, վերջերս նշվել են որպես վտանգավոր, բայց ոչ կրիտիկական:

Source: opennet.ru