Izdaja Firefox 74

Spletni brskalnik je bil izdan Firefox 74in mobilna različica Firefox 68.6 za platformo Android. Poleg tega je bila ustvarjena posodobitev podružnice dolgoročna podpora 68.6.0. Kmalu na odru beta testiranje preselila se bo podružnica Firefox 75, katere izid je predviden za 7. april (projekt premaknjen za 4-5 tednov razvojni cikel). Za podružnico Firefox 75 beta začela oblikovanje sklopov za Linux v formatu Flatpak.

Glavni inovacije:

• Zgradbe Linuxa uporabljajo izolacijski mehanizem Rlbox, namenjeno blokiranju izkoriščanja ranljivosti v knjižnicah funkcij tretjih oseb. Na tej stopnji je izolacija omogočena samo za knjižnico grafit, odgovoren za upodabljanje pisav. RLBox prevede kodo C/C++ izolirane knjižnice v nizkonivojsko vmesno kodo WebAssembly, ki je nato oblikovana kot modul WebAssembly, katerega dovoljenja so nastavljena samo glede na ta modul. Sestavljeni modul deluje v ločenem pomnilniškem območju in nima dostopa do preostalega naslovnega prostora. Če je izkoriščena ranljivost v knjižnici, bo napadalec omejen in ne bo mogel dostopati do pomnilniških območij glavnega procesa ali prenesti nadzora izven izoliranega okolja.
• Način DNS prek HTTPS (DoH, DNS prek HTTPS) privzeto omogočeno za uporabnike v ZDA. Privzeti ponudnik DNS je CloudFlare (mozilla.cloudflare-dns.com na seznamu в sezname blokov Roskomnadzor), NextDNS pa je na voljo kot možnost. Zamenjajte ponudnika ali omogočite DoH v državah, ki niso ZDA, eno lahko v nastavitvah omrežne povezave. Več o DoH lahko preberete v Firefoxu na ločena objava.
  

• Onemogočeno podpora za protokola TLS 1.0 in TLS 1.1. Za dostop do spletnih mest prek varnega komunikacijskega kanala mora strežnik zagotoviti podporo za vsaj TLS 1.2. Po podatkih Googla se trenutno približno 0.5 % prenosov spletnih strani še naprej izvaja z uporabo zastarelih različic TLS. Izklop je bil izveden v skladu z priporočila IETF (Internet Engineering Task Force). Razlog za zavrnitev podpore TLS 1.0/1.1 je pomanjkanje podpore za sodobne šifre (na primer ECDHE in AEAD) in zahteva po podpori starih šifr, katerih zanesljivost je na sedanji stopnji razvoja računalniške tehnologije pod vprašajem ( zahtevana je na primer podpora za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 se uporablja za preverjanje celovitosti in avtentikacijo ter SHA-1). Ko poskušate uporabiti TLS 1.0 in TLS 1.1, začenši s Firefoxom 74, se bo prikazala napaka. Zmožnost dela z zastarelimi različicami TLS lahko obnovite tako, da nastavite security.tls.version.enable-deprecated = true ali uporabite gumb na strani z napako, ki se prikaže ob obisku mesta s starim protokolom.
  

• Opomba ob izdaji priporoča dodatek Facebook vsebnik, ki samodejno blokira Facebookove pripomočke tretjih oseb, ki se uporabljajo za preverjanje pristnosti, komentiranje in všečkanje. Facebookovi identifikacijski parametri so izolirani v ločenem vsebniku, kar otežuje identifikacijo uporabnika s spletnimi mesti, ki jih obišče. Možnost dela z glavnim Facebook mestom ostaja, vendar je izolirano od drugih mest.

  Za bolj prilagodljivo izolacijo poljubnih mest je predlagan dodatek Zabojniki z več računi z implementacijo koncepta kontekstnih vsebnikov. Vsebniki omogočajo izolacijo različnih vrst vsebine brez ustvarjanja ločenih profilov, kar omogoča ločevanje informacij posameznih skupin strani. Ustvarite lahko na primer ločena, izolirana območja za osebno komunikacijo, delo, nakupovanje in bančne transakcije ali organizirate hkratno uporabo različnih uporabniških računov na enem mestu. Vsak vsebnik uporablja ločene shrambe za piškotke, API za lokalno shranjevanje, indeksirano DB, predpomnilnik in vsebino OriginAttributes.

• V about:config je bila dodana nastavitev »browser.tabs.allowTabDetach«, ki preprečuje, da bi se zavihki ločili od novih oken. Nenamerna ločitev zavihka je ena najbolj nadležnih napak v Firefoxu, ki jo je treba popraviti. iskano 9 let. Brskalnik omogoča, da miška povleče zavihek v novo okno, vendar se v določenih okoliščinah zavihek med delovanjem loči v ločeno okno, ko se miška neprevidno premika med klikom na zavihek.
• Prekinjeno podpora za dodatke, ki so nameščeni krožno in niso vezani na uporabniške profile. Sprememba vpliva samo na namestitev dodatkov v skupnih imenikih (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ali ~/.mozilla/extensions/), ki jih obdelujejo vsi primerki Firefoxa v sistemu ( ni povezan z uporabnikom). Ta metoda se običajno uporablja za vnaprejšnjo namestitev dodatkov v distribucijah, za nenaročeno zamenjavo z aplikacijami tretjih oseb, za integracijo zlonamernih dodatkov ali za ločeno dostavo dodatka z lastnim namestitvenim programom. V Firefoxu 73 so bili prej prisilno nameščeni dodatki samodejno premaknjeni iz skupnega imenika v posamezne uporabniške profile in jih je zdaj mogoče odstranili prek običajnega upravitelja dodatkov.
• V sistemskem dodatku Lockwise, vključenem v brskalnik, ki ponuja vmesnik “about:logins” za upravljanje shranjenih gesel, podporo razvrstite v obratnem vrstnem redu (Z proti A).
• WebRTC je povečal zaščito pred uhajanjem informacij o internem naslovu IP med glasovnimi in video klici z uporabo "mDNS ICE“, ki skriva lokalni naslov za dinamično generiranim naključnim identifikatorjem, določenim prek Multicast DNS.
• Spremenjena lokacija stikala za pogled slike v sliki, ki je prekrivalo gumb naslednje slike v vmesniku za paketno nalaganje fotografij na Instagramu.
• V JavaScriptu dodano operater “?.”, namenjen hkratnemu preverjanju celotne verige lastnosti ali klicev. Če na primer navedete "db?.user?.name?.length", lahko zdaj dostopate do vrednosti "db.user.name.length" brez kakršnih koli predhodnih preverjanj. Če je kateri koli element obdelan kot ničelni ali nedefiniran, bo izhod »nedefiniran«.
• Prekinjeno podpora na spletnih mestih in v dodatkih za metodo Object.toSource() in globalno funkcijo uneval().
• Dodan nov dogodek languagechange_even in pripadajoče nepremičnine onlanguagechange, ki vam omogočajo, da pokličete upravljalnik, ko uporabnik spremeni jezik vmesnika.
• Obdelava glave HTTP je omogočena Politika navzkrižnega izvora virov (CORP.), ki spletnim mestom omogoča, da preprečijo vstavljanje virov (na primer slik in skriptov), ​​naloženih iz drugih domen (med izvornimi in med spletnimi mesti). Glava ima lahko dve vrednosti: "same-origin" (dovoljuje samo zahteve za vire z isto shemo, imenom gostitelja in številko vrat) in "same-site" (dovoljuje samo zahteve z istega mesta).

  Politika navzkrižnega izvora virov: isto spletno mesto

• Glava HTTP je privzeto omogočena Politika funkcij, ki vam omogoča nadzor delovanja API-ja in omogočanje določenih funkcij (na primer, onemogočite lahko dostop do API-ja Geolocation, kamere, mikrofona, celozaslonskega zaslona, ​​samodejnega predvajanja, šifriranih medijev, animacije, API-ja za plačilo, sinhronega načina XMLHttpRequest, itd.). Za bloke iframe je atribut "omogočajo«, ki ga lahko uporabite v kodi strani za dodelitev pravic določenim blokom iframe.

  Politika funkcij: mikrofon 'ni'; geolokacija 'brez'

  Če spletno mesto prek atributa »dovoli« omogoča delo z virom za določen okvir iframe in prejme zahtevo iframe za pridobitev dovoljenj za delo s tem virom, brskalnik zdaj prikaže pogovorno okno za dodelitev dovoljenj v kontekst glavne strani in prenese pravice, ki jih potrdi uporabnik, na iframe (namesto ločenih potrditev za iframe in glavno stran). Če pa glavna stran nima dovoljenja za vir, zahtevan prek atributa dovoljenja, ima iframe takojšen dostop do vira blokiran, brez prikaza pogovornega okna uporabniku.

• Podpora za lastnosti CSS je privzeto omogočena 'tekst-podčrtaj-položaj', ki določa položaj podčrtavanja besedila (pri navpičnem prikazu besedila lahko na primer organizirate podčrtaje levo ali desno, pri vodoravnem prikazu pa ne samo od spodaj, ampak tudi od zgoraj). Poleg tega v lastnostih CSS, ki nadzorujejo slog podčrtaja tekst-podčrtaj-odmik и besedilo-okras-debelina Dodana podpora za uporabo odstotnih vrednosti.
• V lastnosti CSS orisni slog, ki definira slog črte okoli elementov, je privzeto nastavljen na "auto" (prej onemogočeno zaradi težav v GNOME).
• V razhroščevalniku JavaScript dodano zmožnost razhroščevanja ugnezdenih spletnih delavcev, katerih izvajanje je mogoče začasno ustaviti in razhroščevati korak za korakom z uporabo prekinitvenih točk.
  

• Vmesnik za pregledovanje spletne strani zdaj ponuja opozorila za lastnosti CSS, ki so odvisne od z-indeksa, elementov zgoraj, levo, spodaj in desno.
  

• Za Windows in macOS je bila uvedena možnost uvoza profilov iz brskalnika Microsoft Edge, ki temelji na motorju Chromium.

Poleg novosti in popravkov napak v Firefoxu 74, 20 ranljivosti, od tega 10 (zbrano pod CVE-2020-6814 и CVE-2020-6815) so označeni kot potencialno sposobni povzročiti izvajanje kode napadalca pri odpiranju posebej oblikovanih strani. Naj vas spomnimo, da so bile težave s pomnilnikom, kot so prelivanje medpomnilnika in dostop do že sproščenih pomnilniških območij, nedavno označene kot nevarne, a ne kritične.

Vir: opennet.ru