网络浏览器发布 和 适用于 Android 平台的 Firefox 68.6。 此外,还生成了更新 并有长期支持 。 即将登上舞台 Firefox 75分支将转移,计划于7月XNUMX日发布(项目 4-5周 )。 对于 Firefox 75 beta 分支 编队 适用于 Linux,采用 Flatpak 格式。
:
- Linux 构建使用隔离机制 ,旨在阻止对第三方函数库漏洞的利用。 在此阶段,仅对库启用隔离 ,负责渲染字体。 RLBox 将隔离库的 C/C++ 代码编译为低级 WebAssembly 中间代码,然后将其设计为 WebAssembly 模块,其权限仅与该模块相关。 组装后的模块在单独的内存区域中运行,并且无法访问其余的地址空间。 如果库中的漏洞被利用,攻击者将受到限制,无法访问主进程的内存区域或将控制权转移到隔离环境之外。
- DNS over HTTPS 模式(DoH、DNS over HTTPS) 对于美国用户。 默认 DNS 提供商是 CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor),并且 NextDNS 作为一个选项提供。 更改提供商或在美国以外的国家/地区启用 DoH, 在网络连接设置中。 您可以在 Firefox 中阅读有关 DoH 的更多信息: .
- 支持 TLS 1.0 和 TLS 1.1 协议。 要通过安全通信通道访问站点,服务器必须至少提供对 TLS 1.2 的支持。 据 Google 称,目前约有 0.5% 的网页下载继续使用过时版本的 TLS 进行。 关闭是按照 IETF(互联网工程任务组)。 拒绝支持 TLS 1.0/1.1 的原因是缺乏对现代密码(例如 ECDHE 和 AEAD)的支持以及需要支持旧密码的要求,其可靠性在现阶段计算技术的发展受到质疑(例如,需要支持 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,MD5 用于完整性检查和身份验证以及 SHA-1)。 从 Firefox 1.0 开始尝试使用 TLS 1.1 和 TLS 74 时,将显示错误。 您可以通过设置 security.tls.version.enable-deprecated = true 或使用访问使用旧协议的站点时显示的错误页面上的按钮来恢复使用过时 TLS 版本的功能。
- 发行说明推荐了一个附加组件 ,它会自动阻止用于身份验证、评论和点赞的第三方 Facebook 小部件。 Facebook 的识别参数被隔离在一个单独的容器中,因此很难通过他们访问的网站来识别用户。 与 Facebook 主网站合作的能力仍然存在,但与其他网站隔离。
为了更灵活地隔离任意站点,建议使用附加组件 随着上下文容器概念的实施。 容器提供了隔离不同类型内容的能力,而无需创建单独的配置文件,这使您可以分离各个页面组的信息。 例如,您可以为个人通信、工作、购物和银行交易创建单独的隔离区域,或者在一个站点上组织不同用户帐户的同时使用。 每个容器使用单独的存储来存储 Cookie、本地存储 API、indexedDB、缓存和 OriginAttributes 内容。
- 在 about:config 中添加了“browser.tabs.allowTabDetach”设置,以防止选项卡分离到新窗口中。 意外的选项卡分离是 Firefox 中最烦人的错误之一,需要修复。 9年。 浏览器允许鼠标将选项卡拖动到新窗口中,但在某些情况下,当鼠标单击选项卡时不小心移动时,选项卡会在操作过程中脱离到单独的窗口中。
- 支持以迂回方式安装的附加组件,并且不与用户配置文件绑定。 此更改仅影响系统上所有 Firefox 实例处理的共享目录(/usr/lib/mozilla/extensions/、/usr/share/mozilla/extensions/ 或 ~/.mozilla/extensions/)中加载项的安装(不与用户关联)。 此方法通常用于在发行版中预安装附加组件、主动替换第三方应用程序、集成恶意附加组件或使用自己的安装程序单独提供附加组件。 在 Firefox 73 中,之前强制安装的附加组件已自动从共享目录移动到个人用户配置文件中,现在可以 通过常规的附加管理器。
- 在浏览器中包含的 Lockwise 系统插件中,它提供了“about:logins”界面来管理保存的密码, 按相反顺序排序(Z 到 A)。
- WebRTC 使用““,将本地地址隐藏在通过组播 DNS 确定的动态生成的随机标识符后面。
- 更改了 Instagram 批量上传照片界面中与下一张图片按钮重叠的画中画视图开关的位置。
- 在 JavaScript 中 运算符“?.”,旨在同时检查整个属性或调用链。 例如,通过指定“db?.user?.name?.length”,您现在可以访问“db.user.name.length”的值,而无需任何初步检查。 如果任何元素被处理为空或未定义,则输出将为“未定义”。
- 在网站和附加组件中支持 Object.toSource() 方法和全局函数 uneval()。
- 添加了新活动 以及相关财产 ,它允许您在用户更改界面语言时调用处理程序。
- 启用 HTTP 标头处理 (),允许站点阻止插入从其他域(跨源和跨站点)加载的资源(例如图像和脚本)。 标头可以采用两个值:“same-origin”(仅允许请求具有相同方案、主机名和端口号的资源)和“same-site”(仅允许来自同一站点的请求)。
跨源资源策略:同站点
- 默认启用 HTTP 标头 ,它允许您控制 API 的行为并启用某些功能(例如,您可以禁用对地理位置 API、摄像头、麦克风、全屏、自动播放、加密媒体、动画、支付 API、同步 XMLHttpRequest 模式的访问, ETC。)。 对于 iframe 块,属性“”,可以在页面代码中使用它来为某些 iframe 块分配权限。
功能-策略:麦克风“无”; 地理位置“无”
如果站点通过“allow”属性允许使用特定 iframe 的资源,并且从 iframe 接收到获取使用该资源的权限的请求,则浏览器现在会显示一个对话框,用于在主页的上下文,并将用户确认的权限委托给 iframe(而不是单独对 iframe 和主页进行确认)。 但是,如果主页没有通过allow属性请求的资源的权限,则iframe可以立即访问该资源 ,而不向用户显示对话框。
- 默认情况下启用 CSS 属性支持 '',它决定了文本下划线的位置(例如,垂直显示文本时,可以在左侧或右侧组织下划线,水平显示时,不仅可以从下面组织下划线,还可以从上面组织下划线)。 另外在控制下划线样式的 CSS 属性中 и 添加了对使用百分比值的支持。
- 在 CSS 属性中 ,定义元素周围的线条样式,默认为“auto”(之前 由于 GNOME 中的问题)。
- 在 JavaScript 调试器中 调试嵌套 Web Workers 的能力,可以使用断点来暂停和逐步调试其执行。
- 网页检查界面现在为依赖于 z-index、顶部、左侧、底部和右侧定位元素的 CSS 属性提供警告。
- 对于 Windows 和 macOS,已经实现了从基于 Chromium 引擎的 Microsoft Edge 浏览器导入配置文件的功能。
除了创新和错误修复之外,Firefox 74 还修复了 ,其中 10 个(收集于 и )被标记为在打开特殊设计的页面时可能导致攻击者代码执行。 让我们提醒您,内存问题(例如缓冲区溢出和访问已释放的内存区域)最近被标记为危险,但并不严重。
来源: opennet.ru