Wypuszczono przeglądarkę internetową a także Firefox 68.6 na platformę Android. Dodatkowo została wygenerowana aktualizacja z długoterminowym wsparciem . Już niedługo na scenie przeniesiona zostanie gałąź Firefox 75, której wydanie zaplanowano na 7 kwietnia (project przez 4-5 tygodni ). Dla gałęzi beta przeglądarki Firefox 75 kształtowanie dla systemu Linux w formacie Flatpak.
:
- Kompilacje systemu Linux korzystają z mechanizmu izolacji , mający na celu blokowanie wykorzystania luk w bibliotekach funkcji stron trzecich. Na tym etapie izolacja jest włączona tylko dla biblioteki , odpowiedzialny za renderowanie czcionek. RLBox kompiluje kod C/C++ izolowanej biblioteki do niskopoziomowego kodu pośredniego WebAssembly, który jest następnie projektowany jako moduł WebAssembly, którego uprawnienia są ustawione w odniesieniu tylko do tego modułu. Zmontowany moduł pracuje w wydzielonym obszarze pamięci i nie ma dostępu do reszty przestrzeni adresowej. W przypadku wykorzystania luki w bibliotece atakujący będzie ograniczony i nie będzie mógł uzyskać dostępu do obszarów pamięci głównego procesu ani przenieść kontroli poza izolowane środowisko.
- Tryb DNS przez HTTPS (DoH, DNS przez HTTPS) dla użytkowników z USA. Domyślnym dostawcą DNS jest CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), a NextDNS jest dostępny jako opcja. Zmień dostawcę lub włącz DoH w krajach innych niż USA, w ustawieniach połączenia sieciowego. Więcej o DoH w Firefoksie możesz przeczytać na stronie .
- obsługa protokołów TLS 1.0 i TLS 1.1. Aby uzyskać dostęp do witryn za pośrednictwem bezpiecznego kanału komunikacji, serwer musi zapewniać obsługę co najmniej protokołu TLS 1.2. Według Google obecnie około 0.5% pobrań stron internetowych nadal odbywa się przy użyciu przestarzałych wersji protokołu TLS. Wyłączenie zostało przeprowadzone zgodnie z IETF (Grupa Zadaniowa ds. Inżynierii Internetowej). Powodem odmowy obsługi TLS 1.0/1.1 jest brak obsługi nowoczesnych szyfrów (np. ECDHE i AEAD) oraz konieczność obsługi starych szyfrów, których niezawodność jest kwestionowana na obecnym etapie rozwoju technologii obliczeniowej ( na przykład wymagana jest obsługa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 służy do sprawdzania integralności i uwierzytelniania oraz SHA-1). Podczas próby użycia protokołu TLS 1.0 i TLS 1.1 począwszy od przeglądarki Firefox 74 zostanie wyświetlony błąd. Możesz przywrócić możliwość pracy z nieaktualnymi wersjami TLS ustawiając security.tls.version.enable-deprecated = true lub używając przycisku na stronie błędu wyświetlanej podczas odwiedzania witryny ze starym protokołem.
- W informacji o wydaniu zaleca się dodanie dodatku , która automatycznie blokuje widżety Facebooka innych firm używane do uwierzytelniania, komentowania i polubień. Parametry identyfikacyjne Facebooka wyizolowane są w osobnym kontenerze, co utrudnia identyfikację użytkownika z odwiedzanymi przez niego witrynami. Możliwość pracy z główną witryną Facebooka pozostaje, ale jest ona odizolowana od innych witryn.
Aby zapewnić bardziej elastyczną izolację dowolnych witryn, zaproponowano dodatek wraz z realizacją koncepcji kontenerów kontekstowych. Kontenery dają możliwość izolowania różnych typów treści bez tworzenia osobnych profili, co pozwala na oddzielenie informacji poszczególnych grup stron. Możesz na przykład utworzyć osobne, wyizolowane obszary do komunikacji osobistej, pracy, zakupów i transakcji bankowych lub zorganizować jednoczesne korzystanie z różnych kont użytkowników w jednej witrynie. Każdy kontener korzysta z oddzielnych magazynów dla plików cookie, interfejsu API magazynu lokalnego, indeksowanej bazy danych, pamięci podręcznej i zawartości OriginAttributes.
- Dodano ustawienie „browser.tabs.allowTabDetach” do about:config, aby zapobiec odłączaniu kart do nowych okien. Przypadkowe odłączenie karty to jeden z najbardziej irytujących błędów Firefoksa, który wymaga naprawy. 9 lat. Przeglądarka pozwala myszką przeciągnąć kartę do nowego okna, ale w pewnych okolicznościach zakładka zostaje odłączona do osobnego okna podczas pracy, gdy mysz porusza się nieostrożnie podczas klikania na kartę.
- obsługa dodatków instalowanych okrężnie i niezwiązanych z profilami użytkowników. Zmiana dotyczy jedynie instalacji dodatków we współdzielonych katalogach (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ lub ~/.mozilla/extensions/) przetwarzanych przez wszystkie instancje Firefoksa w systemie ( niepowiązane z użytkownikiem). Ta metoda jest zwykle używana do wstępnej instalacji dodatków w dystrybucjach, do niezamówionej zamiany na aplikacje innych firm, do integracji złośliwych dodatków lub do oddzielnego dostarczania dodatku z własnym instalatorem. W przeglądarce Firefox 73 wcześniej wymuszone instalowanie dodatków zostało automatycznie przeniesione z udostępnionego katalogu do indywidualnych profili użytkowników i można je teraz poprzez zwykłego menedżera dodatków.
- W dodatku systemu Lockwise zawartym w przeglądarce, który oferuje interfejs „about:logins” umożliwiający zarządzanie zapisanymi hasłami, sortuj w odwrotnej kolejności (Z do A).
- WebRTC zwiększyło ochronę przed wyciekiem informacji o wewnętrznym adresie IP podczas połączeń głosowych i wideo przy użyciu „„, ukrywając adres lokalny za dynamicznie generowanym losowym identyfikatorem określonym przez Multicast DNS.
- Zmieniono lokalizację przełącznika widoku obrazu w obrazie, który nakładał się na przycisk następnego obrazu w interfejsie przesyłania zbiorczego zdjęć na Instagramie.
- W JavaScript operator „?”, przeznaczony do jednoczesnego sprawdzania całego łańcucha właściwości lub wywołań. Na przykład, podając „db?.user?.name?.length”, możesz teraz uzyskać dostęp do wartości „db.user.name.length” bez żadnych wstępnych kontroli. Jeśli jakikolwiek element zostanie przetworzony jako null lub niezdefiniowany, wynik będzie „niezdefiniowany”.
- obsługa na stronach internetowych i w dodatkach metody Object.toSource() oraz funkcji globalnej uneval().
- Dodano nowe wydarzenie i związaną z nim nieruchomość , które umożliwiają wywołanie modułu obsługi, gdy użytkownik zmieni język interfejsu.
- Włączono przetwarzanie nagłówka HTTP (), umożliwiając witrynom zapobieganie wstawianiu zasobów (na przykład obrazów i skryptów) załadowanych z innych domen (z różnych źródeł i z różnych witryn). Nagłówek może przyjmować dwie wartości: „same-origin” (zezwala tylko na żądania zasobów o tym samym schemacie, nazwie hosta i numerze portu) i „same-site” (zezwala tylko na żądania z tej samej witryny).
Polityka dotycząca zasobów między źródłami: ta sama witryna
- Nagłówek HTTP domyślnie włączony , co pozwala kontrolować zachowanie API i włączać określone funkcje (np. możesz wyłączyć dostęp do API Geolokalizacji, kamery, mikrofonu, pełnego ekranu, autoodtwarzania, multimediów szyfrowanych, animacji, Payment API, synchronicznego trybu XMLHttpRequest, itp.). W przypadku bloków iframe atrybut „„, którego można użyć w kodzie strony w celu przypisania praw do określonych bloków iframe.
Zasady dotyczące funkcji: mikrofon „brak”; geolokalizacja „brak”
Jeśli witryna umożliwia, poprzez atrybut „zezwól”, pracę z zasobem dla określonej ramki iframe i otrzymane zostanie żądanie z ramki iframe w celu uzyskania uprawnień do pracy z tym zasobem, przeglądarka wyświetli teraz okno dialogowe umożliwiające udzielenie uprawnień w kontekście strony głównej i deleguje potwierdzone przez użytkownika uprawnienia na element iframe (zamiast osobnych potwierdzeń dla elementu iframe i strony głównej). Jeśli jednak strona główna nie ma uprawnień do zasobu żądanego za pomocą atrybutu zezwolenia, ramka iframe natychmiast uzyska dostęp do zasobu , bez wyświetlania użytkownikowi okna dialogowego.
- Obsługa właściwości CSS jest domyślnie włączona '', który określa położenie podkreślenia tekstu (np. przy wyświetlaniu tekstu w pionie możesz organizować podkreślenia po lewej lub prawej stronie, a przy wyświetlaniu w poziomie nie tylko od dołu, ale także od góry). Dodatkowo we właściwościach CSS, które kontrolują styl podkreślenia и Dodano obsługę stosowania wartości procentowych.
- We właściwości CSS , który definiuje styl linii wokół elementów, domyślnie ma wartość „auto” (poprzednio z powodu problemów w GNOME).
- W debugerze JavaScript możliwość debugowania zagnieżdżonych procesów sieciowych, których wykonanie można wstrzymywać i debugować krok po kroku za pomocą punktów przerwania.
- Interfejs inspekcji strony internetowej udostępnia teraz ostrzeżenia dotyczące właściwości CSS, które zależą od indeksu Z oraz elementów umieszczonych u góry, po lewej, u dołu i po prawej stronie.
- Dla systemów Windows i macOS zaimplementowano możliwość importu profili z przeglądarki Microsoft Edge opartej na silniku Chromium.
Oprócz innowacji i poprawek błędów w Firefoksie 74 naprawiono , z czego 10 (zebrane pod и ) są oznaczane jako potencjalnie mogące doprowadzić do wykonania kodu przez osobę atakującą podczas otwierania specjalnie zaprojektowanych stron. Przypomnijmy, że problemy z pamięcią, takie jak przepełnienie bufora i dostęp do już zwolnionych obszarów pamięci, zostały ostatnio oznaczone jako niebezpieczne, ale nie krytyczne.
Źródło: opennet.ru