Il browser web è stato rilasciato e Firefox 68.6 per la piattaforma Android. Inoltre, è stato generato un aggiornamento supporto a lungo termine . Presto sul palco si trasferirà il ramo Firefox 75, il cui rilascio è previsto per il 7 aprile (project per 4-5 settimane ). Per il ramo beta di Firefox 75 formazione per Linux in formato Flatpak.
:
- Le build Linux utilizzano un meccanismo di isolamento , volto a bloccare lo sfruttamento delle vulnerabilità nelle librerie di funzioni di terze parti. In questa fase, l'isolamento è abilitato solo per la libreria , responsabile del rendering dei caratteri. RLBox compila il codice C/C++ della libreria isolata in codice intermedio WebAssembly di basso livello, che viene quindi progettato come modulo WebAssembly, le cui autorizzazioni sono impostate in relazione solo a questo modulo. Il modulo assemblato opera in un'area di memoria separata e non ha accesso al resto dello spazio degli indirizzi. Se viene sfruttata una vulnerabilità nella libreria, l'aggressore sarà limitato e non potrà accedere alle aree di memoria del processo principale o trasferire il controllo al di fuori dell'ambiente isolato.
- Modalità DNS su HTTPS (DoH, DNS su HTTPS) per gli utenti statunitensi. Il provider DNS predefinito è CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) e NextDNS è disponibile come opzione. Cambia fornitore o abilita DoH in paesi diversi dagli Stati Uniti, nelle impostazioni della connessione di rete. Puoi leggere ulteriori informazioni su DoH in Firefox all'indirizzo .
- supporto per i protocolli TLS 1.0 e TLS 1.1. Per accedere ai siti tramite un canale di comunicazione sicuro, il server deve fornire supporto almeno per TLS 1.2. Secondo Google, attualmente circa lo 0.5% dei download di pagine web continua ad essere effettuato utilizzando versioni obsolete di TLS. L'arresto è stato effettuato in conformità IETF (Task Force di ingegneria di Internet). Il motivo del rifiuto di supportare TLS 1.0/1.1 è la mancanza di supporto per i cifrari moderni (ad esempio, ECDHE e AEAD) e l'esigenza di supportare i vecchi cifrari, la cui affidabilità è messa in dubbio nell'attuale fase di sviluppo della tecnologia informatica ( ad esempio, è richiesto il supporto per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 viene utilizzato per il controllo dell'integrità e l'autenticazione e SHA-1). Quando si tenta di utilizzare TLS 1.0 e TLS 1.1 a partire da Firefox 74, verrà visualizzato un errore. È possibile ripristinare la capacità di lavorare con versioni TLS obsolete impostando security.tls.version.enable-deprecated = true o utilizzando il pulsante nella pagina di errore visualizzata quando si visita un sito con il vecchio protocollo.
- La nota di rilascio consiglia un componente aggiuntivo , che blocca automaticamente i widget Facebook di terze parti utilizzati per l'autenticazione, i commenti e i Mi piace. I parametri identificativi di Facebook sono isolati in un contenitore separato, rendendo difficile identificare l'utente con i siti che visita. Rimane la possibilità di lavorare con il sito principale di Facebook, ma è isolato dagli altri siti.
Per un isolamento più flessibile di siti arbitrari, viene proposto un componente aggiuntivo con l’implementazione del concetto di contenitori di contesto. I contenitori offrono la possibilità di isolare diversi tipi di contenuto senza creare profili separati, consentendo così di separare le informazioni dei singoli gruppi di pagine. Ad esempio, è possibile creare aree separate e isolate per le comunicazioni personali, il lavoro, gli acquisti e le transazioni bancarie oppure organizzare l'uso simultaneo di diversi account utente su un unico sito. Ogni contenitore utilizza archivi separati per cookie, API di archiviazione locale, database indicizzato, cache e contenuto OriginAttributes.
- Aggiunta l'impostazione "browser.tabs.allowTabDetach" a about:config per impedire che le schede vengano scollegate in nuove finestre. Il distacco accidentale delle schede è uno dei bug di Firefox più fastidiosi che necessita di essere corretto. 9 anni. Il browser consente al mouse di trascinare una scheda in una nuova finestra, ma in determinate circostanze la scheda viene staccata in una finestra separata durante il funzionamento quando il mouse si muove con noncuranza mentre si fa clic sulla scheda.
- supporto per componenti aggiuntivi installati in modo indiretto e non legati ai profili utente. La modifica riguarda solo l'installazione dei componenti aggiuntivi nelle directory condivise (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ o ~/.mozilla/extensions/) elaborati da tutte le istanze di Firefox sul sistema ( non associato a un utente). Questo metodo viene solitamente utilizzato per preinstallare componenti aggiuntivi nelle distribuzioni, per sostituzioni non richieste con applicazioni di terze parti, per integrare componenti aggiuntivi dannosi o per fornire separatamente un componente aggiuntivo con il proprio programma di installazione. In Firefox 73, i componenti aggiuntivi precedentemente installati forzatamente sono stati spostati automaticamente dalla directory condivisa ai singoli profili utente e ora possono essere tramite il normale gestore dei componenti aggiuntivi.
- Nel componente aggiuntivo del sistema Lockwise incluso nel browser, che offre l'interfaccia “about:logins” per la gestione delle password salvate, ordinare in ordine inverso (dalla Z alla A).
- WebRTC ha aumentato la protezione contro la fuga di informazioni sull'indirizzo IP interno durante le chiamate vocali e video utilizzando il "“, nascondendo l’indirizzo locale dietro un identificatore casuale generato dinamicamente determinato tramite Multicast DNS.
- Modificata la posizione dell'interruttore di visualizzazione immagine nell'immagine che si sovrapponeva al pulsante dell'immagine successiva nell'interfaccia di caricamento batch di foto su Instagram.
- In JavaScript operatore “?.”, progettato per controllare simultaneamente l'intera catena di proprietà o chiamate. Ad esempio, specificando "db?.user?.name?.length" è ora possibile accedere al valore di "db.user.name.length" senza alcun controllo preliminare. Se un elemento viene elaborato come null o non definito, l'output sarà "non definito".
- supporto su siti web e componenti aggiuntivi per il metodo Object.toSource() e la funzione globale uneval().
- Nuovo evento aggiunto e la proprietà associata , che consentono di chiamare un gestore quando l'utente cambia la lingua dell'interfaccia.
- Elaborazione dell'intestazione HTTP abilitata (), consentendo ai siti di impedire l'inserimento di risorse (ad esempio, immagini e script) caricate da altri domini (cross-origin e cross-site). L'intestazione può assumere due valori: "same-origin" (consente solo richieste di risorse con lo stesso schema, nome host e numero di porta) e "same-site" (consente solo richieste dallo stesso sito).
Politica delle risorse incrociate: stesso sito
- Intestazione HTTP abilitata per impostazione predefinita , che ti consente di controllare il comportamento dell'API e abilitare determinate funzionalità (ad esempio, puoi disabilitare l'accesso all'API di geolocalizzazione, fotocamera, microfono, schermo intero, riproduzione automatica, media crittografati, animazione, API di pagamento, modalità XMLHttpRequest sincrona, eccetera.). Per i blocchi iframe, l'attributo ““, che può essere utilizzato nel codice della pagina per assegnare diritti a determinati blocchi iframe.
Politica delle funzionalità: microfono 'nessuno'; geolocalizzazione "nessuno"
Se un sito consente, tramite l'attributo "consenti", di lavorare con una risorsa per un iframe specifico e viene ricevuta una richiesta dall'iframe per ottenere le autorizzazioni per lavorare con questa risorsa, il browser ora visualizza una finestra di dialogo per concedere le autorizzazioni nel contesto della pagina principale e delega i diritti confermati dall'utente all'iframe (invece di conferme separate per iframe e pagina principale). Ma, se la pagina principale non dispone dell'autorizzazione per la risorsa richiesta tramite l'attributo consent, l'iframe ha accesso immediatamente alla risorsa , senza visualizzare una finestra di dialogo per l'utente.
- Il supporto delle proprietà CSS è abilitato per impostazione predefinita '', che determina la posizione della sottolineatura del testo (ad esempio, quando si visualizza il testo verticalmente, è possibile organizzare la sottolineatura a sinistra o a destra e quando si visualizza orizzontalmente, non solo dal basso, ma anche dall'alto). Inoltre nelle proprietà CSS che controllano lo stile di sottolineatura и Aggiunto supporto per l'utilizzo di valori percentuali.
- In una proprietà CSS , che definisce lo stile della linea attorno agli elementi, per impostazione predefinita è "auto" (in precedenza a causa di problemi in GNOME).
- Nel debugger JavaScript la possibilità di eseguire il debug di Web Worker annidati, la cui esecuzione può essere sospesa e sottoposta a debug passo dopo passo utilizzando i punti di interruzione.
- L'interfaccia di ispezione della pagina Web ora fornisce avvisi per le proprietà CSS che dipendono dagli elementi posizionati in alto, a sinistra, in basso e a destra dello z-index.
- Per Windows e macOS è stata implementata la possibilità di importare profili dal browser Microsoft Edge basato sul motore Chromium.
Oltre alle innovazioni e alle correzioni di bug in Firefox 74, , di cui 10 (raccolti sotto и ) sono contrassegnati come potenzialmente in grado di portare all'esecuzione di codice di un utente malintenzionato all'apertura di pagine appositamente progettate. Ricordiamo che recentemente i problemi di memoria, come il buffer overflow e l'accesso ad aree di memoria già liberate, sono stati contrassegnati come pericolosi, ma non critici.
Fonte: opennet.ru