火狐 93 發布

Firefox 93 Web 瀏覽器已發布，也建立了長期支援分支的更新 - 78.15.0 和 91.2.0。 Firefox 94分支已轉入beta測試階段，預計2月XNUMX日發布。

主要創新：

• 預設啟用對 AVIF（AV1 影像格式）影像格式的支持，該格式使用 AV1 視訊編碼格式的幀內壓縮技術。支援全色域和有限色域色彩空間，以及轉換操作（旋轉和鏡像）。尚不支援動畫。為了配置與規範的合規性，about:config 提供了「image.avif.compliance_strictness」參數。預設情況下，ACCEPT HTTP 標頭值已變更為「image/avif,image/webp,*/*」。
• WebRender引擎採用Rust語言編寫，透過將頁面內容渲染操作移至GPU端（透過在GPU中執行的著色器實作），可以實現渲染速度的顯著提升並減少CPU的負載，已轉入強制類別。對於具有較舊顯示卡或有問題的圖形驅動程式的系統，WebRender 使用軟體光柵化模式 (gfx.webrender.software=true)。停用 WebRender 的選項（gfx.webrender.force-legacy-layers 和 MOZ_WEBRENDER=0）已停用。
• 改進了對 Wayland 協議的支援。新增了一個層，可以解決基於 Wayland 協定的環境中的剪貼簿問題。還包括一些更改，以幫助消除在多顯示器配置中使用 Wayland 將視窗移動到螢幕邊緣時出現的閃爍。
• 內建的 PDF 檢視器提供了使用互動式 XFA 表單開啟文件的功能，這些表單通常用於各種銀行和政府機構的電子表單中。
• 啟用保護，防止下載透過 HTTP 傳送但未加密但從透過 HTTPS 開啟的頁面啟動的檔案。由於對傳輸流量的控制，此類下載不會受到欺騙，但由於它們是透過從透過 HTTPS 開啟的頁面導航進行的，因此使用者可能會對其安全性產生錯誤的印象。如果您嘗試下載此類數據，系統將向使用者顯示警告，允許您根據需要取消封鎖。此外，現在禁止從未明確指定允許下載屬性的沙盒 iframe 下載文件，並將被靜默阻止。
• 改進了 SmartBlock 機制的實現，旨在解決由於在隱私瀏覽模式下阻止外部腳本或啟動對不需要的內容的增強阻止（嚴格）而出現的網站問題。 SmartBlock 會自動用存根取代用於追蹤的腳本，以確保網站正確載入。存根是為斷開清單中包含的一些流行的使用者追蹤腳本準備的。新版本包括 Google Analytics 腳本、Google 廣告網路腳本以及 Optimizely、Criteo 和 Amazon TAM 服務的小工具的自適應封鎖。
• 在私密瀏覽和增強封鎖不需要的內容（嚴格）模式下，啟用了對 HTTP「Referer」標頭的額外保護。在這些模式下，網站現在禁止透過 Referrer-Policy HTTP 標頭啟用「no-referrer-when-downgrade」、「origin-when-cross-origin」和「unsafe-url」策略，這些策略允許繞過預設值設定以將傳輸返回到第三方站點，並在「Referer」標頭中包含完整的URL。我們回想一下，在 Firefox 87 中，為了阻止潛在的機密資料洩露，預設啟用了「跨來源時嚴格來源」策略，這意味著在發送時從「Referer」中刪除路徑和參數透過HTTPS 存取時向其他主機發出的請求，當從HTTPS 切換到HTTP 時傳輸空的“Referer”，並在同一站點內傳輸完整的“Referer”。但這一變化的有效性值得懷疑，因為網站可以透過引用策略的操作返回舊的行為。
• 在平台上 Windows 當系統可用記憶體嚴重不足時，系統會自動從記憶體卸載標籤頁。系統會優先卸載佔用記憶體最多且長時間未存取的標籤頁。切換到已卸載的標籤頁時，其內容會自動重新載入。 Linux 承諾將在接下來的版本中添加該功能。
• 下載清單面板的設計融入了 Firefox 的整體視覺風格。
• 在緊湊模式下，主選單、溢位選單、書籤和瀏覽歷史記錄元素之間的空間已減少。
• SHA-256 已新增至可用於組織驗證（HTTP 驗證）的演算法數量（先前僅支援 MD5）。
• 預設會停用使用 3DES 演算法的 TLS 密碼。例如，TL​​S_RSA_WITH_3DES_EDE_CBC_SHA 密碼套件容易受到 Sweet32 攻擊。如果舊版 TLS 設定中有明確許可，則可以還原 3DES 支援。
• 在平台上 macOS 修正了從已掛載的「.dmg」檔案啟動 Firefox 時會話遺失的問題。
• 實作了一個使用者介面，用於直觀地輸入 Web 表單元素的日期和時間。
• 對於具有 aria-label 或 aria-labelledby 屬性的元素，實現了meter角色（role=”meter”），它允許你實現在一定範圍內變化的數值指標（例如，電池電量指標） ）。
• 在 font-synthesis CSS 屬性中加入了對「small-caps」關鍵字的支援。
• 實作了 Intl.supportedValuesOf() 方法，該方法傳回受支援的日曆、貨幣、數字系統和測量單位的陣列。
• 對於類，可以使用靜態初始化區塊來對處理類別時執行一次的程式碼進行分組： class C { // 該區塊將在處理類別本身時執行 static { console.log("C's static block") ; } }
• 新增了對呼叫 HTMLElement.attachInternals 來存取其他表單控制項方法的支援。
• ShadowRoot 屬性已新增至 ElementInternals 方法中，可讓原生元素存取 Shadow DOM 中的單獨根，無論狀態為何。
• 在 createImageBitmap() 方法中加入了對 imageOrientation 和 premultiplyAlpha 屬性的支援。
• 新增了全域 reportError() 函數，讓腳本將錯誤列印到控制台，模擬未捕獲異常的發生。
• 平台版本改進 Android:
  • 在平板電腦上啟動時，面板中新增了「前進」、「後退」和「頁面重新載入」按鈕。
  • 預設啟用在 Web 表單中自動填入登入名稱和密碼。
  • 可以使用 Firefox 作為密碼管理器在其他應用程式中填寫登入名稱和密碼（透過「設定」>「登入名稱和密碼」>「在其他應用程式中自動填入」啟用）。
  • 新增了「設定」>「登入名稱和密碼」>「已儲存的登入名稱」>「新增登入名稱」頁面，用於手動將憑證新增至密碼管理器。
  • 新增「設定」>「資料收集」>「研究與關閉」頁面，可拒絕參與測試實驗功能。

除了創新和錯誤修復之外，Firefox 93 還消除了 13 個漏洞，其中 10 個被標記為危險漏洞。 9 個漏洞（收集在 CVE-2021-38500、CVE-2021-38501 和 CVE-2021-38499 下）是由記憶體問題引起的，例如緩衝區溢位和存取已釋放的記憶體區域。這些問題可能會導致在開啟特殊設計的頁面時執行攻擊者的程式碼。

Firefox 94的測試版標誌著新服務頁面「about:unloads」的實現，使用者可以在該頁面上強制卸載某些選項卡而不關閉它們，以減少記憶體消耗（切換到選項卡時內容將重新載入） 。

來源： opennet.ru