Veb-brauzer chiqarildi , shuningdek Android platformasi uchun Firefox 68.6. Bundan tashqari, yangilanish yaratildi uzoq muddatli qo'llab-quvvatlash bilan . Tez orada sahnaga Firefox 75 filiali ko'chiriladi, uning chiqarilishi 7 aprelga rejalashtirilgan (loyiha 4-5 hafta davomida ). Firefox 75 beta filiali uchun shakllanishi Linux uchun Flatpak formatida.
:
- Linux konstruktsiyalari izolyatsiya mexanizmidan foydalanadi , uchinchi tomon funktsiyalari kutubxonalarida zaifliklardan foydalanishni blokirovka qilishga qaratilgan. Ushbu bosqichda izolyatsiya faqat kutubxona uchun yoqilgan , shriftlarni ko'rsatish uchun mas'ul. RLBox izolyatsiya qilingan kutubxonaning C/C++ kodini past darajadagi WebAssembly oraliq kodiga kompilyatsiya qiladi, keyinchalik u WebAssembly moduli sifatida ishlab chiqilgan bo'lib, ruxsatlari faqat ushbu modulga nisbatan o'rnatiladi. Yig'ilgan modul alohida xotira maydonida ishlaydi va manzil maydonining qolgan qismiga kirish imkoniga ega emas. Agar kutubxonadagi zaiflikdan foydalanilsa, tajovuzkor cheklangan bo'ladi va asosiy jarayonning xotira joylariga kira olmaydi yoki izolyatsiya qilingan muhitdan tashqarida boshqaruvni o'tkaza olmaydi.
- HTTPS rejimi orqali DNS (DoH, HTTPS orqali DNS) AQSh foydalanuvchilari uchun. Standart DNS provayderi CloudFlare (mozilla.cloudflare-dns.com). в Roskomnadzor) va NextDNS variant sifatida mavjud. AQShdan boshqa mamlakatlarda provayderni o'zgartiring yoki DoHni yoqing, tarmoq ulanishi sozlamalarida. Firefox-da DoH haqida ko'proq ma'lumot olishingiz mumkin .
- TLS 1.0 va TLS 1.1 protokollarini qo'llab-quvvatlash. Xavfsiz aloqa kanali orqali saytlarga kirish uchun server kamida TLS 1.2 ni qo'llab-quvvatlashi kerak. Google ma'lumotlariga ko'ra, hozirda veb-sahifalarni yuklab olishning taxminan 0.5 foizi TLSning eskirgan versiyalari yordamida amalga oshirilmoqda. O'chirish ga muvofiq amalga oshirildi IETF (Internet Engineering Task Force). TLS 1.0/1.1 ni qo'llab-quvvatlashdan bosh tortish sababi zamonaviy shifrlarni qo'llab-quvvatlamaslik (masalan, ECDHE va AEAD) va eski shifrlarni qo'llab-quvvatlash talabi bo'lib, ularning ishonchliligi hisoblash texnologiyalari rivojlanishining hozirgi bosqichida so'roq qilinadi ( masalan, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA uchun qo'llab-quvvatlash talab qilinadi, MD5 butunlikni tekshirish va autentifikatsiya qilish uchun ishlatiladi va SHA-1). Firefox 1.0 bilan boshlangan TLS 1.1 va TLS 74 dan foydalanishga urinayotganda xatolik ko'rsatiladi. Siz security.tls.version.enable-deprecated = true ni o‘rnatish yoki eski protokolga ega saytga tashrif buyurganingizda ko‘rsatilgan xato sahifasidagi tugma yordamida eskirgan TLS versiyalari bilan ishlash qobiliyatini tiklashingiz mumkin.
- Chiqarish eslatmasi qo'shimchani tavsiya qiladi , bu autentifikatsiya qilish, sharhlash va yoqtirish uchun ishlatiladigan uchinchi tomon Facebook vidjetlarini avtomatik ravishda bloklaydi. Facebook’ning identifikatsiya parametrlari alohida konteynerda ajratilgan bo‘lib, foydalanuvchini ular tashrif buyuradigan saytlar bilan aniqlashni qiyinlashtiradi. Asosiy Facebook sayti bilan ishlash imkoniyati saqlanib qolgan, ammo u boshqa saytlardan ajratilgan.
O'zboshimchalik bilan saytlarni yanada moslashuvchan izolyatsiya qilish uchun qo'shimcha taklif etiladi kontekstli konteynerlar kontseptsiyasini amalga oshirish bilan. Konteynerlar alohida profillar yaratmasdan har xil turdagi tarkibni ajratish imkoniyatini beradi, bu esa sahifalarning alohida guruhlari ma'lumotlarini ajratish imkonini beradi. Misol uchun, siz shaxsiy muloqot, ish, xarid qilish va bank operatsiyalari uchun alohida, ajratilgan hududlarni yaratishingiz yoki bir saytda turli xil foydalanuvchi hisoblaridan bir vaqtning o'zida foydalanishni tashkil qilishingiz mumkin. Har bir konteyner cookie fayllari, mahalliy saqlash API, indekslangan DB, kesh va OriginAttributes kontenti uchun alohida do‘konlardan foydalanadi.
- Yorliqlarning yangi oynalarga ajratilishining oldini olish uchun about:config ga “browser.tabs.allowTabDetach” sozlamasi qo‘shildi. Tasodifiy yorliqlarni ajratish Firefox-ning eng zerikarli xatolaridan biri bo'lib, uni tuzatish kerak. 9 yil. Brauzer sichqonchaga yorliqni yangi oynaga sudrab borishga imkon beradi, lekin ma'lum sharoitlarda yorliqni bosish paytida sichqonchani beparvolik bilan harakatlantirganda ish paytida yorliq alohida oynaga ajratiladi.
- aylanma tarzda o'rnatilgan va foydalanuvchi profillariga bog'lanmagan qo'shimchalarni qo'llab-quvvatlash. O'zgartirish faqat tizimdagi barcha Firefox nusxalari tomonidan qayta ishlangan umumiy kataloglarga (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ yoki ~/.mozilla/extensions/) qo'shimchalarni o'rnatishga ta'sir qiladi ( foydalanuvchi bilan bog'lanmagan). Ushbu usul odatda tarqatishda qo'shimchalarni oldindan o'rnatish, uchinchi tomon ilovalari bilan keraksiz almashtirish, zararli qo'shimchalarni birlashtirish yoki o'z o'rnatuvchisi bilan alohida qo'shimchani etkazib berish uchun ishlatiladi. Firefox 73-da avval majburiy o'rnatilgan qo'shimchalar avtomatik ravishda umumiy katalogdan individual foydalanuvchi profillariga ko'chirildi va endi ular bo'lishi mumkin. oddiy qo'shimcha menejeri orqali.
- Saqlangan parollarni boshqarish uchun "about:logins" interfeysini taklif qiluvchi brauzerga kiritilgan Lockwise tizimi plaginida, teskari tartibda tartiblash (Z dan A gacha).
- WebRTC "" yordamida ovozli va video qo'ng'iroqlar paytida ichki IP-manzil haqidagi ma'lumotlarning sizib chiqishidan himoyani kuchaytirdi.", Multicast DNS orqali aniqlangan dinamik ravishda yaratilgan tasodifiy identifikator orqasida mahalliy manzilni yashirish.
- Instagram-da ommaviy yuklash foto interfeysidagi keyingi rasm tugmasi bilan bir-biriga yopishgan rasm ichidagi rasmni ko'rish tugmasi joylashuvi o'zgartirildi.
- JavaScript-da operator "?.", bir vaqtning o'zida barcha xususiyatlar yoki qo'ng'iroqlar zanjirini tekshirish uchun mo'ljallangan. Masalan, "db?.user?.name?.length" ni belgilash orqali siz endi "db.user.name.length" qiymatiga hech qanday dastlabki tekshiruvlarsiz kirishingiz mumkin. Agar biron bir element null yoki aniqlanmagan deb qayta ishlansa, chiqish "aniqlanmagan" bo'ladi.
- veb-saytlarda va Object.toSource() usuli va global funktsiyani uneval() uchun qo'shimchalarda qo'llab-quvvatlash.
- Yangi tadbir qo'shildi va tegishli mulk , bu foydalanuvchi interfeys tilini o'zgartirganda ishlov beruvchini chaqirish imkonini beradi.
- HTTP sarlavhasini qayta ishlash yoqilgan (), saytlarga boshqa domenlardan (kelib chiqishi va saytlararo) yuklangan resurslarni (masalan, tasvirlar va skriptlar) kiritilishini oldini olishga ruxsat berish. Sarlavha ikkita qiymatga ega bo'lishi mumkin: "bir xil kelib chiqishi" (faqat bir xil sxema, xost nomi va port raqamiga ega resurslarga so'rovlarga ruxsat beradi) va "bir xil sayt" (faqat bitta saytdan so'rovlarga ruxsat beradi).
Kross-Origin-Resurs-Siyosat: bir xil sayt
- HTTP sarlavhasi sukut bo'yicha yoqilgan , bu sizga API xatti-harakatlarini boshqarish va ba'zi xususiyatlarni yoqish imkonini beradi (masalan, Geolocation API, kamera, mikrofon, to'liq ekran, avtomatik ijro, shifrlangan media, animatsiya, Payment API, sinxron XMLHttpRequest rejimiga kirishni o'chirib qo'yishingiz mumkin, va boshqalar.). iframe bloklari uchun " atributi", bu sahifa kodida ma'lum iframe bloklariga huquqlarni belgilash uchun ishlatilishi mumkin.
Xususiyat siyosati: mikrofon "yo'q"; geojoylashuv "yo'q"
Agar sayt "ruxsat berish" atributi orqali ma'lum bir iframe uchun resurs bilan ishlashga ruxsat bersa va iframe-dan ushbu resurs bilan ishlash uchun ruxsat olish uchun so'rov qabul qilinsa, brauzer endi ruxsatlar berish uchun dialog oynasini ko'rsatadi. asosiy sahifa konteksti va foydalanuvchi tomonidan tasdiqlangan huquqlarni iframe-ga beradi (iframe va asosiy sahifa uchun alohida tasdiqlash o'rniga). Ammo, agar asosiy sahifa ruxsat atributi orqali so'ralgan manbaga ruxsatga ega bo'lmasa, iframe darhol manbaga kirish huquqiga ega. , foydalanuvchiga dialog oynasini ko'rsatmasdan.
- CSS xususiyatini qo'llab-quvvatlash sukut bo'yicha yoqilgan '', bu matnning tagiga chizish o'rnini aniqlaydi (masalan, matnni vertikal ko'rsatishda siz chap yoki o'ng tomonda tagiga chizishni tashkil qilishingiz mumkin va gorizontal ko'rsatishda nafaqat pastdan, balki yuqoridan ham). Bundan tashqari, pastki chiziq uslubini boshqaradigan CSS xususiyatlarida и Foiz qiymatlaridan foydalanish uchun qo'shimcha yordam.
- CSS xususiyatida , elementlar atrofidagi chiziq uslubini belgilaydi, sukut bo'yicha "avtomatik" (ilgari GNOME-dagi muammolar tufayli).
- JavaScript tuzatuvchisida ichki o'rnatilgan veb ishchilarini disk raskadrovka qilish qobiliyati, ularning bajarilishi to'xtatilishi va to'xtash nuqtalari yordamida bosqichma-bosqich tuzatilishi mumkin.
- Veb-sahifani tekshirish interfeysi endi z-indeks, yuqori, chap, pastki va o'ngda joylashgan elementlarga bog'liq bo'lgan CSS xususiyatlari uchun ogohlantirishlarni taqdim etadi.
- Windows va macOS uchun Chromium dvigateliga asoslangan Microsoft Edge brauzeridan profillarni import qilish imkoniyati joriy qilingan.
Innovatsiyalar va xatolarni tuzatishdan tashqari, Firefox 74 tuzatildi , shundan 10 tasi (to'plangan и ) maxsus ishlab chiqilgan sahifalarni ochishda tajovuzkor kodining bajarilishiga olib kelishi mumkin deb belgilandi. Eslatib o'tamiz, bufer to'lib ketishi va allaqachon bo'shatilgan xotira maydonlariga kirish kabi xotira muammolari yaqinda xavfli deb belgilangan, ammo muhim emas.
Manba: opennet.ru