Webbläsare släppt Och Firefox 68.6 för Android-plattformen. Dessutom har en uppdatering genererats långsiktigt stöd . Kommer snart till scenen Firefox 75-grenen kommer att flytta över, vars release är planerad till den 7 april (projekt i 4-5 veckor ). För Firefox 75 beta filial bildning för Linux i Flatpak-format.
:
- Linux-byggen använder en isoleringsmekanism , som syftar till att blockera exploatering av sårbarheter i funktionsbibliotek från tredje part. I det här skedet är isolering endast aktiverad för biblioteket , ansvarig för att rendera typsnitt. RLBox kompilerar C/C++-koden för det isolerade biblioteket till WebAssembly-mellankod på låg nivå, som sedan utformas som en WebAssembly-modul, vars behörigheter endast ställs in i förhållande till denna modul. Den sammansatta modulen arbetar i ett separat minnesområde och har inte tillgång till resten av adressutrymmet. Om en sårbarhet i biblioteket utnyttjas kommer angriparen att vara begränsad och kommer inte att kunna komma åt minnesområden i huvudprocessen eller överföra kontroll utanför den isolerade miljön.
- DNS över HTTPS-läge (DoH, DNS över HTTPS) för amerikanska användare. Standard DNS-leverantör är CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor), och NextDNS finns som tillval. Byt leverantör eller aktivera DoH i andra länder än USA, i nätverksanslutningsinställningarna. Du kan läsa mer om DoH i Firefox på .
- stöd för TLS 1.0- och TLS 1.1-protokoll. För att komma åt webbplatser via en säker kommunikationskanal måste servern ge stöd för minst TLS 1.2. Enligt Google fortsätter för närvarande cirka 0.5 % av nedladdningarna av webbsidor att utföras med föråldrade versioner av TLS. Avstängningen genomfördes enl IETF (Internet Engineering Task Force). Anledningen till att vägra stödja TLS 1.0/1.1 är bristen på stöd för moderna chiffer (till exempel ECDHE och AEAD) och kravet på att stödja gamla chiffer, vars tillförlitlighet ifrågasätts i det nuvarande utvecklingsstadiet av datorteknik ( till exempel krävs stöd för TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 används för integritetskontroll och autentisering och SHA-1). När du försöker använda TLS 1.0 och TLS 1.1 från och med Firefox 74 kommer ett felmeddelande att visas. Du kan återställa möjligheten att arbeta med föråldrade TLS-versioner genom att ställa in security.tls.version.enable-deprecated = true eller genom att använda knappen på felsidan som visas när du besöker en webbplats med det gamla protokollet.
- Releasenoten rekommenderar ett tillägg , som automatiskt blockerar Facebook-widgets från tredje part som används för autentisering, kommentarer och gilla. Facebooks identifieringsparametrar är isolerade i en separat behållare, vilket gör det svårt att identifiera användaren med de webbplatser de besöker. Möjligheten att arbeta med Facebooks huvudsajt finns kvar, men den är isolerad från andra sajter.
För mer flexibel isolering av godtyckliga platser föreslås ett tillägg med implementeringen av konceptet kontextbehållare. Behållare ger möjligheten att isolera olika typer av innehåll utan att skapa separata profiler, vilket gör att du kan separera informationen från enskilda grupper av sidor. Du kan till exempel skapa separata, isolerade områden för personlig kommunikation, arbete, shopping och banktransaktioner, eller organisera samtidig användning av olika användarkonton på en plats. Varje behållare använder separata butiker för cookies, Local Storage API, indexedDB, cache och OriginAttributes-innehåll.
- Lade till inställningen "browser.tabs.allowTabDetach" till about:config för att förhindra att flikar kopplas bort från nya fönster. Oavsiktlig lossning av flikar är en av de mest irriterande Firefox-buggarna som behöver åtgärdas. 9 år. Webbläsaren tillåter musen att dra en flik till ett nytt fönster, men under vissa omständigheter lossnar fliken i ett separat fönster under drift när musen rör sig slarvigt när den klickar på fliken.
- stöd för tillägg installerade i omlopp och inte knutna till användarprofiler. Ändringen påverkar endast installation av tillägg i delade kataloger (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ eller ~/.mozilla/extensions/) som bearbetas av alla Firefox-instanser på systemet ( inte associerad med en användare). Denna metod används vanligtvis för att förinstallera tillägg i distributioner, för oönskad ersättning med tredjepartsapplikationer, för att integrera skadliga tillägg eller för att separat leverera ett tillägg med sitt eget installationsprogram. I Firefox 73 har tidigare tvångsinstallerade tillägg automatiskt flyttats från den delade katalogen till individuella användarprofiler och kan nu genom den vanliga tilläggshanteraren.
- I Lockwise-systemtillägget som ingår i webbläsaren, som erbjuder gränssnittet "about:logins" för att hantera sparade lösenord, sortera i omvänd ordning (Z till A).
- WebRTC har ökat skyddet mot läckage av information om den interna IP-adressen under röst- och videosamtal med hjälp av "", döljer den lokala adressen bakom en dynamiskt genererad slumpmässig identifierare som bestäms genom Multicast DNS.
- Ändrade platsen för bild-i-bild-vy-omkopplaren som överlappade nästa bildknapp i gränssnittet för batchuppladdning av foton på Instagram.
- I JavaScript operatör “?.”, utformad för att samtidigt kontrollera hela kedjan av fastigheter eller samtal. Till exempel, genom att ange "db?.användare?.namn?.längd" kan du nu komma åt värdet för "db.användarnamn.längd" utan några preliminära kontroller. Om något element behandlas som null eller odefinierat, kommer utdata att vara "odefinierat".
- stöd på webbplatser och i tillägg för metoden Object.toSource() och den globala funktionen uneval().
- Ny händelse har lagts till och tillhörande egendom , som låter dig anropa en hanterare när användaren ändrar gränssnittsspråk.
- Bearbetning av HTTP-huvuden har aktiverats (), vilket gör det möjligt för webbplatser att förhindra införande av resurser (till exempel bilder och skript) som laddas från andra domäner (kors-ursprung och cross-site). Rubriken kan ha två värden: "same-origin" (tillåter endast förfrågningar om resurser med samma schema, värdnamn och portnummer) och "same-site" (tillåter endast förfrågningar från samma plats).
Cross-Origin-Resource-Policy: samma plats
- HTTP-rubrik aktiverad som standard , som låter dig kontrollera beteendet hos API:t och aktivera vissa funktioner (till exempel kan du inaktivera åtkomst till Geolocation API, kamera, mikrofon, helskärm, autouppspelning, krypterad media, animering, Payment API, synkront XMLHttpRequest-läge, etc.). För iframe-block, attributet "", som kan användas i sidkoden för att tilldela rättigheter till vissa iframe-block.
Funktionspolicy: mikrofon "ingen"; geolokalisering 'ingen'
Om en webbplats genom attributet "allow" tillåter att arbeta med en resurs för en specifik iframe, och en begäran tas emot från iframen om att erhålla behörigheter att arbeta med denna resurs, visar webbläsaren nu en dialogruta för att bevilja behörigheter i kontexten på huvudsidan och delegerar rättigheterna som bekräftats av användaren till iframe (istället för en separat bekräftelse för iframe och huvudsida). Men om huvudsidan inte har behörighet till resursen som efterfrågas via attributet allow, har iframen tillgång till resursen omedelbart utan att visa en dialogruta för användaren.
- CSS-egenskapsstöd är aktiverat som standard '', som bestämmer positionen för textens understrykning (till exempel när du visar text vertikalt kan du ordna understrykningar till vänster eller höger, och när du visar horisontellt, inte bara underifrån utan även uppifrån). Dessutom i CSS-egenskaperna som styr understrykningsstilen и Lade till stöd för att använda procentvärden.
- I en CSS-egendom , som definierar linjestilen runt element, är som standard "auto" (tidigare på grund av problem i GNOME).
- I JavaScript-felsökaren möjligheten att felsöka kapslade Web Workers, vars exekvering kan avbrytas och felsökas steg för steg med hjälp av brytpunkter.
- Webbsidans inspektionsgränssnitt ger nu varningar för CSS-egenskaper som är beroende av z-index, topp-, vänster-, botten- och högerpositionerade element.
- För Windows och macOS har möjligheten att importera profiler från Microsoft Edge-webbläsaren baserad på Chromium-motorn implementerats.
Förutom innovationer och buggfixar har Firefox 74 fixat , varav 10 (samlade under и ) flaggas som potentiellt kapabla att leda till exekvering av angriparkod när man öppnar specialdesignade sidor. Låt oss påminna dig om att minnesproblem, såsom buffertspill och tillgång till redan frigjorda minnesområden, nyligen har markerats som farliga, men inte kritiska.
Källa: opennet.ru