Firefox 74 laidiens

Izlaista tīmekļa pārlūkprogramma Firefox 74un mobilā versija Firefox 68.6 Android platformai. Turklāt ir ģenerēts atjauninājums filiāles ilgtermiņa atbalsts 68.6.0. Drīzumā uz skatuves beta testēšana pārcelsies Firefox 75 filiāle, kuras izlaišana paredzēta 7. aprīlī (projekts pārvietots 4-5 nedēļas attīstības cikls). Firefox 75 beta filiālei sākās veidošana montāžas operētājsistēmai Linux Flatpak formātā.

Galvenais jauninājumiem:

• Linux versijās tiek izmantots izolācijas mehānisms RLBox, kuras mērķis ir bloķēt trešo pušu funkciju bibliotēku ievainojamību izmantošanu. Šajā posmā izolācija ir iespējota tikai bibliotēkai grafīts, kas atbild par fontu renderēšanu. RLBox apkopo izolētās bibliotēkas C/C++ kodu zema līmeņa WebAssembly starpkodā, kas pēc tam tiek veidots kā WebAssembly modulis, kura atļaujas tiek iestatītas tikai attiecībā uz šo moduli. Samontētais modulis darbojas atsevišķā atmiņas apgabalā, un tam nav piekļuves pārējai adrešu telpai. Ja tiek izmantota bibliotēkas ievainojamība, uzbrucējs būs ierobežots un nevarēs piekļūt galvenā procesa atmiņas apgabaliem vai nodot kontroli ārpus izolētas vides.
• DNS, izmantojot HTTPS režīmu (DoH, DNS, izmantojot HTTPS) iespējots pēc noklusējuma ASV lietotājiem. Noklusējuma DNS nodrošinātājs ir CloudFlare (mozilla.cloudflare-dns.com uzskaitīti в bloķēšanas saraksti Roskomnadzor), un NextDNS ir pieejams kā opcija. Mainiet pakalpojumu sniedzēju vai iespējojiet DoH valstīs, kas nav ASV, viens var tīkla savienojuma iestatījumos. Vairāk par DoH varat lasīt pārlūkprogrammā Firefox vietnē atsevišķs paziņojums.
  

• Atspējots TLS 1.0 un TLS 1.1 protokolu atbalsts. Lai piekļūtu vietnēm, izmantojot drošu sakaru kanālu, serverim ir jānodrošina atbalsts vismaz TLS 1.2. Saskaņā ar Google datiem, pašlaik aptuveni 0.5% tīmekļa lapu lejupielādes joprojām tiek veiktas, izmantojot novecojušas TLS versijas. Izslēgšana tika veikta saskaņā ar ieteikumus IETF (Internet Engineering Task Force). TLS 1.0/1.1 atbalsta atteikuma iemesls ir moderno šifru (piemēram, ECDHE un AEAD) atbalsta trūkums un prasība atbalstīt vecos šifrus, kuru uzticamība tiek apšaubīta pašreizējā skaitļošanas tehnoloģijas attīstības stadijā ( piemēram, ir nepieciešams atbalsts TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 tiek izmantots integritātes pārbaudei un autentifikācijai un SHA-1). Mēģinot izmantot TLS 1.0 un TLS 1.1, sākot ar Firefox 74, tiks parādīta kļūda. Varat atjaunot spēju strādāt ar novecojušām TLS versijām, iestatot security.tls.version.enable-deprecated = true vai izmantojot pogu kļūdu lapā, kas tiek parādīta, apmeklējot vietni ar veco protokolu.
  

• Izlaiduma piezīmē ir ieteikts papildinājums Facebook konteiners, kas automātiski bloķē trešo pušu Facebook logrīkus, kas tiek izmantoti autentifikācijai, komentēšanai un atzīmēšanai ar Patīk. Facebook identifikācijas parametri ir izolēti atsevišķā konteinerā, kas apgrūtina lietotāja identificēšanu ar apmeklētajām vietnēm. Iespēja strādāt ar galveno Facebook vietni saglabājas, taču tā ir izolēta no citām vietnēm.

  Lai elastīgāk izolētu patvaļīgas vietnes, tiek piedāvāts papildinājums Vairāku kontu konteineri ar konteksta konteineru koncepcijas ieviešanu. Konteineri nodrošina iespēju izolēt dažāda veida saturu, neveidojot atsevišķus profilus, kas ļauj nodalīt atsevišķu lapu grupu informāciju. Piemēram, varat izveidot atsevišķas, izolētas zonas personiskai saziņai, darbam, iepirkšanās un bankas darījumiem vai organizēt dažādu lietotāju kontu vienlaicīgu izmantošanu vienā vietnē. Katrs konteiners izmanto atsevišķus sīkfailu, vietējās krātuves API, indeksētās DB, kešatmiņas un OriginAttributes satura veikalus.

• Pievienots iestatījums “browser.tabs.allowTabDetach” iestatījumam about:config, lai novērstu ciļņu atdalīšanu jaunos logos. Nejauša ciļņu atdalīšana ir viena no kaitinošākajām Firefox kļūdām, kas ir jānovērš. meklēja 9 gadi. Pārlūkprogramma ļauj peli vilkt cilni jaunā logā, taču noteiktos apstākļos cilne darbības laikā tiek atdalīta atsevišķā logā, ja pele neuzmanīgi pārvietojas, noklikšķinot uz cilnes.
• Pārtraukts atbalsts papildinājumiem, kas instalēti apļveida ceļā un nav piesaistīti lietotāju profiliem. Izmaiņas ietekmē tikai pievienojumprogrammu instalēšanu koplietotajos direktorijos (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ vai ~/.mozilla/extensions/), ko apstrādā visi sistēmas Firefox gadījumi ( nav saistīts ar lietotāju). Šo metodi parasti izmanto pievienojumprogrammu iepriekšējai instalēšanai izplatījumos, nevēlamai aizstāšanai ar trešo pušu lietojumprogrammām, ļaunprātīgu pievienojumprogrammu integrēšanai vai pievienojumprogrammas atsevišķai piegādei ar savu instalētāju. Operētājsistēmā Firefox 73 iepriekš piespiedu kārtā instalētie papildinājumi ir automātiski pārvietoti no koplietotā direktorija uz atsevišķiem lietotāju profiliem, un tagad tos var noņemts izmantojot parasto pievienojumprogrammu pārvaldnieku.
• Pārlūkprogrammā iekļautajā Lockwise sistēmas papildinājumā, kas piedāvā interfeisu “about:logins” saglabāto paroļu pārvaldībai, atbalstīt kārtot apgrieztā secībā (Z līdz A).
• WebRTC ir palielinājusi aizsardzību pret informācijas noplūdi par iekšējo IP adresi balss un video zvanu laikā, izmantojot "mDNS ICE”, slēpjot vietējo adresi aiz dinamiski ģenerēta nejauša identifikatora, kas noteikts, izmantojot multiraides DNS.
• Mainīta attēla attēla skata slēdža atrašanās vieta, kas pārklājās ar nākamā attēla pogu paketes augšupielādes fotoattēlu saskarnē pakalpojumā Instagram.
• JavaScript piebilda operators “?.”, kas paredzēts, lai vienlaikus pārbaudītu visu rekvizītu vai zvanu ķēdi. Piemēram, norādot "db?.user?.name?.length", tagad varat piekļūt "db.user.name.length" vērtībai bez iepriekšējas pārbaudes. Ja kāds elements tiek apstrādāts kā nulles vai nedefinēts, izvade būs “nedefinēta”.
• Pārtraukts atbalsts vietnēs un papildinājumos metodei Object.toSource() un globālajai funkcijai uneval().
• Pievienots jauns pasākums valodas maiņa_pat un ar to saistīto īpašumu valodas maiņa, kas ļauj izsaukt apdarinātāju, kad lietotājs maina saskarnes valodu.
• HTTP galvenes apstrāde ir iespējota Vairāku izcelsmes resursu politika (BODY), ļaujot vietnēm novērst resursu (piemēram, attēlu un skriptu) ievietošanu, kas ielādēti no citiem domēniem (starp izcelsmes un vairāku vietņu). Galvenei var būt divas vērtības: "same-origin" (atļauj pieprasīt tikai resursus ar tādu pašu shēmu, resursdatora nosaukumu un porta numuru) un "same-site" (atļauj tikai pieprasījumus no vienas un tās pašas vietnes).

  Vairāku izcelsmes resursu politika: viena un tā pati vietne

• HTTP galvene ir iespējota pēc noklusējuma Funkciju politika, kas ļauj kontrolēt API darbību un iespējot noteiktas funkcijas (piemēram, varat atspējot piekļuvi ģeogrāfiskās atrašanās vietas noteikšanas API, kamerai, mikrofonam, pilnekrānam, automātiskajai atskaņošanai, šifrētai multividei, animācijai, maksājumu API, sinhronajam XMLHttpRequest režīmam, utt.). Iframe blokiem atribūts "ļaut“, ko var izmantot lapas kodā, lai piešķirtu tiesības noteiktiem iframe blokiem.

  Funkcijas politika: mikrofons “nav”; ģeogrāfiskā atrašanās vieta "nav"

  Ja vietne, izmantojot atribūtu “allow”, ļauj strādāt ar resursu konkrētam iframe un no iframe tiek saņemts pieprasījums iegūt atļaujas darbam ar šo resursu, pārlūkprogrammā tagad tiek parādīts dialoglodziņš atļauju piešķiršanai galvenās lapas kontekstā un deleģē lietotāja apstiprinātās tiesības uz iframe (nevis atsevišķu apstiprinājumu iframe un galvenajai lapai). Bet, ja galvenajai lapai nav atļaujas resursam, kas pieprasīts, izmantojot atribūtu allow, iframe nekavējoties var piekļūt resursam bloķēts, neparādot lietotājam dialoglodziņu.

• CSS rekvizītu atbalsts ir iespējots pēc noklusējumateksts-pasvītrot-pozīcija', kas nosaka teksta pasvītrojuma pozīciju (piemēram, attēlojot tekstu vertikāli, pasvītrojumus var organizēt pa kreisi vai pa labi, un, attēlojot horizontāli, ne tikai no apakšas, bet arī no augšas). Turklāt CSS rekvizītos, kas kontrolē pasvītrojuma stilu teksts-pasvītrojums-nobīde и teksts-dekorācija-biezums Pievienots atbalsts procentu vērtību izmantošanai.
• CSS īpašumā kontūras stils, kas definē līniju stilu ap elementiem, pēc noklusējuma ir “auto” (iepriekš invalīds GNOME problēmu dēļ).
• JavaScript atkļūdotājā pievienots iespēja atkļūdot ligzdotos Web Workers, kuru izpildi var apturēt un soli pa solim atkļūdot, izmantojot pārtraukumpunktus.
  

• Tīmekļa lapas pārbaudes saskarne tagad nodrošina brīdinājumus par CSS rekvizītiem, kas ir atkarīgi no z-indeksa, augšējā, kreisās, apakšējās un labās pozīcijas elementiem.
  

• Operētājsistēmām Windows un macOS ir ieviesta iespēja importēt profilus no pārlūkprogrammas Microsoft Edge, pamatojoties uz Chromium dzinēju.

Papildus jauninājumiem un kļūdu labojumiem Firefox 74 ir labojis 20 ievainojamības, no kuriem 10 (savākts zem CVE-2020-6814 и CVE-2020-6815) ir atzīmēti kā tādi, kas potenciāli var izraisīt uzbrucēja koda izpildi, atverot īpaši izstrādātas lapas. Atgādināsim, ka atmiņas problēmas, piemēram, bufera pārpilde un piekļuve jau atbrīvotajām atmiņas zonām, pēdējā laikā ir atzīmētas kā bīstamas, taču ne kritiskas.

Avots: opennet.ru