Inilabas ang web browser At Firefox 68.6 para sa Android platform. Bilang karagdagan, nabuo ang isang pag-update na may pangmatagalang suporta . Malapit na sa stage lilipat ang sangay ng Firefox 75, ang paglabas nito ay naka-iskedyul para sa Abril 7 (proyekto para sa 4-5 na linggo ). Para sa Firefox 75 beta branch pagbuo para sa Linux sa Flatpak na format.
:
- Gumagamit ng mekanismo ng paghihiwalay ang mga build ng Linux , na naglalayong hadlangan ang pagsasamantala sa mga kahinaan sa mga library ng function ng third-party. Sa yugtong ito, pinagana lang ang paghihiwalay para sa library , responsable sa pag-render ng mga font. Kino-compile ng RLBox ang C/C++ code ng nakahiwalay na library sa mababang antas na WebAssembly intermediate code, na pagkatapos ay idinisenyo bilang isang WebAssembly module, ang mga pahintulot na nakatakda kaugnay lamang sa module na ito. Ang naka-assemble na module ay gumagana sa isang hiwalay na lugar ng memorya at walang access sa natitirang espasyo ng address. Kung ang isang kahinaan sa library ay pinagsamantalahan, ang umaatake ay magiging limitado at hindi maa-access ang mga lugar ng memorya ng pangunahing proseso o ilipat ang kontrol sa labas ng nakahiwalay na kapaligiran.
- DNS sa HTTPS mode (DoH, DNS sa HTTPS) para sa mga gumagamit ng US. Ang default na DNS provider ay CloudFlare (mozilla.cloudflare-dns.com Π² Roskomnadzor), at NextDNS ay magagamit bilang isang opsyon. Baguhin ang provider o paganahin ang DoH sa mga bansa maliban sa US, sa mga setting ng koneksyon sa network. Maaari kang magbasa ng higit pa tungkol sa DoH sa Firefox sa .
- suporta para sa TLS 1.0 at TLS 1.1 na mga protocol. Upang ma-access ang mga site sa isang secure na channel ng komunikasyon, ang server ay dapat magbigay ng suporta para sa hindi bababa sa TLS 1.2. Ayon sa Google, kasalukuyang humigit-kumulang 0.5% ng mga pag-download ng web page ang patuloy na isinasagawa gamit ang mga lumang bersyon ng TLS. Ang pagsasara ay isinagawa alinsunod sa IETF (Internet Engineering Task Force). Ang dahilan ng pagtanggi na suportahan ang TLS 1.0/1.1 ay ang kakulangan ng suporta para sa mga modernong cipher (halimbawa, ECDHE at AEAD) at ang pangangailangan upang suportahan ang mga lumang cipher, ang pagiging maaasahan nito ay kinuwestiyon sa kasalukuyang yugto ng pag-unlad ng teknolohiya sa pag-compute ( halimbawa, ang suporta para sa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ay kinakailangan, ang MD5 ay ginagamit para sa integrity checking at authentication at SHA-1). Kapag sinusubukang gamitin ang TLS 1.0 at TLS 1.1 simula sa Firefox 74, may ipapakitang error. Maaari mong ibalik ang kakayahang magtrabaho sa mga lumang bersyon ng TLS sa pamamagitan ng pagtatakda ng security.tls.version.enable-deprecated = true o sa pamamagitan ng paggamit ng button sa pahina ng error na ipinapakita kapag bumibisita sa isang site na may lumang protocol.
- Ang tala sa paglabas ay nagrerekomenda ng isang add-on , na awtomatikong hinaharangan ang mga third-party na widget ng Facebook na ginagamit para sa pagpapatunay, pagkomento, at pag-like. Ang mga parameter ng pagkakakilanlan ng Facebook ay nakahiwalay sa isang hiwalay na lalagyan, na nagpapahirap sa pagtukoy ng user sa mga site na kanilang binibisita. Ang kakayahang magtrabaho kasama ang pangunahing Facebook site ay nananatili, ngunit ito ay nakahiwalay sa iba pang mga site.
Para sa mas nababaluktot na paghihiwalay ng mga arbitrary na site, iminungkahi ang isang add-on sa pagpapatupad ng konsepto ng mga lalagyan ng konteksto. Nagbibigay ang mga lalagyan ng kakayahang maghiwalay ng iba't ibang uri ng nilalaman nang hindi gumagawa ng hiwalay na mga profile, na nagbibigay-daan sa iyong paghiwalayin ang impormasyon ng mga indibidwal na grupo ng mga pahina. Halimbawa, maaari kang lumikha ng hiwalay, nakahiwalay na mga lugar para sa personal na komunikasyon, trabaho, pamimili at mga transaksyon sa pagbabangko, o ayusin ang sabay-sabay na paggamit ng iba't ibang user account sa isang site. Gumagamit ang bawat container ng magkakahiwalay na tindahan para sa Cookies, Local Storage API, indexedDB, cache, at OriginAttributes na nilalaman.
- Idinagdag ang setting ng "browser.tabs.allowTabDetach" sa about:config upang maiwasang mahiwalay ang mga tab sa mga bagong window. Ang hindi sinasadyang tab detachment ay isa sa mga pinaka nakakainis na Firefox bug na kailangang ayusin. 9 na taon. Ang browser ay nagpapahintulot sa mouse na i-drag ang isang tab sa isang bagong window, ngunit sa ilalim ng ilang mga pangyayari ang tab ay nahiwalay sa isang hiwalay na window sa panahon ng operasyon kapag ang mouse ay gumagalaw nang walang ingat habang nagki-click sa tab.
- suporta para sa mga add-on na naka-install sa isang roundabout na paraan at hindi nakatali sa mga profile ng user. Ang pagbabago ay nakakaapekto lamang sa pag-install ng mga add-on sa mga nakabahaging direktoryo (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ o ~/.mozilla/extensions/) na pinoproseso ng lahat ng mga instance ng Firefox sa system ( hindi nauugnay sa isang user) . Karaniwang ginagamit ang paraang ito para sa paunang pag-install ng mga add-on sa mga distribusyon, para sa hindi hinihinging pagpapalit ng mga third-party na application, para sa pagsasama ng mga nakakahamak na add-on, o para sa hiwalay na paghahatid ng add-on gamit ang sarili nitong installer. Sa Firefox 73, ang dating force-installed na mga add-on ay awtomatikong inilipat mula sa nakabahaging direktoryo patungo sa mga indibidwal na profile ng user at maaari na ngayong sa pamamagitan ng regular na add-on manager.
- Sa Lockwise system add-on na kasama sa browser, na nag-aalok ng "about:login" interface para sa pamamahala ng mga naka-save na password, pagbukud-bukurin sa reverse order (Z hanggang A).
- Ang WebRTC ay nagpapataas ng proteksyon laban sa pagtagas ng impormasyon tungkol sa panloob na IP address sa panahon ng mga voice at video call gamit ang "β, itinatago ang lokal na address sa likod ng isang dynamic na nabuong random na identifier na tinutukoy sa pamamagitan ng Multicast DNS.
- Binago ang lokasyon ng picture-in-picture view switch na nag-overlap sa susunod na button ng larawan sa interface ng batch upload ng larawan sa Instagram.
- Sa JavaScript operator "?.", na idinisenyo upang sabay na suriin ang buong hanay ng mga katangian o tawag. Halimbawa, sa pamamagitan ng pagtukoy ng "db?.user?.name?.length" maaari mo na ngayong i-access ang value ng "db.user.name.length" nang walang anumang paunang pagsusuri. Kung ang anumang elemento ay naproseso bilang null o undefined, ang output ay magiging "undefined".
- suporta sa mga website at sa mga add-on para sa Object.toSource() na pamamaraan at ang pandaigdigang function na uneval().
- Nagdagdag ng bagong kaganapan at ang nauugnay na ari-arian , na nagbibigay-daan sa iyong tumawag sa isang handler kapag binago ng user ang wika ng interface.
- Pinagana ang pagproseso ng HTTP header (), na nagpapahintulot sa mga site na pigilan ang pagpasok ng mga mapagkukunan (halimbawa, mga larawan at script) na na-load mula sa iba pang mga domain (cross-origin at cross-site). Ang header ay maaaring kumuha ng dalawang value: "same-origin" (pinapayagan lamang ang mga kahilingan para sa mga mapagkukunan na may parehong scheme, pangalan ng host at port number) at "same-site" (pinapayagan lamang ang mga kahilingan mula sa parehong site).
Cross-Origin-Resource-Policy: same-site
- Ang HTTP header ay pinagana bilang default , na nagbibigay-daan sa iyong kontrolin ang pag-uugali ng API at paganahin ang ilang partikular na feature (halimbawa, maaari mong i-disable ang access sa Geolocation API, camera, mikropono, full screen, autoplay, encrypted-media, animation, Payment API, synchronous XMLHttpRequest mode, atbp.). Para sa mga bloke ng iframe, ang katangiang "β, na maaaring gamitin sa page code upang magtalaga ng mga karapatan sa ilang partikular na iframe block.
Tampok na Patakaran: mikropono 'wala'; geolocation 'wala'
Kung pinahihintulutan ng isang site, sa pamamagitan ng katangiang "payagan", na gumana sa isang mapagkukunan para sa isang partikular na iframe, at isang kahilingan ay natanggap mula sa iframe upang makakuha ng mga pahintulot upang gumana sa mapagkukunang ito, ang browser ay nagpapakita na ngayon ng isang dialog para sa pagbibigay ng mga pahintulot sa konteksto ng pangunahing pahina at itinalaga ang mga karapatang kinumpirma ng user sa iframe (sa halip na isang hiwalay na kumpirmasyon para sa iframe at pangunahing pahina). Ngunit, kung ang pangunahing pahina ay walang pahintulot sa resource na hiniling sa pamamagitan ng allow attribute, ang iframe ay may access kaagad sa resource , nang hindi nagpapakita ng dialog sa user.
- Ang suporta sa pag-aari ng CSS ay pinagana bilang default '', na tumutukoy sa posisyon ng salungguhit ng teksto (halimbawa, kapag ipinapakita ang teksto nang patayo, maaari mong ayusin ang salungguhit sa kaliwa o kanan, at kapag ipinapakita nang pahalang, hindi lamang mula sa ibaba, kundi pati na rin mula sa itaas). Bukod pa rito sa mga katangian ng CSS na kumokontrol sa istilo ng salungguhit ΠΈ Nagdagdag ng suporta para sa paggamit ng mga halaga ng porsyento.
- Sa isang CSS property , na tumutukoy sa istilo ng linya sa paligid ng mga elemento, ay nagde-default sa "auto" (dati dahil sa mga problema sa GNOME).
- Sa JavaScript debugger ang kakayahang i-debug ang mga nested Web Workers, ang pagpapatupad nito ay maaaring masuspinde at ma-debug nang hakbang-hakbang gamit ang mga breakpoint.
- Ang interface ng inspeksyon ng web page ay nagbibigay na ngayon ng mga babala para sa mga katangian ng CSS na nakadepende sa z-index, itaas, kaliwa, ibaba, at kanang nakaposisyon na mga elemento.
- Para sa Windows at macOS, ipinatupad ang kakayahang mag-import ng mga profile mula sa browser ng Microsoft Edge batay sa Chromium engine.
Bilang karagdagan sa mga inobasyon at pag-aayos ng bug, naayos na ng Firefox 74 , kung saan 10 (nakolekta sa ilalim ng ΠΈ ) ay na-flag bilang potensyal na may kakayahang humantong sa pagpapatupad ng code ng attacker kapag nagbubukas ng mga espesyal na idinisenyong pahina. Ipaalala namin sa iyo na ang mga problema sa memorya, tulad ng mga buffer overflows at pag-access sa mga nabakanteng lugar ng memorya, ay minarkahan kamakailan bilang mapanganib, ngunit hindi kritikal.
Pinagmulan: opennet.ru