реліз web-браузера , а також Firefox 68 для Android. Випуск відноситься до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, сформовано оновлення минулого з тривалим терміном підтримки . Найближчим часом на стадію перейде гілка Firefox 69, реліз якої намічено на 3 вересня.
:
- Увімкнено за замовчуванням новий менеджер доповнень (about:addons), повністю з використанням HTML/JavaScript та стандартних web-технологій у рамках ініціативи з позбавлення браузера від компонентів на базі XUL та XBL. У новому інтерфейсі для кожного доповнення у формі вкладок забезпечено можливість перегляду повного опису, зміни налаштувань та керування правами доступу, не залишаючи основну сторінку зі списком додатків.
Замість окремих кнопок керування активацією додатків запропоновано контекстне меню. Відключені доповнення тепер відокремлені від активних і перераховані в окремій секції.
Додано нову секцію з рекомендованими для встановлення доповненнями, склад якої вибирається залежно від встановлених доповнень, налаштувань та статистики роботи користувача. Доповнення приймаються до списку контекстних рекомендацій тільки якщо вони задовольняють вимогам Mozilla у сфері безпеки, корисності та зручності роботи, а також якісно та ефективно вирішують актуальні завдання, цікаві для широкої аудиторії. Пропоновані доповнення проходять повне рецензування безпеки кожного поновлення;
- Додана кнопка для надсилання до Mozilla повідомлень про проблеми з доповненнями та темами оформлення. Наприклад, через запропоновану форму можна попередити розробників при виявленні шкідливої активності, виникнення проблем з відображенням сайтів через доповнення, не відповідність заявленої функціональності, появи доповнення без дій користувача або проблеми зі стабільністю та продуктивністю.
- Включено нову реалізацію адресного рядка Quantum Bar, який зовні і за своїми можливостями практично ідентичний старому адресному рядку Awesome Bar, але відрізняється повною переробкою нутрощів та переписуванням коду із заміною XUL/XBL на стандартний Web API. Нова реалізація істотно спрощує процес розширення функціональності (підтримується створення доповнень у форматі WebExtensions), знімає жорсткі прив'язки до підсистем браузера, дозволяє легко підключати нові джерела даних, має більш високу продуктивність і чуйність інтерфейсу. З помітних змін у поведінці наголошується лише на необхідності використання комбінацій Shift+Del або Shift+BackSpace (раніше працювало без Shift) для видалення записів історії перегляду з результату виведеної на початку введення підказки;
- Реалізовано повноцінну темну тему для режиму читача (reader view), при включенні якої всі елементи оформлення вікна та панелі також відображаються у темних відтінках (раніше перемикання темного та світлого режиму в Reader View стосувалося лише області з текстовим вмістом);
- У строгому режимі блокування небажаного контенту (strict), крім всіх відомих систем відстеження переміщень і всіх сторонніх Cookie, тепер також блокуються JavaScript-вставки, що здійснюють майнінг криптовалют або відстежують користувачів за допомогою прихованої ідентифікації. Раніше дані блокування включалися через явний вибір в режимі блокування, що настроюється. Блокування здійснюється за додатковими категоріями (fingerprinting та cryptomining) у списку Disconnect.me;
- Продовжено поетапне включення системи композитингу , написаної на мові Rust і виносить на бік GPU операції малювання вмісту сторінки. При використанні WebRender замість вбудованої в двигун Gecko системи композитингу, що обробляє дані за допомогою CPU, для виконання операцій зведеного відмальовування елементів сторінки використовуються шейдери, що виконуються в GPU, що дозволяє домогтися істотного збільшення швидкості малювання і знизити навантаження на CPU.
Крім користувачів з відеокартами NVIDIA починаючи з
Firefox 68 WebRender буде активована для систем на базі Windows 10 із відеокартами AMD. Перевірити активацію WebRender можна на сторінці about:support. Для примусового включення в about:config слід активувати налаштування «gfx.webrender.all» та «gfx.webrender.enabled» або запустивши Firefox із виставленою змінною оточення MOZ_WEBRENDER=1. У Linux підтримка WebRender більш-менш стабілізована для відеокарт Intel із драйверами Mesa 18.2+; - У меню «гамбургер» у правій частині панелі з адресним рядком додано секцію для швидкого доступу до настойок облікового запису Firefox Account;
- Додано нову вбудовану сторінку «about:compat», на якій перераховані обхідні шляхи та патчі, які застосовуються для забезпечення сумісності з окремими сайтами, які некоректно працюють у Firefox. Зміни, що вносяться для сумісності в найпростіших випадках, обмежуються зміною ідентифікатора «User Agent», якщо сайт жорстко прив'язується до певних браузерів. У складніших ситуаціях у контексті сайту запускається JavaScript-код, що виправляє проблеми із сумісністю;
- Через потенційні проблеми зі стабільністю при переведенні браузера в однопроцесний режим роботи, при якому формування інтерфейсу та обробка вмісту вкладок проводиться в одному процесі, з about:config налаштування "browser.tabs.remote.force-enable" та "browser.tabs.remote.force-disable", які можна було використовувати для відключення багатопроцесного режиму роботи (e10s). Крім того, встановлення значення "false" в опції "browser.tabs.remote.autostart" тепер не буде автоматично призводити до відключення багатопроцесного режиму на настільних версіях Firefox, в офіційних збірках та при запуску без включення режиму виконання автоматизованих тестів;
- Реалізовано другий етап розширення числа викликів API, які тільки при відкритті сторінки у захищеному контексті (), тобто. при відкритті HTTPS, через localhost або з локального файлу. Для сторінок, відкритих поза захищеним контекстом, тепер блокуватимуться запити до виклику getUserMedia() для отримання доступу до джерел мультимедійних даних (наприклад, камери та мікрофона);
- Забезпечено автоматичне оброблення помилок при доступі по HTTPS, через активність антивірусного ПЗ. Проблеми виявляються при включенні в антивірусах Avast, AVG, Kaspersky, ESET і Bitdefender модуля захисту Web, який аналізує HTTPS-трафік через підстановку свого сертифіката до списку кореневих сертифікатів Windows і заміну на нього сертифікатів сайтів, що спочатку використовуються. Firеfox використовує власний список кореневих сертифікатів та ігнорує системний список сертифікатів, тому сприймає подібну активність як MITM-атаку.
Проблему вирішено через автоматичне включення налаштування ««, за якої додатково імпортуються сертифікати із системного сховища. У разі використання сертифіката із системного сховища, а не вбудованого в Firefox, у меню, що викликається з адресного рядка, з інформацією про сайт додано спеціальний індикатор. Налаштування автоматично вмикається під час визначення MITM-перехоплення, після чого браузер намагається заново встановити з'єднання і якщо проблема зникла – налаштування зберігається. Стверджується, що подібна маніпуляція не становить загрози, оскільки у разі компрометації системного сховища сертифікатів, атакуючий може скомпрометувати і сховище сертифікатів Firefox (не враховуються виробників обладнання, які можуть для здійснення MITM але блокуються при використанні сховища сертифікатів Firefox);
- локальні файли, що відкриваються в браузері, тепер не зможуть звертатися до інших файлів у поточному каталозі (наприклад, при відкритті в Firefox на платформі Android надісланого поштою html-документа, JavaScript-вставка в даному документі могла переглянути вміст каталогу з іншими збереженими файлами);
- метод синхронізації налаштувань, змінених через інтерфейс about: config. Синхронізуються тепер лише налаштування, наявні в білому списку, визначеному в розділі «services.sync.prefs.sync». Наприклад, для синхронізації параметра browser.some_preference потрібно виставити в true значення "services.sync.prefs.sync.browser.some_preference". Для дозволу синхронізації всіх настоянок передбачено параметр "services.sync.prefs.dangerously_allow_arbitrary", який вимкнено за замовчуванням;
- Реалізовано техніку боротьби з настирливими запитами на надання сайту додаткових повноважень на надсилання push-повідомлень (доступ до Notifications API). Відтепер такі запити мовчки блокуватимуться, якщо не зафіксовано явну взаємодію користувача зі сторінкою (клік мишею або натискання клавіш);
- В оточенні для підприємств () додана підтримка кастомізації браузера для співробітників Наприклад, адміністратор тепер може додати в меню розділ для зв'язку з локальною службою підтримки, додати посилання на інтранет-ресурси на сторінку відкриття нової вкладки, відключити контекстні рекомендації при пошуку, додати посилання на локальні файли, настроїти поведінку під час завантаження файлів, визначити білий та чорний списки допустимих та неприпустимих доповнень, активувати певні налаштування;
- проблема, яка могла призвести до зникнення налаштувань (пошкодження файлу prefs.js) при екстреному завершенні процесу (наприклад, при вимкненні живлення без завершення роботи або краху браузера);
- Додана підтримка , набору CSS-властивостей scroll-snap-*, що дозволяють керувати точкою зупинки повзунка при прокручуванні і вирівнюванням вмісту, що зсувається, а також виконувати прив'язку до елементів при інерційному прокручуванні. Наприклад, можна налаштувати прокручування зі зсувом по межах зображення або з центрування картинки;
- У JavaScript реалізовано новий числовий тип що дозволяє зберігати цілі числа довільного розміру, для яких недостатньо типу Numbers (наприклад, ідентифікатори та значення точного часу раніше доводилося зберігати у вигляді рядків);
- Додана можливість передачі опції noreferrer при виклику window.open() для блокування витоку відомостей про Referrer при відкритті посилання в новому вікні;
- Додана можливість використання методу .decode() з HTMLImageElement для завантаження та декодування елементів до їх додавання до DOM. Наприклад, ця можливість може застосовуватися для спрощення миттєвої заміни компактних зображень-заглушок на довантажувані пізніше варіанти з високою роздільною здатністю, так як дає можливість дізнатися про готовність браузера повністю відобразити нове зображення.
- У засобах для розробників реалізовані інструменти для аудиту контрастності текстових елементів, які можна використовувати для виявлення елементів, які некоректно сприймаються людьми з ослабленим зором або порушеним сприйняттям кольорів;
- У режим інспектування додано кнопку для емуляції виведення на друк, що дозволяє визначити елементи, які можуть виявитися невидимими під час друку;
- У web-консолі розширено інформацію, що виводиться разом із попередженнями про проблеми з CSS. У тому числі додано посилання на відповідні вузли. У консолі також реалізована можливість фільтрації виведення з використанням регулярних виразів (наприклад, "/(foo|bar)/");
- У редакторі шрифтів додано можливість коригування відстані між літерами;
- У режимі інспектування сховища додано можливість видалення записів із локального та сесійного сховищ через вибір відповідних елементів та натискання клавіші Back Space;
- У панелі інспектування мережної активності додано можливість блокування певних URL, повторного надсилання запиту та копіювання в буфер обміну HTTP-заголовків у форматі JSON. Нові можливості доступні через вибір відповідних опцій у , що виводиться при натисканні правою кнопкою миші;
- У вбудованому налагоджувачі з'явилася функція пошуку у всіх файлах поточного проекту через натискання Shift+Ctrl+F;
- Змінено налаштування для включення відображення системних додатків: в about:debugging замість devtools.aboutdebugging.showSystemAddons тепер запропоновано параметр devtools.aboutdebugging.showHiddenAddons;
- При встановленні в Windows 10 забезпечено розміщення ярлика на панелі завдань. Windows також додає можливість використання сервісу BITS (Background Intelligent Transfer Service) для продовження завантаження оновлень, навіть якщо браузер був закритий;
- У версії для Android збільшено продуктивність малювання. Доданий API WebAuthn (Web Authentication API) для підключення до сайту з використанням апаратного токена або сенсора відбитків пальців. Доданий API через який можна визначити фактичну видиму область з урахуванням відображення екранної клавіатури або масштабування. У нових установках припинено автоматичне завантаження плагіна Cisco OpenH264 для WebRTC.
Крім нововведень та виправлення помилок у Firefox 68 усунуто , у тому числі кілька позначені як критичні, тобто. можуть призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок. В даний час інформація з подробицями про виправлені проблеми безпеки недоступна, очікується, що перелік вразливостей буде опубліковано протягом кількох годин.
Firefox 68 став останнім випуском, разом із яким сформовано оновлення класичної редакції Firefox для Android. Починаючи з Firefox 69, що очікується 3 вересня, нові релізи Firefox для Android , а виправлення будуть поставлятися у формі оновлень ESR-гілки Firefox 68. На зміну класичного Firefox для Android прийде новий браузер для мобільних пристроїв, що розвивається в рамках проекту Fenix і движок GeckoView і набір бібліотек. . В даний час під ім'ям Firefox Preview для тестування вже перший попередній випуск нового браузера (сьогодні коригуюче оновлення 1.0.1 цього попереднього випуску, але воно ще не розміщено в ).
Джерело: opennet.ru