Реліз Firefox 78

Відбувся реліз веб-браузера Firefox 78, а також мобільної версії Firefox 68.10 для платформ Android. Випуск Firefox 78 віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, сформовано оновлення минулого гілки з тривалим терміном підтримки 68.10.0 (надалі очікується ще два оновлення 68.11 та 68.12). Найближчим часом на стадію бета-тестування перейде гілка Firefox 79, реліз якої намічено на 28 липня.

Основні нововведення:

• Розширено зведену сторінку (Protections Dashboard) зі звітами про ефективність роботи механізмів захисту від відстеження переміщень, перевірки компрометації облікових даних та управління паролями. У новому випуску з'явилася можливість переглянути статистику використання скомпрометованих облікових даних, а також відстежити можливі перетину збережених паролів з відомими витоками баз користувача. Перевірка здійснюється через інтеграцію з базою даних проекту haveibeenpwned.com, що включає відомості про 9.7 мільярдів облікових записів, викрадених внаслідок зламування 456 сайтів. Зведення надається на сторінці «about:protections» або через меню, що викликається через клік на значок щита в адресному рядку (замість Show Report тепер відображається Protections Dashboard).
  

• У Uninstaller додано кнопку «Оновити Firefox«, що дозволяє скинути у вихідний стан налаштування і видалити всі доповнення без втрати даних, що накопичилися. У разі проблем користувачі часто намагаються вирішити їх переустановку браузера. Кнопка Refresh дозволить досягти такого ефекту, не втративши закладки, історію відвідувань, збережені паролі, Cookie, підключені словники та дані для автозаповнення форм (при натисканні кнопки створюється новий профіль і в нього переносяться зазначені БД). Після натискання Refresh будуть втрачені доповнення, теми оформлення, відомості про права доступу, підключені пошукові движки, локальні DOM-сховища, сертифікати, змінені налаштування, стилі користувача (userChrome, userContent).
  

• У контекстне меню, що показується для вкладок, додані елементи для скасування закриття декількох вкладок, а також для закриття вкладок праворуч від поточної та закриття всіх вкладок, крім поточної.
  

• Забезпечено відключення спрацювання зберігача екрана під час здійснення відеодзвінків та конференцій на базі WebRTC.
• На платформі Windows для GPU Intel за будь-яких роздільної здатності екрану включено система композитингу WebRender, написана мовою Rust і що дозволяє досягти суттєвого збільшення швидкості відмальовування та зниження навантаження на CPU. WebRender виносить на бік GPU операції відображення вмісту сторінки, які реалізовані через шейдери, що виконуються в GPU. Раніше WebRender був включений на платформі Windows 10 для GPU Intel під час використання невеликих екранних дозволів, а також на системах з APU AMD Raven Ridge, AMD Evergreen і ноутбуках з відеокартами NVIDIA. У Linux WebRender поки що активується для карт Intel та AMD тільки в нічних збірках, і не підтримується для карт NVIDIA. Для примусового включення в about:config слід активувати налаштування «gfx.webrender.all» та «gfx.webrender.enabled» або запустити Firefox із виставленою змінною оточення MOZ_WEBRENDER=1.
• До 100% доведено частку користувачів із Великобританії, для яких на сторінці нової вкладки включено відображення контенту, рекомендованого сервісом Pocket. Раніше подібні сторінки показувалися лише користувачам зі США, Канади та Німеччини. Сплачені спонсорами блоки показуються лише у США і явно позначені як реклама. Пов'язана з підбором контенту персоналізація виконується на стороні клієнта і без передачі відомостей про користувача третім особам (в браузер завантажується весь список рекомендованих посилань на поточний день, який ранжується на стороні користувача, відштовхуючись від історії відвідин). Для відключення рекомендованого Pocket контенту передбачено налаштування в конфігураторі (Firefox Home Content/Recommended by Pocket) та опція "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
• Включено патчі, що впливають на продуктивність та стабільність апаратного прискорення декодування відео за допомогою VA-API (підтримується лише в оточеннях на базі Wayland).
• Підвищено вимоги до системних компонентів Linux. Для запуску Firefox у Linux тепер потрібно як мінімум Glibc 2.17, libstdc++ 4.8.1 та GTK+ 3.14.
• За планом припинення підтримки застарілих криптоалгоритмів за замовчуванням відключені всі набори шифрів TLS на базі DHE (TLS_DHE_*, протокол обміну ключів Діффі - Хеллмана). Для зниження можливого негативного впливу від відключення DHE додано два нових набори шифрів AES-GCM на базі SHA2.
• Вимкнено підтримка протоколів TLS 1.0 та TLS 1.1. Для звернення до сайтів захищеного каналу зв'язку сервер повинен надати підтримку як мінімум TLS 1.2. За даними Google, в даний час близько 0.5% завантажень web-сторінок продовжує здійснюватися з використанням застарілих версій TLS. Вимкнення здійснено відповідно до рекомендаціями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена ​​под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 та SHA-1). Повернути можливість роботи зі застарілими версіями TLS можна через налаштування security.tls.version.enable-deprecated = true або за допомогою кнопки на сторінці з помилкою, що виводиться під час заходу на сайт зі старим протоколом.
• Істотно покращено якість роботи з екранними рідерами для людей з порушенням зору (вирішилися проблеми з позиціонуванням курсору, усунуті підвисання, прискорено обробку дуже великих таблиць тощо). Для користувачів з мігренню та епілепсією скорочені анімаційні ефекти, такі як підсвічування вкладок та розширення пошукової панелі.
• Для підприємств до групових політик додані нові правила для налаштування зовнішніх додатків-обробників, відключення режиму картинка-в-картинці, обов'язковості завдання майстер-паролю.
• У JavaScript-движку SpiderMonkey оновлено підсистема обробки регулярних виразів, яка синхронізована з реалізацією JavaScript-движка V8, що застосовується в браузерах на основі проекту Сhromium. Зміна дозволила реалізувати підтримку наступних можливостей, пов'язаних із регулярними виразами:
  • Іменовані групи дозволяють зв'язати зіставлені регулярним виразом частини рядка з певними іменами замість порядкових номерів збігів (наприклад, замість "/(\d{4})-(\d{2})-(\d{2})/" можна вказати "/( ? \d{4})-(? \d{2})-(? \d{2})/» і отримати доступ до року не через result[1], а через result.groups.year).
  • Екранування класів Unicode-символів додає конструкції . ), \ p {Math} - математичні символи і т.п.
  • прапор dotAll призводить до спрацьовування маски "." у тому числі для символів перекладу рядка.
  • режим Подивись позаду дозволяє визначити у регулярному вираженні, що один шаблон передує іншому (наприклад, зіставити суму у доларах без захоплення знака долара).
• Реалізовано псевдокласи CSS :є() и :де() для прив'язки CSS правил до набору селекторів. Наприклад, замість

  header p:hover, main p:hover, footer p:hover {…}

  можна указати

  :is(header, main, footer) p:hover {…}

• Включено псевдокласи CSS :лише для читання и :читати писати для прив'язки до елементів форм (input або textarea), які заборонено чи дозволено редагувати.
• Додана підтримка методу Intl.ListFormat() для створення локалізованих списків (наприклад, заміни "or" на "або", "and" на "і").

  const lf = new Intl.ListFormat('en');
  lf.format(['Frank', 'Christine', 'Flora']);
  // → 'Frank, Christine, і Flora'
  // при локалі «ru» буде 'Frank, Christine та Flora'

• У метод Intl.NumberFormat додано підтримку форматування одиниць виміру, валют, наукових та компактних позначень (наприклад, «Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}»));
• Доданий метод Parentnode.replacechildren (), що дозволяє замінити чи очистити існуючий дочірній вузол.
• В ESR-гілці включена підтримка Service worker та Push API (в минулому ESR-випуску вони були відключені).
• У WebAssembly додано підтримку імпорту та експорту 64-розрядних цілих параметрів функції, використовуючи JavaScript-тип BigInt. Для WebAssembly також реалізовано розширення Multi-value, що дозволяє функції повертати більше значення.
• У консолі для web-розробників забезпечено деталізоване журналування помилок, пов'язаних з Promise, включаючи відомості про імена, стеки та властивості, що істотно спрощує розбір помилок при використанні таких фреймворків, як Angular.
  

• В інструментах для web-розробників значно підвищено продуктивність навігації по DOM при інспектуванні сайтів, на яких використовується дуже багато CSS-властивостей.
• У відладчику JavaScript реалізовано можливість розкриття скорочених імен змінних на основі source-map при використанні точок журналування (Log points), що дозволяють в момент спрацьовування мітки скидати у web-консоль інформацію про номер рядка в коді та значення змінних.
• В інтерфейсі інспектування мережі додано відомості про доповнення, механізми захисту від відстеження та CORS-обмеження (Cross-Origin Resource Sharing), що стали причиною блокування запиту.
  

Крім нововведень та виправлення помилок у Firefox 78
усунута серія вразливостей, у тому числі кілька позначені як критичні, тобто. можуть призвести до виконання коду зловмисника під час відкриття спеціально оформлених сторінок. В даний час інформація з подробицями про виправлені проблеми безпеки недоступна, очікується, що перелік вразливостей буде опубліковано протягом кількох годин.

Джерело: opennet.ru