Mozilla FireFox

Релиз Firefox 50

Доступен релиз web-браузера Firefox 50, а также мобильной версии Firefox 50 для платформы Android. В ближайшие часы ожидается обновление прошлой ветки с длительным сроком поддержки 45.5. Выпуск SeaMonkey в очередной раз пропущен. В скором времени на стадию бета-тестирования перейдёт ветка Firefox 51 и будет отделён Firefox Developer Edition 52. В соответствии с шестинедельным циклом разработки релиз Firefox 51 намечен на 24 января, а Firefox 52 на 7 марта.

Основные новшества:

  • В системе поиска на странице добавлен режим поиска с совпадением только слов целиком;
  • Добавлена настройка, позволяющая использовать клавиатурную комбинацию Ctrl+Tab для цикличного обхода вкладок в порядке обращения к ним;
  • В режим читателя (Reader Mode) добавлена возможность вывода на печать;
  • В браузер встроен набор пиктограмм Emoji, который не требует наличия в системе специальных шрифтов и может применяться в Linux;
  • Многопроцессный режим включен для систем с проверенными дополнениями, а позднее активирован для систем с любыми дополнениями;
  • В список доверительных корневых сертификатов добавлен сертификат контролируемого сообществом удостоверяющего центра Let’s Encrypt;
  • Добавлена защита от загрузки различных типов исполняемых файлов для Windows, macOS и Linux;
  • Увеличена производительность расширений SDK и расширений, использующих загрузчик модулей SDK;
  • В Windows и macOS добавлена возможность просмотра защищённого видео в формате WebM через CDM-модуль (Content Decryption Module) Widevine без необходимости установки дополнительных плагинов;
  • Расширен охват WebGL, который теперь доступен для 98% пользователей Windows 7 и более новых версий;
  • Заблокировано использование устаревших выпусков libavcodec (старее 54.35.1);
  • Продолжено усовершенствование API WebExtensions для разработки дополнений, совместимых с браузером Chrome. Из новых программных интерфейсов отмечается расширение API для работы с историей посещений, в webNavigation API добавлен фильтр событий, реализованы полноценные средства для отладки дополнений через интерфейс about:debugging;
  • Для обеспечения совместимости с завязанными на WebKit мобильными приложениями для тега input добавлена поддержка атрибута webkitdirectory и свойства HTMLInputElement.webkitDirectory, через которые можно установить флаг, разрешающий выбирать только директории;
  • Прекращена поддержка нестандартных псевдоклассов ":-moz-full-screen-ancestor" и CSS-свойства "box-sizing: padding-box". Снят префикс "-moz-" с псевдокласса ":any-link :any-link";
  • Реализовано JavaScript-свойство Symbol.hasInstance, определённое в спецификации ES2015;
  • Реализован JavaScript-метод Object.getOwnPropertyDescriptors(), определённый в спецификации ES2017;
  • Добавлено расширение WebGL EXT_shader_texture_lod;
  • По умолчанию отключена поддержка протокола SPDY, на смену которому пришёл HTTP/2.0;
  • Добавлена поддержка HTTP-заголовка "X-Content-Type-Options: nosniff", который выдаётся сервером для запрета сниффинга MIME-типов, заявленных в заголовке Content-Type;
  • В HTTP-заголовок [[https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-CookieSet-Cookie]] добавлена поддержка служебных префиксов "__Host-" и "__Secure-";
  • Добавлена поддержка HTTP-заголовка Referrer-Policy, через который можно определить какие данные, возвращать через заголовок Referrer;
  • В Content Security Policy (CSP) представлена директива sandbox, через которую можно включить такие ограничения, как запрет всплывающих окон, использования плагинов и запуска внешних или всех скриптов;
  • В консоли для web-разработчиков появилась поддержка формата Source Map, позволяющего сопоставить объединённый в один файл JavaScript-код c оригинальными файлами, из которых он был сформирован. Source Map в web-консоли пока отключен по умолчанию (включается через devtools.sourcemap.locations.enabled в about:config), но при включении каждое сообщение дополнительно снабжается ссылкой на файл-источник и строку кода;
  • В web-консоли включено отображение стека трассировки сетевых запросов;
  • Включён по умолчанию инструмент инспектирования потребления памяти, позволяющий создавать слепки распределения памяти в разные моменты работы web-приложения. Инструмент удобен для поиска и исправления утечек памяти;
  • В инструмент для мониторинга сетевой активности добавлен столбец "Cause", в котором приводится информация о том, как сетевой запрос был инициирован, его типе и трассировке стека предшествующих ему операций;
  • Обновлён интерфейс для просмотра данных в формате JSON (JSON Viewer). Пустые массивы теперь показываются как "[]" вместо "[0]" по аналогии с пустыми объектами ("{}"), для свойств объектов добавлено отображение разделителей столбцов;
  • В интерфейсе инспектирования хранилища (Storage Inspector) добавлена возможность удаления элементов indexedDB из контекстного меню;
  • На странице about:debugging#workers, предоставляющей средства управления зарегистрированными Service Workers, добавлено отображение подписок на push-уведомления и возможность отправки тестовых уведомлений;
  • Обновлены пиктограммы в средствах для разработчиков;
    Было:


    Стало:

  • При отладке кода WebAssembly появилась подсветка синтаксиса;
  • В состав финального релиза не вошли ранее представленные в тестовых выпусках Firefox 50 средства для показа всех совпадений в результате поиска и наработки инициативы по переносу из Tor Browser возможностей для усиления защиты персональной информации;
  • В выпуске для платформы Android выполнено перемещение недавно закрытых вкладок в панель работы с историей посещений и добавлена возможность отображения потокового видео в формате HLS (HTTP Live Streaming);
Кроме новшеств и исправления ошибок в Firefox 50 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.
Firefox — Notes (50.0)
OpenNews: Релиз Firefox 50
 
Последнее редактирование:

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Доступен Firefox Preview 4.0 для Android

10.03.20
Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее)

В выпуске Firefox Preview 4.0:
  • Добавлена начальная возможность подключения дополнений на базе API WebExtension. В меню появился пункт "Add-ons Manager", в котором показаны доступные для установки дополнения. В текущем виде в списке совместимых с Firefox Preview дополнений пока присутствует только uBlock Origin.
  • На стартовой странице обеспечен показ избранных сайтов (Top Sites), подборка которых формируется на основе истории посещений. По умолчанию после первого запуска предлагаются Pocket, Wikipedia и YouTube.
  • Добавлен интерфейс для управления учётными записями с поддержкой автозаполнения полей входа и синхронизации сохранённых паролей.
  • В настройки добавлена возможность выбора языка интерфейса.
  • При ошибке защищённого доступа предоставлена кнопка для открытия сайта несмотря на проблемы с сертификатом.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Релиз Firefox 74
11.03.20
Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-5-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборок для Linux в формате Flatpak.
Основные новшества:
  • В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.
  • Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
  • В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.
    Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.
  • В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
  • Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
  • Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
  • В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
  • Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.

  • В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
  • Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
  • Добавлено новое событие languagechange_even и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
  • Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy (CORP), позволяющего сайтам запретить вставку ресурсов (например, изображений и скриптов), загружаемых с других доменов (cross-origin и cross-site). Заголовок может принимать два значения: "same-origin" (разрешает только запросы ресурсов с той же схемой, именем хоста и номером порта) и "same-site" (разрешает только запросы с того же сайта).
    Cross-Origin-Resource-Policy: same-site

  • Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно отключить доступ к Geolocation API, камере, микрофону, переходу на полный экран, автовоспроизведению, encrypted-media, анимации, Payment API, синхронному режиму работы XMLHttpRequest и т.п.). Для блоков iframe отдельно предложен атрибут "allow", который может применяться в коде страницы для назначения прав для определённых блоков iframe.
    <iframe src="Example Domain" allow="fullscreen"></iframe>

    Feature-Policy: microphone 'none'; geolocation 'none'

    В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.
  • Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
  • В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
  • В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.
  • В интерфейсе для инспектирования web-страниц обеспечено отображение предупреждений для CSS-свойств, зависящих от позиционируемых элементов z-index, top, left, bottom и right.
  • Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.
Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
В Firefox появится режим работы только по HTTPS

23.03.20
В ночные сборки Firefox, на основе которых 5 мая будет сформирован релиз Firefox 76, добавлен опциональный режим работы "HTTPS Only", при включении которого все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Для включения режима в about:config добавлена настройка "dom.security.https_only_mode".

Замена будет производиться как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://".

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.

В Chrome также ведётся работа по блокировке незащищённой загрузки субресурсов. Например, в выпуске Chrome 81 ожидалась активация нового режима защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений (в Chrome 80 была добавлена замена для скриптов, iframe, звуковых и видео файлов). В будущих выпусках Chrome также намечен переход к блокировке загрузки файлов по HTTP.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Это только первые ласточки, все движения ведут к переводу всех сайтов на https, без учета необходимости и желаний пользователей.
Для тех кто понимает
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Доступен Firefox Preview 4.2 для Android

7.04.20
Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.2, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Следом уже вышло обновление 4.2.1 с устранением уязвимостей. Новый выпуск опубликован в каталоге Google Play (для работы необходим Android 5 или новее). На завтра запланирован релиз Firefox 75.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:
  • В адресной строке прекращён показ протокола (https://, http://) и поддомена "www.". Статус безопасного соединения отображается через пиктограмму. Для просмотра полного URL необходимо кликнуть на адресной строке и войти в режим редактирования URL.
  • Добавлена опция для разрешения автоматического воспроизведения звука или видео только при подсоединении к сети через Wi-Fi. Блокировку звука и видео теперь можно выбирать по-отдельности.
  • При просмотре истории и закладок реализована возможность использования функции отправки ссылки ("share") сразу для нескольких страниц.
  • Добавлена анимация перехода между разными страницами настроек.
  • Компоненты браузера обновлены до библиотеки Android Components 37.0.0 и движка GeckoView 75 (срез репозитория от 2020-03-22).

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Релиз Firefox 75

8.04.20
Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:
  • Для Linux началось формирование официальных сборок в формате Flatpak.
  • Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.
    Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому OpenNet без "www" - минималистский вариант портала по открытому ПО, Linux, BSD и Unix системам и Проект OpenNet - всё, что связано с открытым ПО, открытыми технологиями, Linux, BSD и Unix станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  • Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещения в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
  • Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
  • Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1617679
  • Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
    0_1586265469.png
  • https://blog.mozilla.org/security/2020/04/07/firefox-75-will-respect-nosniff-for-page-loads/
  • Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматического определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
  • Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
  • На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
  • Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
  • Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.


  • Атрибут "type" в элементе <style> теперь может принимать только значение "text/css".
  • В CSS реализованы функции min(), max() и clamp().
  • Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
  • В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.
    class ClassWithStaticField {
    static staticField = 'static field'
    }

  • Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
  • Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Событие submit теперь реализуется объектом с типов SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Напирмер, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
  • Реализована корректная передача события о клике при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
  • В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().


  • Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
  • В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).

  • В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
  • Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые маски).
  • В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket. Также добавлена поддержка анализа вызовов async/await.
  • Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).
Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Доступен Firefox Preview 5.0 для Android

2.05.20
Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:
  • Расширена поддержка дополнений. Помимо uBlock Origin в список совместимых с Firefox Preview дополнений добавлены Dark Reader, HTTPS Everywhere, NoScript, Privacy Badger и Search by Image. Доступные дополнения отображаются в меню "Add-ons Manager".
  • Внесены исправления, связанные с поддержкой устанавливаемых web-приложений, работающих в режиме Progressive Web Apps (PWA).
  • Добавлен режим "картинка в картинке", позволяющей воспроизводить видео в небольшом окошке во время просмотра другого контента или при работе в другом приложении
  • .
  • Возможность запуска web-приложений в полноэкранном режиме.
  • Улучшение поддержки просмотра видео на полном экране.
  • Устранены ошибки и проведена оптимизация производительности.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Релиз Firefox 76

6.05.20
Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.

Основные новшества:

  • Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.
    0_1588696932.png

    Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).
    0_1588696912.png

    Расширено число сайтов для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей <input type="password"> с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.

    В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.
  • Добавлен режим работы "HTTPS Only", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращение по https к введённому в адресной строке адресу завершиться таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
  • Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
  • Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
  • В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.


  • Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
  • В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
  • В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
  • Включена блокировка неизвестных протоколов в методах, подобных "location.href" или <meta http-equiv="refresh">.


  • При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптмизировать свои сайты для Firefox для Android без мобильного устройства.
  • В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
  • В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.
  • В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.
  • 0_1588704839.png

  • В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).
Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
В Firefox 78 появится менеджер процессов

11.05.20
В ночные сборки Firefox, на основе которых 30 июня будет сформирован выпуск Firefox 78, добавлена служебная страница "about:processes", на которой предложен менеджер процессов. Новая страница позволяет оценить какие процессы-обработчики запущены, какие внутренние потоки выполняются в каждом процессе и сколько каждый поток и процесс потребляет ресурсов CPU и памяти.

Разделяется потребление CPU кодом в пространстве пользователя и на уровне ядра (при выполнении системных вызовов). Отдельно выводятся данные о потреблении резидентной и виртуальной памяти, а также показывается динамика изменения потребления памяти. Отражаются сведения о процессах gpu (отрисовка), web, webisolated (отдельные вкладки), extension, privilegedabout, socket и browser (основной процесс).

Из ранее доступных служебных страниц диагностики можно отметить about:support, about:performance, about:memory, about:networking, about:cache, about:webrtc и about:telemetry.


OpenNet
 
Последнее редактирование модератором:

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
В Firefox 84 намечено удаление кода Adobe Flesh

Mozilla планирует удалить поддержку Adobe Flash в выпуске Firefox 84, который ожидается в декабре этого года. Дополнительно отмечается, что Flash также может быть отключен раньше для некоторых категорий пользователей, принимающих участие в тестовом включении режима строгой изоляции страниц Fission (модернизированная многопроцессная архитектура, подразумевающая разнесение по изолированным процессам не на основе вкладок, а с разделением по доменам, что позволит отдельно изолировать iframe-блоки).

Напомним, что компания Adobe намерена прекратить сопровождение технологии Flash в конце 2020 года. Возможность запуска плагина Adobe Flash пока сохраняется в Firefox, но начиная с выпуска Firеfox 69 отключена по умолчанию (оставлена опция для индивидуального включения Flash для конкретных сайтов). Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration и NPAPI-плагинов с поддержкой мультимедийных кодеков была прекращена ещё в Firefox 52, выпущенном в 2016 году.

ОpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Релиз Firefox 77

3.06.20
Состоялся релиз web-браузера Firefox 77, а также мобильной версии Firefox 68.9 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.9.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 78, релиз которой намечен на 30 июня.

Основные новшества:

  • Добавлена новая служебная страница "about:certificate" для доступа ко встроенному интерфейсу просмотра сертификатов. В интерфейсе можно вывести список корневых и сохранённых сертификатов, посмотреть детали по каждому сертификату и выполнить экспорт сертификатов (поддержка импорта пока отсутствует)
  • .

  • Добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • Расширено число систем для которых включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. WebRender теперь включён на оборудовании с Intel Skylake GT1, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA, работающих под управлением Windows 10. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  • В адресной строке улучшен разбор поисковых фраз. Слова с точкой теперь оцениваются на связь с актуальными доменами (например, раньше ввод ключей вида "test.log" приводил не к поиску, а к попытке открытия сайта, а ввод "data:url" с пробелами и символом вопроса - к поиску, а не загрузке).
  • Добавлена поддержка необязательных полномочий, запрос которых в дополнениях не приводит к выводу уведомления о подтверждении новых полномочий при установке или обновлении дополнения, а выводится при непосредственном обращении дополнения к операции, требующей повышенных прав. В число полномочий, которые можно заявить как необязательные, включены management, devtools, browsingData, pkcs11 proxy и session. В качестве мотива добавления необязательных полномочий упоминается желание снизить нагрузку на пользователей при обновлении дополнений и предоставить возможность обновления дополнения без обязательного подтверждения полномочий (ранее, если пользователь не согласен с полномочиями, дополнение не обновлялось).
  • Для пользователей из Великобритании на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Следует отметить, что оплаченные спонсорами блоки показывается только в США и явно помечены как реклама, в остальных странах рекламные статьи пока не используются. Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config
  • .
  • В конфигураторе в выпадающий блок методов блокировки Cookie в секции настройки блокировки отслеживания перемещений добавлен новый пункт для динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). В about:config интерфейс включается через настройку "browser.contentblocking.reject-and-isolate-cookies.preferences.ui.enabled" или напрямую "network.cookie.cookieBehavior = 5".
  • Для упрощения навигации на устройствах с сенсорными экранами увеличены отступы на панели закладок (при открытии новой вкладки новая адресная строка Megabar частично перекрывает панель с закладками и оставляет мало места для нажатия).
  • Реализованы новые модальные диалоги, привязанные к отдельным вкладкам и не блокирующие весь интерфейс. Для управления включением привязки диалогов в about:config добавлены опции "prompts.defaultModalType", "prompts.modalType.confirmAuth" и "prompts.modalType.insecureFormSubmit" (1 - привязка к контенту, 2 - привязка к вкладке, 3 - привязка к окну).
  • В about:config добавлена новая настройка middlemouse.openNewWindow, при помощи которой можно отключить использование средней кнопки мыши для открытия ссылки в новой вкладке.
  • Удалены настройки browser.urlbar.update1, позволяющая вернуть старую реализацию адресной строки, и browser.urlbar.update1.view.stripHttps (поддержка настройки browser.urlbar.trimURLs сохранена).
  • Из движка Gecko полностью удалена поддержка XUL Grids.
  • По умолчанию включён автоматический поворот JPEG-изображений на основе данных из Exif.
  • Удалена настройка "browser.urlbar.oneOffSearches". Для скрытия кнопок альтернативных поисковых систем, появляющихся при начале набора в адресной или поисковой строке, можно выбрать необходимые поисковые системы на странице about:preferences#search.
  • Текст, не вмещающийся в ограничение "maxlength", больше не обрезается при вставки в поля <input> и <textarea>.
  • Добавлен метод String.prototype.replaceAll() (String#replaceAll), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  • Обеспечено отображения значения метки, заданной при помощи атрибута "label" в элементе <option>, если содержимое элемента не заполнено.
  • В IndexedDB реализовано свойство IDBCursor.request.
  • Добавлена экспериментальная поддержка раскладки Masonry в grid-контейнерах.
  • В средства для разработчиков добавлена панель для оценки потенциальных проблем с совместимостью с разными браузерами (показывается в каких браузерах поддерживается то или иное свойство CSS, привязанное к выбранному элементу). Включается через настройку devtools.inspector.compatibility.enabled в about:config
  • .
  • Внесена большая порция улучшений в отладчик JavaScript. Ускорена загрузка и пошаговая отладка, сокращено потребление памяти. Улучшено сопоставление разных представлений кода (source map), позволяющее просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей. При изменении выделенной строки через клик в окне Call Stack и запуска пошагового выполнения (Step over, F10), отладчик будет выполнять код до тех пор, пока не достигнет строки, идущей следом за выделенной. В панель добавлено меню (значок шестерёнки), в котором пока только один пункт для отключения JavaScript. Добавлена возможность установки условных точек останова (watchpoint), приостанавливающих выполнение при изменении или чтении определённых значений (ранее можно было приостановить выполнение при чтении и изменении по отдельности).
  • В панель интерфейса для инспектирования сетевой активности добавлено меню, в котором собраны функции управления ведением логов (сохранение лога между загрузками сайта, импорт HAR-файла, запись HAR-файла). В панель блокировки запросов ("Request Blocking") добавлено контекстное меню для включения, отключения и удаления блокируемых элементов.
  • Отключение поддержки FTP отложено до выпуска Firefox 79, но уже добавлена опция для управления активностью FTP (network.ftp.enabled в about:config).


Кроме новшеств и исправления ошибок в Firefox 77 устранено 9 уязвимостей, из которых 7 помечены как опасные:

  • Четыре уязвимости (собраны под CVE-2020-12411 и CVE-2020-12409) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
  • Уязвимость CVE-2020-12406 вызвана отсутствием проверки типов при удалении объектов NativeTypes и потенциально может использоваться для организации выполнения кода атакующего.
  • Уязвимость CVE-2020-12405 вызвана обращением к освобождённому блоку памяти (Use-after-free) в SharedWorkerService и скорее всего ограничивается вызовом краха.
  • Уязвимость CVE-2020-12399 связана с подверженностью библиотеки NSS атаке по сторонним каналам, позволяющей на основе анализа различий во времени вычислений восстановить закрытый ключ для цифровой подписи DSA.

OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Mozilla начала бета-тестирование собственного VPN-сервиса

19.06.2020
Компания Mozilla объявила о начале бета-тестирования собственного VPN-сервиса Firefox Private Network. На данный момент присоединиться к тестированию могут пользователи из США, но разработчики рассчитывают сделать сервис доступным ещё в нескольких регионах мира до конца этого года.

357.jpg

Пользователи сервиса могут подключать по VPN до пяти устройств, работающих под управлением Windows, Android или iOS. На данный момент macOS и Linux не поддерживаются, но в будущем разработчики планируют исправить это. Взаимодействие с сервисом осуществляется на платной основе, стоимость подписки составляет $5 в месяц, что является стандартной ценой за возможность использовать платный VPN-сервис.

Также было объявлено, что после выхода из бета-тестирования Firefox Private Network станет полностью автономным продуктом и будет предлагаться пользователям под названием Mozilla VPN. Работа над сервисом велась совместно со шведским разработчиком виртуальной частной сети Mullvad VPN, для подключения к которой используется протокол WireGuard. Пользователям будет предоставляться возможность работы через серверы, расположенные в 30 странах.
«
Мы хотели бы поблагодарить наших бета-тестеров за сотрудничество с нами. Ваши отзывы и поддержка позволили нам запустить

Mozilla VPN. Мы прилагаем все усилия, чтобы официальный продукт Mozilla VPN был доступен в некоторых регионах мира в этом году. Мы будем продолжать предлагать Mozilla VPN по текущей модели ценообразования в течение ограниченного времени, что позволяет защищать до пяти устройств на Windows, Android и iOS по цене $5 в месяц
», — говорится в сообщении, опубликованном в блоге разработчиков.



Источник:
 
Последнее редактирование:

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Компания Mozilla представила третьего провайдера DNS-over-HTTPS для Firefox

27/06/20
Компания Mozilla заключила соглашение с третьим провайдером DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Помимо ранее предлагавшихся DNS-серверов CloudFlare ("https://1.1.1.1/dns-query") и NextDNS (https://dns.nextdns.io/id), в настройки также будет включён сервис Comcast (https://doh.xfinity.com/dns-query). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

Напомним, что в Firefox 77 была включена тестовая проверка DNS over HTTPS с отправкой 10 пробных запросов каждым клиентом и автоматическим выбором провайдера DoH. Данную проверку пришлось отключить в выпуске 77.0.1, так как она превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.

Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Из связанных с DNS-over-HTTPS событий также можно отметить решение компании Apple реализовать поддержку DNS-over-HTTPS и DNS-over-TLS в будущих выпусках iOS 14 и macOS 11, а также добавить поддержку дополнений в формате WebExtension в Safari.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.

Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.


OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
Релиз Firefox 78

1.07.20
Состоялся релиз web-браузера Firefox 78, а также мобильной версии Firefox 68.10 для платформы Android. Выпуск Firefox 78 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 68.10.0 (в дальнейшем ожидается ещё два обновления 68.11 и 68.12). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 79, релиз которой намечен на 28 июля.

Основные новшества:
  • Расширена сводная страница (Protections Dashboard) с отчётами об эффективности работы механизмов защиты от отслеживания перемещений, проверки компрометации учётных данных и управления паролями. В новом выпуске появилась возможность просмотреть статистику использованию скомпрометированных учётных данных, а также отследить возможные пересечения сохранённых паролей с известными утечками пользовательских баз. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.7 миллиардах учётных записей, похищенных в результате взломов 456 сайтов. Сводка предоставляется на странице "about:protections" или через меню, вызываемое через клик на значок щита в адресной строке (вместо Show Report теперь показывается Protections Dashboard).
  • 0_1593530874.png
  • В Uninstaller добавлена кнопка "Refresh Firefox", позволяющая сбросить в исходное состояние настройки и удалить все дополнения без потери накопившихся данных. В случае проблем пользователи часто пытаются решить их переустановкой браузера. Кнопка Refresh позволит добиться подобного эффекта не потеряв закладки, историю посещений, сохранённые пароли, Cookie, подключённые словари и данные для автозаполнения форм (при нажатии кнопки создаётся новый профиль и в него переносятся указанные БД). После нажатия Refresh будут потеряны дополнения, темы оформления, сведения о правах доступа, подключённые поисковые движки, локальные DOM-хранилища, сертификаты, изменённые настройки, пользовательские стили (userChrome, userContent).
    0_1593531063.png
  • В показываемое для вкладок контекстное меню добавлены элементы для отмены закрытия нескольких вкладок, а также для закрытия вкладок справа от текущей и закрытия всех вкладок, кроме текущей.
    0_1593531225.png
  • Обеспечено отключение срабатывания хранителя экрана во время осуществления видеозвонков и конференций на базе WebRTC.
  • На платформе Windows для GPU Intel при любых разрешения экрана включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel при использовании небольших экранных разрешений, а также на системах с APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  • До 100% доведена доля пользователей из Великобритании, для которых на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Оплаченные спонсорами блоки показывается только в США и явно помечены как реклама. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  • Включены патчи, влияющие на производительность и стабильность аппаратного ускорения декодирования видео при помощи VA-API (поддерживается только в окружениях на базе Wayland).
  • Повышены требования к системным компонентам Linux. Для запуска Firefox в Linux теперь требуется как минимум Glibc 2.17, libstdc++ 4.8.1 и GTK+ 3.14.
  • Следуя плану по прекращению поддержки устаревших криптоалгоритмов по умолчанию отключены все наборы шифров TLS на базе DHE (TLS_DHE_*, протокол обмена ключей Диффи — Хеллмана). Для снижения возможного негативного влияния от отключения DHE добавлено два новых набора шифров AES-GCM на базе SHA2.
  • Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
  • Существенно улучшено качество работы с экранными ридерами для людей с нарушением зрения (решились проблемы с позиционированием курсора, устранены подвисания, ускорена обработка очень больших таблиц и т.п.). Для пользователей с мигренью и эпилепсией сокращены анимационные эффекты, такие как подсвечивание вкладок и расширение поисковой панели.
  • Для предприятий в групповые политики добавлены новые правила для настройки внешних приложений-обработчиков, отключения режима картинка-в-картинке, обязательности задания мастер-пароля.
  • В JavaScript-движке SpiderMonkey обновленаподсистема обработки регулярных выражений, которая синхронизирована с реализацией из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Изменение позволило реализовать поддержку следующих возможностей, связанных с регулярными выражениями:
    • Именованные группы позволяют связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?<year>\d{4})-(?<month>\d{2})-(?<day>\d{2})/" и получить доступ к году не через result[1], а через result.groups.year).
    • Экранирование классов Unicode-символов добавляет конструкции \p{…} и \P{…}, например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.
    • Флаг dotAll приводит к срабатыванию маски "." в том числе для символов перевода строки.
    • Режим Lookbehind позволяет определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара).
  • Реализованы псевдоклассы CSS :is() и :where() для привязки CSS-правил к набору селекторов. Например, вместо
    header p:hover, main p:hover, footer p:hover {...}

    можно указать
    :is(header, main, footer) p:hover {...}

  • Включены псевдоклассы CSS :read-only и :read-write для привязки к элементам форм (input или textarea), которые запрещено или разрешено редактировать.
  • Добавлена поддержка метода Intl.ListFormat() для создания локализованных списков (например, замены "or" на "или", "and" на "и").
    const lf = new Intl.ListFormat('en');
    lf.format(['Frank', 'Christine', 'Flora']);
    // → 'Frank, Christine, and Flora'
    // при локали "ru" будет 'Frank, Christine и Flora'

  • В метод Intl.NumberFormat добавлена поддержка форматирования единиц измерения, валют, научных и компактных обозначений (например, "Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}");
  • Добавлен метод ParentNode.replaceChildren(), позволяющий заменить или очистить существующий дочерний узел.
  • В ESR-ветке включена поддержка Service worker и Push API (в прошлом ESR-выпуске они были отключены).
  • В WebAssembly добавлена поддержка импорта и экспорта 64-разрядных целых параметров функции, используя JavaScript-тип BigInt. Для WebAssembly также реализовано расширение Multi-value, позволяющее функции возвращать более одного значения.
  • В консоли для web-разработчиков обеспечено детализированное журналирование ошибок, связанных с Promise, включая сведения об именах, стеках и свойствах, что существенно упрощает разбор ошибок при использовании таких фреймворков, как Angular.
  • В инструментах для web-разработчиков значительно повышена производительность навигации по DOM при инспектировании сайтов, на которых используется очень много CSS-свойств.
  • В отладчике JavaScript реализована возможность раскрытия сокращённых имён переменных на основе source-map при использовании точек журналирования (Log points), позволяющих в момент срабатывания метки сбрасывать в web-консоль информацию о номере строки в коде и значениях переменных.
  • В интерфейсе инспектирования сети добавлены сведения о дополнениях, механизмах защиты от отслеживания и CORS-ограничениях (Cross-Origin Resource Sharing), ставших причиной блокировки запроса.
Кроме новшеств и исправления ошибок в Firefox 78 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.


OpenNet
 

Candellmans

Команда форума
Сообщения
7,051
Реакции
9,464
B Firefox реализована настройка для перенаправления с HTTP на HTTPS

11.07.20
Разработчики Firefox продолжили развитие режима "HTTPS Only", при включении которого все выполняемые без шифрования обращения автоматически перенаправляются на защищённые варианты страниц ("http://" заменяется на "https://"). В ночные сборки, на основе которых 25 августа будет сформирован выпуск Firefox 80, в интерфейс для настройки параметров браузера (about:preferences) в секцию "Конфиденциальность и безопасность" добавлен блок для управление включением работы только через HTTPS. Предусмотрена возможность включения данного режима для всех окон или только для окон, открываемых в режиме приватного просмотра. По умолчанию режим перенаправления на HTTPS находится в отключённом состоянии.


Напомним, что новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://". Помимо замены при вводе в адресной строке, переключение на HTTPS также производится на уровне загружаемых на страницах субресурсов.

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю показывается страница с ошибкой, на которой присутствует кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои игнорируются, но в web-консоль выводятся предупреждения, которые можно посмотреть через инструменты для web-разработчика.


OpenNet
 
Сверху Снизу