De webbrowser is vrijgegeven En Firefox 68.6 voor het Android-platform. Daarnaast is er een update gegenereerd met langdurige ondersteuning . Binnenkort op het podium de Firefox 75-tak zal verhuizen, waarvan de release gepland staat voor 7 april (project gedurende 4-5 weken ). Voor Firefox 75 bètatak формирование voor Linux in Flatpak-formaat.
:
- Linux-builds gebruiken een isolatiemechanisme , gericht op het blokkeren van de exploitatie van kwetsbaarheden in functiebibliotheken van derden. In dit stadium is isolatie alleen ingeschakeld voor de bibliotheek , verantwoordelijk voor het renderen van lettertypen. RLBox compileert de C/C++-code van de geïsoleerde bibliotheek in tussenliggende WebAssembly-code op laag niveau, die vervolgens wordt ontworpen als een WebAssembly-module, waarvan de machtigingen alleen met betrekking tot deze module worden ingesteld. De samengestelde module werkt in een apart geheugengebied en heeft geen toegang tot de rest van de adresruimte. Als een kwetsbaarheid in de bibliotheek wordt misbruikt, zal de aanvaller beperkt zijn en geen toegang krijgen tot geheugengebieden van het hoofdproces of de controle overdragen buiten de geïsoleerde omgeving.
- DNS via HTTPS-modus (DoH, DNS via HTTPS) voor Amerikaanse gebruikers. De standaard DNS-provider is CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) en NextDNS zijn als optie beschikbaar. Van provider veranderen of DoH inschakelen in andere landen dan de VS, in de netwerkverbindingsinstellingen. U kunt meer lezen over DoH in Firefox op .
- ondersteuning voor TLS 1.0- en TLS 1.1-protocollen. Om toegang te krijgen tot sites via een beveiligd communicatiekanaal, moet de server ondersteuning bieden voor minimaal TLS 1.2. Volgens Google wordt momenteel nog steeds ongeveer 0.5% van de webpaginadownloads uitgevoerd met behulp van verouderde versies van TLS. De afsluiting werd uitgevoerd in overeenstemming met IETF (Internet Engineering Taskforce). De reden voor het weigeren van ondersteuning van TLS 1.0/1.1 is het gebrek aan ondersteuning voor moderne cijfers (bijvoorbeeld ECDHE en AEAD) en de eis om oude cijfers te ondersteunen, waarvan de betrouwbaarheid in de huidige ontwikkelingsfase van de computertechnologie in twijfel wordt getrokken ( ondersteuning voor TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA is bijvoorbeeld vereist, MD5 wordt gebruikt voor integriteitscontrole en authenticatie en SHA-1). Wanneer u TLS 1.0 en TLS 1.1 probeert te gebruiken vanaf Firefox 74, wordt er een foutmelding weergegeven. U kunt de mogelijkheid om met verouderde TLS-versies te werken herstellen door security.tls.version.enable-deprecated = true in te stellen of door de knop op de foutpagina te gebruiken die wordt weergegeven wanneer u een site met het oude protocol bezoekt.
- In de releasenote wordt een add-on aanbevolen , dat automatisch Facebook-widgets van derden blokkeert die worden gebruikt voor authenticatie, commentaar en liken. De identificatieparameters van Facebook worden in een aparte container geïsoleerd, waardoor het moeilijk wordt om de gebruiker te identificeren met de sites die hij bezoekt. De mogelijkheid om met de hoofdsite van Facebook te werken blijft bestaan, maar deze is geïsoleerd van andere sites.
Voor een flexibelere isolatie van willekeurige locaties wordt een add-on voorgesteld met de implementatie van het concept van contextcontainers. Containers bieden de mogelijkheid om verschillende soorten inhoud te isoleren zonder afzonderlijke profielen te maken, waardoor u de informatie van afzonderlijke groepen pagina's kunt scheiden. U kunt bijvoorbeeld aparte, geïsoleerde ruimtes creëren voor persoonlijke communicatie, werk, winkelen en banktransacties, of het gelijktijdig gebruik van verschillende gebruikersaccounts op één site organiseren. Elke container gebruikt afzonderlijke winkels voor Cookies, Local Storage API, indexedDB, cache en OriginAttributes-inhoud.
- De instelling “browser.tabs.allowTabDetach” is toegevoegd aan about:config om te voorkomen dat tabbladen worden losgekoppeld in nieuwe vensters. Het per ongeluk losmaken van tabbladen is een van de meest vervelende Firefox-bugs die moeten worden opgelost. 9 jaar. De browser staat de muis toe een tabblad naar een nieuw venster te slepen, maar onder bepaalde omstandigheden wordt het tabblad tijdens het gebruik in een apart venster losgemaakt wanneer de muis onzorgvuldig beweegt tijdens het klikken op het tabblad.
- ondersteuning voor add-ons die op een omslachtige manier zijn geïnstalleerd en niet gebonden zijn aan gebruikersprofielen. De wijziging heeft alleen invloed op de installatie van add-ons in gedeelde mappen (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ of ~/.mozilla/extensions/) verwerkt door alle Firefox-instanties op het systeem ( niet gekoppeld aan een gebruiker). Deze methode wordt meestal gebruikt voor het vooraf installeren van add-ons in distributies, voor ongevraagde vervanging door applicaties van derden, voor het integreren van kwaadaardige add-ons, of voor het afzonderlijk leveren van een add-on met een eigen installatieprogramma. In Firefox 73 zijn eerder afgedwongen geïnstalleerde add-ons automatisch verplaatst van de gedeelde map naar individuele gebruikersprofielen en kunnen nu via de reguliere add-onmanager.
- In de Lockwise-systeemadd-on in de browser, die de “about:logins”-interface biedt voor het beheren van opgeslagen wachtwoorden, sorteer in omgekeerde volgorde (Z tot A).
- WebRTC heeft de bescherming verbeterd tegen het lekken van informatie over het interne IP-adres tijdens spraak- en video-oproepen met behulp van de "“, waarbij het lokale adres wordt verborgen achter een dynamisch gegenereerde willekeurige identificatie die wordt bepaald via Multicast DNS.
- De locatie gewijzigd van de beeld-in-beeld-weergaveschakelaar die de volgende afbeeldingsknop overlapt in de batch-upload foto-interface op Instagram.
- In JavaScript operator “?.”, ontworpen om tegelijkertijd de hele keten van eigenschappen of oproepen te controleren. Door bijvoorbeeld "db?.user?.name?.length" op te geven, heeft u nu zonder voorafgaande controles toegang tot de waarde van "db.user.name.length". Als een element als nul of ongedefinieerd wordt verwerkt, zal de uitvoer “ongedefinieerd” zijn.
- ondersteuning op websites en in add-ons voor de Object.toSource() methode en de globale functie uneval().
- Nieuw evenement toegevoegd en de daarbij behorende eigendommen , waarmee u een handler kunt aanroepen wanneer de gebruiker de interfacetaal wijzigt.
- HTTP-headerverwerking ingeschakeld (), waardoor sites kunnen voorkomen dat bronnen (bijvoorbeeld afbeeldingen en scripts) worden geladen vanuit andere domeinen (cross-origin en cross-site). De header kan twee waarden aannemen: "same-origin" (staat alleen verzoeken toe voor bronnen met hetzelfde schema, hostnaam en poortnummer) en "same-site" (staat alleen verzoeken toe van dezelfde site).
Cross-Origin-Resource-beleid: dezelfde site
- HTTP-header standaard ingeschakeld , waarmee u het gedrag van de API kunt controleren en bepaalde functies kunt inschakelen (u kunt bijvoorbeeld de toegang tot de Geolocation API, camera, microfoon, volledig scherm, autoplay, gecodeerde media, animatie, Payment API, synchrone XMLHttpRequest-modus uitschakelen, enz.). Voor iframe-blokken is het attribuut ““, die in de paginacode kan worden gebruikt om rechten aan bepaalde iframe-blokken toe te wijzen.
Feature-beleid: microfoon ‘geen’; geolocatie 'geen'
Als een site via het attribuut “allow” toestaat om met een bron voor een specifiek iframe te werken, en er wordt een verzoek ontvangen van het iframe om machtigingen te verkrijgen om met deze bron te werken, geeft de browser nu een dialoogvenster weer voor het verlenen van machtigingen in de context van de hoofdpagina en delegeert de door de gebruiker bevestigde rechten aan het iframe (in plaats van afzonderlijke bevestigingen voor iframe en hoofdpagina). Maar als de hoofdpagina geen toestemming heeft voor de via het allow-attribuut aangevraagde bron, heeft het iframe onmiddellijk toegang tot de bron , zonder dat er een dialoogvenster voor de gebruiker wordt weergegeven.
- Ondersteuning voor CSS-eigenschappen ‘standaard ingeschakeld’‘, die de positie van de onderstreping van de tekst bepaalt (bij verticale weergave van tekst kun je bijvoorbeeld de onderstreping links of rechts organiseren, en bij horizontale weergave niet alleen van onderen, maar ook van bovenaf). Bovendien in de CSS-eigenschappen die de onderstrepingsstijl bepalen и Ondersteuning toegevoegd voor het gebruik van percentagewaarden.
- In een CSS-eigenschap , dat de lijnstijl rond elementen definieert, is standaard ingesteld op "auto" (voorheen vanwege problemen in GNOME).
- In de JavaScript-foutopsporing de mogelijkheid om geneste Web Workers te debuggen, waarvan de uitvoering stap voor stap kan worden opgeschort en gedebugd met behulp van breekpunten.
- De webpagina-inspectie-interface biedt nu waarschuwingen voor CSS-eigenschappen die afhankelijk zijn van de z-index, boven-, links-, onder- en rechts gepositioneerde elementen.
- Voor Windows en macOS is de mogelijkheid geïmplementeerd om profielen te importeren vanuit de Microsoft Edge-browser op basis van de Chromium-engine.
Naast innovaties en bugfixes heeft Firefox 74 ook verbeteringen aangebracht , waarvan 10 (verzameld onder и ) worden gemarkeerd als mogelijk leidend tot het uitvoeren van code van de aanvaller bij het openen van speciaal ontworpen pagina's. Laten we u eraan herinneren dat geheugenproblemen, zoals bufferoverflows en toegang tot reeds vrijgemaakte geheugengebieden, onlangs zijn gemarkeerd als gevaarlijk, maar niet als kritiek.
Bron: opennet.ru