การเปิดตัว Firefox 72

เว็บเบราว์เซอร์ถูกปล่อยออกมา Firefox 72และ รุ่นมือถือ Firefox 68.4 สำหรับแพลตฟอร์ม Android นอกจากนี้ ยังมีการสร้างการอัปเดตอีกด้วย สาขา การสนับสนุนระยะยาว 68.4.0. ใกล้จะถึงเวทีแล้ว. การทดสอบเบต้า สาขา Firefox 73 จะย้ายไปซึ่งมีกำหนดการเปิดตัวในวันที่ 11 กุมภาพันธ์ (project ย้ายแล้ว เป็นเวลา 4 สัปดาห์ วงจรการพัฒนา).

หลัก นวัตกรรม:

• ในโหมดการบล็อกมาตรฐานเริ่มต้นสำหรับเนื้อหาที่ไม่เหมาะสม รวมอยู่ด้วย การป้องกันการติดตามผู้ใช้โดยใช้วิธีการระบุตัวตนที่ซ่อนอยู่ (“ลายนิ้วมือของเบราว์เซอร์”) ซึ่งดำเนินการโดย หมวดหมู่เพิ่มเติม ในรายการ Disconnect.me ซึ่งรวมถึงโฮสต์ที่พบว่าใช้สคริปต์เพื่อระบุตัวตนที่ซ่อนอยู่ การระบุตัวตนที่ซ่อนอยู่หมายถึงการจัดเก็บตัวระบุในพื้นที่ที่ไม่ได้มีไว้สำหรับการจัดเก็บข้อมูลอย่างถาวร (“Supercookies”) รวมถึงการสร้างตัวระบุตามข้อมูลทางอ้อม เช่น ความละเอียดหน้าจอ, รายการประเภท MIME ที่รองรับ, พารามิเตอร์เฉพาะในส่วนหัว (HTTP / 2 и HTTPS) การวิเคราะห์การติดตั้ง ปลั๊กอินและแบบอักษรความพร้อมใช้งานของ Web API บางตัว เฉพาะกับการ์ดวิดีโอ คุณสมบัติ เรนเดอร์โดยใช้ WebGL และ Canvas การจัดการ ด้วย CSS การวิเคราะห์คุณสมบัติการทำงานด้วย หนู и แป้นพิมพ์.
  

• เปิดใช้งานแล้ว методы การต่อสู้ พร้อมคำขอที่น่ารำคาญเพื่อให้สิทธิ์เพิ่มเติมแก่ไซต์ (Notification.requestPermission(), PushManager.subscribe() และ MediaDevices.getDisplayMedia()) การร้องขอการยืนยันการอนุญาตจะไม่รบกวนการทำงานกับเบราว์เซอร์อีกต่อไป แต่จะนำไปสู่การแสดงตัวบ่งชี้ในแถบที่อยู่หลังจากที่ผู้ใช้โต้ตอบกับเพจ (การคลิกเมาส์หรือการกดปุ่ม) ได้รับการบันทึกแล้วเท่านั้น ไซต์จำนวนมากละเมิดความสามารถของเบราว์เซอร์ในการขอสิทธิ์ โดยหลักๆ คือการขอการแจ้งเตือนแบบพุชเป็นระยะๆ การวิเคราะห์การวัดและส่งข้อมูลทางไกลพบว่า 97% ของคำขอดังกล่าวถูกปฏิเสธ รวมถึง 19% ของกรณีที่ผู้ใช้ปิดหน้าทันทีโดยไม่ต้องคลิกปุ่มตกลงหรือปฏิเสธ
• เพิ่ม ทดลอง สนับสนุน โปรโตคอล HTTP/3 (เพื่อเปิดใช้งานใน about:config คุณต้องตั้งค่าตัวเลือก “network.http.http3.enabled”) การสนับสนุน HTTP/3 ใน Firefox ขึ้นอยู่กับ เนโกะเขียนด้วยภาษา Rust ใช้งานไคลเอนต์และเซิร์ฟเวอร์ของโปรโตคอล QUIC (HTTP/3 ทำให้เป็นมาตรฐาน โดยใช้โปรโตคอล QUIC เป็นการส่งข้อมูลสำหรับ HTTP/2)
• ตามข้อกำหนดของกฎหมายที่มีผลใช้บังคับ CCPA (พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย) เพิ่ม ความสามารถในการลบข้อมูล telemetry จากเซิร์ฟเวอร์ Mozilla ข้อมูลจะถูกลบหากคุณปฏิเสธที่จะเก็บรวบรวมการตรวจวัดทางไกลในส่วน “about:preferences#privacy” (“การรวบรวมและการใช้ข้อมูล Firefox”) เมื่อคุณล้างช่องทำเครื่องหมาย "อนุญาตให้ Firefox ส่งข้อมูลทางเทคนิคและการโต้ตอบไปยัง Mozilla" ที่ควบคุมการส่งการวัดและส่งข้อมูลทางไกล Mozilla ดำเนินการ ภายใน 30 วัน เอาออก ข้อมูลทั้งหมดที่รวบรวมในช่วงเวลาที่นำไปสู่ความล้มเหลวในการส่งข้อมูลทางไกล ข้อมูลที่สิ้นสุดบนเซิร์ฟเวอร์ของ Mozilla ในระหว่างกระบวนการรวบรวมข้อมูลทางไกลประกอบด้วยข้อมูลเกี่ยวกับประสิทธิภาพของ Firefox ความปลอดภัย และพารามิเตอร์ทั่วไป เช่น จำนวนแท็บที่เปิดและระยะเวลาเซสชัน (ข้อมูลเกี่ยวกับไซต์ที่เปิดและคำค้นหาจะไม่ถูกส่ง) ดูรายละเอียดทั้งหมดของข้อมูลที่รวบรวมได้ในหน้า "เกี่ยวกับ: telemetry"
  

• สำหรับ Linux และ macOS มีการเพิ่มความสามารถในการดูวิดีโอในโหมดรูปภาพในภาพ ช่วยให้คุณสามารถแยกวิดีโอออกในรูปแบบของหน้าต่างลอยที่ยังคงมองเห็นได้ในขณะที่นำทางในเบราว์เซอร์ หากต้องการดูในโหมดนี้ คุณต้องคลิกคำแนะนำเครื่องมือหรือในเมนูบริบทที่แสดงเมื่อคุณคลิกขวาที่วิดีโอ เลือก "รูปภาพในภาพ" (ใน YouTube ซึ่งใช้แทนตัวจัดการเมนูบริบทของตัวเอง คุณควรขวา- คลิกสองครั้งหรือคลิกโดยกดปุ่ม Shift)
  

• เมื่อแถบเลื่อนปรากฏขึ้น ที่เกี่ยวข้อง สีพื้นหลังของหน้าปัจจุบัน
• ลบออก โอกาส การผูกคีย์สาธารณะ (PKP, การปักหมุดคีย์สาธารณะ) ซึ่งอนุญาตให้ใช้ส่วนหัว HTTP ของคีย์สาธารณะ-พิน เพื่อกำหนดใบรับรองอย่างชัดเจนว่าหน่วยงานออกใบรับรองใดที่สามารถนำมาใช้สำหรับไซต์ที่กำหนดได้ เหตุผลที่อ้างถึงคือความต้องการฟังก์ชันนี้ต่ำ ความเสี่ยงของปัญหาความเข้ากันได้ (รองรับ PKP ยกเลิกแล้ว ใน Chrome) และความสามารถในการบล็อกไซต์ของคุณเองเนื่องจากการผูกคีย์ผิดหรือการสูญหายของคีย์ (เช่น การลบโดยไม่ตั้งใจหรือการประนีประนอมอันเป็นผลมาจากการแฮ็ก)
• โครงสร้าง ได้รับการยอมรับ แพทช์อนุญาตใน OpenBSD หมั้น การโทรของระบบ เปิดเผย() и จำนำ() สำหรับระบบไฟล์เพิ่มเติมและการแยกกระบวนการ
• ลบการสนับสนุนสำหรับการบล็อกรูปภาพจากแต่ละโดเมน เหตุผลในการลบคือการขาดความต้องการฟังก์ชั่นของผู้ใช้และอินเทอร์เฟซที่ไม่สะดวกในการบล็อก
• ในรุ่นสำหรับ Windows คุณลักษณะทดลองได้ถูกนำมาใช้เพื่อใช้ใบรับรองไคลเอ็นต์จากที่เก็บใบรับรองระบบปฏิบัติการทั่วไป (ต้องเปิดใช้งานตัวเลือก security.osclientcerts.autoload เพื่อเปิดใช้งานใน about:config)
• การสนับสนุน CSS Shadow Parts ถูกเปิดใช้งานตามค่าเริ่มต้น รวมถึง "ส่วนหนึ่ง" และองค์ประกอบหลอก "::ส่วนหนึ่ง" ช่วยให้คุณสามารถเลือกแสดงองค์ประกอบที่ระบุได้ เงา DOM.

  
  ย่อหน้า
  

  ... ใน CSS เพื่อเลือกองค์ประกอบที่เชื่อมโยงกับแอตทริบิวต์ part:

  องค์ประกอบที่กำหนดเอง :: ส่วน (ตัวอย่าง) {
  เส้นขอบ: สีดำทึบ 1px;
  รัศมีเส้นขอบ: 5px;
  padding: 5px;
  }

• เพิ่มการสนับสนุนข้อกำหนด เส้นทางการเคลื่อนไหวของ CSSซึ่งช่วยให้คุณกำหนดเส้นทางของออบเจ็กต์แอนิเมชั่นโดยใช้ CSS โดยไม่ต้องใช้โค้ด JavaScript และไม่มีการปิดกั้นกระบวนการเรนเดอร์และการป้อนข้อมูลระหว่างแอนิเมชั่น คุณสมบัติ CSS มีไว้เพื่อควบคุมภาพเคลื่อนไหว
  ชดเชย,
  ชดเชยเส้นทาง,
  ชดเชยสมอ,
  ระยะทางชดเชย и
  ชดเชยหมุน.

• คุณสมบัติการแปลง CSS ที่เลือกจะเปิดใช้งานตามค่าเริ่มต้น ขนาด, หมุน и แปลความ, ไม่ผูกพันกับทรัพย์สิน แปลง (เช่น ใน CSS ตอนนี้คุณสามารถระบุ “scale: 2;” แทน “transform: scale(2);”)
• JavaScript ใช้ตัวดำเนินการต่อข้อมูลเชิงตรรกะ "??" ซึ่งส่งคืนตัวถูกดำเนินการทางขวาหากตัวถูกดำเนินการทางซ้ายเป็น NULL หรือไม่ได้กำหนด และในทางกลับกัน เช่น "const foo = bar ?? 'default string'" หาก bar เป็น null จะส่งกลับค่าของ bar มิฉะนั้น รวมถึงเมื่อ bar เป็น 0 และ ' ' ตรงข้ามกับตัวดำเนินการ "||"
• เพิ่ม API FormDataEvent และเหตุการณ์ ข้อมูลแบบฟอร์มซึ่งทำให้สามารถใช้ตัวจัดการ JavaScript เพื่อเพิ่มข้อมูลลงในแบบฟอร์มเมื่อมีการส่ง โดยไม่ต้องจัดเก็บข้อมูลในองค์ประกอบอินพุตที่ซ่อนอยู่
• API ตำแหน่งทางภูมิศาสตร์ อัปเดตให้ตรงกับข้อกำหนดใหม่ เช่น เปลี่ยนชื่อพิกัดเป็น GeolocationCoordinates ตำแหน่งเป็น GeolocationPosition และ
  ตำแหน่งข้อผิดพลาดในตำแหน่งทางภูมิศาสตร์ตำแหน่งข้อผิดพลาด

• ในดีบักเกอร์ JavaScript เพิ่ม รองรับจุดพักแบบมีเงื่อนไข (จุดเฝ้าระวัง) ทริกเกอร์เมื่อคุณสมบัติบางอย่างของวัตถุมีการเปลี่ยนแปลงหรืออ่าน
  

• การเริ่มต้นใช้งานดีบักเกอร์ JavaScript จะถูกเร่งให้เร็วขึ้นเมื่อมีการเปิดแท็บจำนวนมาก (ก่อนอื่น ตอนนี้จะให้ความสำคัญกับแท็บที่มองเห็นได้)
• โหมดการออกแบบที่ตอบสนองใช้การจำลองค่าเมตาวิวพอร์ตที่แตกต่างกัน เพิ่มตัวจำลองค่า "prefers-color-scheme" ให้กับโหมดการตรวจสอบหน้า
• В เว็บคอนโซล ในโหมดการตีความ JavaScript แบบหลายบรรทัด เพิ่มการสนับสนุนสำหรับการบันทึกและการเปิดไฟล์โดยใช้ชุดค่าผสม Ctrl + O และ Ctrl + S
• เพิ่ม การตั้งค่า javascript.options.asyncstack เพื่อแยกข้อความอะซิงโครนัสแบบมองเห็นในเว็บคอนโซล เมื่อคุณเปิดใช้งานการตั้งค่าสำหรับ console.trace() และ console.error() สแต็กการเรียกแบบเต็มของการดำเนินการอะซิงโครนัสจะปรากฏขึ้น ช่วยให้คุณเข้าใจวิธีกำหนดเวลาการเปิดตัวตัวจับเวลา เหตุการณ์ สัญญา ตัวสร้าง ฯลฯ
  

• ในโหมดการตรวจสอบ WebSocket มีการใช้การแยกวิเคราะห์และการแสดงภาพข้อมูลเมตาในรูปแบบ SignalR ที่ใช้ในข้อความ ASP.NET Core นอกจากนี้ยังมีการเพิ่มตัวนับที่แสดงขนาดรวมของข้อมูลที่ส่งและดาวน์โหลด
• ในเครื่องมือสำหรับตรวจสอบกิจกรรมเครือข่ายในแท็บการกำหนดเวลาแยกกัน แสดง ข้อมูลเกี่ยวกับเวลาที่ทรัพยากรแต่ละรายการเข้าคิวเพื่อดาวน์โหลด เมื่อเริ่มการดาวน์โหลด และเมื่อการดาวน์โหลดเสร็จสิ้น
• สภาพแวดล้อมไม่รวมอยู่ในเครื่องมือสำหรับนักพัฒนาเว็บ Scratchpadออกแบบมาเพื่อการทดลองด้วยโค้ด JavaScript (Scratchpad ถูกแทนที่ด้วยโหมดคอนโซลเว็บแบบหลายบรรทัดในรุ่นล่าสุด)

นอกจากนวัตกรรมและการแก้ไขข้อบกพร่องใน Firefox 72 แล้ว 20 ช่องโหว่ซึ่ง 11 รายการ (รวบรวมภายใต้ CVE-2019-17025 и CVE-2019-17024) ถูกตั้งค่าสถานะว่าอาจนำไปสู่การเรียกใช้โค้ดของผู้โจมตีเมื่อเปิดหน้าที่ออกแบบเป็นพิเศษ เราขอเตือนคุณว่าปัญหาหน่วยความจำ เช่น บัฟเฟอร์ล้นและการเข้าถึงพื้นที่หน่วยความจำที่ว่างแล้ว เพิ่งถูกทำเครื่องหมายว่าเป็นอันตราย แต่ไม่สำคัญ สิ่งที่น่าสังเกตเป็นพิเศษอีกประการหนึ่งคือปัญหา CVE-2019-17017 ในโค้ด XPCVariant.cpp ซึ่งอาจนำไปสู่การเรียกใช้โค้ดได้เช่นกัน

ที่มา: opennet.ru