Firefox 74 sürümü

Web tarayıcısı piyasaya sürüldü Firefox 74Ve mobil versiyon Android platformu için Firefox 68.6. Ayrıca bir güncelleme oluşturuldu dalları uzun vadeli destekle 68.6.0. Çok yakında sahneye çıkacağız Beta testi 75 Nisan'da piyasaya sürülmesi planlanan Firefox 7 şubesi taşınacak (proje etkilenmiş 4-5 hafta boyunca geliştirme döngüsü). Firefox 75 beta şubesi için başladı formasyon montajlar Linux için Flatpak formatında.

Ana yenilikler:

• Linux yapıları bir izolasyon mekanizması kullanır RL Kutusuüçüncü taraf işlev kitaplıklarındaki güvenlik açıklarından yararlanılmasını engellemeyi amaçlamaktadır. Bu aşamada izolasyon yalnızca kütüphane için etkinleştirilir grafit, yazı tiplerinin oluşturulmasından sorumludur. RLBox, yalıtılmış kitaplığın C/C++ kodunu düşük düzeyli WebAssembly ara kodunda derler; bu daha sonra izinleri yalnızca bu modüle göre ayarlanan bir WebAssembly modülü olarak tasarlanır. Birleştirilen modül ayrı bir bellek alanında çalışır ve adres alanının geri kalanına erişimi yoktur. Kütüphanedeki bir güvenlik açığından yararlanılırsa saldırgan sınırlanacak ve ana sürecin bellek alanlarına erişemeyecek veya kontrolü izole ortamın dışına aktaramayacaktır.
• HTTPS üzerinden DNS modu (DoH, HTTPS üzerinden DNS) varsayılan olarak etkin ABD kullanıcıları için. Varsayılan DNS sağlayıcısı CloudFlare'dir (mozilla.cloudflare-dns.com) listelenmiş в engelleme listeleri Roskomnadzor) ve NextDNS bir seçenek olarak mevcuttur. ABD dışındaki ülkelerde sağlayıcıyı değiştirin veya DoH'yi etkinleştirin, kimse yapamaz ağ bağlantısı ayarlarında. Firefox'ta DoH hakkında daha fazla bilgiyi şu adreste bulabilirsiniz: ayrı duyuru.
  

• Engelli TLS 1.0 ve TLS 1.1 protokolleri desteği. Sitelere güvenli bir iletişim kanalı üzerinden erişebilmek için sunucunun en az TLS 1.2 desteğini sağlaması gerekir. Google'a göre şu anda web sayfası indirmelerinin yaklaşık %0.5'i TLS'nin eski sürümleri kullanılarak gerçekleştirilmeye devam ediyor. Kapatma işlemi kurallara uygun olarak gerçekleştirildi. öneriler IETF (İnternet Mühendisliği Görev Gücü). TLS 1.0/1.1'i desteklemeyi reddetmenin nedeni, modern şifreler (örneğin, ECDHE ve AEAD) için destek eksikliği ve bilgi işlem teknolojisinin gelişiminin mevcut aşamasında güvenilirliği sorgulanan eski şifreleri destekleme gerekliliğidir ( örneğin TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA desteği gereklidir, MD5 bütünlük kontrolü ve kimlik doğrulama için kullanılır ve SHA-1). Firefox 1.0'ten başlayarak TLS 1.1 ve TLS 74'i kullanmaya çalışırken bir hata görüntülenecektir. Security.tls.version.enable-deprecated = true ayarını yaparak veya eski protokole sahip bir siteyi ziyaret ettiğinizde görüntülenen hata sayfasındaki düğmeyi kullanarak, eski TLS sürümleriyle çalışma özelliğini geri yükleyebilirsiniz.
  

• Sürüm notu bir eklenti önerir Facebook KonteyneriKimlik doğrulama, yorum yapma ve beğenme için kullanılan üçüncü taraf Facebook widget'larını otomatik olarak engelleyen. Facebook'un tanımlama parametreleri ayrı bir kapta izole edilmiş olup, kullanıcının ziyaret ettiği sitelerle tanımlanmasını zorlaştırmaktadır. Ana Facebook sitesiyle çalışma yeteneği devam ediyor ancak diğer sitelerden izole edilmiş durumda.

  Rastgele sitelerin daha esnek izolasyonu için bir eklenti önerilmektedir Çoklu Hesap Kapsayıcıları bağlam kapsayıcıları kavramının uygulanmasıyla. Kapsayıcılar, ayrı profiller oluşturmadan farklı içerik türlerini ayırma olanağı sağlar; bu, bilgileri tek tek sayfa gruplarına ayırmanıza olanak tanır. Örneğin kişisel iletişim, iş, alışveriş ve bankacılık işlemleri için ayrı, izole alanlar oluşturabilir veya tek site üzerinde farklı kullanıcı hesaplarının eş zamanlı kullanımını düzenleyebilirsiniz. Her kapsayıcı, Çerezler, Yerel Depolama API'si, indexedDB, önbellek ve OriginAttributes içeriği için ayrı depolar kullanır.

• Sekmelerin yeni pencerelere ayrılmasını önlemek için about:config'e “browser.tabs.allowTabDetach” ayarı eklendi. Yanlışlıkla sekme ayrılması, düzeltilmesi gereken en sinir bozucu Firefox hatalarından biridir. aranan 9 yıl. Tarayıcı, farenin bir sekmeyi yeni bir pencereye sürüklemesine izin verir, ancak belirli koşullar altında, sekmeye tıklarken fare dikkatsizce hareket ettiğinde, işlem sırasında sekme ayrı bir pencereye ayrılır.
• Durduruldu dolambaçlı bir şekilde yüklenen ve kullanıcı profillerine bağlı olmayan eklentiler için destek. Değişiklik yalnızca sistemdeki tüm Firefox örnekleri tarafından işlenen paylaşılan dizinlerdeki (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ veya ~/.mozilla/extensions/) eklentilerin kurulumunu etkiler ( bir kullanıcıyla ilişkili değil). Bu yöntem genellikle dağıtımlarda eklentilerin önceden yüklenmesi, istenmeyen üçüncü taraf uygulamalarla değiştirilmesi, kötü amaçlı eklentilerin entegre edilmesi veya bir eklentinin kendi yükleyicisiyle ayrı olarak teslim edilmesi için kullanılır. Firefox 73'te, önceden zorunlu olarak yüklenen eklentiler, paylaşılan dizinden otomatik olarak bireysel kullanıcı profillerine taşınmıştır ve artık kaldırıldı normal eklenti yöneticisi aracılığıyla.
• Kaydedilen şifrelerin yönetilmesi için “about:logins” arayüzünü sunan tarayıcının içerdiği Lockwise sistemi eklentisinde, destek ters sırada sıralayın (Z'den A'ya).
• WebRTC, sesli ve görüntülü aramalar sırasında dahili IP adresiyle ilgili bilgilerin sızmasına karşı korumayı artırdı.mDNS BUZYerel adresi, Çok Noktaya Yayın DNS aracılığıyla belirlenen, dinamik olarak oluşturulmuş rastgele bir tanımlayıcının arkasına saklıyor.
• Instagram'daki toplu yükleme fotoğraf arayüzünde sonraki resim düğmesiyle örtüşen resim içinde resim görünümü anahtarının konumu değiştirildi.
• JavaScript'te katma "?" operatörü, tüm özellikler veya çağrılar zincirini aynı anda kontrol etmek için tasarlanmıştır. Örneğin, "db?.user?.name?.length" belirterek artık "db.user.name.length" değerine herhangi bir ön kontrol yapmadan erişebilirsiniz. Herhangi bir öğe null veya tanımsız olarak işlenirse çıktı “tanımsız” olacaktır.
• Durduruldu Object.toSource() yöntemi ve uneval() global işlevi için web sitelerinde ve eklentilerde destek.
• Yeni etkinlik eklendi languagechange_even ve ilgili mülk dil değişimiKullanıcı arayüz dilini değiştirdiğinde bir işleyiciyi çağırmanıza olanak tanır.
• HTTP üst bilgisi işleme etkinleştirildi Çapraz Kaynak Kaynak Politikası (ŞİRKET), sitelerin diğer alan adlarından (kaynaklar arası ve siteler arası) yüklenen kaynakların (örneğin, resimler ve komut dosyaları) eklenmesini engellemesine olanak tanır. Başlık iki değer alabilir: "same-origin" (yalnızca aynı şemaya, ana bilgisayar adına ve bağlantı noktası numarasına sahip kaynaklara yönelik isteklere izin verir) ve "same-site" (yalnızca aynı siteden gelen isteklere izin verir).

  Çapraz Kaynak Kaynak Politikası: aynı site

• HTTP başlığı varsayılan olarak etkindir Özellik PolitikasıAPI'nin davranışını kontrol etmenize ve belirli özellikleri etkinleştirmenize olanak tanır (örneğin, Coğrafi Konum API'sine, kameraya, mikrofona, tam ekrana, otomatik oynatmaya, şifreli medyaya, animasyona, Ödeme API'sine, eşzamanlı XMLHttpRequest moduna erişimi devre dışı bırakabilirsiniz), vesaire.). iframe blokları için " özniteliğiizin vermekBelirli iframe bloklarına hak atamak için sayfa kodunda kullanılabilen “.

  Özellik Politikası: mikrofon 'yok'; coğrafi konum 'yok'

  Bir site, "izin ver" özelliği aracılığıyla belirli bir iframe için bir kaynakla çalışmaya izin veriyorsa ve iframe'den bu kaynakla çalışmak için izin almak üzere bir istek alınırsa, tarayıcı artık izinlerin verilmesi için bir iletişim kutusunu görüntüler. ana sayfanın bağlamı ve kullanıcı tarafından onaylanan hakları iframe'e devreder (iframe ve ana sayfa için ayrı onaylar yerine). Ancak ana sayfanın izin verme özelliği aracılığıyla istenen kaynağa yönelik izni yoksa iframe, kaynağa hemen erişebilir. blokekullanıcıya bir iletişim kutusu görüntülemeden.

• CSS özellik desteği varsayılan olarak etkindir 'metnin altı çizili konumu', metnin altı çizili konumunu belirler (örneğin, metni dikey olarak görüntülerken, alt çizgiyi solda veya sağda ve yatay olarak görüntülerken yalnızca aşağıdan değil yukarıdan da düzenleyebilirsiniz). Ayrıca alt çizgi stilini kontrol eden CSS özelliklerinde metin altı çizili uzaklık и metin-dekorasyon-kalınlığı Yüzde değerlerini kullanma desteği eklendi.
• Bir CSS özelliğinde anahat stiliÖğelerin etrafındaki çizgi stilini tanımlayan varsayılan değer "otomatik"tir (daha önce engelli GNOME'daki sorunlar nedeniyle).
• JavaScript hata ayıklayıcısında katma yürütülmesi askıya alınabilen ve kesme noktaları kullanılarak adım adım hata ayıklanabilen iç içe Web Çalışanlarında hata ayıklama yeteneği.
  

• Web sayfası inceleme arayüzü artık z-endeksi, üst, sol, alt ve sağ konumdaki öğelere bağlı CSS özellikleri için uyarılar sağlıyor.
  

• Windows ve macOS için, Chromium motorunu temel alan Microsoft Edge tarayıcısından profilleri içe aktarma özelliği uygulanmıştır.

Yeniliklere ve hata düzeltmelerine ek olarak Firefox 74, 20 güvenlik açığı10'u (altında toplanmıştır) CVE-2020-6814 и CVE-2020-6815) özel olarak tasarlanmış sayfaları açarken saldırganın kod yürütmesine yol açma potansiyeline sahip olarak işaretlenir. Arabellek taşmaları ve halihazırda boş hafıza alanlarına erişim gibi hafıza sorunlarının son zamanlarda tehlikeli olarak işaretlendiğini ancak kritik olmadığını hatırlatalım.

Kaynak: opennet.ru