Nettleseren ble utgitt Og Firefox 68.6 for Android-plattformen. I tillegg er det generert en oppdatering med langsiktig støtte . Kommer snart på scenen Firefox 75-grenen vil flytte over, og utgivelsen er planlagt til 7. april (prosjekt i 4-5 uker ). For Firefox 75 beta filial dannelse for Linux i Flatpak-format.
:
- Linux-bygg bruker en isolasjonsmekanisme , rettet mot å blokkere utnyttelse av sårbarheter i tredjeparts funksjonsbiblioteker. På dette stadiet er isolering bare aktivert for biblioteket , ansvarlig for gjengivelse av fonter. RLBox kompilerer C/C++-koden til det isolerte biblioteket til WebAssembly-mellomkode på lavt nivå, som deretter er utformet som en WebAssembly-modul, hvis tillatelser kun er satt i forhold til denne modulen. Den sammensatte modulen opererer i et eget minneområde og har ikke tilgang til resten av adresseplassen. Hvis en sårbarhet i biblioteket utnyttes, vil angriperen være begrenset og vil ikke kunne få tilgang til minneområder i hovedprosessen eller overføre kontroll utenfor det isolerte miljøet.
- DNS over HTTPS-modus (DoH, DNS over HTTPS) for amerikanske brukere. Standard DNS-leverandør er CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), og NextDNS er tilgjengelig som et alternativ. Bytt leverandør eller aktiver DoH i andre land enn USA, i nettverkstilkoblingsinnstillingene. Du kan lese mer om DoH i Firefox på .
- støtte for TLS 1.0- og TLS 1.1-protokoller. For å få tilgang til nettsteder over en sikker kommunikasjonskanal, må serveren gi støtte for minst TLS 1.2. I følge Google fortsetter for øyeblikket omtrent 0.5 % av nedlastingene av nettsider å bli utført med utdaterte versjoner av TLS. Stengingen ble utført iht IETF (Internet Engineering Task Force). Årsaken til å nekte å støtte TLS 1.0/1.1 er mangelen på støtte for moderne chiffer (for eksempel ECDHE og AEAD) og kravet om å støtte gamle chiffer, hvis pålitelighet stilles spørsmålstegn ved det nåværende utviklingsstadiet av datateknologi ( for eksempel kreves støtte for TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 brukes til integritetskontroll og autentisering og SHA-1). Når du prøver å bruke TLS 1.0 og TLS 1.1 fra Firefox 74, vises en feilmelding. Du kan gjenopprette muligheten til å jobbe med utdaterte TLS-versjoner ved å sette security.tls.version.enable-deprecated = true eller ved å bruke knappen på feilsiden som vises når du besøker et nettsted med den gamle protokollen.
- Utgivelsesnotatet anbefaler et tillegg , som automatisk blokkerer tredjeparts Facebook-widgets som brukes til autentisering, kommentering og liking. Facebooks identifikasjonsparametere er isolert i en egen beholder, noe som gjør det vanskelig å identifisere brukeren med sidene de besøker. Muligheten til å jobbe med hovedsiden på Facebook består, men den er isolert fra andre nettsteder.
For mer fleksibel isolering av vilkårlige nettsteder foreslås et tillegg med implementering av konseptet kontekstbeholdere. Beholdere gir muligheten til å isolere ulike typer innhold uten å lage separate profiler, noe som lar deg skille informasjonen til individuelle grupper av sider. Du kan for eksempel opprette separate, isolerte områder for personlig kommunikasjon, arbeid, shopping og banktransaksjoner, eller organisere samtidig bruk av forskjellige brukerkontoer på ett nettsted. Hver beholder bruker separate lagre for informasjonskapsler, Local Storage API, indexedDB, cache og OriginAttributes-innhold.
- Lagt til "browser.tabs.allowTabDetach"-innstilling til about:config for å forhindre at faner løsnes i nye vinduer. Utilsiktet løsgjøring av faner er en av de mest irriterende Firefox-feilene som må fikses. 9 år. Nettleseren lar musen dra en fane inn i et nytt vindu, men under visse omstendigheter løsnes fanen i et eget vindu under drift når musen beveger seg uforsiktig mens den klikker på fanen.
- støtte for tillegg installert i en rundkjøringsmåte og ikke knyttet til brukerprofiler. Endringen påvirker kun installasjon av tillegg i delte kataloger (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ eller ~/.mozilla/extensions/) behandlet av alle Firefox-forekomster på systemet ( ikke knyttet til en bruker). Denne metoden brukes vanligvis for å forhåndsinstallere tillegg i distribusjoner, for uønsket erstatning med tredjepartsapplikasjoner, for å integrere skadelige tillegg, eller for separat levering av et tillegg med sitt eget installasjonsprogram. I Firefox 73 har tidligere tvangsinstallerte tillegg blitt automatisk flyttet fra den delte katalogen til individuelle brukerprofiler og kan nå gjennom den vanlige tilleggsbehandleren.
- I Lockwise-systemtillegget som er inkludert i nettleseren, som tilbyr "about:logins"-grensesnittet for å administrere lagrede passord, sorter i omvendt rekkefølge (Z til A).
- WebRTC har økt beskyttelse mot lekkasje av informasjon om den interne IP-adressen under tale- og videosamtaler ved å bruke "", skjuler den lokale adressen bak en dynamisk generert tilfeldig identifikator bestemt gjennom Multicast DNS.
- Endret plasseringen til bilde-i-bilde-visningsbryteren som overlappet neste bilde-knappen i gruppeopplastingsbildegrensesnittet på Instagram.
- I JavaScript operatør “?.”, designet for å sjekke hele kjeden av eiendommer eller samtaler samtidig. For eksempel, ved å spesifisere "db?.user?.name?.length" kan du nå få tilgang til verdien av "db.user.name.length" uten noen foreløpige kontroller. Hvis et element behandles som null eller udefinert, vil utgangen være "udefinert".
- støtte på nettsteder og i tillegg for Object.toSource()-metoden og den globale funksjonen uneval().
- Ny begivenhet lagt til og tilhørende eiendom , som lar deg ringe en behandler når brukeren endrer grensesnittspråket.
- HTTP-hodebehandling aktivert (), slik at nettsteder kan forhindre innsetting av ressurser (for eksempel bilder og skript) lastet fra andre domener (kryss-opprinnelse og cross-site). Overskriften kan ha to verdier: "same-origin" (tillater kun forespørsler om ressurser med samme skjema, vertsnavn og portnummer) og "same-site" (tillater kun forespørsler fra samme side).
Cross-Origin-Resource-Policy: samme nettsted
- HTTP-header aktivert som standard , som lar deg kontrollere oppførselen til APIen og aktivere visse funksjoner (for eksempel kan du deaktivere tilgangen til Geolocation API, kamera, mikrofon, fullskjerm, autoavspilling, kryptert media, animasjon, Payment API, XMLHttpRequest synkron modus, etc.). For iframe-blokker, attributtet "", som kan brukes i sidekoden for å tildele rettigheter til visse iframe-blokker.
Funksjonspolicy: mikrofon 'ingen'; geolokalisering "ingen"
Hvis et nettsted tillater, gjennom "allow"-attributtet, å jobbe med en ressurs for en spesifikk iframe, og det mottas en forespørsel fra iframen om å få tillatelser til å jobbe med denne ressursen, viser nettleseren nå en dialogboks for å gi tillatelser i konteksten til hovedsiden og delegerer rettighetene bekreftet av brukeren til iframe (i stedet for en separat bekreftelse for iframe og hovedside). Men hvis hovedsiden ikke har tillatelse til ressursen som er forespurt gjennom tillate-attributtet, har iframe tilgang til ressursen umiddelbart , uten å vise en dialog for brukeren.
- CSS-egenskapsstøtte er aktivert som standard '', som bestemmer plasseringen av understrekingen av teksten (for eksempel når du viser tekst vertikalt, kan du organisere understreking til venstre eller høyre, og når du viser horisontalt, ikke bare nedenfra, men også ovenfra). I tillegg i CSS-egenskapene som kontrollerer understrekingsstilen и Lagt til støtte for bruk av prosentverdier.
- I en CSS-eiendom , som definerer linjestilen rundt elementer, er standard til "auto" (tidligere på grunn av problemer i GNOME).
- I JavaScript-feilsøkeren muligheten til å feilsøke nestede Web Workers, hvis utførelse kan suspenderes og feilsøkes trinnvis ved hjelp av bruddpunkter.
- Websideinspeksjonsgrensesnittet gir nå advarsler for CSS-egenskaper som avhenger av z-indeksen, topp-, venstre-, bunn- og høyreposisjonselementene.
- For Windows og macOS er muligheten til å importere profiler fra Microsoft Edge-nettleseren basert på Chromium-motoren implementert.
I tillegg til innovasjoner og feilrettinger, har Firefox 74 fikset , hvorav 10 (samlet under и ) er flagget som potensielt i stand til å føre til kjøring av angriperkode når du åpner spesialdesignede sider. La oss minne deg på at minneproblemer, som bufferoverløp og tilgang til allerede frigjorte minneområder, nylig har blitt merket som farlige, men ikke kritiske.
Kilde: opennet.ru