Versiunea Firefox 74

A fost lansat browser web Firefox 74și versiune mobila Firefox 68.6 pentru platforma Android. În plus, a fost generată o actualizare sucursale suport pe termen lung 68.6.0. În curând pe scenă testarea beta se va muta filiala Firefox 75, a cărei lansare este programată pentru 7 aprilie (proiect mutat timp de 4-5 săptămâni ciclu de dezvoltare). Pentru Firefox 75 beta branch a început formare ansambluri pentru Linux în format Flatpak.

Principalul inovații:

• Build-urile Linux folosesc un mecanism de izolare RLBox, care vizează blocarea exploatării vulnerabilităților din bibliotecile de funcții terțe. În această etapă, izolarea este activată numai pentru bibliotecă Grafit, responsabil pentru redarea fonturilor. RLBox compilează codul C/C++ al bibliotecii izolate într-un cod intermediar WebAssembly de nivel scăzut, care este apoi proiectat ca un modul WebAssembly, ale cărui permisiuni sunt setate numai în raport cu acest modul. Modulul asamblat funcționează într-o zonă de memorie separată și nu are acces la restul spațiului de adrese. Dacă o vulnerabilitate din bibliotecă este exploatată, atacatorul va fi limitat și nu va putea accesa zonele de memorie ale procesului principal sau transfera controlul în afara mediului izolat.
• Modul DNS prin HTTPS (DoH, DNS peste HTTPS) activat implicit pentru utilizatorii din SUA. Furnizorul DNS implicit este CloudFlare (mozilla.cloudflare-dns.com enumerate в liste de blocare Roskomnadzor), iar NextDNS este disponibil ca opțiune. Schimbați furnizorul sau activați DoH în alte țări decât SUA, Se poate în setările de conexiune la rețea. Puteți citi mai multe despre DoH în Firefox la anunț separat.
  

• Dezactivat suport pentru protocoalele TLS 1.0 și TLS 1.1. Pentru a accesa site-urile printr-un canal de comunicație securizat, serverul trebuie să ofere suport pentru cel puțin TLS 1.2. Potrivit Google, în prezent, aproximativ 0.5% din descărcările paginilor web continuă să fie efectuate folosind versiuni învechite de TLS. Oprirea a fost efectuată în conformitate cu recomandări IETF (Internet Engineering Task Force). Motivul refuzului de a accepta TLS 1.0/1.1 este lipsa suportului pentru cifrurile moderne (de exemplu, ECDHE și AEAD) și cerința de a suporta cifrurile vechi, a căror fiabilitate este pusă sub semnul întrebării în stadiul actual de dezvoltare a tehnologiei de calcul ( de exemplu, este necesar suportul pentru TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 este utilizat pentru verificarea și autentificarea integrității și SHA-1). Când încercați să utilizați TLS 1.0 și TLS 1.1 începând cu Firefox 74, va fi afișată o eroare. Puteți restabili capacitatea de a lucra cu versiuni TLS învechite setând security.tls.version.enable-deprecated = true sau utilizând butonul de pe pagina de eroare afișată atunci când vizitați un site cu protocolul vechi.
  

• Nota de lansare recomandă un supliment Facebook Container, care blochează automat widget-urile de la terți Facebook utilizate pentru autentificare, comentare și apreciare. Parametrii de identificare ai Facebook sunt izolați într-un container separat, ceea ce face dificilă identificarea utilizatorului cu site-urile pe care le vizitează. Abilitatea de a lucra cu site-ul principal Facebook rămâne, dar este izolat de alte site-uri.

  Pentru o izolare mai flexibilă a site-urilor arbitrare, este propus un add-on Containere cu mai multe conturi odată cu implementarea conceptului de containere de context. Containerele oferă posibilitatea de a izola diferite tipuri de conținut fără a crea profiluri separate, ceea ce vă permite să separați informațiile grupurilor individuale de pagini. De exemplu, puteți crea zone separate, izolate pentru comunicarea personală, serviciu, cumpărături și tranzacții bancare sau puteți organiza utilizarea simultană a diferitelor conturi de utilizator pe un singur site. Fiecare container folosește magazine separate pentru cookie-uri, API de stocare locală, indexedDB, cache și conținutul OriginAttributes.

• S-a adăugat setarea „browser.tabs.allowTabDetach” la about:config pentru a preveni detașarea filelor în ferestre noi. Desprinderea accidentală a filelor este una dintre cele mai enervante erori din Firefox care necesită remediere. căutat 9 ani. Browserul permite mouse-ului să tragă o filă într-o fereastră nouă, dar în anumite circumstanțe fila este detașată într-o fereastră separată în timpul funcționării, când mouse-ul se mișcă neglijent în timp ce face clic pe filă.
• Întrerupt suport pentru suplimente instalate într-un mod indirect și care nu sunt legate de profilurile utilizatorului. Modificarea afectează numai instalarea suplimentelor în directoarele partajate (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ sau ~/.mozilla/extensions/) procesate de toate instanțele Firefox de pe sistem ( nu este asociat cu un utilizator). Această metodă este de obicei utilizată pentru preinstalarea suplimentelor în distribuții, pentru înlocuirea nesolicitată cu aplicații terțe, pentru integrarea suplimentelor rău intenționate sau pentru livrarea separată a unui supliment cu propriul program de instalare. În Firefox 73, suplimentele instalate anterior forțat au fost mutate automat din directorul partajat în profiluri individuale de utilizator și pot fi acum îndepărtat prin managerul obișnuit de suplimente.
• În suplimentul de sistem Lockwise inclus în browser, care oferă interfața „about:logins” pentru gestionarea parolelor salvate, sprijini sortați în ordine inversă (de la Z la A).
• WebRTC a crescut protecția împotriva scurgerii de informații despre adresa IP internă în timpul apelurilor vocale și video folosind "mDNS ICE„, ascunzând adresa locală în spatele unui identificator aleator generat dinamic determinat prin Multicast DNS.
• S-a schimbat locația comutatorului de vizualizare imagine în imagine care se suprapune pe următorul butonul de imagine din interfața de încărcare a loturilor de fotografii pe Instagram.
• În JavaScript adăugat operator „?.”, conceput pentru a verifica simultan întregul lanț de proprietăți sau apeluri. De exemplu, specificând „db?.user?.name?.length” acum puteți accesa valoarea „db.user.name.length” fără verificări preliminare. Dacă orice element este procesat ca nul sau nedefinit, rezultatul va fi „nedefinit”.
• Întrerupt suport pe site-uri web și în suplimente pentru metoda Object.toSource() și funcția globală uneval().
• A fost adăugat un nou eveniment languagechange_even și proprietatea asociată pe schimbarea limbii, care vă permit să apelați un handler atunci când utilizatorul schimbă limba interfeței.
• Procesarea antetului HTTP este activată Politica-resurse-încrucișate (CORP.), permițând site-urilor să împiedice inserarea resurselor (de exemplu, imagini și scripturi) încărcate din alte domenii (cross-origin și cross-site). Antetul poate lua două valori: „same-origin” (permite numai cereri pentru resurse cu aceeași schemă, nume de gazdă și număr de port) și „same-site” (permite numai cereri de pe același site).

  Cross-Origin-Resource-Policy: același site

• Antetul HTTP activat implicit Caracteristică-Politică, care vă permite să controlați comportamentul API-ului și să activați anumite funcții (de exemplu, puteți dezactiva accesul la API-ul de localizare geografică, cameră, microfon, ecran complet, redare automată, media criptată, animație, API de plată, modul XMLHttpRequest sincron, etc.). Pentru blocurile iframe, atributul „permite„, care poate fi folosit în codul paginii pentru a atribui drepturi anumitor blocuri iframe.

  Caracteristică-Politică: microfon „niciun”; geolocalizare „niciuna”

  Dacă un site permite, prin atributul „permite”, să lucreze cu o resursă pentru un anumit iframe și se primește o solicitare de la iframe pentru a obține permisiuni de lucru cu această resursă, browserul afișează acum un dialog pentru acordarea permisiunilor în contextul paginii principale și delegă drepturile confirmate de utilizator către iframe (în loc de confirmări separate pentru iframe și pagina principală). Dar, dacă pagina principală nu are permisiunea pentru resursa solicitată prin atributul allow, iframe-ul are acces imediat la resursă blocat, fără a afișa un dialog utilizatorului.

• Suport pentru proprietățile CSS „activat implicit”text-subliniere-poziție‘, care determină poziția sublinierii textului (de exemplu, la afișarea textului pe verticală, puteți organiza sublinierea la stânga sau la dreapta, iar la afișarea orizontală, nu numai de jos, ci și de sus). În plus, în proprietățile CSS care controlează stilul de subliniere text-subliniere-offset и text-decor-grosime S-a adăugat suport pentru utilizarea valorilor procentuale.
• Într-o proprietate CSS stil de contur, care definește stilul liniei în jurul elementelor, este implicit „auto” (anterior dezactivat din cauza problemelor din GNOME).
• În depanatorul JavaScript adăugat capacitatea de a depana Web Workers imbricați, a căror execuție poate fi suspendată și depanată pas cu pas folosind puncte de întrerupere.
  

• Interfața de inspecție a paginii web oferă acum avertismente pentru proprietățile CSS care depind de elementele poziționate z-index, sus, stânga, jos și dreapta.
  

• Pentru Windows și macOS, a fost implementată capacitatea de a importa profiluri din browserul Microsoft Edge pe baza motorului Chromium.

Pe lângă inovații și remedieri de erori, Firefox 74 a remediat 20 vulnerabilități, dintre care 10 (colectate sub CVE-2020-6814 и CVE-2020-6815) sunt marcate ca potențial capabile să conducă la executarea codului atacatorului atunci când deschid pagini special concepute. Să vă reamintim că problemele de memorie, cum ar fi depășirile de buffer și accesul la zonele de memorie deja eliberate, au fost marcate recent ca periculoase, dar nu critice.

Sursa: opennet.ru