เว็บเบราว์เซอร์ถูกปล่อยออกมา และ Firefox 68.6 สำหรับแพลตฟอร์ม Android นอกจากนี้ ยังมีการสร้างการอัปเดตอีกด้วย การสนับสนุนระยะยาว . ใกล้จะถึงเวทีแล้ว. สาขา Firefox 75 จะย้ายไปซึ่งมีกำหนดการเปิดตัวในวันที่ 7 เมษายน (project เป็นเวลา 4-5 สัปดาห์ ). สำหรับสาขา Firefox 75 เบต้า การสร้าง สำหรับ Linux ในรูปแบบ Flatpak
:
- Linux บิลด์ใช้กลไกการแยก มุ่งเป้าไปที่การบล็อกการหาประโยชน์จากช่องโหว่ในไลบรารีฟังก์ชันของบุคคลที่สาม ในขั้นตอนนี้ การแยกจะเปิดใช้งานสำหรับไลบรารีเท่านั้น มีหน้าที่รับผิดชอบในการเรนเดอร์ฟอนต์ RLBox รวบรวมโค้ด C/C++ ของไลบรารีที่แยกออกมาเป็นโค้ดระดับกลาง WebAssembly ระดับต่ำ ซึ่งได้รับการออกแบบให้เป็นโมดูล WebAssembly ซึ่งการอนุญาตจะถูกตั้งค่าให้สัมพันธ์กับโมดูลนี้เท่านั้น โมดูลที่ประกอบแล้วทำงานในพื้นที่หน่วยความจำแยกต่างหาก และไม่สามารถเข้าถึงพื้นที่ที่อยู่ส่วนที่เหลือได้ หากช่องโหว่ในไลบรารีถูกโจมตี ผู้โจมตีจะถูกจำกัดและจะไม่สามารถเข้าถึงพื้นที่หน่วยความจำของกระบวนการหลักหรือควบคุมการถ่ายโอนภายนอกสภาพแวดล้อมที่แยกได้
- DNS ผ่านโหมด HTTPS (DoH, DNS ผ่าน HTTPS) สำหรับผู้ใช้ในสหรัฐอเมริกา ผู้ให้บริการ DNS เริ่มต้นคือ CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor) และ NextDNS มีให้เลือกใช้งาน เปลี่ยนผู้ให้บริการหรือเปิดใช้งาน DoH ในประเทศอื่นที่ไม่ใช่สหรัฐอเมริกา ในการตั้งค่าการเชื่อมต่อเครือข่าย คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ DoH ใน Firefox ได้ที่ .
- รองรับโปรโตคอล TLS 1.0 และ TLS 1.1 ในการเข้าถึงไซต์ผ่านช่องทางการสื่อสารที่ปลอดภัย เซิร์ฟเวอร์จะต้องให้การสนับสนุนอย่างน้อย TLS 1.2 จากข้อมูลของ Google ปัจจุบันการดาวน์โหลดหน้าเว็บประมาณ 0.5% ยังคงดำเนินการโดยใช้ TLS เวอร์ชันล้าสมัย การปิดระบบได้ดำเนินการตาม IETF (คณะทำงานเฉพาะกิจวิศวกรรมอินเทอร์เน็ต) เหตุผลที่ปฏิเสธที่จะสนับสนุน TLS 1.0/1.1 คือการขาดการสนับสนุนการเข้ารหัสที่ทันสมัย (เช่น ECDHE และ AEAD) และข้อกำหนดในการรองรับการเข้ารหัสแบบเก่า ความน่าเชื่อถือที่ถูกตั้งคำถามในขั้นตอนปัจจุบันของการพัฒนาเทคโนโลยีคอมพิวเตอร์ ( ตัวอย่างเช่น จำเป็นต้องมีการรองรับ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 ใช้สำหรับการตรวจสอบความสมบูรณ์และการรับรองความถูกต้อง และ SHA-1) เมื่อพยายามใช้ TLS 1.0 และ TLS 1.1 โดยเริ่มต้นด้วย Firefox 74 จะมีข้อผิดพลาดปรากฏขึ้น คุณสามารถคืนค่าความสามารถในการทำงานกับ TLS เวอร์ชันเก่าได้โดยการตั้งค่า security.tls.version.enable-deprecated = true หรือโดยใช้ปุ่มบนหน้าข้อผิดพลาดที่แสดงเมื่อเยี่ยมชมไซต์ด้วยโปรโตคอลเก่า
- บันทึกประจำรุ่นแนะนำส่วนเสริม ซึ่งจะบล็อกวิดเจ็ต Facebook บุคคลที่สามที่ใช้สำหรับการตรวจสอบสิทธิ์ การแสดงความคิดเห็น และการถูกใจโดยอัตโนมัติ พารามิเตอร์การระบุตัวตนของ Facebook ถูกแยกไว้ในคอนเทนเนอร์ที่แยกต่างหาก ทำให้ยากต่อการระบุผู้ใช้ด้วยเว็บไซต์ที่พวกเขาเยี่ยมชม ความสามารถในการทำงานกับไซต์ Facebook หลักยังคงอยู่ แต่จะแยกออกจากไซต์อื่น
เพื่อการแยกไซต์ตามอำเภอใจที่มีความยืดหยุ่นมากขึ้น จึงเสนอส่วนเสริม ด้วยการนำแนวคิดของคอนเทนเนอร์บริบทไปใช้ คอนเทนเนอร์ให้ความสามารถในการแยกเนื้อหาประเภทต่างๆ โดยไม่ต้องสร้างโปรไฟล์แยกกัน ซึ่งช่วยให้คุณสามารถแยกข้อมูลของกลุ่มเพจแต่ละกลุ่มได้ ตัวอย่างเช่น คุณสามารถสร้างพื้นที่แยกต่างหากสำหรับการสื่อสารส่วนตัว การทำงาน การช็อปปิ้ง และการทำธุรกรรมทางธนาคาร หรือจัดระเบียบการใช้งานบัญชีผู้ใช้ที่แตกต่างกันพร้อมกันบนเว็บไซต์เดียว แต่ละคอนเทนเนอร์ใช้ร้านค้าแยกต่างหากสำหรับเนื้อหาคุกกี้, Local Storage API, IndexedDB, แคช และเนื้อหา OriginAttributes
- เพิ่มการตั้งค่า "browser.tabs.allowTabDetach" เป็น about:config เพื่อป้องกันไม่ให้แท็บถูกแยกออกจากหน้าต่างใหม่ การปลดแท็บโดยไม่ได้ตั้งใจเป็นหนึ่งในข้อบกพร่องของ Firefox ที่น่ารำคาญที่สุดที่ต้องแก้ไข 9 ปี. เบราว์เซอร์อนุญาตให้เมาส์ลากแท็บไปยังหน้าต่างใหม่ แต่ภายใต้สถานการณ์บางอย่าง แท็บจะถูกแยกออกจากหน้าต่างแยกต่างหากระหว่างการทำงาน เมื่อเมาส์เคลื่อนที่อย่างไม่ระมัดระวังในขณะที่คลิกที่แท็บ
- รองรับส่วนเสริมที่ติดตั้งในลักษณะวงเวียนและไม่เชื่อมโยงกับโปรไฟล์ผู้ใช้ การเปลี่ยนแปลงจะส่งผลต่อการติดตั้งส่วนเสริมในไดเรกทอรีที่ใช้ร่วมกันเท่านั้น (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ หรือ ~/.mozilla/extensions/) ที่ประมวลผลโดยอินสแตนซ์ Firefox ทั้งหมดบนระบบ ( ไม่เกี่ยวข้องกับผู้ใช้) โดยปกติวิธีนี้ใช้สำหรับการติดตั้งส่วนเสริมล่วงหน้าในการแจกจ่าย สำหรับการทดแทนที่ไม่พึงประสงค์ด้วยแอปพลิเคชันบุคคลที่สาม สำหรับการรวมส่วนเสริมที่เป็นอันตราย หรือสำหรับการส่งส่วนเสริมแยกต่างหากด้วยตัวติดตั้งของตัวเอง ใน Firefox 73 ส่วนเสริมที่บังคับติดตั้งก่อนหน้านี้จะถูกย้ายจากไดเร็กทอรีที่แชร์ไปยังโปรไฟล์ผู้ใช้แต่ละรายโดยอัตโนมัติ และตอนนี้สามารถ ผ่านตัวจัดการส่วนเสริมปกติ
- ในส่วนเสริมระบบ Lockwise ที่รวมอยู่ในเบราว์เซอร์ซึ่งมีอินเทอร์เฟซ "เกี่ยวกับ: การเข้าสู่ระบบ" สำหรับจัดการรหัสผ่านที่บันทึกไว้ เรียงลำดับย้อนกลับ (Z ถึง A)
- WebRTC ได้เพิ่มการป้องกันการรั่วไหลของข้อมูลเกี่ยวกับที่อยู่ IP ภายในระหว่างการโทรด้วยเสียงและวิดีโอโดยใช้ "“ ซ่อนที่อยู่ในเครื่องไว้ด้านหลังตัวระบุแบบสุ่มที่สร้างขึ้นแบบไดนามิกซึ่งกำหนดผ่าน Multicast DNS
- เปลี่ยนตำแหน่งของสวิตช์ดูภาพซ้อนภาพที่ซ้อนทับปุ่มรูปภาพถัดไปในอินเทอร์เฟซการอัปโหลดรูปภาพเป็นชุดบน Instagram
- ในจาวาสคริปต์ ตัวดำเนินการ “?.” ออกแบบมาเพื่อตรวจสอบสายคุณสมบัติหรือการโทรทั้งหมดพร้อมกัน ตัวอย่างเช่น โดยการระบุ "db?.user?.name?.length" คุณสามารถเข้าถึงค่าของ "db.user.name.length" ได้โดยไม่ต้องมีการตรวจสอบเบื้องต้น หากองค์ประกอบใดๆ ถูกประมวลผลเป็นโมฆะหรือไม่ได้กำหนด ผลลัพธ์ที่ได้จะเป็น "ไม่ได้กำหนด"
- รองรับเว็บไซต์และส่วนเสริมสำหรับเมธอด Object.toSource() และฟังก์ชันโกลบอล uneval()
- เพิ่มกิจกรรมใหม่แล้ว และทรัพย์สินที่เกี่ยวข้อง ซึ่งช่วยให้คุณสามารถเรียกตัวจัดการเมื่อผู้ใช้เปลี่ยนภาษาอินเทอร์เฟซ
- เปิดใช้งานการประมวลผลส่วนหัว HTTP แล้ว () ช่วยให้ไซต์ป้องกันการแทรกทรัพยากร (เช่น รูปภาพและสคริปต์) ที่โหลดจากโดเมนอื่น (ข้ามต้นทางและข้ามไซต์) ส่วนหัวสามารถรับค่าได้สองค่า: "แหล่งกำเนิดเดียวกัน" (อนุญาตเฉพาะคำขอทรัพยากรที่มีรูปแบบ ชื่อโฮสต์ และหมายเลขพอร์ตเดียวกัน) และ "ไซต์เดียวกัน" (อนุญาตเฉพาะคำขอจากไซต์เดียวกัน)
นโยบายทรัพยากรข้ามต้นทาง: ไซต์เดียวกัน
- ส่วนหัว HTTP เปิดใช้งานตามค่าเริ่มต้น ซึ่งช่วยให้คุณควบคุมพฤติกรรมของ API และเปิดใช้งานคุณลักษณะบางอย่างได้ (เช่น คุณสามารถปิดใช้งานการเข้าถึง Geolocation API, กล้อง, ไมโครโฟน, เต็มหน้าจอ, เล่นอัตโนมัติ, สื่อที่เข้ารหัส, ภาพเคลื่อนไหว, API การชำระเงิน, โหมด XMLHttpRequest แบบซิงโครนัส, ฯลฯ) สำหรับบล็อก iframe คุณลักษณะ ““ ซึ่งสามารถใช้ในโค้ดของเพจเพื่อกำหนดสิทธิ์ให้กับบล็อก iframe บางตัวได้
คุณสมบัติ-นโยบาย: ไมโครโฟน 'ไม่มี'; ตำแหน่งทางภูมิศาสตร์ 'ไม่มี'
หากไซต์อนุญาตให้ทำงานกับทรัพยากรสำหรับ iframe เฉพาะผ่านแอตทริบิวต์ "อนุญาต" และได้รับคำขอจาก iframe เพื่อขอรับสิทธิ์ในการทำงานกับทรัพยากรนี้ ตอนนี้เบราว์เซอร์จะแสดงกล่องโต้ตอบสำหรับการให้สิทธิ์ใน บริบทของหน้าหลักและมอบสิทธิ์ที่ผู้ใช้ยืนยันให้กับ iframe (แทนการยืนยันแยกต่างหากสำหรับ iframe และหน้าหลัก) แต่หากหน้าหลักไม่มีสิทธิ์เข้าถึงทรัพยากรที่ร้องขอผ่านแอตทริบิวต์อนุญาต iframe ก็จะสามารถเข้าถึงทรัพยากรได้ทันที โดยไม่แสดงกล่องโต้ตอบให้ผู้ใช้เห็น
- การสนับสนุนคุณสมบัติ CSS 'เปิดใช้งานโดยค่าเริ่มต้น'' ซึ่งกำหนดตำแหน่งของการขีดเส้นใต้ของข้อความ (ตัวอย่างเช่น เมื่อแสดงข้อความในแนวตั้ง คุณสามารถจัดระเบียบการขีดเส้นใต้ทางด้านซ้ายหรือขวาได้ และเมื่อแสดงตามแนวนอน ไม่เพียงแต่จากด้านล่างเท่านั้น แต่ยังจากด้านบนด้วย) นอกจากนี้ในคุณสมบัติ CSS ที่ควบคุมรูปแบบการขีดเส้นใต้ и เพิ่มการรองรับการใช้ค่าเปอร์เซ็นต์
- ในคุณสมบัติ CSS ซึ่งกำหนดสไตล์เส้นรอบองค์ประกอบ โดยมีค่าเริ่มต้นเป็น "auto" (ก่อนหน้านี้ เนื่องจากปัญหาใน GNOME)
- ในดีบักเกอร์ JavaScript ความสามารถในการดีบัก Web Workers ที่ซ้อนกัน การดำเนินการที่สามารถระงับและดีบั๊กทีละขั้นตอนโดยใช้เบรกพอยต์
- ขณะนี้อินเทอร์เฟซการตรวจสอบหน้าเว็บมีคำเตือนสำหรับคุณสมบัติ CSS ที่ขึ้นอยู่กับองค์ประกอบดัชนี z บน ซ้าย ล่าง และขวา
- สำหรับ Windows และ macOS ได้มีการนำความสามารถในการนำเข้าโปรไฟล์จากเบราว์เซอร์ Microsoft Edge ที่ใช้ Chromium engine มาใช้งาน
นอกจากนวัตกรรมและการแก้ไขข้อบกพร่องใน Firefox 74 แล้ว ซึ่ง 10 (รวบรวมภายใต้ и ) ถูกตั้งค่าสถานะว่าอาจนำไปสู่การเรียกใช้โค้ดของผู้โจมตีเมื่อเปิดหน้าที่ออกแบบเป็นพิเศษ เราขอเตือนคุณว่าปัญหาหน่วยความจำ เช่น บัฟเฟอร์ล้นและการเข้าถึงพื้นที่หน่วยความจำที่ว่างแล้ว เพิ่งถูกทำเครื่องหมายว่าเป็นอันตราย แต่ไม่สำคัญ
ที่มา: opennet.ru