Firefox 72 laidiens

Izlaista tīmekļa pārlūkprogramma Firefox 72un mobilā versija Firefox 68.4 Android platformai. Turklāt ir ģenerēts atjauninājums filiāles ilgtermiņa atbalsts 68.4.0. Drīzumā uz skatuves beta testēšana pārcelsies Firefox 73 filiāle, kuras iznākšana paredzēta 11. februārī (projekts pārvietots uz 4 nedēļām attīstības cikls).

Galvenais jauninājumiem:

• Noklusējuma standarta bloķēšanas režīmā neatbilstošam saturam iekļauts aizsardzība pret lietotāju izsekošanu, izmantojot slēptās identifikācijas metodes (“pārlūka pirkstu nospiedumu noņemšana”), ko veic papildu kategorijas Disconnect.me sarakstā, kurā ir iekļauti resursdatori, kas izmanto skriptus slēptai identifikācijai. Slēptā identifikācija attiecas uz identifikatoru uzglabāšanu vietās, kas nav paredzētas pastāvīgai informācijas glabāšanai (“supersīkfaili”), kā arī identifikatoru ģenerēšanu, pamatojoties uz netiešiem datiem, piemēram, Ekrāna izšķirtspēja, atbalstīto MIME veidu saraksts, konkrēti parametri galvenēs (HTTP / 2 и HTTPS), uzstādīto analīze spraudņi un fonti, noteiktu tīmekļa API pieejamība, kas raksturīga videokartēm Features renderēšana, izmantojot WebGL un Canvas, manipulācijas ar CSS, darba iezīmju analīze pele и tastatūra.
  

• Aktivizēts metodes cīņa ar kaitinošiem pieprasījumiem piešķirt vietnei papildu atļaujas (Notification.requestPermission(), PushManager.subscribe() un MediaDevices.getDisplayMedia()). Autorizācijas apstiprinājuma pieprasījumi vairs nepārtrauks darbu ar pārlūkprogrammu, bet tikai novedīs pie indikatora parādīšanas adreses joslā pēc lietotāja mijiedarbības ar lapu (peles klikšķis vai taustiņa nospiešana) ierakstīšanas. Daudzas vietnes ļaunprātīgi izmanto pārlūkprogrammas spēju pieprasīt atļaujas, galvenokārt periodiski pieprasot push paziņojumus. Telemetrijas analīze parādīja, ka 97% šādu pieprasījumu tiek noraidīti, tostarp 19% gadījumu lietotājs nekavējoties aizver lapu, nenoklikšķinot uz pogas Piekrist vai noraidīt.
• Pievienots eksperimentāls atbalstīt HTTP/3 protokols (lai aktivizētu about:config, jāiestata opcija “network.http.http3.enabled”). HTTP/3 atbalsts pārlūkprogrammā Firefox ir balstīts uz neqo, rakstīts Rust valodā, ieviešot QUIC protokola klientu un serveri (HTTP/3 standartizē izmantojot QUIC protokolu kā HTTP/2 transportu).
• Atbilstoši spēkā stājušās likuma prasībām CCPA (Kalifornijas Patērētāju privātuma likums) pievienots iespēja dzēst telemetrijas datus no Mozilla serveriem. Dati tiek dzēsti, ja atsakāties apkopot telemetrijas datus sadaļā “about:preferences#privacy” (sadaļa “Firefox datu vākšana un izmantošana”). Notīrot izvēles rūtiņu “Atļaut Firefox sūtīt tehniskos un mijiedarbības datus uz Mozilla”, kas kontrolē telemetrijas sūtīšanu, Mozilla apņemas 30 dienu laikā noņemt visi dati, kas savākti laikā līdz telemetrijas pārraides kļūmei. Dati, kas telemetrijas datu vākšanas procesa laikā nonāk Mozilla serveros, ietver informāciju par Firefox veiktspēju, drošību un vispārīgiem parametriem, piemēram, atvērto ciļņu skaitu un sesijas ilgumu (informācija par atvērtajām vietnēm un meklēšanas vaicājumi netiek pārsūtīta). Pilnu informāciju par savāktajiem datiem var skatīt lapā “about:telemetrija”.
  

• Operētājsistēmām Linux un macOS ir pievienota iespēja skatīt videoklipu režīmā Attēls attēlā, ļaujot atvienot videoklipu peldoša loga veidā, kas paliek redzams pārlūkprogrammas navigācijas laikā. Lai skatītu šajā režīmā, jums jānoklikšķina uz rīka padoma vai konteksta izvēlnē, kas tiek parādīta, ar peles labo pogu noklikšķinot uz videoklipa, atlasiet “Attēls attēlā” (pakalpojumā YouTube, kas aizstāj savu konteksta izvēlnes apdarinātāju, jums vajadzētu ar labo pogu noklikšķiniet divreiz vai noklikšķiniet, turot nospiestu taustiņu Shift).
  

• Kad tiek parādīta ritjosla iesaistīti pašreizējās lapas fona krāsa.
• Izdzēsts iespēja publiskās atslēgas piesaistes (PKP, Public Key Pinning), kas ļauj, izmantojot HTTP galveni Public-Key-Pins, skaidri noteikt sertifikātus, kuru sertifikācijas iestādes var izmantot konkrētai vietnei. Minētais iemesls ir zemais pieprasījums pēc šīs funkcijas, saderības problēmu risks (PKP atbalsts pārtraukta pārlūkprogrammā Chrome) un iespēja bloķēt savu vietni nepareizu atslēgu saistīšanas vai atslēgu pazaudēšanas dēļ (piemēram, nejauša dzēšana vai kompromitēšana uzlaušanas rezultātā).
• Struktūra pieņemts ielāpusļaujot OpenBSD iesaistīties sistēmas zvani atklāt () и ķīla () papildu failu sistēmas un procesa izolācijai.
• Noņemts atbalsts attēlu bloķēšanai no atsevišķiem domēniem. Izņemšanas iemesls ir lietotāju pieprasījuma trūkums pēc funkcijas un neērtais bloķēšanas interfeiss.
• Operētājsistēmas Windows būvējumos ir ieviests eksperimentāls līdzeklis, lai izmantotu klienta sertifikātus no vispārējā operētājsistēmas sertifikātu krātuves (lai to iespējotu failā about:config, ir jāaktivizē opcija security.osclientcerts.autoload).
• CSS Shadow Parts atbalsts ir iespējots pēc noklusējuma, tostarp "daļa"un pseidoelements":: daļa", ļaujot selektīvi parādīt noteiktus elementus no Ēnu DOM.

  
  rindkopa
  

  ...CSS, lai atlasītu elementus, kas saistīti ar daļas atribūtu:

  custom-element::part(example) {
  apmale: vienkrāsains 1px melns;
  robežas rādiuss: 5px;
  polsterējums: 5px;
  }

• Pievienots specifikāciju atbalsts CSS kustības ceļš, kas ļauj definēt animācijas objektu ceļu, izmantojot CSS, neizmantojot JavaScript kodu un nebloķējot renderēšanas un ievades procesu animācijas laikā. CSS rekvizīti tiek nodrošināti, lai kontrolētu animāciju
  kompensācija,
  nobīdes ceļš,
  ofset-enkurs,
  nobīdes attālums и
  nobīde-pagriezt.

• Atlasītie CSS transformācijas rekvizīti ir iespējoti pēc noklusējuma mērogs, rotēt и tulkot, kas nav saistīts ar īpašumu pārveidot (t.i., CSS tagad varat norādīt “scale: 2;” nevis “transform: scale(2);”).
• JavaScript ievieš loģiskās savienošanas operatoru "??", kas atgriež labo operandu, ja kreisais operands ir NULL vai nav definēts, un otrādi. Piemēram, "const foo = bar ?? 'noklusējuma virkne'", ja josla ir nulle, pretējā gadījumā tiks atgriezta joslas vērtība, tostarp, ja josla ir 0 un ' ', atšķirībā no operatora "||".
• Pievienots API FormDataEvent un pasākums FormData, kas ļauj izmantot JavaScript apdarinātājus, lai veidlapai pievienotu datus, kad tā tiek iesniegta, neuzglabājot datus slēptos ievades elementos.
• API Ģeogrāfiskās vietas atjaunināts, lai atbilstu jaunajai specifikācijai, piemēram, pārdēvēts par koordinātēm par ģeogrāfiskās atrašanās vietas koordinātēm, pozīcija uz ģeogrāfiskās atrašanās vietas atrašanās vietu un
  PositionError in GeolocationPositionError.

• JavaScript atkļūdotājā pievienots atbalsts nosacījuma pārtraukuma punktiem (novērošanas punkts), tiek aktivizēts, kad tiek mainītas vai lasītas noteiktas objektu īpašības.
  

• JavaScript atkļūdotāja palaišana ir paātrināta, kad ir atvērts ļoti liels skaits ciļņu (pirmkārt, prioritāte tagad ir redzamajām cilnēm).
• Responsive Design Mode ievieš dažādu meta skata loga vērtību simulāciju. Lapas pārbaudes režīmam pievienots vērtību simulators “prefers-color-scheme”.
• В tīmekļa konsolēm vairāku rindu JavaScript interpretācijas režīmā ir pievienots atbalsts failu saglabāšanai un atvēršanai, izmantojot kombinācijas Ctrl + O un Ctrl + S.
• Pievienots javascript.options.asyncstack iestatīšana, lai tīmekļa konsolē vizuāli atdalītu asinhronos ziņojumus. Aktivizējot console.trace() un console.error() iestatījumus, tiek parādīta visa asinhrono operāciju izsaukuma kopa, kas ļauj saprast, kā ieplānot taimeru, notikumu, solījumu, ģeneratoru u.c. palaišanu.
  

• WebSocket pārbaudes režīmā ir ieviesta metadatu parsēšana un vizuāla attēlošana ASP.NET Core ziņojumos izmantotajā SignalR formātā, pievienoti arī skaitītāji, kas parāda kopējo nosūtīto un lejupielādēto datu apjomu.
• Tīkla darbības pārraudzības rīkā cilnē Laiki atsevišķi parādīts informācija par to, kad katrs resurss tika ievietots lejupielādes rindā, kad lejupielāde tika sākta un kad lejupielāde ir pabeigta.
• Vide ir izslēgta no tīmekļa izstrādātāju rīkiem Scratchpad, kas paredzēts eksperimentēšanai ar JavaScript kodu (Scratchpad pēdējā laidienā tika aizstāts ar vairāku rindu tīmekļa konsoles režīmu).

Papildus jauninājumiem un kļūdu labojumiem Firefox 72 ir labojis 20 ievainojamības, no kuriem 11 (savākts zem CVE-2019-17025 и CVE-2019-17024) ir atzīmēti kā tādi, kas potenciāli var izraisīt uzbrucēja koda izpildi, atverot īpaši izstrādātas lapas. Atgādināsim, ka atmiņas problēmas, piemēram, bufera pārpilde un piekļuve jau atbrīvotajām atmiņas zonām, pēdējā laikā ir atzīmētas kā bīstamas, taču ne kritiskas. Īpaši jāatzīmē problēma CVE-2019-17017 XPCVariant.cpp kodā, kas arī var izraisīt koda izpildi.

Avots: opennet.ru