Реліз Firefox 74

Відбувся реліз веб-браузера Firefox 74, а також мобільної версії Firefox 68.6 для Android платформи. Крім того, сформовано оновлення гілки з тривалим терміном підтримки 68.6.0. Найближчим часом на стадію бета-тестування перейде гілка Firefox 75, реліз якої намічено на 7 квітня (проект перейшов на 4-5-тижневий цикл розробки). Для бета-гілки Firefox 75 почалося формування збірок для Linux у форматі Flatpak.

Основні нововведення:

• У збірках для Linux задіяно механізм ізоляції. RLBox, орієнтований на блокування експлуатації вразливостей у сторонніх бібліотеках функцій. На даному етапі ізоляція включена лише для бібліотеки. графітовий, що відповідає за малювання шрифтів. RLBox виконує компіляцію C/C++ коду бібліотеки, що ізолюється, в низькорівневий проміжний код WebAssembly, який потім оформляється у вигляді WebAssembly-модуля, повноваження якого задаються в прив'язці тільки до цього модуля. Зібраний модуль працює в окремій області пам'яті і не має доступу до іншого адресного простору. У разі експлуатації вразливості в бібліотеці атакуючий буде обмежений і не зможе звернутися до областей пам'яті основного процесу або передати керування поза ізольованим оточенням.
• Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включений за замовчуванням для користувачів із США. Як DNS-провайдер за промовчанням пропонується CloudFlare (mozilla.cloudflare-dns.com) занесений в списки блокування Роскомнагляду), а як опція доступна NextDNS. Змінити провайдера або увімкнути DoH у країнах, відмінних від США, можна у налаштуваннях мережного з'єднання. Докладніше про DoH у Firefox можна прочитати в окремому анонсі.
  

• Вимкнено підтримка протоколів TLS 1.0 та TLS 1.1. Для звернення до сайтів захищеного каналу зв'язку сервер повинен надати підтримку як мінімум TLS 1.2. За даними Google, в даний час близько 0.5% завантажень web-сторінок продовжує здійснюватися з використанням застарілих версій TLS. Вимкнення здійснено відповідно до рекомендаціями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена ​​под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 та SHA-1). При спробі використання TLS 1.0 і TLS 1.1 з Firefox 74 буде виводитися помилка. Повернути можливість роботи зі застарілими версіями TLS можна через налаштування security.tls.version.enable-deprecated = true або за допомогою кнопки на сторінці з помилкою, що виводиться під час заходу на сайт зі старим протоколом.
  

• У примітці до випуску рекомендовано доповнення Контейнер Facebook, яке автоматично блокує розміщені на сторонніх сайтах віджети Facebook, які застосовуються для аутентифікації, відправлення коментарів та лайків. Параметри ідентифікації Facebook ізолюються в окремому контейнері, ускладнюючи ототожнення користувача з відвідуваними сайтами. Можливість роботи з основним сайтом Facebook зберігається, але виконується його ізоляція від інших сайтів.

  Для більш гнучкої ізоляції довільних сайтів пропонується доповнення Контейнери для декількох облікових записів з реалізацією концепції контекстних контейнерів. Контейнери дають можливість ізоляції різних типів контенту без створення окремих профілів, що дозволяє відокремити між собою інформацію окремих груп сторінок. Наприклад, можна створити окремі, ізольовані один від одного області для персонального спілкування, роботи, покупок і банківських операцій або організувати одночасне використання різних акаунтів користувача на одному сайті. У кожному контейнері використовуються окремі сховища для Cookies, Local Storage API, indexedDB, кеша та вмісту OriginAttributes.

• У about:config додано налаштування «browser.tabs.allowTabDetach», що дозволяє заборонити від'єднання вкладок у нові вікна. Випадкове від'єднання вкладки є однією з найдратівливіших недоробок Firefox, усунення якої домагалися 9 років. Браузер дозволяє мишею перетягнути вкладку в нове вікно, але при певному збігу обставин вкладка від'єднується в окреме вікно та в процесі роботи при необережному русі миші під час натискання на вкладку.
• Припинено підтримки доповнень, що встановлюються обхідним шляхом і не прив'язані до профілів користувача. Зміна стосується лише установки доповнень до загальних каталогів (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ або ~/.mozilla/extensions/), оброблювані всіма екземплярами Firefox в системі (без прив'язки до користувача) . Подібний метод зазвичай застосовується для встановлення доповнень у дистрибутивах, для непроханої підстановки разом із сторонніми додатками, для інтеграції шкідливих доповнень або для відокремленого постачання доповнення зі своїм інсталятором. У Firefox 73 раніше примусово встановлені доповнення були автоматично перенесені із загального каталогу до індивідуальних профілів користувачів і тепер можуть бути видалені через штатний менеджер доповнень.
• У системному доповненні Lockwise, що входить до складу браузера, що пропонує інтерфейс «about:logins» для управління збереженими паролями, з'явилася підтримка сортування у зворотному порядку (від Z до A).
• У WebRTC підвищений захист від витоку відомостей про внутрішню IP-адресу під час голосових та відеодзвінків за допомогою механізму «mDNS ICE«, що приховує локальну адресу за випадковим ідентифікатором, що динамічно генерується, що визначається через Multicast DNS.
• Змінено розташування перемикача режиму перегляду "картинка в картинці", який перекривав кнопку переходу до наступного зображення в пакетному завантаженні фотографій в Instagram.
• У JavaScript доданий оператор «?.», призначений для одноразової перевірки всього ланцюжка властивостей чи викликів. Наприклад, вказавши "db?.user?.name?.length" тепер можна звернутися до значення "db.user.name.length" без попередніх перевірок. Якщо якийсь елемент оброблений як null або undefined, на виході буде видано значення «undefined».
• Припинено підтримка на сайтах та доповненнях методу Object.toSource() та глобальної функції uneval().
• Додано нову подію languagechange_even і пов'язана з ним властивість onlanguagechange, які дозволяють викликати обробник при зміні користувачем мови інтерфейсу.
• Увімкнено обробку HTTP-заголовка Cross-Origin-Resource-Policy (ТІЛО), що дозволяє сайтам заборонити вставку ресурсів (наприклад, зображень та скриптів), що завантажуються з інших доменів (cross-origin та cross-site). Заголовок може приймати два значення: «same-origin» (дозволяє лише запити ресурсів з тією ж схемою, ім'ям хоста та номером порту) та «same-site» (дозволяє лише запити з того ж сайту).

  Cross-Origin-Resource-Policy: same-site

• Увімкнено за замовчуванням HTTP-заголовок Feature-Policy, що дозволяє керувати поведінкою API та включенням певних можливостей (наприклад, можна вимкнути доступ до Geolocation API, камери, мікрофону, переходу на повний екран, автовідтворення, encrypted-media, анімації, Payment API, синхронного режиму роботи XMLHttpRequest і т.п.). Для блоків iframe окремо запропоновано атрибут «дозволяти«, який може застосовуватись у коді сторінки для призначення прав для певних блоків iframe.

  Feature-Policy: microphone 'none'; geolocation 'none'

  У разі дозволу сайтом через атрибут «allow» роботи з ресурсом для певного iframe, та надходження запиту з iframe на отримання повноважень для роботи з цим ресурсом, браузер тепер виводить діалог надання повноважень у контексті основної сторінки та делегує підтверджені користувачем права у iframe (замість окремого) підтвердження для iframe та основної сторінки). Але, якщо основна сторінка не має повноважень на ресурс, запитаний через атрибут allow, доступ для iframe до ресурсу відразу блокуєтьсябез виведення діалогу користувачу.

• За замовчуванням підтримка CSS-властивості 'text-underline-position', що визначає позицію підкреслення тексту (наприклад, при вертикальному відображенні тексту можна організувати підкреслення ліворуч або праворуч, а горизонтальному не тільки знизу, а й зверху). Додатково у керуючих стилем підкреслення CSS-властивостей text-underline-offset и text-decoration-thickness додано підтримку використання значень у відсотках.
• У CSS-властивості outline-style, Який визначає стиль лінії навколо елементів, за замовчуванням дозволено використання значення «auto» (раніше було відключено через проблеми в GNOME).
• У відладник JavaScript додано можливість налагодження вкладених Web Worker-ів, виконання яких може бути призупинено та покроково налагоджено із застосуванням точок зупинки.
  

• В інтерфейсі для інспектування web-сторінок забезпечено відображення попереджень для CSS-властивостей, що залежать від елементів z-index, top, left, bottom і right, що позиціонуються.
  

• Для Windows і macOS реалізована можливість імпорту профілів із браузера Microsoft Edge на базі двигуна Chromium.

Крім нововведень та виправлення помилок у Firefox 74 усунено 20 вразливостей, з яких 10 (зібрані під CVE-2020-6814 и CVE-2020-6815) позначені як потенційно здатні призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок. Нагадаємо, що проблеми з пам'яттю, такі як переповнення буферів і звернення до звільнених областей пам'яті, з недавніх пір позначаються як небезпечні, але не критичні.

Джерело: opennet.ru