Peramban web dirilis Dan Firefox 68.6 untuk platform Android. Selain itu, pembaruan telah dibuat Dukungan Jangka Panjang . Segera hadir ke panggung Cabang Firefox 75 akan dipindahkan, rilisnya dijadwalkan pada 7 April (project selama 4-5 minggu ). Untuk cabang Firefox 75 beta formasi untuk Linux dalam format Flatpak.
:
- Pembuatan Linux menggunakan mekanisme isolasi , bertujuan untuk memblokir eksploitasi kerentanan di pustaka fungsi pihak ketiga. Pada tahap ini, isolasi hanya diaktifkan untuk perpustakaan , bertanggung jawab untuk merender font. RLBox mengkompilasi kode C/C++ dari pustaka yang terisolasi menjadi kode perantara WebAssembly tingkat rendah, yang kemudian dirancang sebagai modul WebAssembly, yang izinnya ditetapkan hanya terkait dengan modul ini. Modul yang dirakit beroperasi di area memori terpisah dan tidak memiliki akses ke ruang alamat lainnya. Jika kerentanan di perpustakaan dieksploitasi, penyerang akan dibatasi dan tidak akan dapat mengakses area memori dari proses utama atau mentransfer kendali ke luar lingkungan yang terisolasi.
- DNS melalui mode HTTPS (DoH, DNS melalui HTTPS) untuk pengguna AS. Penyedia DNS default adalah CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), dan NextDNS tersedia sebagai opsi. Mengubah penyedia atau mengaktifkan DoH di negara selain AS, dalam pengaturan koneksi jaringan. Anda dapat membaca lebih lanjut tentang DoH di Firefox di .
- dukungan untuk protokol TLS 1.0 dan TLS 1.1. Untuk mengakses situs melalui saluran komunikasi yang aman, server harus menyediakan dukungan setidaknya TLS 1.2. Menurut Google, saat ini sekitar 0.5% pengunduhan halaman web terus dilakukan menggunakan TLS versi lama. Penutupan dilakukan sesuai dengan IETF (Satuan Tugas Rekayasa Internet). Alasan penolakan untuk mendukung TLS 1.0/1.1 adalah kurangnya dukungan untuk cipher modern (misalnya, ECDHE dan AEAD) dan persyaratan untuk mendukung cipher lama, yang keandalannya dipertanyakan pada tahap perkembangan teknologi komputasi saat ini ( misalnya, dukungan untuk TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukan, MD5 digunakan untuk pemeriksaan integritas dan otentikasi dan SHA-1). Saat mencoba menggunakan TLS 1.0 dan TLS 1.1 yang dimulai dengan Firefox 74, kesalahan akan ditampilkan. Anda dapat memulihkan kemampuan untuk bekerja dengan versi TLS yang sudah ketinggalan zaman dengan mengatur security.tls.version.enable-deprecated = true atau dengan menggunakan tombol pada halaman kesalahan yang ditampilkan saat mengunjungi situs dengan protokol lama.
- Catatan rilis merekomendasikan add-on , yang secara otomatis memblokir widget Facebook pihak ketiga yang digunakan untuk otentikasi, komentar, dan menyukai. Parameter identifikasi Facebook diisolasi dalam wadah terpisah, sehingga sulit untuk mengidentifikasi pengguna dengan situs yang mereka kunjungi. Kemampuan untuk bekerja dengan situs utama Facebook tetap ada, namun terisolasi dari situs lain.
Untuk isolasi situs arbitrer yang lebih fleksibel, sebuah add-on diusulkan dengan penerapan konsep wadah konteks. Kontainer menyediakan kemampuan untuk mengisolasi berbagai jenis konten tanpa membuat profil terpisah, yang memungkinkan Anda memisahkan informasi dari masing-masing grup halaman. Misalnya, Anda dapat membuat area terpisah dan terisolasi untuk komunikasi pribadi, pekerjaan, belanja, dan transaksi perbankan, atau mengatur penggunaan berbagai akun pengguna secara bersamaan di satu situs. Setiap kontainer menggunakan penyimpanan terpisah untuk Cookie, API Penyimpanan Lokal, IndexedDB, cache, dan konten OriginAttributes.
- Menambahkan pengaturan “browser.tabs.allowTabDetach” ke about:config untuk mencegah tab terlepas ke jendela baru. Pelepasan tab yang tidak disengaja adalah salah satu bug Firefox paling menjengkelkan yang perlu diperbaiki. 9 tahun. Browser mengizinkan mouse untuk menyeret tab ke jendela baru, tetapi dalam kondisi tertentu, tab tersebut terlepas ke jendela terpisah selama pengoperasian ketika mouse bergerak sembarangan saat mengklik tab.
- dukungan untuk add-on yang dipasang secara tidak langsung dan tidak terikat pada profil pengguna. Perubahan ini hanya mempengaruhi pemasangan add-on di direktori bersama (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ atau ~/.mozilla/extensions/) yang diproses oleh semua instance Firefox di sistem ( tidak terkait dengan pengguna) . Metode ini biasanya digunakan untuk pra-instal add-on di distribusi, untuk substitusi yang tidak diminta dengan aplikasi pihak ketiga, untuk mengintegrasikan add-on berbahaya, atau untuk mengirimkan add-on secara terpisah dengan penginstalnya sendiri. Di Firefox 73, add-on yang sebelumnya dipasang secara paksa telah dipindahkan secara otomatis dari direktori bersama ke profil pengguna individual dan kini dapat melalui manajer add-on reguler.
- Dalam add-on sistem Lockwise yang disertakan dalam browser, yang menawarkan antarmuka “about:logins” untuk mengelola kata sandi yang disimpan, urutkan dalam urutan terbalik (Z ke A).
- WebRTC telah meningkatkan perlindungan terhadap kebocoran informasi tentang alamat IP internal selama panggilan suara dan video menggunakan "“, menyembunyikan alamat lokal di balik pengidentifikasi acak yang dihasilkan secara dinamis yang ditentukan melalui Multicast DNS.
- Mengubah lokasi tombol tampilan gambar-dalam-gambar yang tumpang tindih dengan tombol gambar berikutnya di antarmuka unggah foto batch di Instagram.
- Dalam JavaScript operator "?.", dirancang untuk secara bersamaan memeriksa seluruh rantai properti atau panggilan. Misalnya, dengan menentukan "db?.user?.name?.length" Anda sekarang dapat mengakses nilai "db.user.name.length" tanpa pemeriksaan awal apa pun. Jika ada elemen yang diproses sebagai null atau tidak terdefinisi, outputnya akan menjadi “tidak terdefinisi”.
- dukungan di situs web dan add-on untuk metode Object.toSource() dan fungsi global uneval().
- Acara baru ditambahkan dan properti terkait , yang memungkinkan Anda memanggil pengendali ketika pengguna mengubah bahasa antarmuka.
- Pemrosesan header HTTP diaktifkan (), memungkinkan situs mencegah penyisipan sumber daya (misalnya, gambar dan skrip) yang dimuat dari domain lain (lintas asal dan lintas situs). Header dapat mengambil dua nilai: "same-origin" (hanya mengizinkan permintaan sumber daya dengan skema, nama host, dan nomor port yang sama) dan "same-site" (hanya mengizinkan permintaan dari situs yang sama).
Kebijakan Sumber Daya Lintas Asal: situs yang sama
- Header HTTP diaktifkan secara default , yang memungkinkan Anda mengontrol perilaku API dan mengaktifkan fitur tertentu (misalnya, Anda dapat menonaktifkan akses ke API Geolokasi, kamera, mikrofon, layar penuh, putar otomatis, media terenkripsi, animasi, API Pembayaran, mode XMLHttpRequest sinkron, dll.). Untuk blok iframe, atribut ““, yang dapat digunakan dalam kode halaman untuk memberikan hak pada blok iframe tertentu.
Fitur-Kebijakan: mikrofon 'tidak ada'; geolokasi 'tidak ada'
Jika situs mengizinkan, melalui atribut "izinkan", untuk bekerja dengan sumber daya untuk iframe tertentu, dan permintaan diterima dari iframe untuk mendapatkan izin untuk bekerja dengan sumber daya ini, browser sekarang menampilkan dialog untuk memberikan izin di konteks halaman utama dan mendelegasikan hak yang dikonfirmasi oleh pengguna ke iframe (bukan konfirmasi terpisah untuk iframe dan halaman utama). Namun, jika halaman utama tidak memiliki izin terhadap sumber daya yang diminta melalui atribut izinkan, iframe segera memiliki akses ke sumber daya tersebut , tanpa menampilkan dialog kepada pengguna.
- Dukungan properti CSS diaktifkan secara default '', yang menentukan posisi garis bawah pada teks (misalnya, saat menampilkan teks secara vertikal, Anda dapat mengatur garis bawah di kiri atau kanan, dan saat menampilkan secara horizontal, tidak hanya dari bawah, tetapi juga dari atas). Selain itu di properti CSS yang mengontrol gaya garis bawah и Menambahkan dukungan untuk menggunakan nilai persentase.
- Di properti CSS , yang mendefinisikan gaya garis di sekitar elemen, defaultnya adalah "auto" (sebelumnya karena masalah di GNOME).
- Di debugger JavaScript kemampuan untuk men-debug Pekerja Web bersarang, yang eksekusinya dapat ditangguhkan dan di-debug selangkah demi selangkah menggunakan breakpoint.
- Antarmuka inspeksi halaman web sekarang memberikan peringatan untuk properti CSS yang bergantung pada indeks-z, elemen posisi atas, kiri, bawah, dan kanan.
- Untuk Windows dan macOS, kemampuan untuk mengimpor profil dari browser Microsoft Edge berdasarkan mesin Chromium telah diterapkan.
Selain inovasi dan perbaikan bug di Firefox 74, , dimana 10 (dikumpulkan di bawah и ) ditandai sebagai berpotensi menyebabkan eksekusi kode penyerang saat membuka halaman yang dirancang khusus. Izinkan kami mengingatkan Anda bahwa masalah memori, seperti buffer overflows dan akses ke area memori yang sudah dibebaskan, baru-baru ini ditandai sebagai berbahaya, tetapi tidak kritis.
Sumber: opennet.ru