網路瀏覽器發布 和 適用於 Android 平台的 Firefox 68.6。 此外,也產生了更新 並有長期支持 。 即將登上舞台 Firefox 75分支將轉移,計劃於7月XNUMX日發布(項目 4-5週 )。 對於 Firefox 75 beta 分支 編隊 適用於 Linux,採用 Flatpak 格式。
:
- Linux 建置使用隔離機制 ,旨在阻止對第三方函數庫漏洞的利用。 在此階段,僅對庫啟用隔離 ,負責渲染字體。 RLBox 將隔離庫的 C/C++ 程式碼編譯為低階 WebAssembly 中間程式碼,然後將其設計為 WebAssembly 模組,其權限僅與該模組相關。 組裝後的模組在單獨的記憶體區域中運行,並且無法存取其餘的位址空間。 如果庫中的漏洞被利用,攻擊者將受到限制,無法存取主進程的記憶體區域或將控制權轉移到隔離環境之外。
- DNS over HTTPS 模式(DoH、DNS over HTTPS) 對於美國用戶。 預設 DNS 提供者是 CloudFlare (mozilla.cloudflare-dns.com в Roskomnadzor),並且 NextDNS 作為一個選項提供。 更改提供者或在美國以外的國家/地區啟用 DoH, 在網路連線設定中。 您可以在 Firefox 中閱讀有關 DoH 的更多資訊: .
- 支援 TLS 1.0 和 TLS 1.1 協定。 要透過安全通訊通道存取站點,伺服器必須至少提供對 TLS 1.2 的支援。 據 Google 稱,目前約有 0.5% 的網頁下載繼續使用過時版本的 TLS 進行。 關閉是按照 IETF(網際網路工程任務小組)。 拒絕支援 TLS 1.0/1.1 的原因是缺乏對現代密碼(例如 ECDHE 和 AEAD)的支援以及需要支援舊密碼的要求,其可靠性在現階段計算技術的發展受到質疑(例如,需要支援TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,MD5 用於完整性檢查和身份驗證以及SHA-1)。 從 Firefox 1.0 開始嘗試使用 TLS 1.1 和 TLS 74 時,將顯示錯誤。 您可以透過設定 security.tls.version.enable-deprecated = true 或使用造訪使用舊協定的網站時顯示的錯誤頁面上的按鈕來恢復使用過時 TLS 版本的功能。
- 發行說明推薦了一個附加元件 ,它會自動阻止用於身份驗證、評論和點讚的第三方 Facebook 小部件。 Facebook 的識別參數被隔離在一個單獨的容器中,因此很難透過他們造訪的網站來識別使用者。 與 Facebook 主網站合作的能力仍然存在,但與其他網站隔離。
為了更靈活地隔離任意站點,建議使用附加元件 隨著上下文容器概念的實作。 容器提供了隔離不同類型內容的能力,而無需建立單獨的配置文件,這使您可以分離各個頁面組的資訊。 例如,您可以為個人通訊、工作、購物和銀行交易建立單獨的隔離區域,或在一個網站上組織不同使用者帳戶的同時使用。 每個容器使用單獨的儲存空間來儲存 Cookie、本機儲存 API、indexedDB、快取和 OriginAttributes 內容。
- 在 about:config 中新增了「browser.tabs.allowTabDetach」設置,以防止選項卡分離到新視窗。 意外的選項卡分離是 Firefox 中最煩人的錯誤之一,需要修復。 9年。 瀏覽器允許滑鼠將選項卡拖曳到新視窗中,但在某些情況下,當滑鼠點擊選項卡時不小心移動時,選項卡會在操作過程中脫離到單獨的視窗中。
- 支援以迂迴方式安裝的附加元件,並且不與使用者設定檔綁定。 此變更僅影響系統上所有 Firefox 實例處理的共用目錄(/usr/lib/mozilla/extensions/、/usr/share/mozilla/extensions/ 或 ~/.mozilla/extensions/)中加載項的安裝(不與用戶關聯)。 此方法通常用於在發行版中預先安裝附加元件、主動替換第三方應用程式、整合惡意附加元件或使用自己的安裝程式單獨提供附加元件。 在 Firefox 73 中,先前強制安裝的附加元件已自動從共用目錄移至個人使用者設定檔中,現在可以 透過常規的附加管理器。
- 在瀏覽器中包含的 Lockwise 系統外掛程式中,它提供了「about:logins」介面來管理已儲存的密碼, 按相反順序排序(Z 到 A)。
- WebRTC 使用“「,將本機位址隱藏在透過組播 DNS 決定的動態產生的隨機標識符後面。
- 更改了 Instagram 批次上傳照片介面中與下一張圖片按鈕重疊的畫中畫視圖開關的位置。
- 在 JavaScript 中 運算子“?.”,旨在同時檢查整個屬性或呼叫鏈。 例如,透過指定“db?.user?.name?.length”,您現在可以存取“db.user.name.length”的值,而無需任何初步檢查。 如果任何元素被處理為空或未定義,則輸出將為「未定義」。
- 在網站和附加元件中支援 Object.toSource() 方法和全域函數 uneval()。
- 新增了新活動 以及相關財產 ,它允許您在使用者更改介面語言時呼叫處理程序。
- 啟用 HTTP 標頭處理 (),允許網站阻止插入從其他網域(跨來源和跨網站)載入的資源(例如映像和腳本)。 標頭可以採用兩個值:「same-origin」(僅允許請求具有相同方案、主機名稱和連接埠號碼的資源)和「same-site」(僅允許來自相同網站的請求)。
跨來源資源策略:同站點
- 預設啟用 HTTP 標頭 ,它允許您控制 API 的行為並啟用某些功能(例如,您可以禁用對地理位置 API、相機、麥克風、全螢幕、自動播放、加密媒體、動畫、支付 API、同步 XMLHttpRequest 模式的訪問, ETC。) 。 對於 iframe 區塊,屬性“”,可以在頁面程式碼中使用它來為某些 iframe 區塊分配權限。
功能-策略:麥克風「無」; 地理位置“無”
如果網站透過「allow」屬性允許使用特定 iframe 的資源,並且從 iframe 接收到取得使用該資源的權限的請求,則瀏覽器現在會顯示一個對話框,用於在主頁的上下文,並將使用者確認的權限委託給iframe(而不是單獨對iframe 和主頁進行確認)。 但是,如果主頁沒有通過allow屬性請求的資源的權限,則iframe可以立即存取該資源 ,而不向使用者顯示對話框。
- 預設啟用 CSS 屬性支援 '',它決定了文字下劃線的位置(例如,垂直顯示文字時,可以在左側或右側組織下劃線,水平顯示時,不僅可以從下面組織下劃線,還可以從上面組織下劃線)。 另外在控制底線樣式的 CSS 屬性中 и 新增了對使用百分比值的支援。
- 在 CSS 屬性中 ,定義元素周圍的線條樣式,預設為“auto”(之前 由於 GNOME 中的問題)。
- 在 JavaScript 調試器中 偵錯巢狀 Web Workers 的能力,可以使用斷點來暫停和逐步偵錯其執行。
- 網頁檢查介面現在為依賴 z-index、頂部、左側、底部和右側定位元素的 CSS 屬性提供警告。
- 對於 Windows 和 macOS,已經實現了從基於 Chromium 引擎的 Microsoft Edge 瀏覽器匯入設定檔的功能。
除了創新和錯誤修復之外,Firefox 74 還修復了 ,其中 10 個(收集於 и )被標記為在開啟特殊設計的頁面時可能導致攻擊者程式碼執行。 讓我們提醒您,記憶體問題(例如緩衝區溢位和存取已釋放的記憶體區域)最近被標記為危險,但並不嚴重。
來源: opennet.ru