navegador lançado E Firefox 68.6 para a plataforma Android. Além disso, uma atualização foi gerada Suporte de longo termo . Em breve no palco será transferida a filial do Firefox 75, cujo lançamento está previsto para 7 de abril (projeto por 4-5 semanas ). Para filial beta do Firefox 75 moldar para Linux no formato Flatpak.
:
- As compilações do Linux usam um mecanismo de isolamento , com o objetivo de bloquear a exploração de vulnerabilidades em bibliotecas de funções de terceiros. Nesta fase, o isolamento só está habilitado para a biblioteca , responsável por renderizar as fontes. RLBox compila o código C/C++ da biblioteca isolada em código intermediário WebAssembly de baixo nível, que é então projetado como um módulo WebAssembly, cujas permissões são definidas em relação apenas a este módulo. O módulo montado opera em uma área de memória separada e não tem acesso ao restante do espaço de endereço. Se uma vulnerabilidade na biblioteca for explorada, o invasor ficará limitado e não conseguirá acessar áreas de memória do processo principal ou transferir o controle fora do ambiente isolado.
- Modo DNS sobre HTTPS (DoH, DNS sobre HTTPS) para usuários dos EUA. O provedor DNS padrão é CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) e NextDNS está disponível como opção. Alterar provedor ou ativar DoH em outros países que não os EUA, nas configurações de conexão de rede. Você pode ler mais sobre DoH no Firefox em .
- suporte para protocolos TLS 1.0 e TLS 1.1. Para acessar sites por meio de um canal de comunicação seguro, o servidor deve fornecer suporte para pelo menos TLS 1.2. Segundo o Google, atualmente cerca de 0.5% dos downloads de páginas da web continuam sendo realizados em versões desatualizadas do TLS. A paralisação foi realizada de acordo com IETF (Força-Tarefa de Engenharia da Internet). A razão para recusar o suporte a TLS 1.0/1.1 é a falta de suporte para cifras modernas (por exemplo, ECDHE e AEAD) e a exigência de suporte a cifras antigas, cuja confiabilidade é questionada no atual estágio de desenvolvimento da tecnologia de computação ( por exemplo, é necessário suporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 é usado para verificação de integridade e autenticação e SHA-1). Ao tentar usar o TLS 1.0 e o TLS 1.1 a partir do Firefox 74, um erro será exibido. Você pode restaurar a capacidade de trabalhar com versões TLS desatualizadas definindo security.tls.version.enable-deprecated = true ou usando o botão na página de erro exibida ao visitar um site com o protocolo antigo.
- A nota de lançamento recomenda um complemento , que bloqueia automaticamente widgets de terceiros do Facebook usados para autenticação, comentários e curtidas. Os parâmetros de identificação do Facebook ficam isolados em um contêiner separado, dificultando a identificação do usuário com os sites que visita. A capacidade de trabalhar com o site principal do Facebook permanece, mas está isolada de outros sites.
Para um isolamento mais flexível de sites arbitrários, é proposto um complemento com a implementação do conceito de contêineres de contexto. Os contêineres oferecem a capacidade de isolar diferentes tipos de conteúdo sem criar perfis separados, o que permite separar as informações de grupos individuais de páginas. Por exemplo, você pode criar áreas separadas e isoladas para comunicação pessoal, trabalho, compras e transações bancárias, ou organizar o uso simultâneo de diferentes contas de usuário em um site. Cada contêiner usa armazenamentos separados para cookies, API de armazenamento local, indexedDB, cache e conteúdo OriginAttributes.
- Adicionada configuração “browser.tabs.allowTabDetach” a about:config para evitar que guias sejam desanexadas em novas janelas. O descolamento acidental de guias é um dos bugs mais irritantes do Firefox que precisa ser corrigido. 9 anos. O navegador permite que o mouse arraste uma guia para uma nova janela, mas sob certas circunstâncias a guia é separada em uma janela separada durante a operação quando o mouse se move descuidadamente ao clicar na guia.
- suporte para complementos instalados de forma indireta e não vinculados a perfis de usuário. A mudança afeta apenas a instalação de complementos em diretórios compartilhados (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ou ~/.mozilla/extensions/) processados por todas as instâncias do Firefox no sistema ( não associado a um usuário). Este método é geralmente usado para pré-instalar complementos em distribuições, para substituição não solicitada por aplicativos de terceiros, para integração de complementos maliciosos ou para entrega separada de um complemento com seu próprio instalador. No Firefox 73, os complementos de instalação forçada anteriormente foram movidos automaticamente do diretório público para perfis de usuários individuais e agora podem ser através do gerenciador de complementos normal.
- No complemento do sistema Lockwise incluído no navegador, que oferece a interface “about:logins” para gerenciamento de senhas salvas, classifique na ordem inversa (Z a A).
- WebRTC aumentou a proteção contra vazamento de informações sobre o endereço IP interno durante chamadas de voz e vídeo usando o "“, escondendo o endereço local atrás de um identificador aleatório gerado dinamicamente determinado por Multicast DNS.
- Alterada a localização do botão de visualização picture-in-picture que se sobrepunha ao botão da próxima imagem na interface de upload em lote de fotos no Instagram.
- Em JavaScript operador “?.”, projetado para verificar simultaneamente toda a cadeia de propriedades ou chamadas. Por exemplo, especificando "db?.user?.name?.length" agora você pode acessar o valor de "db.user.name.length" sem nenhuma verificação preliminar. Se algum elemento for processado como nulo ou indefinido, a saída será “indefinida”.
- suporte em sites e complementos para o método Object.toSource() e a função global uneval().
- Novo evento adicionado e a propriedade associada , que permite chamar um manipulador quando o usuário altera o idioma da interface.
- Processamento de cabeçalho HTTP ativado (), permitindo que os sites impeçam a inserção de recursos (por exemplo, imagens e scripts) carregados de outros domínios (origem cruzada e entre sites). O cabeçalho pode assumir dois valores: “same-origin” (permite apenas solicitações de recursos com o mesmo esquema, nome de host e número de porta) e “same-site” (permite apenas solicitações do mesmo site).
Política de recursos de origem cruzada: mesmo site
- Cabeçalho HTTP ativado por padrão , que permite controlar o comportamento da API e ativar determinados recursos (por exemplo, você pode desativar o acesso à API de geolocalização, câmera, microfone, tela cheia, reprodução automática, mídia criptografada, animação, API de pagamento, modo XMLHttpRequest síncrono, etc.). Para blocos iframe, o atributo ““, que pode ser usado no código da página para atribuir direitos a determinados blocos iframe.
Política de recursos: microfone 'nenhum'; geolocalização 'nenhuma'
Se um site permite, através do atributo “allow”, trabalhar com um recurso para um iframe específico, e uma solicitação é recebida do iframe para obter permissões para trabalhar com este recurso, o navegador agora exibe uma caixa de diálogo para concessão de permissões no contexto da página principal e delega os direitos confirmados pelo usuário ao iframe (em vez de confirmações separadas para iframe e página principal). Mas, caso a página principal não tenha permissão para o recurso solicitado através do atributo permitir, o iframe tem acesso ao recurso imediatamente , sem exibir uma caixa de diálogo para o usuário.
- O suporte à propriedade CSS está habilitado por padrão '', que determina a posição do sublinhado do texto (por exemplo, ao exibir o texto verticalmente, você pode organizar o sublinhado à esquerda ou à direita, e ao exibir horizontalmente, não apenas por baixo, mas também por cima). Além disso, nas propriedades CSS que controlam o estilo de sublinhado и Adicionado suporte para uso de valores percentuais.
- Em uma propriedade CSS , que define o estilo da linha em torno dos elementos, o padrão é "auto" (anteriormente devido a problemas no GNOME).
- No depurador JavaScript a capacidade de depurar Web Workers aninhados, cuja execução pode ser suspensa e depurada passo a passo usando pontos de interrupção.
- A interface de inspeção de página da web agora fornece avisos para propriedades CSS que dependem do índice z, dos elementos posicionados superior, esquerdo, inferior e direito.
- Para Windows e macOS, foi implementada a capacidade de importar perfis do navegador Microsoft Edge baseado no mecanismo Chromium.
Além de inovações e correções de bugs, o Firefox 74 corrigiu , dos quais 10 (coletados sob и ) são sinalizados como potencialmente capazes de levar à execução de código do invasor ao abrir páginas especialmente projetadas. Lembramos que problemas de memória, como buffer overflows e acesso a áreas de memória já liberadas, foram recentemente marcados como perigosos, mas não críticos.
Fonte: opennet.ru