Bol vydaný webový prehliadač a Firefox 68.6 pre platformu Android. Okrem toho bola vygenerovaná aktualizácia s dlhodobou podporou . Čoskoro na pódium sa presunie pobočka Firefoxu 75, ktorej vydanie je naplánované na 7. apríla (projekt po dobu 4-5 týždňov ). Pre pobočku Firefox 75 beta tvorenie pre Linux vo formáte Flatpak.
:
- Zostavy Linuxu používajú mechanizmus izolácie , ktorého cieľom je blokovať zneužívanie zraniteľností vo funkčných knižniciach tretích strán. V tejto fáze je izolácia povolená len pre knižnicu , zodpovedný za vykresľovanie písiem. RLBox skompiluje C/C++ kód izolovanej knižnice do nízkoúrovňového intermediárneho kódu WebAssembly, ktorý je následne navrhnutý ako modul WebAssembly, ktorého oprávnenia sú nastavené len vo vzťahu k tomuto modulu. Zostavený modul pracuje v oddelenej pamäťovej oblasti a nemá prístup k zvyšku adresného priestoru. Ak dôjde k zneužitiu zraniteľnosti v knižnici, útočník bude obmedzený a nebude môcť získať prístup k pamäťovým oblastiam hlavného procesu ani preniesť kontrolu mimo izolovaného prostredia.
- Režim DNS cez HTTPS (DoH, DNS cez HTTPS) pre používateľov v USA. Predvolený poskytovateľ DNS je CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) a NextDNS je k dispozícii ako voliteľná možnosť. Zmeňte poskytovateľa alebo povoľte DoH v iných krajinách ako USA, v nastaveniach sieťového pripojenia. Viac o DoH vo Firefoxe si môžete prečítať na .
- podpora protokolov TLS 1.0 a TLS 1.1. Na prístup k stránkam cez zabezpečený komunikačný kanál musí server poskytovať podporu aspoň pre TLS 1.2. Podľa spoločnosti Google sa v súčasnosti približne 0.5 % stiahnutí webových stránok naďalej vykonáva pomocou zastaraných verzií TLS. Odstávka bola vykonaná v súlade s IETF (Internet Engineering Task Force). Dôvodom odmietnutia podpory TLS 1.0/1.1 je nedostatočná podpora moderných šifier (napríklad ECDHE a AEAD) a požiadavka na podporu starých šifier, ktorých spoľahlivosť je v súčasnej fáze vývoja výpočtovej techniky spochybňovaná ( napríklad sa vyžaduje podpora pre TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 sa používa na kontrolu integrity a autentifikáciu a SHA-1). Pri pokuse o použitie TLS 1.0 a TLS 1.1 počnúc Firefoxom 74 sa zobrazí chyba. Schopnosť pracovať so zastaranými verziami TLS môžete obnoviť nastavením security.tls.version.enable-deprecated = true alebo pomocou tlačidla na chybovej stránke zobrazenej pri návšteve lokality so starým protokolom.
- Poznámka k vydaniu odporúča doplnok , ktorá automaticky blokuje Facebook widgety tretích strán používané na overovanie, komentovanie a lajkovanie. Identifikačné parametre Facebooku sú izolované v samostatnom kontajneri, čo sťažuje identifikáciu používateľa so stránkami, ktoré navštevuje. Schopnosť pracovať s hlavnou stránkou Facebooku zostáva zachovaná, ale je izolovaná od ostatných stránok.
Pre flexibilnejšiu izoláciu ľubovoľných lokalít sa navrhuje doplnok s implementáciou konceptu kontextových kontajnerov. Kontajnery poskytujú možnosť izolovať rôzne typy obsahu bez vytvárania samostatných profilov, čo umožňuje oddeliť informácie jednotlivých skupín stránok. Môžete napríklad vytvoriť samostatné, izolované oblasti pre osobnú komunikáciu, prácu, nákupy a bankové transakcie alebo organizovať súčasné používanie rôznych používateľských účtov na jednej stránke. Každý kontajner používa samostatné úložiská pre súbory cookie, rozhranie API pre miestne úložisko, indexovanú databázu, vyrovnávaciu pamäť a obsah OriginAttributes.
- Do about:config bolo pridané nastavenie „browser.tabs.allowTabDetach“, aby sa zabránilo odpájaniu kariet do nových okien. Náhodné oddelenie karty je jednou z najnepríjemnejších chýb Firefoxu, ktoré je potrebné opraviť. 9 rokov. Prehliadač umožňuje myšou pretiahnuť kartu do nového okna, ale za určitých okolností sa karta počas prevádzky pri neopatrnom pohybe myši pri kliknutí na kartu oddelí do samostatného okna.
- podpora doplnkov inštalovaných kruhovým objazdom, ktoré nie sú viazané na používateľské profily. Zmena sa týka iba inštalácie doplnkov do zdieľaných adresárov (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ alebo ~/.mozilla/extensions/) spracovaných všetkými inštanciami Firefoxu v systéme ( nie sú spojené s používateľom). Táto metóda sa zvyčajne používa na predinštalovanie doplnkov v distribúciách, na nevyžiadanú náhradu za aplikácie tretích strán, na integráciu škodlivých doplnkov alebo na samostatné dodanie doplnku s vlastným inštalátorom. Vo Firefoxe 73 boli predtým vynútene nainštalované doplnky automaticky presunuté zo zdieľaného adresára do jednotlivých používateľských profilov a teraz ich možno prostredníctvom bežného správcu doplnkov.
- V doplnku systému Lockwise, ktorý je súčasťou prehliadača a ktorý ponúka rozhranie „about:logins“ na správu uložených hesiel, triediť v opačnom poradí (Z po A).
- WebRTC zvýšilo ochranu proti úniku informácií o internej IP adrese počas hlasových hovorov a videohovorov pomocou „“, skrývajúc lokálnu adresu za dynamicky generovaný náhodný identifikátor určený prostredníctvom Multicast DNS.
- Zmenilo sa umiestnenie prepínača zobrazenia obraz v obraze, ktorý prekrýval tlačidlo ďalšieho obrázka v rozhraní dávkového nahrávania fotografií na Instagram.
- V JavaScripte operátor "?.", ktorý je navrhnutý tak, aby súčasne kontroloval celý reťazec vlastností alebo hovorov. Napríklad zadaním "db?.user?.name?.length" teraz získate prístup k hodnote "db.user.name.length" bez akýchkoľvek predbežných kontrol. Ak je akýkoľvek prvok spracovaný ako nulový alebo nedefinovaný, výstup bude „nedefinovaný“.
- podpora na webových stránkach a v doplnkoch pre metódu Object.toSource() a globálnu funkciu uneval().
- Pridaná nová udalosť a súvisiaci majetok , ktoré vám umožňujú zavolať obsluhu, keď používateľ zmení jazyk rozhrania.
- Spracovanie hlavičky HTTP je povolené (), čo umožňuje webovým stránkam zabrániť vkladaniu zdrojov (napríklad obrázkov a skriptov) načítaných z iných domén (medzi pôvodom a medzi stránkami). Hlavička môže nadobudnúť dve hodnoty: „same-origin“ (povoľuje len požiadavky na zdroje s rovnakou schémou, názvom hostiteľa a číslom portu) a „same-site“ (povoľuje iba požiadavky z tej istej lokality).
Cross-Origin-Resource-Policy: rovnaká lokalita
- Hlavička HTTP je predvolene povolená , ktorý vám umožňuje ovládať správanie API a povoliť určité funkcie (napríklad môžete zakázať prístup k Geolocation API, kamere, mikrofónu, celej obrazovke, automatickému prehrávaniu, šifrovaným médiám, animácii, Payment API, synchrónnemu režimu XMLHttpRequest, atď.). Pre bloky iframe je atribút „“, ktorý možno použiť v kóde stránky na pridelenie práv určitým blokom iframe.
Politika funkcií: mikrofón „žiadny“; geolokácia „žiadna“
Ak lokalita umožňuje prostredníctvom atribútu „povoliť“ pracovať so zdrojom pre konkrétny prvok iframe a z prvku iframe je prijatá požiadavka na získanie povolení na prácu s týmto zdrojom, prehliadač teraz zobrazí dialógové okno na udelenie povolení v kontext hlavnej stránky a deleguje práva potvrdené používateľom na prvok iframe (namiesto samostatných potvrdení pre prvok iframe a hlavnú stránku). Ak však hlavná stránka nemá povolenie na zdroj požadovaný prostredníctvom atribútu allow, prvok iframe má k zdroju prístup okamžite bez zobrazenia dialógového okna používateľovi.
- Podpora vlastností CSS je predvolene povolená.', ktorý určuje polohu podčiarknutia textu (napríklad pri vertikálnom zobrazení textu môžete organizovať podčiarknutie vľavo alebo vpravo a pri horizontálnom zobrazení nielen zdola, ale aj zhora). Okrem toho vo vlastnostiach CSS, ktoré riadia štýl podčiarknutia и Pridaná podpora pre používanie percentuálnych hodnôt.
- Vo vlastnosti CSS , ktorý definuje štýl čiary okolo prvkov, je predvolene nastavený na "auto" (predtým kvôli problémom v GNOME).
- V ladiacom nástroji JavaScript schopnosť ladiť vnorených webových pracovníkov, ktorých vykonávanie je možné pozastaviť a ladiť krok za krokom pomocou bodov prerušenia.
- Rozhranie kontroly webovej stránky teraz poskytuje upozornenia na vlastnosti CSS, ktoré závisia od prvkov umiestnených na z-indexe, hore, vľavo, dole a vpravo.
- Pre Windows a macOS bola implementovaná možnosť importovať profily z prehliadača Microsoft Edge založeného na engine Chromium.
Okrem inovácií a opráv chýb Firefox 74 opravil , z toho 10 (zozbieraných pod и ) sú označené ako potenciálne schopné viesť k spusteniu kódu útočníka pri otváraní špeciálne navrhnutých stránok. Pripomeňme, že problémy s pamäťou, ako je pretečenie vyrovnávacej pamäte a prístup k už uvoľneným oblastiam pamäte, boli nedávno označené ako nebezpečné, ale nie kritické.
Zdroj: opennet.ru