火狐 93 发布

Firefox 93 Web 浏览器发布，此外还创建了长期支持分支的更新 - 78.15.0 和 91.2.0。 Firefox 94分支已转入beta测试阶段，预计2月XNUMX日发布。

主要创新：

• 默认情况下启用对 AVIF（AV1 图像格式）图像格式的支持，该格式使用 AV1 视频编码格式的帧内压缩技术。 支持全色域和有限色域颜色空间，以及转换操作（旋转和镜像）。 尚不支持动画。 为了配置与规范的合规性，about:config 提供了“image.avif.compliance_strictness”参数。 默认情况下，ACCEPT HTTP 标头值已更改为“image/avif,image/webp,*/*”。
• WebRender引擎采用Rust语言编写，通过将页面内容渲染操作移至GPU端（通过在GPU中执行的着色器实现），可以实现渲染速度的显着提升并减少CPU的负载，已转入强制类别。 对于具有较旧显卡或有问题的图形驱动程序的系统，WebRender 使用软件光栅化模式 (gfx.webrender.software=true)。 禁用 WebRender 的选项（gfx.webrender.force-legacy-layers 和 MOZ_WEBRENDER=0）已停用。
• 改进了对 Wayland 协议的支持。 添加了一个层，可以解决基于 Wayland 协议的环境中的剪贴板问题。 还包括一些更改，以帮助消除在多显示器配置中使用 Wayland 将窗口移动到屏幕边缘时出现的闪烁。
• 内置的 PDF 查看器提供了使用交互式 XFA 表单打开文档的功能，这些表单通常用于各种银行和政府机构的电子表单中。
• 启用保护，防止下载通过 HTTP 发送但未加密但从通过 HTTPS 打开的页面启动的文件。 由于对传输流量的控制，此类下载不会受到欺骗，但由于它们是通过从通过 HTTPS 打开的页面导航进行的，因此用户可能会对其安全性产生错误的印象。 如果您尝试下载此类数据，系统将向用户显示警告，允许您根据需要取消阻止。 此外，现在禁止从未明确指定允许下载属性的沙盒 iframe 下载文件，并将被静默阻止。
• 改进了 SmartBlock 机制的实现，旨在解决由于在隐私浏览模式下阻止外部脚本或激活对不需要的内容的增强阻止（严格）而出现的网站问题。 SmartBlock 自动用存根替换用于跟踪的脚本，以确保站点正确加载。 存根是为断开列表中包含的一些流行的用户跟踪脚本准备的。 新版本包括对 Google Analytics 脚本、Google 广告网络脚本以及来自 Optimizely、Criteo 和 Amazon TAM 服务的小部件的自适应阻止。
• 在私密浏览和增强阻止不需要的内容（严格）模式下，启用了对 HTTP“Referer”标头的额外保护。 在这些模式下，现在禁止网站通过 Referrer-Policy HTTP 标头启用“no-referrer-when-downgrade”、“origin-when-cross-origin”和“unsafe-url”策略，这些策略允许绕过默认值设置以将传输返回到第三方站点，并在“Referer”标头中包含完整的 URL。 我们回想一下，在 Firefox 87 中，为了阻止潜在的机密数据泄露，默认启用了“跨源时严格源”策略，这意味着发送时从“Referer”中删除路径和参数通过 HTTPS 访问时向其他主机发出的请求。从 HTTPS 切换到 HTTP 时传输空的“Referer”，并在同一站点内进行内部转换时传输完整的“Referer”。 但这一变化的有效性值得怀疑，因为网站可以通过引用策略的操作返回旧的行为。
• 在 Windows 平台上，如果系统中的可用内存水平达到极低值，则会实现对从内存中自动卸载选项卡的支持。 首先卸载消耗内存最多且用户长时间未访问的选项卡。 当您切换到卸载的选项卡时，其内容会自动重新加载。 在 Linux 中，这一功能有望在下一版本中添加。
• 下载列表面板的设计融入了 Firefox 的整体视觉风格。
• 在紧凑模式下，主菜单、溢出菜单、书签和浏览历史记录元素之间的空间已减小。
• SHA-256 已添加到可用于组织身份验证（HTTP 身份验证）的算法数量中（以前仅支持 MD5）。
• 默认情况下禁用使用 3DES 算法的 TLS 密码。 例如，TL​​S_RSA_WITH_3DES_EDE_CBC_SHA 密码套件容易受到 Sweet32 攻击。 如果旧版本 TLS 设置中有明确许可，则可以恢复 3DES 支持。
• 在 macOS 平台上，从安装的“.dmg”文件启动 Firefox 时会话丢失的问题已得到解决。
• 实现了一个用户界面，用于直观地输入 Web 表单元素的日期和时间。
• 对于具有 aria-label 或 aria-labelledby 属性的元素，实现了meter角色（role=”meter”），它允许你实现在一定范围内变化的数值指标（例如，电池电量指标） ）。
• 在 font-synthesis CSS 属性中添加了对“small-caps”关键字的支持。
• 实现了 Intl.supportedValuesOf() 方法，该方法返回受支持的日历、货币、数字系统和测量单位的数组。
• 对于类，可以使用静态初始化块来对处理类时执行一次的代码进行分组： class C { // 该块将在处理类本身时运行 static { console.log("C's static block") ; } }
• 添加了对调用 HTMLElement.attachInternals 来访问其他表单控件方法的支持。
• ShadowRoot 属性已添加到 ElementInternals 方法中，允许原生元素访问 Shadow DOM 中的单独根，无论状态如何。
• 在 createImageBitmap() 方法中添加了对 imageOrientation 和 premultiplyAlpha 属性的支持。
• 添加了全局 reportError() 函数，允许脚本将错误打印到控制台，模拟未捕获异常的发生。
• Android平台版本的改进：
  • 在平板电脑上启动时，面板中添加了“前进”、“后退”和“页面重新加载”按钮。
  • 默认情况下启用在 Web 表单中自动填写登录名和密码。
  • 可以使用 Firefox 作为密码管理器在其他应用程序中填写登录名和密码（通过“设置”>“登录名和密码”>“在其他应用程序中自动填充”启用）。
  • 添加了“设置”>“登录名和密码”>“保存的登录名”>“添加登录名”页面，用于手动将凭据添加到密码管理器。
  • 新增“设置”>“数据收集”>“研究与关闭”页面，可拒绝参与测试实验功能。

除了创新和错误修复之外，Firefox 93 还消除了 13 个漏洞，其中 10 个被标记为危险漏洞。 9 个漏洞（收集在 CVE-2021-38500、CVE-2021-38501 和 CVE-2021-38499 下）是由内存问题引起的，例如缓冲区溢出和访问已释放的内存区域。 这些问题可能会导致在打开特殊设计的页面时执行攻击者的代码。

Firefox 94的测试版标志着新服务页面“about:unloads”的实现，用户可以在该页面上强制卸载某些选项卡而不关闭它们，以减少内存消耗（切换到选项卡时内容将重新加载）。

来源： opennet.ru