Wypuszczono przeglądarkę internetową Firefox 72a także wersja mobilna Firefox 68.4 na platformę Android. Dodatkowo została wygenerowana aktualizacja gałązki z długoterminowym wsparciem 68.4.0. Już niedługo na scenie testowanie beta przeniesiona zostanie gałąź Firefox 73, której wydanie zaplanowano na 11 lutego (project przeniósł przez 4 tygodnie cykl rozwoju).
W domyślnym standardowym trybie blokowania nieodpowiednich treści w zestawie ochrona przed śledzeniem użytkownika przy użyciu ukrytych metod identyfikacji („odcisk palca przeglądarki”), która jest realizowana przez dodatkowe kategorie na liście Disconnect.me, która zawiera hosty, u których stwierdzono używanie skryptów do ukrytej identyfikacji. Ukryta identyfikacja oznacza przechowywanie identyfikatorów w obszarach nieprzeznaczonych do trwałego przechowywania informacji („Supercookies”), a także generowanie identyfikatorów w oparciu o dane pośrednie, takie jak np. rozdzielczość ekranu, lista obsługiwanych typów MIME, określone parametry w nagłówkach (HTTP / 2 и HTTPS), analiza zainstalowanych wtyczki i czcionki, dostępność niektórych interfejsów API sieci Web, specyficznych dla kart graficznych Cechy renderowanie przy użyciu WebGL i Canvas, manipulacja z CSS, analiza cech pracy z mysz и klawiatura.
Aktywowany metody walka z irytującymi prośbami o przyznanie witrynie dodatkowych uprawnień (Notification.requestPermission(), PushManager.subscribe() i MediaDevices.getDisplayMedia()). Prośby o potwierdzenie autoryzacji nie będą już przerywać pracy z przeglądarką, a jedynie prowadzić do wyświetlenia wskaźnika w pasku adresu po zarejestrowaniu interakcji użytkownika ze stroną (kliknięcie myszką lub naciśnięcie klawisza). Wiele witryn nadużywa możliwości przeglądarki w zakresie żądania uprawnień, głównie poprzez okresowe proszenie o powiadomienia push. Analiza telemetryczna wykazała, że 97% takich żądań jest odrzucanych, w tym w 19% przypadków użytkownik natychmiast zamyka stronę bez kliknięcia przycisku zgody lub odrzucenia.
Dodany eksperymentalny wsparcie Protokół HTTP/3 (aby aktywować w about:config należy ustawić opcję „network.http.http3.enabled”). Obsługa protokołu HTTP/3 w przeglądarce Firefox opiera się na neko, napisany w języku Rust, implementujący klienta i serwer protokołu QUIC (HTTP/3 standaryzuje używając protokołu QUIC jako transportu dla HTTP/2).
Zgodnie z wymogami prawa, które weszło w życie CCPA (Kalifornijska ustawa o ochronie prywatności konsumentów) dodany możliwość usuwania danych telemetrycznych z serwerów Mozilli. Dane zostaną usunięte, jeśli odmówisz gromadzenia danych telemetrycznych w „about:preferences#privacy” (sekcja „Gromadzenie i wykorzystywanie danych Firefoksa”). Po wyczyszczeniu pola wyboru „Pozwól Firefoksowi wysyłać dane techniczne i dane dotyczące interakcji do Mozilli”, które kontroluje wysyłanie danych telemetrycznych, Mozilla zobowiązuje się w ciągu 30 dni usunąć wszystkie dane zebrane w okresie poprzedzającym awarię transmisji telemetrycznej. Dane, które trafiają na serwery Mozilli podczas procesu zbierania danych telemetrycznych, obejmują informacje o wydajności i bezpieczeństwie Firefoksa oraz ogólne parametry, takie jak liczba otwartych kart i czas trwania sesji (informacje o otwartych stronach i wprowadzonych zapytaniach nie są przesyłane). Pełne szczegóły zebranych danych można wyświetlić na stronie „about:telemetry”.
Dla systemów Linux i macOS dodano możliwość oglądania wideo w trybie Obraz w obrazie, pozwalającym na odłączenie wideo w postaci pływającego okna, które pozostaje widoczne podczas nawigacji w przeglądarce. Aby oglądać w tym trybie, musisz kliknąć etykietkę narzędzia lub w menu kontekstowym wyświetlanym po kliknięciu wideo prawym przyciskiem myszy wybrać „Obraz w obrazie” (w serwisie YouTube, który zastępuje własny moduł obsługi menu kontekstowego, należy kliknąć prawym przyciskiem myszy) kliknij dwukrotnie lub kliknij z wciśniętym klawiszem Shift).
Gdy wyświetlany jest pasek przewijania zaangażowany kolor tła bieżącej strony.
Usuniętookazja powiązania kluczy publicznych (PKP, Public Key Pinning), które pozwalają za pomocą nagłówka HTTP Public-Key-Pins jednoznacznie określić, jakich certyfikatów można używać dla danej witryny. Jako powód podaje się małe zapotrzebowanie na tę funkcję, ryzyko problemów z kompatybilnością (obsługa PKP zakończony w przeglądarce Chrome) oraz możliwość zablokowania własnej witryny z powodu przypisania błędnych kluczy lub utraty kluczy (na przykład przypadkowego usunięcia lub naruszenia bezpieczeństwa w wyniku włamania).
Usunięto obsługę blokowania obrazów z poszczególnych domen. Powodem usunięcia jest brak zapotrzebowania na tę funkcję wśród użytkowników i niewygodny interfejs blokowania.
W kompilacjach dla systemu Windows zaimplementowano eksperymentalną funkcję umożliwiającą korzystanie z certyfikatów klienta z ogólnego magazynu certyfikatów systemu operacyjnego (opcja security.osclientcerts.autoload musi być aktywowana, aby można było ją włączyć w about:config).
Domyślnie włączona jest obsługa CSS Shadow Parts, łącznie z „część" i pseudoelement "::część", umożliwiając selektywne wyświetlanie określonych elementów z Cień DOM.
Akapit
...w CSS, aby wybrać elementy powiązane z atrybutem części:
Wybrane właściwości transformacji CSS są domyślnie włączone skala, obracać и tłumaczyć, niezwiązany z nieruchomością przekształcać (tj. w CSS możesz teraz określić „skala: 2;” zamiast „transformacja: skala(2);”).
JavaScript implementuje operator łączenia logicznego „??", który zwraca prawy operand, jeśli lewy operand ma wartość NULL lub jest niezdefiniowany i odwrotnie. Na przykład „const foo = bar ?? 'domyślny ciąg'', jeśli słupek ma wartość null, w przeciwnym razie zwróci wartość słupka, w tym gdy słupek ma wartość 0 i ' ', w przeciwieństwie do operatora "||".
Dodano API Zdarzenie danych formularza i wydarzenie Tworzyć dane, które umożliwiają użycie procedur obsługi JavaScript w celu dodania danych do formularza podczas jego przesyłania, bez konieczności przechowywania danych w ukrytych elementach wejściowych.
API Geolokalizacja zaktualizowano, aby dopasować do nowej specyfikacji, na przykład zmieniono nazwę Współrzędne na GeolokalizacjaKoordynaty, Pozycja na GeolokalizacjaPosition i
Błąd pozycji w GeolokalizacjiPositionError.
W debugerze JavaScript dodany obsługa warunkowych punktów przerwania (punkt obserwacyjny), wyzwalany w przypadku zmiany lub odczytu pewnych właściwości obiektów.
Uruchamianie debuggera JavaScript zostało przyspieszone, gdy otwarta jest bardzo duża liczba zakładek (po pierwsze, priorytet mają teraz widoczne karty).
Tryb projektowania responsywnego implementuje symulację różnych wartości meta rzutni. Dodano symulator wartości „preferuje-schemat kolorów” do trybu kontroli strony.
В konsole internetowe w wieloliniowym trybie interpretacji JavaScript dodano obsługę zapisywania i otwierania plików za pomocą kombinacji Ctrl + O i Ctrl + S.
Dodany skonfigurowanie javascript.options.asyncstack do wizualnego oddzielania wiadomości asynchronicznych w konsoli internetowej. Po aktywowaniu ustawień console.trace() i console.error() wyświetlany jest pełny stos wywołań operacji asynchronicznych, co pozwala zrozumieć, jak zaplanować uruchamianie timerów, zdarzeń, obietnic, generatorów itp.
W trybie inspekcji WebSocket zaimplementowano parsowanie i wizualne wyświetlanie metadanych w formacie SignalR stosowanym w komunikatach ASP.NET Core, dodano także liczniki pokazujące całkowity rozmiar wysłanych i pobranych danych.
W narzędziu do monitorowania aktywności sieciowej osobno w zakładce Timingi wystawiany informacje o tym, kiedy każdy zasób był w kolejce do pobrania, kiedy pobieranie się rozpoczęło i kiedy zostało zakończone.
Środowisko wyłączone z narzędzi dla twórców stron internetowych Brudnopis, przeznaczony do eksperymentowania z kodem JavaScript (Scratchpad został w ostatniej wersji zastąpiony wielowierszowym trybem konsoli internetowej).
Oprócz innowacji i poprawek błędów w Firefoksie 72 naprawiono 20 luk w zabezpieczeniach, z czego 11 (zebrane pod CVE-2019-17025 и CVE-2019-17024) są oznaczane jako potencjalnie mogące doprowadzić do wykonania kodu przez osobę atakującą podczas otwierania specjalnie zaprojektowanych stron. Przypomnijmy, że problemy z pamięcią, takie jak przepełnienie bufora i dostęp do już zwolnionych obszarów pamięci, zostały ostatnio oznaczone jako niebezpieczne, ale nie krytyczne. Na szczególną uwagę zasługuje również problem CVE-2019-17017 w kodzie XPCVariant.cpp, który również może potencjalnie prowadzić do wykonania kodu.