Shfletuesi i internetit u lëshua Dhe Firefox 68.6 për platformën Android. Përveç kësaj, është krijuar një përditësim me mbështetje afatgjatë . Së shpejti në skenë Dega e Firefox 75 do të zhvendoset, publikimi i së cilës është planifikuar për 7 Prill (projekt për 4-5 javë ). Për degën beta të Firefox 75 formësimin për Linux në formatin Flatpak.
:
- Ndërtimet Linux përdorin një mekanizëm izolimi , që synon bllokimin e shfrytëzimit të dobësive në bibliotekat e funksioneve të palëve të treta. Në këtë fazë, izolimi aktivizohet vetëm për bibliotekën , përgjegjës për paraqitjen e shkronjave. RLBox përpilon kodin C/C++ të bibliotekës së izoluar në kodin e ndërmjetëm të nivelit të ulët WebAssembly, i cili më pas dizenjohet si modul WebAssembly, lejet e të cilit vendosen vetëm në lidhje me këtë modul. Moduli i montuar funksionon në një zonë të veçantë memorie dhe nuk ka akses në pjesën tjetër të hapësirës së adresave. Nëse një dobësi në bibliotekë shfrytëzohet, sulmuesi do të jetë i kufizuar dhe nuk do të jetë në gjendje të hyjë në zonat e kujtesës të procesit kryesor ose të transferojë kontrollin jashtë mjedisit të izoluar.
- DNS mbi modalitetin HTTPS (DoH, DNS mbi HTTPS) për përdoruesit amerikanë. Ofruesi i parazgjedhur i DNS është CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), dhe NextDNS është i disponueshëm si opsion. Ndryshoni ofruesin ose aktivizoni DoH në vende të tjera përveç SHBA, në cilësimet e lidhjes së rrjetit. Mund të lexoni më shumë rreth DoH në Firefox në .
- mbështetje për protokollet TLS 1.0 dhe TLS 1.1. Për të hyrë në faqet përmes një kanali të sigurt komunikimi, serveri duhet të ofrojë mbështetje për të paktën TLS 1.2. Sipas Google, aktualisht rreth 0.5% e shkarkimeve të faqeve në internet vazhdojnë të kryhen duke përdorur versione të vjetëruara të TLS. Mbyllja u krye në përputhje me IETF (Task Forca e Inxhinierisë së Internetit). Arsyeja e refuzimit të mbështetjes së TLS 1.0/1.1 është mungesa e mbështetjes për shifrat moderne (për shembull, ECDHE dhe AEAD) dhe kërkesa për të mbështetur shifrat e vjetra, besueshmëria e të cilave vihet në dyshim në fazën aktuale të zhvillimit të teknologjisë kompjuterike ( për shembull, kërkohet mbështetje për TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 përdoret për kontrollin dhe vërtetimin e integritetit dhe SHA-1). Kur përpiqeni të përdorni TLS 1.0 dhe TLS 1.1 duke filluar me Firefox 74, do të shfaqet një gabim. Mund të rivendosni aftësinë për të punuar me versionet e vjetëruara TLS duke vendosur security.tls.version.enable-deprecated = true ose duke përdorur butonin në faqen e gabimit që shfaqet kur vizitoni një sajt me protokollin e vjetër.
- Shënimi i lëshimit rekomandon një shtesë , i cili bllokon automatikisht miniaplikacionet e palëve të treta në Facebook të përdorura për vërtetim, komentim dhe pëlqim. Parametrat e identifikimit të Facebook janë të izoluara në një kontejner të veçantë, duke e bërë të vështirë identifikimin e përdoruesit me faqet që vizitojnë. Mundësia për të punuar me faqen kryesore të Facebook mbetet, por është e izoluar nga faqet e tjera.
Për izolim më fleksibël të faqeve arbitrare, propozohet një shtesë me zbatimin e konceptit të kontejnerëve të kontekstit. Kontejnerët ofrojnë mundësinë për të izoluar lloje të ndryshme të përmbajtjes pa krijuar profile të veçanta, gjë që ju lejon të ndani informacionin e grupeve individuale të faqeve. Për shembull, mund të krijoni zona të veçanta, të izoluara për komunikim personal, punë, blerje dhe transaksione bankare, ose të organizoni përdorimin e njëkohshëm të llogarive të ndryshme të përdoruesve në një sajt. Çdo kontejner përdor dyqane të veçanta për Cookies, Local Storage API, indexedDB, cache dhe përmbajtjen OriginAttributes.
- U shtua cilësimi "browser.tabs.allowTabDetach" në about:config për të parandaluar shkëputjen e skedave në dritare të reja. Shkëputja aksidentale e skedave është një nga gabimet më të bezdisshme të Firefox-it që duhet rregulluar. 9 vjet. Shfletuesi lejon miun të tërheqë një skedë në një dritare të re, por në rrethana të caktuara skeda shkëputet në një dritare të veçantë gjatë funksionimit kur miu lëviz pa kujdes ndërsa klikoni në skedë.
- mbështetje për shtesat e instaluara në mënyrë rrethrrotulluese dhe jo të lidhura me profilet e përdoruesve. Ndryshimi prek vetëm instalimin e shtesave në drejtoritë e përbashkëta (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ ose ~/.mozilla/extensions/) të përpunuara nga të gjitha rastet e Firefox-it në sistem ( nuk shoqërohet me një përdorues). Kjo metodë zakonisht përdoret për instalimin paraprak të shtesave në shpërndarje, për zëvendësimin e pakërkuar me aplikacione të palëve të treta, për integrimin e shtesave me qëllim të keq ose për dërgimin e veçmas një shtesë me instaluesin e vet. Në Firefox 73, shtesat e instaluara më parë me forcë janë zhvendosur automatikisht nga drejtoria e përbashkët në profilet individuale të përdoruesve dhe tani mund të përmes menaxherit të rregullt të shtesave.
- Në shtesën e sistemit Lockwise të përfshirë në shfletues, i cili ofron ndërfaqen "about:logins" për menaxhimin e fjalëkalimeve të ruajtura, renditni në rend të kundërt (Z në A).
- WebRTC ka rritur mbrojtjen kundër rrjedhjes së informacionit në lidhje me adresën IP të brendshme gjatë thirrjeve zanore dhe video duke përdorur "“, duke fshehur adresën lokale pas një identifikuesi të rastësishëm të gjeneruar në mënyrë dinamike të përcaktuar përmes Multicast DNS.
- Ndryshoi vendndodhjen e çelësit të pamjes foto-në-foto që mbivendoste butonin tjetër të figurës në ndërfaqen e ngarkimit të fotografive në grup në Instagram.
- Në JavaScript operatori "?.", i krijuar për të kontrolluar njëkohësisht të gjithë zinxhirin e pronave ose thirrjeve. Për shembull, duke specifikuar "db?.user?.name?.length" tani mund të aksesoni vlerën e "db.user.name.length" pa ndonjë kontroll paraprak. Nëse ndonjë element përpunohet si null ose i papërcaktuar, dalja do të jetë "i papërcaktuar".
- mbështetje në faqet e internetit dhe në shtesat për metodën Object.toSource() dhe funksionin global uneval().
- Ngjarja e re u shtua dhe pronën e lidhur , të cilat ju lejojnë të telefononi një mbajtës kur përdoruesi ndryshon gjuhën e ndërfaqes.
- Përpunimi i kokës HTTP është aktivizuar (), duke i lejuar faqet të parandalojnë futjen e burimeve (për shembull, imazhe dhe skriptet) të ngarkuara nga domene të tjera (origjina e kryqëzuar dhe ndër-site). Kreu mund të marrë dy vlera: "e njëjta origjinë" (lejon vetëm kërkesat për burime me të njëjtën skemë, emër hosti dhe numër porti) dhe "same-site" (lejon vetëm kërkesat nga i njëjti sajt).
Cross-Origin-Resource-Policy: i njëjti vend
- Titulli HTTP është aktivizuar si parazgjedhje , i cili ju lejon të kontrolloni sjelljen e API-së dhe të aktivizoni disa veçori (për shembull, mund të çaktivizoni aksesin në API të Gjeolokimit, kamerën, mikrofonin, ekranin e plotë, luajtjen automatike, median e koduar, animacionin, API-në e pagesës, modalitetin sinkron XMLHttpKërkesë, etj). Për blloqet iframe, atributi "", i cili mund të përdoret në kodin e faqes për të caktuar të drejta për blloqe të caktuara iframe.
Veçori-Politika: mikrofoni "asnjë"; gjeolokacioni "asnjë"
Nëse një sajt lejon, nëpërmjet atributit "lejoj", të punojë me një burim për një iframe të caktuar dhe nga iframe merret një kërkesë për të marrë leje për të punuar me këtë burim, shfletuesi tani shfaq një dialog për dhënien e lejeve në kontekstin e faqes kryesore dhe delegon të drejtat e konfirmuara nga përdoruesi në iframe (në vend të një konfirmimi të veçantë për iframe dhe faqen kryesore). Por, nëse faqja kryesore nuk ka leje për burimin e kërkuar përmes atributit leje, iframe ka qasje në burim menjëherë , pa shfaqur një dialog te përdoruesi.
- Mbështetja për vetitë CSS "e aktivizuar si parazgjedhje"', i cili përcakton pozicionin e nënvizimit të tekstit (për shembull, kur shfaqet teksti vertikalisht, mund të organizoni nënvizimin majtas ose djathtas, dhe kur shfaqet horizontalisht, jo vetëm nga poshtë, por edhe nga lart). Përveç kësaj në vetitë CSS që kontrollojnë stilin e nënvizimit и Mbështetje e shtuar për përdorimin e vlerave të përqindjes.
- Në një pronë CSS , i cili përcakton stilin e linjës rreth elementeve, si parazgjedhje është "auto" (më parë për shkak të problemeve në GNOME).
- Në korrigjuesin JavaScript aftësia për të korrigjuar gabimet e Web Workers të ndërlidhura, ekzekutimi i të cilave mund të pezullohet dhe korrigjohet hap pas hapi duke përdorur pikat e ndërprerjes.
- Ndërfaqja e inspektimit të faqes së internetit tani ofron paralajmërime për vetitë CSS që varen nga elementët e pozicionuar z-indeksi, lart, majtas, poshtë dhe djathtas.
- Për Windows dhe macOS, është zbatuar aftësia për të importuar profile nga shfletuesi Microsoft Edge bazuar në motorin Chromium.
Përveç risive dhe rregullimeve të gabimeve, Firefox 74 ka rregulluar , nga të cilat 10 (të mbledhura nën и ) janë shënuar si potencialisht të aftë për të çuar në ekzekutimin e kodit të sulmuesit kur hapen faqe të projektuara posaçërisht. Le t'ju kujtojmë se problemet e kujtesës, të tilla si tejmbushjet e buferit dhe aksesi në zonat tashmë të liruara të memories, janë shënuar kohët e fundit si të rrezikshme, por jo kritike.
Burimi: opennet.ru