Wypuszczono przeglądarkę internetową a także Firefox 68.4 na platformę Android. Dodatkowo została wygenerowana aktualizacja z długoterminowym wsparciem . Już niedługo na scenie przeniesiona zostanie gałąź Firefox 73, której wydanie zaplanowano na 11 lutego (project przez 4 tygodnie ).
:
- W domyślnym standardowym trybie blokowania nieodpowiednich treści ochrona przed śledzeniem użytkownika przy użyciu ukrytych metod identyfikacji („odcisk palca przeglądarki”), która jest realizowana przez na liście Disconnect.me, która zawiera hosty, u których stwierdzono używanie skryptów do ukrytej identyfikacji. Ukryta identyfikacja oznacza przechowywanie identyfikatorów w obszarach nieprzeznaczonych do trwałego przechowywania informacji („Supercookies”), a także generowanie identyfikatorów w oparciu o dane pośrednie, takie jak np. , lista obsługiwanych typów MIME, określone parametry w nagłówkach ( и ), analiza zainstalowanych , dostępność niektórych interfejsów API sieci Web, specyficznych dla kart graficznych renderowanie przy użyciu WebGL i Canvas, z CSS, analiza cech pracy z и .
- metody z irytującymi prośbami o przyznanie witrynie dodatkowych uprawnień (Notification.requestPermission(), PushManager.subscribe() i MediaDevices.getDisplayMedia()). Prośby o potwierdzenie autoryzacji nie będą już przerywać pracy z przeglądarką, a jedynie prowadzić do wyświetlenia wskaźnika w pasku adresu po zarejestrowaniu interakcji użytkownika ze stroną (kliknięcie myszką lub naciśnięcie klawisza). Wiele witryn nadużywa możliwości przeglądarki w zakresie żądania uprawnień, głównie poprzez okresowe proszenie o powiadomienia push. Analiza telemetryczna wykazała, że 97% takich żądań jest odrzucanych, w tym w 19% przypadków użytkownik natychmiast zamyka stronę bez kliknięcia przycisku zgody lub odrzucenia.
- eksperymentalny Protokół HTTP/3 (aby aktywować w about:config należy ustawić opcję „network.http.http3.enabled”). Obsługa protokołu HTTP/3 w przeglądarce Firefox opiera się na , napisany w języku Rust, implementujący klienta i serwer protokołu QUIC (HTTP/3 używając protokołu QUIC jako transportu dla HTTP/2).
- Zgodnie z wymogami prawa, które weszło w życie (Kalifornijska ustawa o ochronie prywatności konsumentów) możliwość usuwania danych telemetrycznych z serwerów Mozilli. Dane zostaną usunięte, jeśli odmówisz gromadzenia danych telemetrycznych w „about:preferences#privacy” (sekcja „Gromadzenie i wykorzystywanie danych Firefoksa”). Po wyczyszczeniu pola wyboru „Pozwól Firefoksowi wysyłać dane techniczne i dane dotyczące interakcji do Mozilli”, które kontroluje wysyłanie danych telemetrycznych, Mozilla w ciągu 30 dni wszystkie dane zebrane w okresie poprzedzającym awarię transmisji telemetrycznej. Dane, które trafiają na serwery Mozilli podczas procesu zbierania danych telemetrycznych, obejmują informacje o wydajności i bezpieczeństwie Firefoksa oraz ogólne parametry, takie jak liczba otwartych kart i czas trwania sesji (informacje o otwartych stronach i wprowadzonych zapytaniach nie są przesyłane). Pełne szczegóły zebranych danych można wyświetlić na stronie „about:telemetry”.
- Dla systemów Linux i macOS dodano możliwość oglądania wideo w trybie Obraz w obrazie, pozwalającym na odłączenie wideo w postaci pływającego okna, które pozostaje widoczne podczas nawigacji w przeglądarce. Aby oglądać w tym trybie, musisz kliknąć etykietkę narzędzia lub w menu kontekstowym wyświetlanym po kliknięciu wideo prawym przyciskiem myszy wybrać „Obraz w obrazie” (w serwisie YouTube, który zastępuje własny moduł obsługi menu kontekstowego, należy kliknąć prawym przyciskiem myszy) kliknij dwukrotnie lub kliknij z wciśniętym klawiszem Shift).
- Gdy wyświetlany jest pasek przewijania kolor tła bieżącej strony.
- powiązania kluczy publicznych (PKP, Public Key Pinning), które pozwalają za pomocą nagłówka HTTP Public-Key-Pins jednoznacznie określić, jakich certyfikatów można używać dla danej witryny. Jako powód podaje się małe zapotrzebowanie na tę funkcję, ryzyko problemów z kompatybilnością (obsługa PKP w przeglądarce Chrome) oraz możliwość zablokowania własnej witryny z powodu przypisania błędnych kluczy lub utraty kluczy (na przykład przypadkowego usunięcia lub naruszenia bezpieczeństwa w wyniku włamania).
- Struktura zezwalanie w OpenBSD wywołania systemowe и dla dodatkowej izolacji systemu plików i procesów.
- Usunięto obsługę blokowania obrazów z poszczególnych domen. Powodem usunięcia jest brak zapotrzebowania na tę funkcję wśród użytkowników i niewygodny interfejs blokowania.
- W kompilacjach dla systemu Windows zaimplementowano eksperymentalną funkcję umożliwiającą korzystanie z certyfikatów klienta z ogólnego magazynu certyfikatów systemu operacyjnego (opcja security.osclientcerts.autoload musi być aktywowana, aby można było ją włączyć w about:config).
- Domyślnie włączona jest obsługa CSS Shadow Parts, łącznie z „" i pseudoelement "", umożliwiając selektywne wyświetlanie określonych elementów z .
Akapit
...w CSS, aby wybrać elementy powiązane z atrybutem części:
element-niestandardowy::part(przykład) {
obramowanie: jednolity czarny 1px;
border-radius: 5px;
padding: 5px;
} - Dodano obsługę specyfikacji , która pozwala na zdefiniowanie ścieżki obiektów animacji za pomocą CSS bez użycia kodu JavaScript i bez blokowania procesu renderowania i wprowadzania danych podczas animacji. Właściwości CSS służą do kontrolowania animacji
,
,
,
и
. - Wybrane właściwości transformacji CSS są domyślnie włączone , и , niezwiązany z nieruchomością (tj. w CSS możesz teraz określić „skala: 2;” zamiast „transformacja: skala(2);”).
- JavaScript implementuje operator łączenia logicznego „", który zwraca prawy operand, jeśli lewy operand ma wartość NULL lub jest niezdefiniowany i odwrotnie. Na przykład „const foo = bar ?? 'domyślny ciąg'', jeśli słupek ma wartość null, w przeciwnym razie zwróci wartość słupka, w tym gdy słupek ma wartość 0 i ' ', w przeciwieństwie do operatora "||".
- Dodano API i wydarzenie , które umożliwiają użycie procedur obsługi JavaScript w celu dodania danych do formularza podczas jego przesyłania, bez konieczności przechowywania danych w ukrytych elementach wejściowych.
- API zaktualizowano, aby dopasować do nowej specyfikacji, na przykład zmieniono nazwę Współrzędne na GeolokalizacjaKoordynaty, Pozycja na GeolokalizacjaPosition i
Błąd pozycji w GeolokalizacjiPositionError. - W debugerze JavaScript obsługa warunkowych punktów przerwania (), wyzwalany w przypadku zmiany lub odczytu pewnych właściwości obiektów.
- Uruchamianie debuggera JavaScript zostało przyspieszone, gdy otwarta jest bardzo duża liczba zakładek (po pierwsze, priorytet mają teraz widoczne karty).
- Tryb projektowania responsywnego implementuje symulację różnych wartości meta rzutni. Dodano symulator wartości „preferuje-schemat kolorów” do trybu kontroli strony.
- В w wieloliniowym trybie interpretacji JavaScript dodano obsługę zapisywania i otwierania plików za pomocą kombinacji Ctrl + O i Ctrl + S.
- skonfigurowanie javascript.options.asyncstack do wizualnego oddzielania wiadomości asynchronicznych w konsoli internetowej. Po aktywowaniu ustawień console.trace() i console.error() wyświetlany jest pełny stos wywołań operacji asynchronicznych, co pozwala zrozumieć, jak zaplanować uruchamianie timerów, zdarzeń, obietnic, generatorów itp.
- W trybie inspekcji WebSocket zaimplementowano parsowanie i wizualne wyświetlanie metadanych w formacie SignalR stosowanym w komunikatach ASP.NET Core, dodano także liczniki pokazujące całkowity rozmiar wysłanych i pobranych danych.
- W narzędziu do monitorowania aktywności sieciowej osobno w zakładce Timingi informacje o tym, kiedy każdy zasób był w kolejce do pobrania, kiedy pobieranie się rozpoczęło i kiedy zostało zakończone.
- Środowisko wyłączone z narzędzi dla twórców stron internetowych , przeznaczony do eksperymentowania z kodem JavaScript (Scratchpad został w ostatniej wersji zastąpiony wielowierszowym trybem konsoli internetowej).
Oprócz innowacji i poprawek błędów w Firefoksie 72 naprawiono , z czego 11 (zebrane pod и ) są oznaczane jako potencjalnie mogące doprowadzić do wykonania kodu przez osobę atakującą podczas otwierania specjalnie zaprojektowanych stron. Przypomnijmy, że problemy z pamięcią, takie jak przepełnienie bufora i dostęp do już zwolnionych obszarów pamięci, zostały ostatnio oznaczone jako niebezpieczne, ale nie krytyczne. Na szczególną uwagę zasługuje również problem CVE-2019-17017 w kodzie XPCVariant.cpp, który również może potencjalnie prowadzić do wykonania kodu.
Źródło: opennet.ru