Firefox 74 リリース

ウェブブラウザがリリースされました Firefoxの74と モバイル版 Android プラットフォーム用の Firefox 68.6。 さらに、アップデートが生成されました 小枝 長期サポート 68.6.0。 もうすぐステージに登場します ベータテスト Firefox 75 ブランチは移行され、そのリリースは 7 月 XNUMX 日に予定されています (プロジェクト 移動しました 4～5週間 開発サイクル）。 Firefox 75 ベータブランチの場合 始まった シェイピング アセンブリ Flatpak 形式の Linux 用。

メイン イノベーション:

• Linux ビルドは分離メカニズムを使用します RLボックス、サードパーティの関数ライブラリの脆弱性の悪用をブロックすることを目的としています。 この段階では、ライブラリに対してのみ分離が有効になっています。 グラファイト、フォントのレンダリングを担当します。 RLBox は、分離されたライブラリの C/C++ コードを低レベルの WebAssembly 中間コードにコンパイルします。これは WebAssembly モジュールとして設計され、そのアクセス許可はこのモジュールにのみ関連して設定されます。 組み立てられたモジュールは別のメモリ領域で動作し、残りのアドレス空間にはアクセスできません。 ライブラリの脆弱性が悪用された場合、攻撃者は制限され、メイン プロセスのメモリ領域にアクセスしたり、隔離された環境の外に制御を移したりすることができなくなります。
• DNS over HTTPS モード (DoH、DNS over HTTPS) デフォルトで有効になっています 米国ユーザー向け。デフォルトの DNS プロバイダーは CloudFlare (mozilla.cloudflare-dns.com) です。 リスト化された в ブロックリスト Roskomnadzor)、NextDNS がオプションとして利用可能です。米国以外の国でプロバイダーを変更するか、DoH を有効にしてください。 1ことができます ネットワーク接続設定で。 Firefox の DoH について詳しくは、次の URL をご覧ください。 別途お知らせ.
  

• 無効 TLS 1.0 および TLS 1.1 プロトコルのサポート。 安全な通信チャネル経由でサイトにアクセスするには、サーバーが少なくとも TLS 1.2 をサポートする必要があります。 Google によると、現在、Web ページのダウンロードの約 0.5% が、古いバージョンの TLS を使用して実行され続けています。 シャットダウンは以下に従って実行されました。 推奨事項 IETF (インターネット エンジニアリング タスク フォース)。 TLS 1.0/1.1 のサポートを拒否する理由は、最新の暗号 (ECDHE や AEAD など) がサポートされていないことと、コンピューティング技術の開発の現段階では信頼性が疑問視されている古い暗号をサポートする必要があるためです (たとえば、TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA のサポートが必要であり、整合性チェックと認証には MD5 が使用され、SHA-1 が使用されます。 Firefox 1.0 以降で TLS 1.1 および TLS 74 を使用しようとすると、エラーが表示されます。 security.tls.version.enable-deprecated = true を設定するか、古いプロトコルでサイトにアクセスしたときに表示されるエラー ページのボタンを使用することにより、古い TLS バージョンを操作できるようにすることができます。
  

• リリースノートではアドオンを推奨しています Facebookコンテナ、認証、コメント、いいね! に使用されるサードパーティの Facebook ウィジェットを自動的にブロックします。 Facebook の識別パラメータは別のコンテナに分離されているため、アクセスしたサイトでユーザーを識別することが困難になります。メインの Facebook サイトと連携する機能は残りますが、他のサイトからは分離されています。

  任意のサイトをより柔軟に分離するには、アドオンが提案されています マルチアカウントコンテナ コンテキストコンテナの概念を実装します。コンテナーを使用すると、個別のプロファイルを作成せずにさまざまなタイプのコンテンツを分離できるため、ページの個々のグループの情報を分離できます。たとえば、個人的なコミュニケーション、仕事、ショッピング、銀行取引用に個別の隔離されたエリアを作成したり、1 つのサイトで異なるユーザー アカウントを同時に使用できるようにしたりすることができます。各コンテナーは、Cookie、ローカル ストレージ API、indexedDB、キャッシュ、および OriginAttributes コンテンツに対して個別のストアを使用します。

• タブが新しい​​ウィンドウに切り離されるのを防ぐために、about:config に「browser.tabs.allowTabDetach」設定を追加しました。誤ってタブが切り離されてしまうことは、修正が必要な Firefox の最も厄介なバグの 1 つです。 求めた 9年。ブラウザでは、マウスでタブを新しいウィンドウにドラッグできますが、特定の状況下で、タブをクリックしたときにマウスが不用意に動くと、操作中にタブが別のウィンドウに切り離されてしまいます。
• 製造中止 迂回的な方法でインストールされ、ユーザー プロファイルに関連付けられていないアドオンのサポート。この変更は、システム上のすべての Firefox インスタンス (ユーザーに関連付けられていません）。この方法は通常、ディストリビューションでのアドオンのプレインストール、サードパーティ アプリケーションによる一方的な置き換え、悪意のあるアドオンの統合、または独自のインストーラーでアドオンを個別に配信するために使用されます。 Firefox 73 では、以前に強制インストールされたアドオンは共有ディレクトリから個々のユーザー プロファイルに自動的に移動され、現在は NS 通常のアドオンマネージャーを介して。
• ブラウザに含まれる Lockwise システム アドオンでは、保存されたパスワードを管理するための「about:logins」インターフェイスを提供します。 サポート 逆順 (Z から A) にソートします。
• WebRTC は、「」を使用した音声通話およびビデオ通話中の内部 IP アドレスに関する情報の漏洩に対する保護を強化しました。mDNS ICE」、マルチキャスト DNS を通じて決定される、動的に生成されたランダムな識別子の背後にローカル アドレスを隠します。
• Instagramの写真一括アップロードインターフェースで、次の画像ボタンと重なるピクチャーインピクチャー表示スイッチの位置を変更しました。
• JavaScriptの場合 追加されました 演算子「?.」は、プロパティまたは呼び出しのチェーン全体を同時にチェックするように設計されています。たとえば、「db?.user?.name?.length」を指定すると、事前チェックなしで「db.user.name.length」の値にアクセスできるようになります。いずれかの要素が null または未定義として処理された場合、出力は「未定義」になります。
• 製造中止 Web サイトおよびアドオンでの Object.toSource() メソッドとグローバル関数 uneval() のサポート。
• 新しいイベントが追加されました 言語変更_偶数 および関連するプロパティ 言語変更についてこれにより、ユーザーがインターフェース言語を変更したときにハンドラーを呼び出すことができます。
• HTTPヘッダー処理が有効化されました クロスオリジンリソースポリシー (株式会社)、サイトが他のドメイン (クロスオリジンおよびクロスサイト) からロードされたリソース (画像やスクリプトなど) の挿入を防ぐことができます。ヘッダーには、「same-origin」(同じスキーム、ホスト名、ポート番号を持つリソースのリクエストのみを許可) と「same-site」(同じサイトからのリクエストのみを許可) の 2 つの値を指定できます。

  クロスオリジンリソースポリシー: 同じサイト

• デフォルトで有効になっているHTTPヘッダー 機能ポリシーこれにより、API の動作を制御し、特定の機能を有効にすることができます (たとえば、Geolocation API、カメラ、マイク、全画面表示、自動再生、暗号化メディア、アニメーション、Payment API、同期 XMLHttpRequest モードへのアクセスを無効にすることができます)等。）。 iframe ブロックの場合、属性「許すこれをページ コードで使用して、特定の iframe ブロックに権限を割り当てることができます。

  機能ポリシー: マイク「なし」。地理位置情報「なし」

  サイトが「allow」属性を通じて特定の iframe のリソースの操作を許可し、このリソースを操作するためのアクセス許可を取得するリクエストを iframe から受信した場合、ブラウザーはアクセス許可を付与するためのダイアログを表示します。メイン ページのコンテキストを管理し、ユーザーが確認した権限を iframe に委任します (iframe とメイン ページの個別の確認の代わりに)。ただし、メイン ページに、allow 属性を通じて要求されたリソースへのアクセス許可がない場合、iframe はリソースにすぐにアクセスできます。 ブロックされている、ユーザーにダイアログを表示せずに。

• CSS プロパティのサポート「デフォルトで有効」テキストの下線の位置'、テキストの下線の位置を決定します（たとえば、テキストを縦方向に表示する場合は下線を左または右に、横方向に表示する場合は下からだけでなく上からも下線を整理できます）。さらに、下線スタイルを制御する CSS プロパティに テキスト下線オフセット и 文字装飾の太さ パーセント値の使用のサポートが追加されました。
• CSSプロパティ内 アウトラインスタイル要素の周囲の線のスタイルを定義します。デフォルトは「auto」です（以前は 無効 GNOME の問題が原因です)。
• JavaScript デバッガ内 追加した ネストされた Web ワーカーをデバッグする機能。ブレークポイントを使用して、その実行を一時停止し、段階的にデバッグできます。
  

• Web ページ検査インターフェイスは、z-index、上、左、下、右に配置された要素に依存する CSS プロパティに関する警告を提供するようになりました。
  

• Windows および macOS の場合、Chromium エンジンに基づいて Microsoft Edge ブラウザからプロファイルをインポートする機能が実装されました。

Firefox 74 の革新とバグ修正に加えて、 20 件の脆弱性、そのうち 10 (以下で収集) CVE-2020-6814 и CVE-2020-6815) は、特別に設計されたページを開いたときに攻撃者のコード実行につながる可能性があるとしてフラグが立てられます。バッファ オーバーフローや既に解放されたメモリ領域へのアクセスなどのメモリの問題は、最近、危険ではあるものの重大ではないとマークされていることを思い出してください。

出所： オープンネット.ru