Keluaran Firefox 74

Pelayar web dikeluarkan Firefox 74Dan versi mudah alih Firefox 68.6 untuk platform Android. Selain itu, kemas kini telah dihasilkan cawangan sokongan jangka panjang 68.6.0. Akan datang ke pentas ujian beta cawangan Firefox 75 akan berpindah, pelepasannya dijadualkan pada 7 April (projek tergerak selama 4-5 minggu kitaran pembangunan). Untuk cawangan beta Firefox 75 bermula pembentukan perhimpunan untuk Linux dalam format Flatpak.

Utama inovasi:

• Binaan Linux menggunakan mekanisme pengasingan RLBox, bertujuan untuk menyekat eksploitasi kelemahan dalam perpustakaan fungsi pihak ketiga. Pada peringkat ini, pengasingan hanya didayakan untuk perpustakaan grafit, bertanggungjawab untuk membuat fon. RLBox menyusun kod C/C++ perpustakaan terpencil ke dalam kod perantaraan WebAssembly peringkat rendah, yang kemudiannya direka bentuk sebagai modul WebAssembly, yang kebenarannya ditetapkan hanya berkaitan dengan modul ini. Modul yang dipasang beroperasi dalam kawasan memori yang berasingan dan tidak mempunyai akses kepada ruang alamat yang lain. Jika kelemahan dalam pustaka dieksploitasi, penyerang akan terhad dan tidak akan dapat mengakses kawasan memori proses utama atau kawalan pemindahan di luar persekitaran terpencil.
• DNS melalui mod HTTPS (DoH, DNS melalui HTTPS) didayakan secara lalai untuk pengguna AS. Pembekal DNS lalai ialah CloudFlare (mozilla.cloudflare-dns.com tersenarai в senarai blok Roskomnadzor), dan NextDNS tersedia sebagai pilihan. Tukar pembekal atau dayakan DoH di negara selain AS, seseorang boleh dalam tetapan sambungan rangkaian. Anda boleh membaca lebih lanjut mengenai DoH dalam Firefox di pengumuman berasingan.
  

• Dilumpuhkan sokongan untuk protokol TLS 1.0 dan TLS 1.1. Untuk mengakses tapak melalui saluran komunikasi yang selamat, pelayan mesti menyediakan sokongan untuk sekurang-kurangnya TLS 1.2. Menurut Google, pada masa ini kira-kira 0.5% muat turun halaman web terus dijalankan menggunakan versi TLS yang sudah lapuk. Penutupan telah dijalankan mengikut cadangan IETF (Pasukan Petugas Kejuruteraan Internet). Alasan untuk menolak untuk menyokong TLS 1.0/1.1 adalah kekurangan sokongan untuk sifir moden (contohnya, ECDHE dan AEAD) dan keperluan untuk menyokong sifir lama, yang kebolehpercayaannya dipersoalkan pada peringkat perkembangan teknologi pengkomputeran sekarang ( contohnya, sokongan untuk TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukan, MD5 digunakan untuk semakan dan pengesahan integriti dan SHA-1). Apabila cuba menggunakan TLS 1.0 dan TLS 1.1 bermula dengan Firefox 74, ralat akan dipaparkan. Anda boleh memulihkan keupayaan untuk bekerja dengan versi TLS yang sudah lapuk dengan menetapkan security.tls.version.enable-deprecated = true atau dengan menggunakan butang pada halaman ralat yang dipaparkan semasa melawat tapak dengan protokol lama.
  

• Nota keluaran mengesyorkan tambahan Bekas Facebook, yang secara automatik menyekat widget Facebook pihak ketiga yang digunakan untuk pengesahan, mengulas dan menyukai. Parameter pengenalan Facebook diasingkan dalam bekas yang berasingan, menjadikannya sukar untuk mengenal pasti pengguna dengan tapak yang mereka lawati. Keupayaan untuk bekerja dengan tapak Facebook utama kekal, tetapi ia terpencil daripada tapak lain.

  Untuk pengasingan tapak sewenang-wenang yang lebih fleksibel, alat tambah dicadangkan Bekas Berbilang Akaun dengan pelaksanaan konsep wadah konteks. Bekas menyediakan keupayaan untuk mengasingkan pelbagai jenis kandungan tanpa membuat profil berasingan, yang membolehkan anda memisahkan maklumat kumpulan halaman individu. Sebagai contoh, anda boleh mencipta kawasan yang berasingan dan terpencil untuk komunikasi peribadi, kerja, membeli-belah dan transaksi perbankan, atau mengatur penggunaan serentak akaun pengguna yang berbeza pada satu tapak. Setiap bekas menggunakan stor berasingan untuk Kuki, API Storan Tempatan, indexedDB, cache dan kandungan OriginAttributes.

• Menambahkan tetapan "browser.tabs.allowTabDetach" pada about:config untuk mengelakkan tab daripada dipisahkan ke dalam tetingkap baharu. Detasmen tab secara tidak sengaja adalah salah satu pepijat Firefox yang paling menjengkelkan yang perlu diperbaiki. dicari 9 tahun. Penyemak imbas membenarkan tetikus menyeret tab ke dalam tetingkap baharu, tetapi dalam keadaan tertentu tab itu dipisahkan ke dalam tetingkap berasingan semasa operasi apabila tetikus bergerak cuai semasa mengklik pada tab.
• Dihentikan sokongan untuk alat tambah dipasang dengan cara bulat dan tidak terikat pada profil pengguna. Perubahan hanya mempengaruhi pemasangan alat tambah dalam direktori kongsi (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ atau ~/.mozilla/extensions/) yang diproses oleh semua tika Firefox pada sistem ( tidak dikaitkan dengan pengguna) . Kaedah ini biasanya digunakan untuk pra-pemasangan alat tambah dalam pengedaran, untuk penggantian tanpa diminta dengan aplikasi pihak ketiga, untuk menyepadukan alat tambah berniat jahat, atau untuk menghantar alat tambah secara berasingan dengan pemasangnya sendiri. Dalam Firefox 73, alat tambah yang dipasang secara paksa sebelum ini telah dialihkan secara automatik daripada direktori kongsi ke profil pengguna individu dan kini boleh dikeluarkan melalui pengurus tambahan biasa.
• Dalam alat tambah sistem Lockwise yang disertakan dalam penyemak imbas, yang menawarkan antara muka "about:login" untuk mengurus kata laluan yang disimpan, menyokong susun mengikut urutan terbalik (Z hingga A).
• WebRTC telah meningkatkan perlindungan terhadap kebocoran maklumat mengenai alamat IP dalaman semasa panggilan suara dan video menggunakan "mDNS ICE“, menyembunyikan alamat setempat di sebalik pengecam rawak yang dijana secara dinamik yang ditentukan melalui DNS Multicast.
• Menukar lokasi suis paparan gambar dalam gambar yang bertindih dengan butang imej seterusnya dalam antara muka foto muat naik kelompok di Instagram.
• Dalam JavaScript tambah operator “?.”, direka untuk menyemak keseluruhan rangkaian sifat atau panggilan secara serentak. Contohnya, dengan menyatakan "db?.user?.name?.length" anda kini boleh mengakses nilai "db.user.name.length" tanpa sebarang semakan awal. Jika mana-mana elemen diproses sebagai null atau undefined, output akan menjadi "undefined".
• Dihentikan sokongan pada tapak web dan dalam alat tambah untuk kaedah Object.toSource() dan fungsi global uneval().
• Acara baharu ditambah languagechange_even dan harta yang berkaitan onlanguagechange, yang membolehkan anda memanggil pengendali apabila pengguna menukar bahasa antara muka.
• Pemprosesan pengepala HTTP didayakan Dasar-Sumber Merentas Asal (TUBUH), membenarkan tapak menghalang penyisipan sumber (contohnya, imej dan skrip) yang dimuatkan daripada domain lain (merentas asal dan merentas tapak). Pengepala boleh mengambil dua nilai: "same-origin" (hanya membenarkan permintaan untuk sumber dengan skema, nama hos dan nombor port yang sama) dan "same-site" (hanya membenarkan permintaan dari tapak yang sama).

  Silang-Asal-Sumber-Dasar: tapak yang sama

• Pengepala HTTP didayakan secara lalai Dasar-Ciri, yang membolehkan anda mengawal gelagat API dan mendayakan ciri tertentu (contohnya, anda boleh melumpuhkan akses kepada API Geolokasi, kamera, mikrofon, skrin penuh, automain, media yang disulitkan, animasi, API Pembayaran, mod XMLHttpRequest segerak, dan lain-lain.). Untuk blok iframe, atribut "membenarkan“, yang boleh digunakan dalam kod halaman untuk memberikan hak kepada blok iframe tertentu.

  Dasar Ciri: mikrofon 'tiada'; geolokasi 'tiada'

  Jika tapak membenarkan, melalui atribut "benarkan", berfungsi dengan sumber untuk iframe tertentu dan permintaan diterima daripada iframe untuk mendapatkan kebenaran untuk bekerja dengan sumber ini, penyemak imbas kini memaparkan dialog untuk memberikan kebenaran dalam konteks halaman utama dan mewakilkan hak yang disahkan oleh pengguna kepada iframe (bukannya pengesahan berasingan untuk iframe dan halaman utama). Tetapi, jika halaman utama tidak mempunyai kebenaran kepada sumber yang diminta melalui atribut allow, iframe mempunyai akses kepada sumber dengan segera disekat, tanpa memaparkan dialog kepada pengguna.

• Sokongan untuk sifat CSS 'didayakan secara lalai'teks-garis-kedudukan', yang menentukan kedudukan garis bawah teks (contohnya, apabila memaparkan teks secara menegak, anda boleh mengatur garis bawah di sebelah kiri atau kanan, dan apabila memaparkan secara mendatar, bukan sahaja dari bawah, tetapi juga dari atas). Selain itu dalam sifat CSS yang mengawal gaya garis bawah text-underline-offset и teks-hiasan-ketebalan Menambah sokongan untuk menggunakan nilai peratusan.
• Dalam sifat CSS gaya garis besar, yang mentakrifkan gaya garisan di sekeliling elemen, lalai kepada "auto" (sebelum ini kurang upaya disebabkan masalah dalam GNOME).
• Dalam penyahpepijat JavaScript tambah keupayaan untuk menyahpepijat Pekerja Web bersarang, yang pelaksanaannya boleh digantung dan dinyahpepijat langkah demi langkah menggunakan titik putus.
  

• Antara muka pemeriksaan halaman web kini memberikan amaran untuk sifat CSS yang bergantung pada elemen kedudukan indeks-z, atas, kiri, bawah dan kanan.
  

• Untuk Windows dan macOS, keupayaan untuk mengimport profil daripada pelayar Microsoft Edge berdasarkan enjin Chromium telah dilaksanakan.

Sebagai tambahan kepada inovasi dan pembetulan pepijat, Firefox 74 telah diperbaiki 20 kelemahan, yang mana 10 (dikumpul di bawah CVE-2020 6814- и CVE-2020 6815-) dibenderakan sebagai berpotensi untuk membawa kepada pelaksanaan kod penyerang apabila membuka halaman yang direka khas. Marilah kami mengingatkan anda bahawa masalah ingatan, seperti limpahan penimbal dan akses kepada kawasan memori yang telah dibebaskan, baru-baru ini telah ditandakan sebagai berbahaya, tetapi tidak kritikal.

Sumber: opennet.ru