Реліз Firefox 71

Відбувся реліз web-браузера Firefox 71, а також мобільної версії Firefox 68.3 для Android платформи. Крім того, сформовано оновлення гілки з тривалим терміном підтримки 68.3.0. Найближчим часом на стадію бета-тестування перейде гілка Firefox 72, реліз якої намічено на 7 січня (проект переходить на новий 4-тижневий цикл розробки).

Основні нововведення:

• Запропоновано новий інтерфейс сторінки «about:config», який являє собою службову web-сторінку, що відкривається всередині браузера, написану на HTML, CSS і JavaScript. Елементи сторінки можна довільно виділяти мишею (зокрема кілька рядків) і поміщати в буфер обміну без застосування контекстного меню. Верхній рядок пошуку збережено та розширено можливістю додавання нових змінних. Додатково реалізовано підтримку пошуку через штатний механізм, який застосовується і для пошуку на звичайних сторінках з покроковим перебором збігів.
  

  Для кожної настройки додано кнопку, яка дозволяє інвертувати змінні з булевими значеннями (true/false) або редагувати рядкові та числові змінні. Для змінених користувачем значень додано кнопку для повернення змін до значення за промовчанням.

  

  Після відкриття about:config за промовчанням елементи не показуються і видно лише рядок пошуку, а для перегляду всього списку потрібно натиснути кнопку "Show all". У налаштування додано опція "general.aboutConfig.enable", що дозволяє повернути доступ до сторінки about:config, якщо його опціонально було відключено на етапі складання;

  

• Задіяний за промовчанням новий інтерфейс перегляду TLS-сертифікатів, доступний через службову сторінку «about:certificate» та меню «Tools > Page Info > Security > View Certificate». Реалізація інтерфейсу перегляду сертифікатів повністю переписана з використанням JavaScript та стандартних web-технологій, а також приведена у відповідність до стильового оформлення Firefox Quantum. Якщо раніше для перегляду сертифікатів відкривалося окреме вікно, то тепер інформація відображається у вкладці у формі, що нагадує додаток Certainly Something.
  

• Модернізовано оформлення адресного рядка Найбільш помітною зміною став відхід від відображення списку рекомендацій на всю ширину екрану на користь явно позначеного вікна, що випадає. Запропоновані зміни продовжують розвиток нової реалізації адресного рядка Quantum Bar, що з'явився Firefox 68 і відрізняється повним переписуванням коду із заміною XUL/XBL на стандартний Web API. На першому етапі оформлення Quantum Bar повністю повторювало старий адресний рядок та зміни зводилися лише до внутрішньої переробки. Наразі розпочалася робота з удосконалення зовнішнього вигляду. Зміни поки що відключені за замовчуванням і вимагають активації через налаштування "browser.urlbar.megabar" в about:config.
  

• Додана підтримка запуску браузера в режимі інтернет-кіоску, який активується при вказівці в командному рядку опції «kiosk» і призводить до можливості роботи тільки в повноекранному режимі. Показ керуючих елементів інтерфейсу, спливаючих вікон, контекстних меню та індикаторів стану завантаження сторінки (відображення посилань та поточної URL-адреси) блокується. Введення з клавіатури сильно обмежується, наприклад, відключається обробка клавіш Alt і Ctrl, що не дозволяє вийти з браузера, перейти на іншу програму або відкрити інший сайт. Режим можна використовувати для роботи різних автономних терміналів, рекламних стендів, демонстраційних панелей та інших систем, обмежених роботою з одним сайтом/web-додатком.
• У системному доповненні, що входить до складу браузера. Локально (Раніше доповнення поставлялося як Lockbox), що пропонує інтерфейс "about:logins" для управління збереженими паролями, з'явилося розпізнавання піддоменів при автозаповненні форм введення пароля. Висновок попереджень Firefox Monitor про компрометацію облікових записів реалізовано і для користувачів з екранними рідерами.
• У збірках для Windows, Linux та macOS задіяно нативний декодувальник MP3.
• До розширеного режиму захисту від відстеження переміщень додано висновок повідомлень про блокування коду для майнінгу криптовалют. У панелі, що показується при натисканні на піктограму з зображень щита в адресному рядку, забезпечено показ лічильника заблокованих трекерів.
• Для користувачів Windows увімкнена за промовчанням можливість перегляду відео в режимі «картинка в картинці» (Picture-in-Picture), що дозволяє від'єднати відео у формі плаваючого вікна, яке залишається на увазі в процесі навігації в браузері. Для перегляду в даному режимі необхідно натиснути на спливаючу підказку або в контекстному меню, що відображається при кліку на відео правою кнопкою миші, вибрати Picture in picture (у YouTube, який підставляє свій обробник контекстного меню, слід двічі клацнути правою кнопкою миші або клацнути із натиснутою клавішею Shift). У системах, відмінних від Windows, підтримка режиму може бути включена в about:config за допомогою опції «media.videocontrols.picture-in-picture.enabled».
• Реалізовано підтримка вкладеної багатошарової компонування елементів сторінки (CSS Grid Level 2), яка помітно покращує гнучкість побудови макетів сторінок, вирівняних по сітці, за рахунок надання можливості визначення дочірніх елементів, прив'язаних до батьківських осередків (розміщення окремого grid усередині осередку). Вкладені сітки визначаються через використання значення «підсітка» у властивостях «grid-template-columns» та «grid-template-rows». Підтримка вкладених grid також додана до режиму інспектування DevTools Grid Inspector.
• У CSS додано властивість column-spanдозволяє елементу охоплювати всі стовпці.
• У CSS-властивості кліп-шлях додано можливість визначення області, що обмежує видимість, заданої за допомогою функції шлях() в форматі контуру SVG.
• Додана можливість урахування коефіцієнта співвідношення сторін, визначеного через властивість співвідношення сторін, для HTML-атрибутів "height" та "width" у тегу img.
• JavaScript додано метод Promise.allSettled(), який повертає тільки вже виконані або відхилені promise, не враховуючи promise, що очікують на виконання (дозволяє дочекатися результату виконання до запуску іншого коду).
• Реалізовано клас MathMLElement (раніше надавалася тільки клас Елемент), визначальний елементи в нотації MathML. Також додане відповідне DOM-дерево MathML, з яким можна використовувати mathmlEl.style та глобальні обробники подій.
• У DOM доданий конструктор StaticRange() для створення об'єкта StaticRange, що є частиною вмісту DOM.
• Доданий API Media Session, що надає засоби для налаштування блоку з інформацією про відтворення мультимедійного контенту в області сповіщень. Через API веб-додаток може не тільки вивести повідомлення про початок відтворення нової композиції, але й організувати управління з області повідомлень або через інтерфейс зберігача екрана, наприклад, розмістити кнопки призупинення, переміщення потоком або переходу до наступної композиції.
• В API для розробників додатків покращено обробка збоїв під час завантаження даних. У спливаючих вікнах, які відкриваються доповненнями через виклик windows.create, забезпечено показ назви доповнення замість URL доповнення (moz-extension://).
• У WebGL додано підтримку розширення OVR_multiview2, що дозволяє одним викликом виконувати малювання відразу в кілька областей перегляду (наприклад, корисно для стереовиводу WebXR);
• В інтерфейсі інспектування мережної активності реалізовано можливість аналізу стадій обробки мережного запиту з роздільним відображенням часу резолвінгу в DNS, встановлення з'єднання, надсилання даних та отримання відповіді. Інформація надається через нову вкладку Timing у правій бічній панелі.
  

• В інтерфейсі відстеження активності мережі за замовчуванням включений режим інспектування з'єднань WebSocket з можливістю зупинення активних з'єднань.
  

• У Network Monitor додано підтримка повнотекстого пошуку в тілах запитів/відповідей, cookie та заголовках, а також реалізована можливість блокування завантаження певних URL через додавання фільтрів із необхідними масками.
  

• У web-консолі реалізовано багаторядковий режим редагування, що дозволяє вводити розбиті на кілька рядків конструкції JavaScript з їх виконанням не натисканням Enter, а через клік на кнопку Run. Режим оформлений у вигляді бічної панелі, що відображається після натискання на піктограму split pane у правій частині поля введення або через клавіатурну комбінацію Ctrl+B.
  

• У відладчику JavaScript забезпечено попередній перегляд значень змінних за місцем їх використання у коді, реалізовано ведення лога подій та додана можливість відключення спливаючого блоку з точками зупинки (devtools.debugger.features.overlay в about:config).
  

• Для Android підготовлено коригуюче оновлення Firefox 68.2. Нагадаємо, що формування нових значних релізів Firefox для Android припинено. Для заміни Firefox для Android під кодовим ім'ям Fenix ​​(поширюється як Попередній перегляд Firefox) розвивається новий браузер для мобільних пристроїв, який використовує двигун GeckoView і набір бібліотек Mozilla Android Components.

  Зниження числа критичних уразливостей зумовлено тим, що проблеми з пам'яттю, такі як переповнення буферів та звернення до вже звільнених областей пам'яті, тепер позначаються як небезпечні, але не критичні. У новому випуску усунено 13 подібних проблем, які потенційно можуть призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок.

Крім нововведень та виправлення помилок у Firefox 71 усунено 26 вразливостей, з яких 17 (зібрані під CVE-2019-17013 и CVE-2019-17012) позначені як потенційно здатні призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок. Примітно, що проблеми з пам'яттю, такі як переповнення буферів і звернення до звільнених областей пам'яті, тепер позначаються як небезпечні, але не критичні.

Джерело: opennet.ru