Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.7.0. Основные изменения в новой версии:

• Изменено: На панель вложений окна «Создание сообщения» больше не переводится фокус при прикреплении файлов с помощью сочетания горячих клавиш.
  
• Исправлено: Уязвимости в системе безопасности.
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

После десяти месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 8.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.

Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новом выпуске:

• Проведена реорганизация панели и упрощён доступ к индикатору уровня защиты, который вынесен из меню Torbutton на основную панель. Кнопка Torbutton перенесена в правую часть панели. По умолчанию с панели убраны индикаторы дополнений HTTPS Everywhere и NoScript (можно вернуть в интерфейсе настройки панели).

  Индикатор HTTPS Everywhere убран так как он не несёт полезной информации и перенаправление на HTTPS всегда применяется по умолчанию. Индикатор NoScript убран так как браузером предоставляется переключение между базовыми уровнями зашиты, а кнопка NoScript часто вводит в заблуждение предупреждениями, возникающими из-за принятых в Tor Browser настроек. Кнопка NoScript также предоставляет доступ к обширным настройкам, без детального понимания которых изменение параметров может привести к проблемам с приватностью и несоответствию установленного в Tor Browser уровня безопасности. Контроль блокировки JavaScript для конкретных сайтов может быть произведён через секцию дополнительных полномочий в контекстном меню адресной строки (кнопка "i");

  
• Откорректирован стиль и обеспечена совместимость Tor Browser c новым оформлением Firefox, подготовленным в рамках проекта "Photon". Изменено и унифицировано для всех платформ оформление стартовой страницы "about:tor";
• Представлены новые логотипы Tor Browser.
• Обновлены версии компонентов браузера: Firefox 60.7.0esr, Torbutton 2.1.8, HTTPS Everywhere 2019.5.6.1, te OpenSSL 1.0.2r, Tor Launcher 0.2.18.3;
• Сборки сформированы с флагом "MOZILLA_OFFICIAL", применяемом для официальных сборок Mozilla.
• Подготовлен первый стабильный выпуск мобильной редакции Tor Browser для платформы Android, который построен на кодовой базе Firefox 60.7.0 для Android и допускает работу только через сеть Tor, блокируя любые попытки установки прямого сетевого соединения. В состав включены дополнения HTTPS Everywhere и Tor Button. По функциональности редакция для Android пока отстаёт от настольной версии, но обеспечивает практически тот же уровень защиты и конфиденциальности.

  Мобильная версия размещена в Google Play, но также доступна в форме APK-пакета с сайта проекта. В ближайшее время ожидается публикация в каталоге F-droid. Поддерживается работа на устройствах с Android 4.1 или более новая версией платформы. Разработчики Tor отмечают, что не намерены создавать версию Tor Browser для iOS из-за введённых компанией Apple ограничений и рекомендуют уже доступный для iOS браузер Onion Browser, развиваемый проектом Guardian.

  

Ключевые отличия Tor Browser для Android от Firefox для Android:

• Блокирование кода для отслеживания перемещений. Каждый сайт изолируется от перекрёстных запросов, а все Cookie автоматически удаляются после завершения сеанса;
• Защита от вмешательства в трафик и наблюдения за активностью пользователя. Всё взаимодействие с внешним миром происходит только через сеть Tor и в случае перехвата трафика между пользователем и провайдером атакующий может увидеть только то, что пользователь использует Tor, но не может определить какие сайты открывает пользователь. Защита от вмешательства особенно актуальна в условиях, когда некоторые операторы мобильной связи не считают зазорным вклиниваться в незашифрованный пользовательский HTTP-трафик и подставлять свои виджеты (Билайн) или рекламные баннеры (Теле2 и Мегафон);
• Защита от определения специфичных для конкретного посетителя особенностей и от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Все пользователи Tor Browser со стороны выглядят одинаково и неотличимы между собой при использовании расширенных методов косвенной идентификации. Например, кроме сохранения идентификатора через Cookie и API локального хранения данных для идентификации могут учитываться специфичные для пользователя список установленных дополнений, часовой пояс, список поддерживаемых MIME-типов, параметры экрана, список доступных шрифтов, артефакты при отрисовке с использованием canvas и WebGL, параметры в заголовках HTTP/2 и HTTPS, манера работы с клавиатурой и мышью;
• Применение многоуровневого шифрования. Помимо защиты HTTPS трафик пользователя при прохождении через Tor дополнительно шифруется как минимум три раза (применяется многослойная схема шифрования, при которой пакеты обёртываются в серию слоёв с применением шифрования по открытым ключам, при которых каждый узел Tor на своём этапе обработки раскрывает очередной слой и знает лишь следующий этап передачи, а лишь последний узел может определить адрес назначения);
• Возможность доступа к блокируемым провайдером ресурсам или централизованно цензурируемым сайтам. По статистике проекта Роскомсвобода 97% блокируемых ныне в РФ сайтов заблокировано неправомерно (находятся в одних подсетях с заблокированными ресурсами). Например, до сих пор остаются заблокированными 358 тысяч IP-адресов Digital Ocean, 25 тысяч адресов Amazon WS и 59 тысяч адресов CloudFlare. Под неправомерную блокировку в том числе подпадают многие открытые проекты, включая bugs.php.net, bugs.python.org, 7-zip.org, powerdns.com и midori-browser.org.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50719

Форум: Новости
Автор: banbot

Представлен релиз web-браузера Firefox 67, а также мобильной версии Firefox 67 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 68, релиз которой намечен на 9 июля.
Основные новшества:

• Реализована возможность автоматической выгрузки вкладок для высвобождения ресурсов. Функция активируется при нехватке памяти (менее 400 Мб свободной памяти) и в первую очередь вытесняет давно не используемые вкладки. При этом вкладки не исчезают, а переводятся в состояние готовности к загрузке (режим ожидания), аналогичное тому, что наблюдается после восстановления сеанса. Для управления работой режима в about:config добавлена опция "browser.tabs.unloadOnLowMemory";
  
• Ускорена загрузка страниц при наличии работ, интенсивно нагружающих процессор. Оптимизация реализована через снижение приоритета обработчиков событий таймеров setTimeout во время загрузки страницы (по аналогии с фоновыми вкладками уменьшен предоставляемый бюджет времени, который расходуется на выполнение обработчика событий таймера). Ограничение фоновых обработчиков позволяет выделить больше ресурсов основным обработчикам, влияющим на начальную отрисовку страницы. Например, основные скрипты Instagram, Amazon и Google благодаря добавленной оптимизации запускаются на 40-80% быстрее;
  
• На поздние стадии загрузки вынесены некоторые второстепенные обработчики. Например, сканирование альтернативных CSS-стилей теперь выполняется не во время, а после загрузки страницы. Загрузка модуля автодополнения ввода отложена до готовности форм ввода;
  
• Изменён подход к отрисовке во время загрузки страницы - вывод теперь начинается на более раннем этапе загрузки, но операции отрисовки вызываются реже;
  
• Инициализации некоторых подсистем браузера и связанных с изменением оформления дополнений отложена до окончания основной загрузки, что позволило сократить время между запуском браузера и его готовности к показу страниц;
  
• Реализована возможность блокирования JavaScript-вставок, осуществляющих майнинг криптовалют или отслеживающих пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Блокировка осуществляется по дополнительным категориям (fingerprinting и cryptomining) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. По умолчанию новые режимы блокировки отключены, а для их активации в связанные с конфиденциальностью настройки добавлены новые опции "Cryptominers" и "fingerprinters". Проследить за срабатыванием блокировщика можно через контекстное меню сайта, отображаемое при клике на пиктограмму с изображением щита в адресной строке;
  
  
  
  
  
  
  
  
  
  
• В основное меню и диалог с рекомендациями заполнения форм входа добавлена возможность быстрого перехода к сохранённым для сайта паролям;
  
  
  
  
  
  
  
  
  
  
• В состав включена система композитинга Servo WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU.
  
  По умолчанию WebRender пока активирован примерно для 4% пользователей Windows 10, у которых используются видеокарты NVIDIA. Включение для остальных пользователей будет зависеть от результатов тестирования. Если всё пройдёт гладко до 27 мая охват тестирования будет расширен до 25%, 30 мая до 50%, а в течение первой недели июня до 100%. Проверить активацию WebRender можно на странице about:support. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустив Firefox с выставленной переменной окружения MOZ_WEBRENDER=1. В Linux поддержка WebRender более-менее стабилизирована для видеокарт Intel c драйверами Mesa 18.2+;
  
  
• Переработан механизм работы с профилями: если раньше при установке нескольких разных экземпляров Firefox по умолчанию использовался один общий профиль с настройкам, дополнениями и информационными базами (закладки, история, сохранённые пароли, cookie и т.д.), то теперь для каждого параллельно установленного экземпляра будет создаваться собственный отдельный профиль. Например, при одновременной установке ESR, бета, ночных сборок, редакции Developer Edition и обычного выпуска Firefox, для них будут созданы раздельные профили.
  
  Основной причиной перехода к раздельным профилям являются возможные проблемы в случае использования профиля нового выпуска в более старой версии Firefox, а также при одновременном доступе к БД профиля из параллельно запущенных разных экземпляров Firefox, что потенциально может привести к повреждению данных. Для выбора существующего профиля как и раньше можно использовать интерфейс "firefox -ProfileManager". После завершения установки Firefox при обнаружении уже имеющегося в системе профиля выводится специальное предупреждение с предложением синхронизировать настройки через учётную запись в облачном сервисе Mozilla Sync.
  
  
• В основной состав включено системное дополнение Monitor, эксперименты по активации которого для ограниченного числа пользователей проводились начиная с Firefox 62, но финальная активация для всех пользователей произведена только сейчас. Дополнение Firefox Monitor обеспечивает вывод предупреждения в случае компрометации учётной записи (проверка по email) или попытке входа на ранее взломанный сайт. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 7.8 миллиардах учётных записей, похищенных в результате взломов 364 сайтов. Предупреждение выводится только для сайтов, информация о взломах которых добавлена в базу haveibeenpwned.com в течение последних 12 месяцев. В случае если с момента появления данных о взломе не прошло 2 месяца будет показано повторное предупреждение.
  
  
  
  
  
  
• Расширено число вызовов API, которые доступны только при открытии страницы в защищённом контексте (Secure Context), т.е. при открытии по HTTPS, через localhost или из локального файла. В Firefox 67 для страниц, открытых вне защищённого контекста, запрещён вывод системных уведомлений через API Notifications, показываемых вне окна браузера;
  
• Расширены возможности приватного режима просмотра. Добавлена возможность сохранять пароли в формах на сайтах, открываемых в приватном режиме. Реализованы средства управления активацией дополнений в приватном режиме - в менеджере дополнений пользователь теперь может определить какие дополнения включать в приватном режиме, а какие использовать только в основном сеансе. Для новых дополнений по умолчанию запрещается активация в приватном режиме (для включения требуется изменение настроек);
  
  
  
  
  
  
• Реализация поддержки видеокодека AV1 переведена на использование библиотеки dav1d, развиваемой сообществами VideoLAN и FFmpeg и ориентированной на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме. Отмечается, что формат AV1 начинает набирать популярность, если в феврале доля просматриваемых в бета-выпусках Firefox роликов AV1 составляя 0.85%, а в марте - 3%, то теперь этот показатель составляет 11.8%;
  
• Расширены возможности по управлению браузером при помощи клавиатуры - панелью и выпадающим меню теперь можно управлять только с клавиатуры, включая доступ к размещённым на панели кнопкам дополнений, не влезающим на экран элементам, индикатору загрузки, действиям со страницей и т.п. Навигация по элементам панели осуществляется при помощи клавиши Tab и стрелок на клавиатуре;
  
• На панель добавлен индикатор для оценки статуса синхронизации, подключения к учётной записи и совместного доступа к данным с нескольких устройств, а так же для быстрого доступа к операциям, использующим учётную запись в Firefox Account. Имеется возможность отображения вместо типовой пиктограммы своего аватара;
  
  
  
  
  
  
  
  
  
  
• Добавлена возможность закрепления вкладок (Pin Tabs) через меню в адресной строке. Закреплённые вкладки остаются всегда активны, запускаются автоматически и позволяют упростить доступ к постоянно используемым сайтам;
  
  
  
  
  
  
• Реализована система контекстных подсказок, рекомендующая пользователю те или иные возможности, учитывая контекст;
  
• В меню "File" добавлена новая кнопка для импорта настроек и данных из других браузеров (поддерживается импорт из Chrome и Chromium);
  
  
  
  
  
  
• Прекращена поддержка использования в URL протокола "webcal:", связанного с сервисом 30boxes.com;
  
• Убрана возможность загрузки скриншотов на сервер Firefox Screenshots и организация совместного доступа к скриншотам. В ближайшие месяцы сервер со скриншотами будет отключен и пользователям рекомендуется экспортировать с него имеющиеся данные;
  
• Обновлён включённый в поставку шрифт Twemoji. В новой версии добавлена поддержка спецификации Emoji 11.0;
  
• Дополнительным категориям пользователей предложено принять участие в экспериментах c выводом дополнительного информационного контента, рекомендованного сервисом Pocket, а также с изменением раскладки размещения информации на стартовой странице. Например, у некоторых пользователей будет изменён размер блоков и число рекомендаций, предложены новые тематические секции (Здоровье, Наука, Технологии и Развлечения). Для отказа от участия в эксперименте следует в верхнем правом углу страницы новой вкладки отключить опцию "Content Discovery";
  
• Запрещено использование дополнительных протоколов в URL, используемых в качестве источника для загрузки iframe. Речь ведётся о внешних протоколах, не возвращающих какие-либо данные, таких как "mailto:", "ircs://" и "itms://". Блокировка  предпринята для защиты от возможных DoS-атак, направленных на исчерпание имеющихся ресурсов при открытии страниц, содержащих большое число iframe-блоков, ссылающихся на внешние обработчики. Например, при указании конструкций вида ‹iframe src="mailto:support@example.com"› можно инициировать запуск большого числа экземпляров почтового клиента;
  
• В оптимизирующем компиляторе JavaScript добавлена поддержка устройств на базе архитектуры ARM64, работающих под управлением Windows;
  
• Включен по умолчанию API FIDO U2F, предназначенный для организации работы двухфакторной аутентификации в различных web-сервисах. Разрешено применение U2F для учётных записей Google;
  
• Добавлена поддержка динамического импорта модулей JavaScript при помощи выражения import;
  
• Реализован и включен по умолчанию метод String.prototype.matchAll() для сопоставления с использованием регулярных выражений. При использовании метода match с флагом "/g" возвращается простой массив строк, но при единичном сопоставлении (без флага "/g") выводится объект с расширенными свойствами. Метод matchAll отличается от выполнения метода match с флагом "/g" тем, что он возвращает массив объектов со свойствами всех совпадений, а не массив строк;
  
• В JavaScript-файлах реализована возможность использования комментария "#!" (hashbang), задаваемого в первой строке и определяющего интерпретатор для запуска. Например, по аналогии с другими скриптовыми языками файл JavaScript может начинаться со строки "#!/usr/bin/env node";
  
• Добавлены свойства InputEvent.data (строка  DOMString с введёнными символами) и InputEvent.dataTransfe (объект DataTransfer с информацией о текстовых данных, добавленных или удалённых из формы редактирования);
  
• Реализована поддержка HTTP-заголовка Cross-Origin-Opener-Policy;
  
• В HTML-теги input добавлено свойство "autocomplete=new-password",  позволяющее запретить использование ранее сохранённых паролей для автозаполнения поля;
  
• В CSS реализовано ключевое слово "revert", которое сбрасывает значение свойства к унаследованному значению или к значению, устанавливаемому браузером по умолчанию;
  
• В CSS-свойстве "word-break" добавлена поддержка значения "break-word" ("word-break: break-word"), разрешающего разрывать  слова в произвольной позиции, если они не вмещаются в ширину блока и отсутствует возможность корректного разрыва содержимого строки (например, когда встречается очень длинное слово, занимающее всю строку);
  
• Добавлено media-свойство prefers-color-scheme, позвляющее через CSS определить использование тёмной или светлой темы оформления;
  
• В CSS запрещено использование пользовательских курсоров, размером больше 32 пикселей;
  
• В средствах для web-разработчиков обеспечена поддержка копирования изменённого CSS из панели "Changes", на которой отражается история всех изменений CSS, произведённых через панель Rules в рамках текущего сеанса работы в инструментах для разработчиков;
  
  
  
  
  
  
• Заметно расширены возможности встроенного отладчика JavaScript.  Добавлена возможность сопоставления разных представлений кода (source map), позволяющая просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей (например, можно в процессе отладки сгенерированного JavaScript работать с изначальным кодом на Babel, Webpack, TypeScript, vue.js). Примерно на 30% увеличена производительность и скорость запуска отладчика, значительно снижены накладные расходы при работе отладчика. Добавлена панель Threads с инструментами для отладки Web Worker-ов.
  
  
  
  
  
  Улучшено качество обработки выставляемых в коде (inline) точек останова - добавлена возможность установки точек останова в привязке к отдельным частям сложных выражений в строке (column breakpoint), например, в цепочке вызовов функций;
  
  
  
  
  
  Добавлена поддержка точек журналирования (Log points), позволяющих сбрасывать информацию о номере строки в коде и значениях выбранных переменных в web-консоль в момент срабатывания метки, но в отличие от точек останова без приостановки выполнения скрипта;
  
  
  
  
  
  
• В режиме инспектирования сети (Network monitor) обеспечена пометка ресурсов, связанных с известными сервисами отслеживания перемещений. В списке сетевых запросов добавлена поддержка сортировки по заданным столбцам и управления отображением столбцов. В контекстное меню добавлен элемент для сброса параметров сортировки в значение по умолчанию;
  
• Удалены отладчик Canvas, редактор шейдеров и редактор WebAudio, которые ранее были объявлены устаревшими. В разряд устаревших переведены WebIDE и страница "Connect";
  
• В версии для платформы Android поведение, связанное с обработкой параметров видимой области (Viewport), приведено в соответствие с другими браузерами. Добавлена возможность добавления на домашний экран поискового виджета Firefox с функциями голосового ввода. Прекращена поддержка гостевого сеанса (Guest Session), вместо которого рекомендуется использовать режим приватного просмотра.
  

Кроме новшеств и исправления ошибок в Firefox 67 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов. Дополнение: устранено 25 критических уязвимостей  (8 под CVE-2019-9814 и 17 под CVE-2019-9800).

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Windows (ARM 64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Windows (ARM 64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 67 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Представлен релиз web-браузера Firefox 67, а также мобильной версии Firefox 67 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 68, релиз которой намечен на 9 июля.

Основные новшества:

• Реализована возможность автоматической выгрузки вкладок для высвобождения ресурсов. Функция активируется при нехватке памяти (менее 400 Мб свободной памяти) и в первую очередь вытесняет давно неиспользуемые вкладки. При этом вкладки не исчезают, а переводятся в состояние готовности к загрузке (режим ожидания), аналогичное тому, что наблюдается после восстановления сеанса. Для управления работой режима в about:config добавлена опция "browser.tabs.unloadOnLowMemory";
• Ускорена загрузка страниц при наличии работ, интенсивно нагружающих процессор. Оптимизация реализована через снижение приоритета обработчиков событий таймеров setTimeout во время загрузки страницы (по аналогии с фоновыми вкладками уменьшен предоставляемый бюджет времени, который расходуется на выполнение обработчика событий таймера). Ограничение фоновых обработчиков позволяет выделить больше ресурсов основным обработчикам, влияющим на начальную отрисовку страницы. Например, основные скрипты Instagram, Amazon и Google благодаря добавленной оптимизации запускаются на 40-80% быстрее;
• На поздние стадии загрузки вынесены некоторые второстепенные обработчики. Например, сканирование альтернативных CSS-стилей теперь выполняется не во время, а после загрузки страницы. Загрузка модуля автодополнения ввода отложена до готовности форм ввода;
• Изменён подход к отрисовке во время загрузки страницы - вывод теперь начинается на более раннем этапе загрузки, но операции отрисовки вызываются реже;
• Инициализация некоторых подсистем браузера и связанных с изменением оформления дополнений отложена до окончания основной загрузки, что позволило сократить время между запуском браузера и его готовностью к показу страниц;
• Реализована возможность блокирования JavaScript-вставок, осуществляющих майнинг криптовалют или отслеживающих пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Блокировка осуществляется по дополнительным категориям (fingerprinting и cryptomining) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. По умолчанию новые режимы блокировки отключены, а для их активации в связанные с конфиденциальностью настройки добавлены новые опции "Cryptominers" и "fingerprinters". Проследить за срабатыванием блокировщика можно через контекстное меню сайта, отображаемое при клике на пиктограмму с изображением щита в адресной строке;
• В основное меню и диалог с рекомендациями заполнения форм входа добавлена возможность быстрого перехода к сохранённым для сайта паролям;
• В состав включена система композитинга Servo WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU.

  По умолчанию WebRender пока активирован примерно для 4% пользователей Windows 10, у которых используются видеокарты NVIDIA. Включение для остальных пользователей будет зависеть от результатов тестирования. Если всё пройдёт гладко то 27 мая охват тестирования будет расширен до 25%, 30 мая до 50%, а в течение первой недели июня до 100%. Проверить активацию WebRender можно на странице about:support. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустив Firefox с выставленной переменной окружения MOZ_WEBRENDER=1. В Linux поддержка WebRender более-менее стабилизирована для видеокарт Intel c драйверами Mesa 18.2+;

• Переработан механизм работы с профилями: если раньше при установке нескольких разных экземпляров Firefox по умолчанию использовался один общий профиль с настройкам, дополнениями и информационными базами (закладки, история, сохранённые пароли, cookie и т.д.), то теперь для каждого параллельно установленного экземпляра будет создаваться собственный отдельный профиль. Например, при одновременной установке ESR, бета-версий, ночных сборок, редакции Developer Edition и обычного выпуска Firefox, для них будут созданы раздельные профили.

  Основной причиной перехода к раздельным профилям являются возможные проблемы в случае использования профиля нового выпуска в более старой версии Firefox, а также при одновременном доступе к БД профиля из параллельно запущенных разных экземпляров Firefox, что потенциально может привести к повреждению данных. Для выбора существующего профиля как и раньше можно использовать интерфейс "firefox -ProfileManager". После завершения установки Firefox при обнаружении уже имеющегося в системе профиля выводится специальное предупреждение с предложением синхронизировать настройки через учётную запись в облачном сервисе Mozilla Sync. При попытке использования профиля из более старой версии Firefox теперь будет выводиться ошибка, обойти которую можно через указание опции "-allow-downgrade";

• В основной состав включено системное дополнение Firefox Monitor, эксперименты по активации которого для ограниченного числа пользователей проводились начиная с Firefox 62, но финальная активация для всех пользователей произведена только сейчас. Дополнение Firefox Monitor обеспечивает вывод предупреждения в случае компрометации учётной записи (проверка по email) или попытке входа на ранее взломанный сайт. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 7.8 миллиардах учётных записей, похищенных в результате взломов 364 сайтов. Предупреждение выводится только для сайтов, информация о взломах которых добавлена в базу haveibeenpwned.com в течение последних 12 месяцев. В случае если с момента появления данных о взломе не прошло 2 месяца будет показано повторное предупреждение.
  
• Расширено число вызовов API, которые доступны только при открытии страницы в защищённом контексте (Secure Context), т.е. при открытии по HTTPS, через localhost или из локального файла. В Firefox 67 для страниц, открытых вне защищённого контекста, запрещён вывод системных уведомлений через API Notifications, показываемых вне окна браузера;
• Расширены возможности приватного режима просмотра. Добавлена возможность сохранять пароли в формах на сайтах, открываемых в приватном режиме. Реализованы средства управления активацией дополнений в приватном режиме - в менеджере дополнений пользователь теперь может определить какие дополнения включать в приватном режиме, а какие использовать только в основном сеансе. Для новых дополнений по умолчанию запрещается активация в приватном режиме (для включения требуется изменение настроек);
• Реализация видеокодека AV1 переведена на использование библиотеки dav1d, развиваемой сообществами VideoLAN и FFmpeg и ориентированной на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме. По умолчанию активирован декодировщик AV1 в сборках для Linux. Отмечается, что формат AV1 начинает набирать популярность, если в феврале доля просматриваемых в бета-выпусках Firefox роликов AV1 составляя 0.85%, а в марте - 3%, то теперь этот показатель составляет 11.8%;
• Расширены возможности по управлению браузером при помощи клавиатуры - панелью и выпадающим меню теперь можно управлять только с клавиатуры, включая доступ к размещённым на панели кнопкам дополнений, не влезающим на экран элементам, индикатору загрузки, действиям со страницей и т.п. Навигация по элементам панели осуществляется при помощи клавиши Tab и стрелок на клавиатуре;
• На панель добавлен индикатор для оценки статуса синхронизации, подключения к учётной записи и совместного доступа к данным с нескольких устройств, а так же для быстрого доступа к операциям, использующим учётную запись в Firefox Account. Имеется возможность отображения вместо типовой пиктограммы своего аватара;
• Добавлена возможность закрепления вкладок (Pin Tabs) через меню в адресной строке. Закреплённые вкладки остаются всегда активны, запускаются автоматически и позволяют упростить доступ к постоянно используемым сайтам;
• Реализована система контекстных подсказок, рекомендующая пользователю те или иные возможности, учитывая контекст;
• В меню "File" добавлена новая кнопка для импорта настроек и данных из других браузеров (поддерживается импорт из Chrome и Chromium);
• Прекращена поддержка использования в URL протокола "webcal:", связанного с сервисом 30boxes.com;
• Убрана возможность загрузки скриншотов на сервер Firefox Screenshots и организации совместного доступа к скриншотам через сервер Mozilla. В ближайшие месяцы сервер со скриншотами будет отключен и пользователям рекомендуется экспортировать с него имеющиеся данные;
• Обновлён включённый в поставку шрифт Twemoji. В новой версии добавлена поддержка спецификации Emoji 11.0;
• Дополнительным категориям пользователей предложено принять участие в экспериментах c выводом дополнительного информационного контента, рекомендованного сервисом Pocket, а также с изменением раскладки размещения информации на стартовой странице. Например, у некоторых пользователей будет изменён размер блоков и число рекомендаций, предложены новые тематические секции (Здоровье, Наука, Технологии и Развлечения). Для отказа от участия в эксперименте следует в верхнем правом углу страницы новой вкладки отключить опцию "Content Discovery";
• Запрещено использование дополнительных протоколов в URL, используемых в качестве источника для загрузки iframe. Речь ведётся о внешних протоколах, не возвращающих какие-либо данные, таких как "mailto:", "ircs://" и "itms://". Блокировка предпринята для защиты от возможных DoS-атак, направленных на исчерпание имеющихся ресурсов при открытии страниц, содержащих большое число iframe-блоков, ссылающихся на внешние обработчики. Например, при указании конструкций вида ‹iframe src="mailto:support@example.com"› можно инициировать запуск большого числа экземпляров почтового клиента;
• В оптимизирующем компиляторе JavaScript добавлена поддержка устройств на базе архитектуры ARM64, работающих под управлением Windows;
  
  
  
• Включен по умолчанию API FIDO U2F, предназначенный для организации работы двухфакторной аутентификации в различных web-сервисах. Разрешено применение U2F для учётных записей Google;
• Добавлена поддержка динамического импорта модулей JavaScript при помощи выражения import;
• Реализован и включен по умолчанию метод String.prototype.matchAll() для сопоставления с использованием регулярных выражений. При использовании метода match с флагом "/g" возвращается простой массив строк, но при единичном сопоставлении (без флага "/g") выводится объект с расширенными свойствами. Метод matchAll отличается от выполнения метода match с флагом "/g" тем, что он возвращает массив объектов со свойствами всех совпадений, а не массив строк;
• В JavaScript-файлах реализована возможность использования комментария "#!" (hashbang), задаваемого в первой строке и определяющего интерпретатор для запуска. Например, по аналогии с другими скриптовыми языками файл JavaScript может начинаться со строки "#!/usr/bin/env node";
• Добавлены свойства InputEvent.data (строка DOMString с введёнными символами) и InputEvent.dataTransfer (объект DataTransfer с информацией о текстовых данных, добавленных или удалённых из формы редактирования);
• Реализована поддержка HTTP-заголовка Cross-Origin-Opener-Policy;
• В HTML-теги input добавлено свойство "autocomplete=new-password", позволяющее запретить использование ранее сохранённых паролей для автозаполнения поля;
• В CSS реализовано ключевое слово "revert", которое сбрасывает значение свойства к унаследованному значению или к значению, устанавливаемому браузером по умолчанию;
• В CSS-свойстве "word-break" добавлена поддержка значения "break-word" ("word-break: break-word"), разрешающего разрывать слова в произвольной позиции, если они не вмещаются в ширину блока и отсутствует возможность корректного разрыва содержимого строки (например, когда встречается очень длинное слово, занимающее всю строку);
• Добавлено media-свойство prefers-color-scheme, позвляющее через CSS определить использование тёмной или светлой темы оформления;
• В CSS запрещено использование пользовательских курсоров, размером больше 32 пикселей;
  
  
  
• В средствах для web-разработчиков обеспечена поддержка произвольного выделения строк и копирования в буфер обмена содержимого из панели "Changes", на которой отражается история всех изменений CSS, произведённых через панель Rules в рамках текущего сеанса работы в инструментах для разработчиков;
• Заметно расширены возможности встроенного отладчика JavaScript. Добавлена возможность сопоставления разных представлений кода (source map), позволяющая просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей (например, можно в процессе отладки сгенерированного JavaScript работать с изначальным кодом на Babel, Webpack, TypeScript, vue.js). Примерно на 30% увеличена производительность и скорость запуска отладчика, значительно снижены накладные расходы при работе отладчика. Добавлена панель Threads с инструментами для отладки Web Worker-ов.

  Улучшено качество обработки выставляемых в коде (inline) точек останова - добавлена возможность установки точек останова в привязке к отдельным частям сложных выражений в строке (column breakpoint), например, в цепочке вызовов функций;

  

  Добавлена поддержка точек журналирования (Log points), позволяющих сбрасывать информацию о номере строки в коде и значениях выбранных переменных в web-консоль в момент срабатывания метки, но в отличие от точек останова без приостановки выполнения скрипта;

  
• В режиме инспектирования сети (Network monitor) обеспечена пометка ресурсов, связанных с известными сервисами отслеживания перемещений. В списке сетевых запросов добавлена поддержка сортировки по заданным столбцам и управления отображением столбцов. В контекстное меню добавлен элемент для сброса параметров сортировки в значение по умолчанию;
• Удалены отладчик Canvas, редактор шейдеров и редактор WebAudio, которые ранее были объявлены устаревшими. В разряд устаревших переведены WebIDE и страница "Connect";
• В версии для платформы Android поведение, связанное с обработкой параметров видимой области (Viewport), приведено в соответствие с другими браузерами. Добавлена возможность добавления на домашний экран поискового виджета Firefox с функциями голосового ввода. Прекращена поддержка гостевого сеанса (Guest Session), вместо которого рекомендуется использовать режим приватного просмотра.

Кроме новшеств и исправления ошибок в Firefox 67 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов. Дополнение: устранено 25 критических уязвимостей (8 под CVE-2019-9814 и 17 под CVE-2019-9800).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50717

Инженеры из компаний Cloudflare, Mozilla, Facebook и Bloomberg предложили новый формат BinaryAST для ускорения доставки и обработки JavaScript-кода при открытии сайтов в браузере. BinaryAST выносит фазу синтаксического разбора на сторону сервера и поставляет уже сформированное абстрактное синтаксическое дерево (AST). При получении BinaryAST браузер сразу может перейти на стадию компиляции, минуя парсинг исходного кода JavaScript.

Для тестирования подготовлена эталонная реализация, поставляемая под лицензий MIT. Для парсинга используются компоненты Node.js, а код для оптимизации и формирования AST написан на языке Rust. На стороне браузера поддержка BinaryAST уже доступна в ночных сборках Firefox. Кодировщик в BinaryAST может применяться как на уровне инструментария конечного сайта, так и для упаковки скриптов внешних сайтов на стороне прокси или сети доставки контента. В настоящее время уже начался процесс стандартизации BinaryAST рабочей группой ECMA TC39, после завершения которого формат сможет сосуществовать с существующими методами сжатия отдаваемого контента, такими как gzip и brotli.

Значительное время при обработке JavaScript занимает фаза загрузки и синтаксического разбора кода. С учётом того, что объём загружаемого JavaScript на многих популярных сайтах приближается к 10 Мб (например для LinkedIn - 7.2 Мб, Facebook - 7.1 Мб), первичная обработка JavaScript вносит существенную задержку. Стадия парсинга на стороне браузера также замедляется из-за невозможности полноценного построения AST на лету по мере загрузки кода (браузеру приходится ожидать завершения загрузки блоков, например конца функций, для получения недостающей для разбора текущих элементов информации).

Частично проблему пытаются решить через распространение кода в минимизированном и сжатом виде, а также при помощи кэширования браузером сгенерированного байткода. На современных сайтах код обновляется достаточно часто, поэтому кэширование лишь частично решает проблему. Выходом мог бы стать WebAssembly, но он требует использования явной типизации в коде и плохо подходит для ускорения обработки уже существующего кода на JavaScript.

Другим вариантом является доставка готового скомпилированного байткода вместо JavaScript-скриптов, но разработчики браузерных движков выступают против, так как сторонний байткод трудно верифицировать, его прямая обработка может привести к расслоению Web, возникают дополнительные угрозы безопасности и требуется разработка формата универсального байткода.

BinaryAST позволяет вписаться в текущую модель разработки и доставки кода без создания нового формата байткода и без изменения языка JavaScript. Размер данных в формате BinaryAST сопоставим со сжатым минифицированным JavaScript-кодом, а скорость обработки за счёт исключения фазы парсинга исходных текстов заметно увеличивается. Также формат BinaryAST позволяет выполнять компиляцию в байткод по мере загрузки, не ожидая завершения получения всех данных. Более того, парсинг на стороне сервера позволяет исключить из отдаваемого представления BinaryAST неиспользуемые функции и лишний код, на который при парсинге на стороне браузера тратится время, как на разбор, так и на передачу лишнего трафика.

Особенностью BinaryAST также является возможность восстановления читаемого JavaScript - не один в один совпадающего с исходным вариантом, но семантически эквивалентного и включающего те же имена переменных и функций (BinaryAST сохраняет имена, но не сохраняет информацию о позициях в коде, форматировании и комментариях). Обратной стороной медали является появление новых векторов для атак, но по мнению разработчиков они значительно меньше и более контролируемы, чем при применении альтернатив, таких как распространение байткода.

Тесты кода facebook.com показали, что на разбор JavaScript тратится 10-15% ресурсов CPU и на парсинг уходит больше времени, чем на генерацию байткода и начальное формирование кода для JIT. В движке SpiderMonkey время полного построения AST занимает 500-800 мс и применение BinaryAST позволило сократить этот показатель на 70-90%. В целом, для большинства web-фреймворков при применении BinaryAST время парсинга JavaScript сокращается на 3-10% в режиме без оптимизации и на 90-97% при включении режима игнорирования неиспользуемых функций. При выполнении тестового JavaScript-набора, размером 1.2 Мб, применение BinaryAST позволило ускорить время начала запуска с 338 до 314 мс на настольной системе (Intel i7) и с 2019 до 1455 мс на мобильном устройстве (HTC One M8).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50701

Разработчики Mozilla объявили об удалении из кодовой базы Firefox доступных пользователю настроек для отключения многопроцессного режима работы (e10s). В качестве причины прекращения поддержки возврата в однопроцессный режим отмечается его низкая безопасность и потенциальные проблемы со стабильностью из-за отсутствия полного охвата при тестировании. Однопроцессный режим отмечен как непригодный для повседневного использования.

Начиная c Firefox 68 из about:config будут удалены настройки "browser.tabs.remote.force-enable" и "browser.tabs.remote.force-disable", управляющие включением e10s. Кроме того, установка значения "false" в опции "browser.tabs.remote.autostart" не будет автоматически приводить к отключению многопроцессного режима на настольных версиях Firefox, в официальных сборках и при запуске без включения режима выполнения автоматизированных тестов.

В сборках для мобильных устройств, при проведении тестов (при активной переменной окружения MOZ_DISABLE_NONLOCAL_CONNECTIONS или опции "--disable-e10s") и в неофициальных сборках (без MOZ_OFFICIAL) опция "browser.tabs.remote.autostart" по-прежнему сможет применяться для отключения e10s. Для разработчиков также добавлен обходной путь для отключения e10s, реализуемый через установку переменной окружения "MOZ_FORCE_DISABLE_E10S" перед запуском браузера. Начиная с Firefox 66 по молчанию число запускаемых по умолчанию процессов-обработчиков контента увеличено с 4 до 8 (опционально можно выбрать и один процесс, но это не отключает многопроцессный режим, а подразумевает, что помимо процесса для формирования интерфейса будет запущен дополнительный процесс для обработки содержимого вкладок).

Дополнительно можно отметить публикацию плана прекращения поддержки TLS 1.0 и 1.1 в Firеfox. В марте 2020 года возможность установки защищённого соединения с использованием TLS 1.0 и 1.1 будет удалена и попытка открытия сайтов не поддерживающих TLS 1.2 или TLS 1.3 будет приводить к выводу ошибки. В ночных сборках поддержка устаревших версий TLS будет отключена в октябре 2019 года.

Прекращение поддержки скоординировано с разработчиками других браузеров и возможность использования TLS 1.0 и 1.1 в это же время будет прекращена в Safari, Firefox, Edge и Chrome. Администраторам сайтов рекомендуется обеспечить поддержку как минимум версии TLS 1.2, а желательно TLS 1.3. В основном сайты уже перешли на TLS 1.2, например, из миллиона проверенных хостов лишь 8000 не поддерживают TLS 1.2.

Кроме того, напомним, что из-за инцидента с отключением дополнений выпуск Firefox 67 отложен на неделю и выйдет только 21 мая. Сдвига графика подготовки остальных релизов не будет.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50691

Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему актуальна. К сожалению, сертификаты продолжают истекать.

Если кто-то пропустил эту историю, в полночь 4 мая 2019 года внезапно прекратили работать почти все расширения Firefox.
Читать дальше →

Об авторе. Эрик Рескорла — технический директор группы Firefox в Mozilla

Недавно в Firefox произошёл инцидент, когда большинство дополнений (расширений, аддонов) перестали работать. Это связано с ошибкой с нашей стороны: мы не заметили, что истёк срок действия одного из сертификатов, который используется для подписи дополнений, что привело к отключению подавляющего большинства из них. Теперь, когда мы исправили проблему, и большинство дополнений восстановлены, я хотел бы подробно рассказать, что произошло, почему и как мы всё починили.

Для справки: расширения и их подпись

Хотя многие используют Firefox как есть из коробки, браузер также поддерживает мощный механизм расширений. Они добавляют в Firefox сторонние функции, расширяющие возможности, которые мы предлагаем по умолчанию. В настоящее время существует более 15 000 дополнений Firefox: от блокировки рекламы до управления сотнями вкладок.
Читать дальше →

Форум: Новости
Автор: banbot

По горячим следам опубликованы дополнительные корректирующие выпуски Firefox 66.0.5 и 60.6.3 ESR, в которых продолжена работа по восстановлению дополнений, отключенных из-за просроченного промежуточного сертификата. В частности, решена проблема с обновлением промежуточного сертификата в случае установки мастер-пароля, через который контролируется доступ к базе сохранённых учётных записей. Так как для замены сертификата требуется, чтобы мастер-пароль был введён, в качестве обходного пути решения проблемы можно совершить любое действие, при котором необходим ввод мастер-пароля (например, запросить просмотр сохранённых паролей или инициировать автозаполнение запомненной формы входа).
Кроме того, можно отметить несколько недавних событий, связанных с Firefox:

• В Firefox 67 и 68 решено расширить число вызовов API, которые будут доступны только при открытии страницы в защищённом контексте (Secure Context), т.е. при открытии по HTTPS, через localhost или из локального файла. В Firefox 67 для страниц, открытых вне защищённого контекста, будет запрещён вывод системных уведомлений через API Notifications, показываемых вне окна браузера. В Firefox 68 при незащищённых обращениях будут  блокироваться запросы к вызову getUserMedia() для получения доступа к источникам мультимедийных данных (например, камере и микрофону). Следует отметить, что данные ограничения  уже применяются начиная с Chrome 62 и 47.
  
• В ночных сборках, на основе которых формируется релиз Firefox 68, заменена реализация адресной строки. На смену Awesome Bar пришёл Quantum Bar. С точки зрения пользователя, за небольшими исключениями, всё осталось как раньше, но внутренности полностью переделаны и код переписан с заменой XUL/XBL на стандартный Web API. Новая реализация существенно упрощает процесс расширения функциональности (поддерживается создание дополнений в формате WebExtensions), снимает жёсткие привязки к подсистемам браузера, позволяет легко подключать новые источники данных, обладает более высокой производительностью и отзывчивостью интерфейса.
  Из заметных изменений в поведении отмечается только необходимость использования комбинаций Shift+Del или Shift+BackSpace (раньше работало без Shift) для удаления записей истории просмотра из результата выводимой при начале ввода подсказки.
  
• Начался процесс вытеснения классической редакции Firefox для Android новым браузером для мобильных устройств, развиваемым в рамках проекта Fenix и использующим движок GeckoView и  набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо,  а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. Firefox 68 станет последним выпуском, вместе с которым будет сформировано обновление классической редакции Firefox для Android. Начиная с Firefox 69, который ожидается 3 сентября, новые релизы Firefox для Android выпускаться не будут, а исправления будут поставляться в форме обновлений  ESR-ветки Firefox 68. В настоящее время Fenix находится на стадии подготовки к началу бета-тестирования и по функциональности пока отстаёт от Firefox для Android. В июне ожидается первый стабильный выпуск Fenix 1.0, а до середины августа планируется выпустить браузер Fenix 2.0.
  

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

По горячим следам опубликованы дополнительные корректирующие выпуски Firefox 66.0.5 и 60.6.3 ESR, в которых продолжена работа по восстановлению дополнений, отключенных из-за просроченного промежуточного сертификата.

В частности, решена проблема с обновлением промежуточного сертификата в случае установки мастер-пароля, через который контролируется доступ к базе сохранённых учётных записей. Так как для замены сертификата требуется, чтобы мастер-пароль был введён, в качестве обходного пути решения проблемы можно совершить любое действие, при котором необходим ввод мастер-пароля (например, запросить просмотр сохранённых паролей или инициировать автозаполнение запомненной формы входа).

Кроме того, можно отметить несколько недавних событий, связанных с Firefox:

• В Firefox 67 и 68 решено расширить число вызовов API, которые будут доступны только при открытии страницы в защищённом контексте (Secure Context), т.е. при открытии по HTTPS, через localhost или из локального файла. В Firefox 67 для страниц, открытых вне защищённого контекста, будет запрещён вывод системных уведомлений через API Notifications, показываемых вне окна браузера. В Firefox 68 при незащищённых обращениях будут блокироваться запросы к вызову getUserMedia() для получения доступа к источникам мультимедийных данных (например, камере и микрофону). Следует отметить, что данные ограничения уже применяются начиная с Chrome 62 и 47.
• В ночных сборках, на основе которых формируется релиз Firefox 68, заменена реализация адресной строки. На смену Awesome Bar пришёл Quantum Bar. С точки зрения пользователя, за небольшими исключениями, всё осталось как раньше, но внутренности полностью переделаны и код переписан с заменой XUL/XBL на стандартный Web API.

  Новая реализация существенно упрощает процесс расширения функциональности (поддерживается создание дополнений в формате WebExtensions), снимает жёсткие привязки к подсистемам браузера, позволяет легко подключать новые источники данных, обладает более высокой производительностью и отзывчивостью интерфейса. Из заметных изменений в поведении отмечается только необходимость использования комбинаций Shift+Del или Shift+BackSpace (раньше работало без Shift) для удаления записей истории просмотра из результата выводимой при начале ввода подсказки.

• Начался процесс вытеснения классической редакции Firefox для Android новым браузером для мобильных устройств, развиваемым в рамках проекта Fenix и использующим движок GeckoView и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

  Firefox 68 станет последним выпуском, вместе с которым будет сформировано обновление классической редакции Firefox для Android. Начиная с Firefox 69, который ожидается 3 сентября, новые релизы Firefox для Android выпускаться не будут, а исправления будут поставляться в форме обновлений ESR-ветки Firefox 68. В настоящее время Fenix находится на стадии подготовки к началу бета-тестирования и по функциональности пока отстаёт от Firefox для Android. В июне ожидается первый стабильный выпуск Fenix ​​1.0, а до середины августа планируется выпустить браузер Fenix ​​2.0.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50647

Опубликованы полноценные корректирующие выпуски Firefox 66.0.4 и 60.6.2 ESR, в которых предложено исправление для замены просроченного промежуточного сертификата и восстановления отключенных дополнений. Тем не менее, отмечается наличие нескольких нерешённых побочных эффектов:

• Некоторые дополнения, например Epubreader, не восстанавливаются в about:addons после обновлении сертификата или остаются в состоянии неподдерживаемых (unsupported). Проблема касается дополнений без идентификатора в файле manifest.json, которые удалялись в случае ошибки проверки цифровой подписи. Такие дополнения рекомендовано переустановить (данные восстановятся, так как они остаются в каталоге с профилем);
• Наблюдается потеря данных и настроек в дополнениях, использующих функциональность контекстных контейнеров (Containers), например, в дополнениях Multi-Account Containers и Facebook Container. Пользователям рекомендовано с нуля перенастроить данные дополнения в about:addons;
• Не восстанавливаются темы оформления. Пользователям рекомендовано повторно активировать их в менеджере дополнений;
• Сбрасываются в значения по умолчанию изменённые дополнениями настройки домашней страницы и поисковых движков. Пользователю требуется заново настроить домашнюю страницу и поисковый движок.

Для старых версий (Firefox 56.0.2 и старее), не включающих normandy (компонент для поддержки исследований, проведения опроса и внеплановой активации новых возможностей), энтузиастами предложено решение проблемы путём извлечения сертификата из XPI-файла с исправлением. Извлечённый сертификат следует записать в pem-файл и импортировать этот файл через диалог "Options/ Privacy & Security/ Certifcates/ View Certifcates/ Authorities/ Import".

Кроме того, можно отметить обсуждение вопроса зависимости Tor Browser от инфраструктуры Mozilla. Напомним, что у пользователей Tor Browser из-за проблемы с сертификатом отключились поставляемые в комплекте дополнения NoScript и HTTPS-Everywhere, обеспечивающие дополнительный уровень защиты. Для восстановления достаточно установить настройку xpinstall.signatures.required = false в about:config, но вызывает вопросы сам факт зависимости установленных у пользователей экземпляров Tor Browser от третьего лица, действия которого могут отключить дополнительные уровни обеспечения анонимности.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50633

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск Firefox 66.0.4, в котором исправлена цепочка сертификатов для включения ранее отключённых из-за истечения срока действия сертификата расширений.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Здравствуйте, уважаемые хабровчане!

Сразу хочу предупредить, что это — моя первая публикация, так что прошу сразу оповещать обо всех замеченных проблемах, опечатках и прочем.

Утром, как обычно, я включил ноутбук и начал неспешный сёрфинг в своем любимом Firefox (релизный 66.0.3 x64). Внезапно утро перестало быть томным — в один непрекрасный момент выскочило сообщение о том, что некоторые аддоны не могут быть проверены и были отключены. «Чудесно!» подумал я и полез в панель управления аддонами.

И что же я там увидел?

Компания Mozilla предупредила о возникновении массовых проблем с дополнениями к Firefox. У всех пользователей браузера дополнения оказались заблокированными из-за истечения времени жизни промежуточного сертификата, применяемого в цепочке формирования цифровых подписей. Кроме того, отмечается невозможность установки новых дополнений из официального каталога AMO (addons.mozilla.org).

Выход из сложившейся ситуации пока не найден, разработчики Mozilla обдумывают возможные варианты исправления и пока ограничились только общим подтверждением возникшей ситуации. Упоминается только, что дополнения стали неактивны после наступления 0 часов (UTC) 4 мая. Сертификат должен был обновиться неделю назад, но по каким-то причинам этого не произошло и данный факт остался незамеченным. Теперь через несколько минут после запуска браузера выводится предупреждение об отключении дополнений из-за проблем с цифровой подписью и дополнения исчезают из списка. Проверка цифровой подписи осуществляется раз в сутки или после запуска браузера, поэтому в давно запущенных экземплярах Firefox дополнения могут отключиться не сразу.

В качестве обходного пути для возобновления доступа к дополнениям пользователям Linux можно отключить проверку цифровой подписи через установку в about:config переменной "xpinstall.signatures.required" в значение "false". Данный метод для стабильных и бета-выпусков работает только в Linux и Android, для Windows и macOS подобная манипуляция возможна только в ночных сборках и в версии для разработчиков (Developer Edition). Как вариант также можно изменить значение системных часов на время до истечения срока действия сертификата, тогда вернётся возможность установки дополнений из каталога AMO, но уже установленная метка отключения не снимается.

Напомним, что обязательная проверка дополнений Firefox по цифровым подписям была внедрена в апреле 2016 года. По мнению Mozilla проверка по цифровой подписи позволяет блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Дополнение 1: Разработчики Mozilla сообщили о начале тестирования исправления, которое в случае успешной проверки в скором времени будет доведено до пользователей (решение о применении предложенного исправления ещё не принято). До применения исправления формирование цифровых подписей для новых дополнений отключено.

Дополнение 2: В 13:50 (MSK) началось распространение исправления, на стороне пользователей возвращающего в строй отключившиеся дополнения. Исправление будет автоматически загружено и применено в течение нескольких часов. Для Firefox ESR и Firefox для Android исправление пока не сформировано. Также могут быть проблемы с доставкой исправления в сборки Firefox, установленные из пакетов в дистрибутивах.

Для ускорения доставки исправление оформлено в виде проводимых среди пользователей "исследований" (следует перейти в раздел "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" и убедиться, что поддержка исследований включена, а также в "about:studies" проверить, что активно исследование hotfix-update-xpi-signing-intermediate-bug-1548973. После применения исправления поддержку исследований можно опять отключить. В дальнейшем планируется подготовить и обычное обновление, распространяемое через штатную систему доставки обновлений.

Дополнение 3: Исправление с обновлённым сертификатом можно установить вручную, для этого следует загрузить XPI и установить его из локального файла (кликнуть на шестерёнку в верхней правой части менеджера дополнений и выбрать "Install Add-on from File...").

Дополнение 4: Проблема также отразилась на пользователях Tor Browser, у которых отключилось поставляемое в комплекте дополнение NoScript, подписанное цифровой подписью Mozilla. Для возобновления работы NoScript разработчики Tor рекомендовали временно установить настройку xpinstall.signatures.required = false в about:config до того как будет доставлено исправление.

Дополнение 5: Для пользователей Firefox 56.0.2 и более старых выпусков, не включающих normandy (компонент для поддержки исследований, проведения опроса и внеплановой активации новых возможностей), на Reddit.com предложено решение проблемы путем извлечения сертификата из указанного выше исправления. После извлечения сертификата, его следует записать в pem-файл и импортировать через диалог "Options/ Privacy & Security/ Certifcates/ View Certifcates/ Authorities/ Import";

Дополнение 6: Опубликованы полноценные корректирующие выпуски Firefox 66.0.4 и 60.6.2 ESR, в которых предложено исправление для замены просроченного сертификата и восстановления отключенных дополнений. Тем не менее, отмечается наличие нескольких нерешённых побочных эффектов:

• Некоторые дополнения, например Epubreader, не восстанавливаются в about:addons после обновлении сертификата или остаются в состоянии неподдерживаемых (unsupported). Проблема касается дополнений без идентификатора в файле manifest.json, которые удалялись при ошибке проверки цифровой подписи. В этом случае рекомендовано переустановить дополнение (данные восстановятся, так как они остаются в каталоге с профилем);
• Наблюдается потеря данных и настроек в дополнениях, использующих функциональность контекстных контейнеров (Containers), например, в дополнениях Multi-Account Containers и Facebook Container. Пользователям рекомендовано с нуля перенастроить дополнения в about:addons;
• Не восстанавливаются темы оформления. Пользователям рекомендовано повторно установить их с addons.mozilla.org;
• Сбрасываются в значения по умолчанию изменённые дополнениями настройки домашней страницы и поисковых движков. Пользователю требуется заново настроить домашнюю страницу и поисковый движок.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50623

Компания Mozilla предупредила об ужесточении правил каталога дополнений к Firefox (Mozilla AMO) с целью противодействия размещению вредоносных дополнений. С 10 июня будет запрещено размещение в каталоге дополнений, в которых применяются методы запутывания кода (obfuscation), такие как упаковка кода в блоки Base64.

При этом приёмы минимизации кода (сокращение имён переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) остаются разрешёнными, но если помимо минимизированного варианта к дополнению приложен полноценный исходный код. Разработчикам, использующим приёмы запутывания или минимизации кода, рекомендуется до 10 июня опубликовать новую версию, соответствующую обновлённым правилам AMO и включающую полноценный исходный код всех компонентов.

После 10 июня проблемные дополнения будут заблокированы в каталоге, а уже установленные экземпляры через распространение чёрного списка будут отключены на системах пользователей. Кроме того, будет продолжена практика блокировки на системах пользователей установленных дополнений, содержащих критические уязвимости, нарушающих конфиденциальность и выполняющих действия без согласия или контроля пользователя.

Напомним, что c 1 января 2019 года в каталоге Chrome Web Store начал действовать похожий запрет на запутывание кода дополнений. По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативно влияет на производительность и повышает потребление памяти.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50618

До 3 мая компания Mozilla проводит опрос, нацеленный на улучшение понимания потребностей сообществ и проектов, с которыми сотрудничает или которые поддерживает Mozilla. В ходе опроса планируется уточнить область интересов и особенности текущей деятельности участников проекта (contributor), а также наладить канал обратной связи. Итоги опроса помогут сформировать дальнейшую стратегию усовершенствования процессов совместной разработки в Mozillа и привлечения единомышленников к сотрудничеству.

Предисловие к самому опросу:

Привет, друзья Mozillы.

Мы работаем над исследовательским проектом для лучшего понимания сообществ в Mozilla и проектах, проводимых или спонсируемых Mozillой.

Наша цель - лучше понять сообщества и сети, с которыми Mozilla сотрудничает. Отслеживая текущую деятельность участников (contributor) и сферы интересов во времени должно помочь нам двигаться к этой цели. Это данные, которые мы исторически не собирали, но которые мы могли бы хотеть собирать, с вашего разрешения.

Mozillа часто в прошлом просила людей уделить время, чтобы обеспечить обратную связь, и возможно даже обращалась к вам недавно. Также мы проводили исследование проектов, смотря на вклады в прошлом, не оценивая результаты или публикуя их. Этот проект - другой. Он более широкий, чем что-либо, что мы делали, он будет определять стратегию Mozillы относительно открытых практик, и мы будем публиковать результаты. Мы надеемся, что это стимулирует ваше участие.

Мы будем рады обратной связи по поводу опроса и проекта. Если вы хотите узнать больше об этом проекте, см. анонс на discourse.

Опрос потребует около 10 минут для заполнения.

Любые персональные данные, которые вы отправляете как часть этого опроса, будут обработаны в соответствии с Политикой Приватности Mozilla.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50606

Компания Mozilla намерена отказаться от использования IRC в качестве основной платформы для живого общения участников проекта. Сервер IRC.mozilla.org планируется вывести из строя в ближайшие несколько месяцев после миграции на одну из современных web-ориентированных коммуникационных платформ. Решение о выборе новой платформы пока не принято; известно только то, что Mozilla не будет разрабатывать свою систему, а воспользуется популярным готовым решением для текстовых чатов. Конечный выбор новой платформы будет сделан после обсуждения с сообществом. Подключение к каналам общения будет требовать аутентификации и согласия с правилами сообщества.

В качестве причин отказа от IRC называется моральное и техническое устаревание протокола, который в современных реалиях не так удобен, как хотелось бы, часто блокируется на межсетевых экранах и является серьёзным барьером для подключения к обсуждениям новичков. Кроме того, IRC не предоставляет должных инструментов для защиты от спама, злоупотреблений, травли и домогательств участников.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50586

Fluent — семейство спецификаций, реализаций и практик для локализации, разработанной Mozilla. Сейчас она применяется в браузере Firefox. Используя Fluent, переводчики могут писать более естественные переводы на родном языке. Сегодня мы представляем спецификацию формата файлов Fluent версии 1.0. Приглашаем разработчиков переводческих инструментов попробовать его и рассказать о ваших впечатлениях.

Читать дальше →

Портал Bleeping Computer связался с компанией Mozilla и выяснил позицию по поводу механизма отслеживания кликов по гиперссылкам при помощи атрибута "ping", поддержка которого в Firefox пока отключена по умолчанию. Интерес к атрибуту "ping" возник после удаления из Chrome и Safari опций по его отключению.

Представители Mozilla сообщили:

Мы согласны, что включение атрибута "ping", который обычно используется для аудита гиперссылок, является не вопросом приватности, а задачей улучшения опыта взаимодействия, решаемой путём предоставления вебсайтам более оптимального решения для аудита гиперссылок, лишённого падения производительности, свойственного другим методам отслеживания переходов, перечисленным в публикации в блоге разработчиков WebKit. Фактически, мы уже поддерживаем API sendBeacon и причина, по который мы ещё не включаем аттрибут "ping" - то, что наша реализация этой функции ещё не готова.

Мы не считаем, что лишь предоставление опции для отключения атрибута ping даст какое-либо заметное улучшение в приватности пользователя, так как вебсайты могут определять (и часто уже определяют) поддерживамые в каждом браузере различные механизмы для аудита гиперссылок и отключение более "дружественных пользователю" механизмов лишь приведёт к переходу (fall back) на менее "дружественные пользователю" механизмы, не приводя к отключению самой функциональности аудита гиперссылок.

При применении в теге "a href" атрибута "ping=URL" браузер формирует POST-запрос к указанному в атрибуте URL, передавая через заголовок HTTP_PING_TO сведения о состоявшемся переходе. Без атрибута ping сайты могут реализовать аудит гиперссылок через подмену реальной ссылки на промежуточную ссылку или через отправку сведений при помощи вызовов XMLHttpRequest или sendBeacon, что уже давно используется в поиске Google и Yandex, при переходе по внешним ссылкам в социальной сети VK и в репозитории браузерных дополнений addons.mozilla.org. Так как подобная подмена может осуществляться со скрытием промежуточной ссылки при помощи JavaScript, то как и в случае с атрибутом ping без анализа кода невозможно понять применяется для текущей ссылки аудит или нет.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50544

Компания Mozilla после двух лет экспериментов и разработки представила платформу WebThings, в которую вошли ранее развиваемые проекты WebThings Framework и WebThings Gateway, предоставляющие компоненты для обеспечения доступа к различным категориям потребительских устройств и использования универсального Web Things API для организации взаимодействия с ними. Наработки проекта распространяются под лицензией MPL 2.0.

WebThings Framework предоставляет набор заменяемых компонентов для создания IoT-устройств, которые могут напрямую взаимодействовать c использованием Web Things API. Подобные устройства могут автоматически определяться шлюзами на базе WebThings Gateway или клиентским ПО (используется mDNS) для последующего мониторинга и управления через Web. Реализации серверов для Web Things API подготовлены в форме библиотек на Python, Java, Rust, Arduino и MicroPython.

WebThings Gateway представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности каждой платформы и не требующую использования специфичных для каждого производителя приложений. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js. Для взаимодействия шлюза с IoT-платформами можно использовать протоколы ZigBee и ZWave, WiFi или прямое подключение через GPIO. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi, также доступны пакеты для OpenWrt и Debian.

Шлюз можно установить на плату Raspberry Pi и получить систему управления умным домом, объединяющую все имеющиеся в доме IoT-устройства и предоставляющую средства для мониторинга и управления ими через Web-интерфейс. Платформа также позволяет создавать дополнительные web-приложения, которые могут взаимодействовать с устройствами через Web Thing API. Таким образом, вместо установки своего мобильного приложения для каждого типа IoT-устройств, можно использовать единый унифицированный web-интерфейс. Для установки WebThings Gateway достаточно загрузить предоставленную прошивку на SD-карту, открыть в браузере хост "gateway.local", настроить подключение к WiFi, ZigBee или ZWave, найти имеющиеся IoT-устройства, настроить параметры для доступа извне и добавить самые востребованные устройства на домашний экран.

Шлюз поддерживает такие функции, как определение устройств в локальной сети, выбор web-адреса для соединения с устройствами из интернета, создание учётных записей для доступа к web-интерфейсу шлюза, подключение к шлюзу устройств, поддерживающих проприетарные протоколы ZigBee и Z-Wave, удалённое включение и выключение устройств из web-приложения, удалённый мониторинг за состоянием дома и видеонаблюдение. Кроме web-интерфейса и API в шлюзе также реализована экспериментальная поддержка голосового управления, позволяющая распознавать и выполнять голосовые команды (например, "включи свет на кухне").

Одновременно с анонсом новой платформы WebThings опубликован выпуск WebThings Gateway 0.8, в котором предложены следующие новшества:

• Добавлена система журналирования событий, собирающая статистику о работе всех IoT-устройств и датчиков в домашней сети и позволяющая оценить их активность в форме наглядных графиков. Например, можно узнать сколько раз открывались и закрывались двери во время своего отсутствия, как изменялась температура в доме, сколько потребляли энергии устройства, подключенные к умным розеткам, когда срабатывал детектор движения и т.п. Графики могут строится в разрезе часов, дней и недель и прокручиваться по шкале времени;
• Добавлены сигналы тревоги, который могут срабатывать в случае возникновения событий, требующих незамедлительной реакции. Например, сигналы тревоги могут быть привязаны с срабатыванию датчиков задымления, протечки или угарного газа, а также при поступлении сигналов о взломе. В случае срабатывания сигнала уведомление об его наступлении может быть отправлено через SMS или другие средства оповещения;
• Добавлен интерфейс для настройки параметров подключения к сети. Ранее для переключения из одной беспроводной сети в другую, когда обе сети доступны, требовалось выполнение команд в консоли. Теперь изменение сетевых параметров может осуществляться через web-интерфейс (секция Settings ➡ Network), в котором можно управлять назначением IP-адресов, сканировать доступные беспроводные сети и изменять точки доступа;
• Подготовлены экспериментальные пакеты для маршрутизаторов на основе OpenWrt, которые позволяют использовать маршрутизаторы не только для обеспечения сетевого доступа, но и в качестве узлов управления умным домом. В дальнейшем планируется подготовить собственный дистрибутив на базе OpenWrt с интегрированной поддержкой Things Gateway, предоставляющий унифицированный интерфейс для настройки умного дома и беспроводной точки доступа. В настоящее время WebThings Gateway уже может работать в режиме точки беспроводного доступа, а не только в роли клиента беспроводной сети.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50538

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 66.0.3, в котором обновлён поисковый плагин для Baidu и исправлено 4 ошибки:

• Устранены проблемы с производительностью некоторых игр, написанных с использованием технологий HTML5 (например, игр с сервиса pogo.com, использующего  javascript-obfuscator для защиты кода от разбора);
  
• Решены проблемы с обработкой событий при нажатии клавиш в приложениях IBM Сloud и Microsoft Cloud (например, перестала работать клавиша Enter в Webchat);
  
• Обеспечено корректное отображения адресной строки на планшетах под управлением Windows 10 после возврата из режима планшета в режим ноутбука.
  

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 66.0.3, в котором обновлён поисковый плагин для Baidu и исправлено 4 ошибки:

• Устранены проблемы с производительностью некоторых игр, написанных с использованием технологий HTML5 (например, игр с сервиса pogo.com, использующего javascript-obfuscator для защиты кода от разбора);
• Решены проблемы с обработкой событий при нажатии клавиш в приложениях IBM Сloud и Microsoft Cloud (например, перестала работать клавиша Enter в Webchat);
• Обеспечено корректное отображения адресной строки на планшетах под управлением Windows 10 после возврата из режима планшета в режим ноутбука.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50491

В бета-версию Firefox 67 встроен код для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют или отслеживающих пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Блокировка осуществляется по дополнительным категориям (fingerprinting и cryptomining) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации.

Код для майнинга криптовалют, который приводит к существенному увеличению нагрузки на процессор в системе пользователя, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

По умолчанию новые режимы блокировки отключены, а для их активации в связанные с конфиденциальностью настройки добавлены новые опции "Cryptominers" и "fingerprinters". Через какое-то время планируется включить по умолчанию представленные режимы для небольшой контрольной группы пользователей, после чего активировать для всех в одном из будущих выпусков.

Проследить за срабатыванием блокировщика можно через контекстное меню сайта, отображаемое при клике на пиктограмму с изображением щита в адресной строке. В меню также добавлена ссылка быстрой отправки разработчикам отчёта о возникающих проблемах.

Из других недавних событий, связанных с Firefox, также можно упомянуть:

• Анонсирована программа рекомендованных дополнений, в рамках которой летом будет предложен список дополнений, которые удовлетворяют требованиям Mozilla в области безопасности, полезности и удобства работы. Дополнения из списка будут продвигаться через систему контекстных рекомендаций в различных продуктах Mozilla и на сайтах проекта. Для принятия в список дополнение должно качественно и эффективно решать актуальные задачи, интересные широкой аудитории, активно развиваться автором и проходить полное рецензирование безопасности каждого обновления.
• Рассматривается возможность включения в Linux-сборках Firefox системы композитинга Servo WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU. В Linux WebRender на первом этапе предлагается включить только для видеокарт Intel c драйверами Mesa 18.2.8 и новее. Активировать WebRender вручную на системах с другими видеокартами можно через переменную "gfx.webrender.all.qualified" в about:config или запустив Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
• В бета-версии Firefox 67 в основное меню и диалог с рекомендациями заполнения форм входа добавлена возможность быстрого перехода к сохранённым для сайта паролям;
• В настройки добавлена кнопка для перезагрузки всех вкладок после изменения правил обработки Cookie от сторонних ресурсов;
• Добавлены ограничения на интенсивность вывода сайтом диалога аутентификации;
• В ночные сборки добавлена новая реализация кода для синхронизации закладок, переписанная на языке Rust (включается через services.sync.bookmarks.buffer.enabled в about:config).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50490

Разработчики Mozilla сообщили о проведении четвёртого этапа тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), который будет сосредоточен на оценке изменения производительности при применении DNS-over-HTTPS в условиях работы через сети доставки контента. На этой неделе небольшой части пользователей релизов Firefox из США будет предложено активировать DoH (при нежелании пользователь сможет отказаться). Как и раньше в качестве основного будет использован DNS-сервер CloudFlare, но в будущем планируется расширить число участвующих в тесте DNS-провайдеров.

Необходимость дополнительного тестирования DNS-over-HTTPS при работе через сети доставки контента связана с тем, что DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента. Таким образом, отправка DNS-запроса c ближайшего к пользователю резолвера приведёт к тому, что CDN вернёт адрес ближайшего хоста, но при отправке DNS-запроса с централизованного резолвера DNS-over-HTTPS ближайший к пользователю хост определить не получится и будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS.

Указанная особенность сводит на нет средства оптимизации трафика в CDN, поэтому в процессе принятия решения о внедрении DNS-over-HTTPS необходимо учитывать не только производительность операций с DNS, но и дополнительные задержки, которые могут возникнуть из-за снижения эффективности загрузки контента через CDN. В прошлом году были проведены первые тесты для комплексной оценке задержек при использовании CDN, которые показали минимальное влияние применения DNS-over-HTTPS на задержки перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а для медленных каналах связи наблюдалось даже ускорение работы).

При этом также были замечены подозрительные особенности, требующие дополнительного тестирования. Например, в прошлом тесте работы через CDN выявлено увеличение интенсивности появления ошибок при отправке DNS-запросов, независимо от использования DNS-over-HTTPS. В новом тесте планируется собрать более детальные данные об возникающих ошибках. Также планируется протестировать расширение EDNS Client Subnet, позволяющее передать резолверу CDN более детальные сведения о местоположении клиента для выбора ближайшей к нему точки отдачи трафика.

Так как обращение к финальному резолверу производится без шифрования и может привести к утечке сведений третьим лицам, решено ограничить применение EDNS Client Subnet только обращениями к Facebook через Cloudflare по совместной договорённости этих компаний и с применением шифрования DNS-трафика между ними (будет применяться DNS-over-TLS и прямое обращение к резолверу Facebook, что исключит из цепочки третьих лиц). При наличии в браузере Cookie от Facebook и при согласии пользователя на участие в эксперименте, браузер будет раз в день отправлять тестовые запросы к Facebooк (без передачи cookie) и измерять время отклика.

Для включения DoH на системах не приглашённых для участия в тестировании, достаточно в about:config изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50448

Разработчики Mozilla анонсировали эксперимент, в рамках которого планируется опробовать технику борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. В последнее время все больше сайтов злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Для защиты от подобного спама в Firefox планируют ограничить ситуации при которых сайт может выводить подобные уведомления.

По статистике, полученной в рамках сбора телеметрии, пользователям Firefox Beta с 25 декабря по 24 января было показано около 18 млн запросов получения полномочий. Только 3% запросов были одобрены, а большая часть отклонена, причём в 19% случаев пользователи сразу закрыли вкладку со страницей после появления подобного запроса, не нажимая кнопку согласия или отклонения. Для сравнения при запросе доступа к камере и микрофону доля принятия уведомления составляет 85%. Указанная статистика свидетельствует о том, что обычно запросы на push-уведомления выводятся вне контекста и сильно раздражают посетителей.

В настройках Firefox уже давно присутствует опция, позволяющая полностью запретить вывод запросов для push-уведомлений, но данная возможность неудобна в ситуациях, когда пользователь не намерен полностью отказываться от доставки уведомлений, но желает избавиться от назойливого спама. Начиная со вчерашнего дня и до 29 апреля в ночных сборках Firefox проводится эксперимент - запросы полномочий будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш). Первые две недели запросы будут блокироваться молча, а оставшееся время при попытке вывода запроса в адресной строке будет отображаться индикатор поступления запроса, при клике на который можно посмотреть сам запрос.

Затем планируется провести второй эксперимент, в ходе которого небольшому проценту пользователей релиза Firefox 67 будет предложено поделиться сведениями о работе с формами запроса полномочий. В ходе эксперимента разработчики Firefox намерены получить информацию о том, как долго пользователь находился на сайте перед выводом запроса полномочий и накопить статистику для выявления злоупотреблений, которые можно блокировать.

Кроме того, в ночных сборках на базе которых будет сформирован релиз Firefox 68, активирован по умолчанию API UserScripts, позволяющий создавать на базе технологии WebExtensions дополнения в стиле Greasemonkey, позволяющие выполнять пользовательские скрипты в контексте web-страниц. Например, при помощи подключения скриптов можно изменять оформление и поведение просматриваемых страниц. Данный API уже входит в состав Firefox, но до сих пор для его включения требовалась установка параметра "extensions.webextensions.userScripts.enabled" в about:config. В отличие от имеющихся дополнений с похожей функциональностью, применяющих вызов tabs.executeScript, новый API позволяет изолировать скрипты в отдельных sandbox-окружениях, решает проблемы с производительностью и даёт возможность обрабатывать различные стадии загрузки страниц.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50442

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.6.1. Основные изменения в новой версии:

• Исправлено: Уязвимости в системе безопасности.
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск Firefox 66.0.2, в котором исправлены проблемы веб-совместимости с Office 365, iCloud и IBM WebMail, вызванные недавними изменениями в обработке событий клавиатуры (ошибка 1538966), и 2 проблемы с падением программы (ошибка 1521370, ошибка 1539118).

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Разработчики Mozilla представили проект WASI (WebAssembly System Interface), в рамках которого ведётся работа по определению программных интерфейсов, которые можно использовать для организации взаимодействия приложений, поставляемых в формате WebAssembly, с операционной системой. Целью проекта является предоставление API, расширяющего область использования WebAssembly и позволяющего создавать на базе данной технологии обычные программы, выполняемые вне браузера, переносимые на любые платформы и демонстрирующие высокий уровень безопасности.

WASI даёт возможность из окружения для выполнения WebAssembly получить доступ к предоставляемым операционной системой функциям, таким как файлы, файловая система, сетевые сокеты, таймеры и генераторы случайных чисел. API WASI изначально развивается как не привязанный к браузерам и независящий от JavaScript/Web API, но при этом обеспечивающий должный уровень изоляции от основной системы (приложения запускаются в sandbox) и позволяющий явно определять предоставляемые приложению полномочия в стиле CloudABI и Capsicum.

В WASI применяется модель безопасности на основе управления возможностями, в рамках которой программа может выполнять только заведомо разрешённые действия. По аналогии с тем, как WebAssembly ограничивает доступ на уровне импорта функций, в WASI осуществляется контроль доступа к системным возможностям. Файлы, каталоги, сокеты и другие ресурсы ассоциируются со специальным типом файловых дескрипторов (capability), а для выполнения действия с каждым из ресурсов приложению должны быть даны полномочия. Полномочия обрабатываются иерархически, т.е. предоставив доступ к каталогу, автоматически открывается и доступ ко всем файлам в нём.

Так как WebAssembly является платформонезависимым вариантом языка Ассемблер, благодаря применению JIT можно добиться уровня производительности близкого к нативному коду, сохранив при этом возможность выполнения на различных аппаратных платформах и операционных системах. В настоящее время проектом предоставляется модуль wasi-core с реализацией базовых POSIX API (файлы, сокеты и т.п.), в котором пока отсутствует поддержка блокировок и асинхронного ввода/вывода. В дальнейшем планируется создание модулей с реализацией API для выполнения криптографических операций, работы с 3D-графикой, взаимодействия с датчиками, операциями с процессами (пока не поддерживается вызов fork) и обработки мультимедийных данных.

В настоящее время уже доступны для тестирования прототипы следующих компонентов:

• wasmtime - runtime для выполнения WebAssembly-приложений с расширениями WASI как обычных обособленных приложений. Поддерживается как запуск байткода WebAssembly при помощи специальной утилиты командной строки, так и компоновка готовых исполняемых файлов (wasmtime встраивается в приложение как библиотека). Для достижения должного уровня производительности применяется JIT-компилятор на базе генератора кода cranelift;
• Lucet - другой вариант runtime от проекта Fastly (код планируется опубликовать сегодня или завтра);
• WASI SDK - инструментарий для компиляции приложений C/C++ в формат WebAssembly, использующий Clang 8.0;
• Сборочная цель с поддержкой WASI для языка Rust, позволяющая компилировать код Rust в WebAssembly. В начале апреля поддержку WASI планируется интегрировать в основную кодовую базу и начать тестирование в ночных сборках;
• wasi-sysroot - реализация стандартной библиотеки libc для WASI, основанная на коде musl, а также runtime-прослойка для трансляции предоставляемых библиотекой функций в системные вызовы различных операционных систем для достижения возможности выполнения одного WASI-приложения в разных ОС.

Проектом также развивается JavaScript-библиотека polyfill с реализацией WASI для выполнения приложений внутри браузера (демонстрация), позволяющая применить к выполняемому в браузере коду модель разграничения доступа на основе "capabilities". Из планов упоминается создание на базе WASI системы модулей для интеграции в приложения изолированных плагинов с дополнительной функциональностью, поставляемой в формате WebAssembly.

Напомним, WebAssembly во многом напоминает Asm.js, но отличается тем, что является бинарным форматом, не завязанным на JavaScript и позволяющим выполнять в браузере низкоуровневый промежуточный код, скомпилированный из различных языков программирования. Среди основных задач WebAssembly выделяется обеспечение переносимости, предсказуемость поведения и идентичности выполнения кода на разных платформах. По сравнению с JavaScript использование WebAssembly также позволяет существенно сократить размер приложений, благодаря компактному промежуточному коду, и увеличить скорость декодирования. В WebAssembly не требуется применение сборщика мусора, так как применяется явное управление памятью.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50406

В прошлых статьях цикла мы обсудили безопасность памяти и безопасность потоков в Rust. В этой последней статье посмотрим на последствия реального применения Rust на примере проекта Quantum CSS.

Движок CSS применяет правила CSS на странице. Это нисходящий процесс, который спускается по дереву DOM, после расчёта родительского CSS дочерние стили можно вычислять независимо: идеальный вариант для параллельных вычислений. К 2017 году Mozilla предприняла две попытки распараллелить систему стилей с помощью C++. Обе провалились.

Разработка Quantum CSS началась, чтобы повысить производительность. Улучшение безопасности — просто удачный побочный эффект.

Читать дальше →

Вчера, 26 марта, команда разработчиков браузера Firefox представила новый продукт под названием Firefox Lockbox — менеджер паролей для мобильный устройств. Согласно странице FAQ проекта, сейчас доступна только версия для iOS, но «в ближайшее время появится и вариант для устройств под управлением Android». Возможно, FAQ просто не обновили, потому что в Google Play приложение уже есть и доступно для скачивания. Также для ознакомления можно посмотреть репозиторий проекта на GitHub.

Идея Firefox Lockbox одновременно и проста до банальности, и весьма символична, так как решает очень распространенный пользовательский кейс: извлечение паролей из браузера. Firefox Lockbox — по своей сути, тот же менеджер паролей, что и 1password или KeePass, однако имеет из коробки синхронизацию с одним из популярных браузеров. Приложение позволяет извлекать пользовательские пароли и переносить их в приложение без этапа передачи в открытом виде (если делать выгрузку логинов-паролей руками). Конечно, далеко не все пользователи способны извлечь свои данные, а некоторые даже не подозревают о такой возможности.

Но во всей этой истории есть несколько больших «но»: Lockbox работает только с аккаунтами Firefox, плюс не до конца понятно, кому он нужен и почему Mozilla выпускает моно-приложение для хранения паролей вместо того, чтобы заниматься более важными вещами.
Читать дальше →

Современный веб состоит из множества разных технологий, которые предоставляют самые разные возможности… но ещё и создают немалое количество угроз. Современные браузеры давно стали самыми сложными приложениями на компе, обогнав по сложности даже ядро ОС (в Firefox в несколько раз больше строк кода, чем в ядре Linux или офисных пакетах). Мы проводим в браузере большую часть своего времени, так что не удивительно, что браузер находится под прицелом: его постоянно пытаются взломать, использовать в ботнете, пытаются украсть из него наши данные, прослушать его трафик, отслеживать посещаемые нами сайты и наши действия на этих сайтах.

Сейчас самое время сказать, что всё не так уж плохо, и со всеми этими проблемами можно справиться… но это не так. Из коробки браузеры уже делают немало: регулярно обновляются, стараются затыкать дыры в безопасности, внедряют новые технологии для защиты, предоставляют возможность расширять их функционал сторонними расширениями. Но серьёзной защиты из коробки нет, и вряд ли она когда-нибудь появится: она идёт в комплекте с усложнением интерфейса браузера и частичным отключением его функционала, что "ломает" сайты и вряд ли понравится обычным пользователям. Но самое печальное, что даже такой ценой невозможно полноценно защитить браузер — слишком уж он стал сложным.

Тем не менее, для усиления защиты браузера можно много чего сделать.

Читать дальше →

Форум: Новости
Автор: banbot

Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов.
Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в  JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость  (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции "__proto__", что позволяет прочитать и записать данные в произвольные области памяти.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов.

Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции "__proto__", что позволяет прочитать и записать данные в произвольные области памяти.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50378

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.6.0. Основные изменения в новой версии:

• Исправлено: Календарь: не удавалось создавать повторяющееся событие с конечной датой при использовании определенных часовых поясов, например, Европа/Минск
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Представлен релиз web-браузера Firefox 66, а также мобильной версии Firefox 66 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 67, релиз которой намечен на 15 мая.
Основные новшества:

• Добавлена поддержка механизма "Scroll Anchoring", при котором позиция прокрутки  привязывается к конкретному месту на странице и не меняется при отображении новых элементов в вышележащей области. Изменение позволит исключить ситуации, когда прокрутка сразу после открытия страницы приводит к постепенному смещению позиции и необходимости вновь и вновь прокручивать содержимое по мере загрузки изображений и внешних вставок (например, ранее возникали казусы, когда в момент клика на нужную ссылку завершалась загрузка расположенного выше рекламного баннера, контент смещался и клик попадал на баннер);
  
• Включена блокировка автоматического воспроизведения мультимедийного контента со звуком (использование свойства autoplay без выставления флага mute или отсутствия звуковой дорожки). Воспроизведение звука теперь будет начинаться только при явном действии пользователя, например, при нажатии на кнопку или клике на видеоролике. Для включения режима блокировки  в настройки добавлена специальная опция:
  
  
  
  
  
  При открытии страницы, автоматически воспроизводящей звук, пользователю будет выводится уведомление о блокировке. В уведомлении будет предоставлена опция, позволяющая добавить текущий сайт в белый список, разрешающий автоматическое воспроизведение звука. Статус блокировки также можно изменить через блок настроек, отображаемый в контекстном меню сайта.
  
  
  
  
  
  
  
  
  
  Предложенный блокировщик позволит противостоять злоупотреблениям на некоторых сайтах, автоматически показывающих видеорекламу со звуком, которая создаёт неудобства и отвлекает пользователя при просмотре страниц.  На этой неделе режим будет активирован по умолчанию  для 25% пользователей, браузера, а на следующей неделе  охват будет увеличен до 50%. Если не будет выявлено существенных проблем, ещё через неделю  блокировщик будет активирован для всех пользователей;
  
  
• В  меню "V", появляющееся при открытии большого числа вкладок, добавлена кнопка "Search Tabs" для поиска открытых вкладок и  упрощения навигации при наличии большого числа открытых страниц. Реализация кнопки базируется на уже давно существующей, но малоизвестной возможности, позволяющей выполнять поиск по заголовкам страниц во вкладках при помощи ключа "%" в адресной строке (например, после набора в адресной строке "% Free" будет показан список вкладок в заголовках которых присутствует слово "Free"). При нажатии кнопки "Search Tabs" осуществляется смена фокуса на адресную строку и ввод символа "%" с приглашением продолжить ввод;
  
  
  
  
  
  
• Изменено оформление страницы новой вкладки в приватном режиме, в том числе добавлена строка поиска;
  
  
  
  
  
  
• В сборках для Linux по умолчанию включено декорирование окон на стороне клиента (CSD, Client Side Decoration), при котором заголовок и рамки окна отрисовываются не оконным менеджером, а самим приложением. Применение CSD позволяет приблизить интерфейс Firefox к оформлению штатных приложений GNOME, а именно перенести панели вкладок в заголовок окна и реализовать скрытые рамки. Начиная с  Firefox 60 данная возможность была реализована в виде опции. Отключить CSD можно через флажок в левом нижнем углу раздела кастомизации;
  
  
  
  
  
  
• Изменено оформление и увеличена информативность страниц, выдаваемых при проблемах с сертификатами защищённого соединения. Реализован вывод отдельного предупреждения (MOZILLA_PKIX_ERROR_MITM_DETECTED) при выявлении подмены сертификатов и перехвата трафика HTTPS из-за активности антивирусов, вредоносного ПО или вмешательства провайдера в трафик;
  
  
  
  
  
  
• С 4 до 8 увеличено число запускаемых браузером процессов-обработчиков, каждый из которых обслуживает несколько вкладок (браузер также запускает отдельные процессы для WebExtension и интерфейса). Увеличение до 8 числа процессов-обработчиков приведёт к повышению производительности и устойчивости к сбоям, но суммарное потребление памяти увеличится приблизительно на 6%. В дальнейшем планируется реализация режима строгой изоляции сайтов, в котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox, а разделение будет осуществляться не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков;
  
  
  
  
  
  
• На странице открытия новой вкладки проводятся эксперименты c выводом дополнительного информационного контента, рекомендованного сервисом Pocket, а также с изменением раскладки размещения информации на странице. Например, у некоторых пользователей будет изменён размер блоков и  число рекомендаций, предложены новые тематические секции (Здоровье, Наука, Технологии и Развлечения). Для отказа от участия в эксперименте следует в верхнем правом углу страницы новой вкладки отключить опцию "Content Discovery";
  
• Проведена работа по повышению производительности и удобства работы с дополнениями. Для хранения настроек дополнений теперь используется  БД IndexedDB, вместо разбора отдельных JSON-файлов, что позволяет заметно повысить скорость работы и снизить потребление памяти в дополнениях, активно читающих настройки (например, заметно возросла производительность Adblock Plus). Разработчикам дополнений для использование IndexedDB не требуется вносить изменения в свои продукты, штатный API storage.local() автоматически переведён на новый бэкенд;
  
• Изменено оформление интерфейса для привязки горячих клавиш к  функциям дополнений (вызывается через контекстное меню в about:addons);
  
  
  
  
  
  
• В инструментах для web-разработчиков обеспечена возможность использования режима инспектирования при остановке отладчика;
  
• Снижена интенсивность генерации событий таймеров setTimeout и setInterval в процессе загрузки страницы (по аналогии с фоновыми вкладками уменьшен предоставляемый бюджет времени, который расходуется на  выполнение обработчика событий таймера), что позволило ускорить загрузку страниц при наличии работ, интенсивно нагружающих процессор;
  
• Обеспечено корректное отображение HTML и тестовых файлов в кодировке UTF-8, открываемых с локального диска  с использованием схемы URL "file:" (теперь не обязательно выставление в фале meta charset="utf-8" или изменение кодировки в меню);
  
• Реализован модификатор "i" для сравнения атрибутов CSS с учётом регистра символов. Например, "a[href*="insensitive" i] {...}";
  
• Добавлены отдельные CSS-свойства, упрощающие доступ к типовым частям составных CSS-свойств: padding-block, padding-inline, margin-block, margin-inline, inset, inset-block, inset-inline, border-block-color, border-block-style, border-block-width, border-inline-color, border-inline-style, border-inline-width, border-block, border-inline, border-start-start-radius, border-start-end-radius, border-end-start-radius и border-end-end-radius;
  
• Добавлены новые медиа-запросы  overflow-inline и overflow-block, позволяющие протестировать как устройство вывода обрабатывает (обрезает или допускает прокрутку) выходящий за пределы блока контент;
  
• В CSS-функции calc() добавлена возможность манипуляции величинами в процентах при вычислении ширины ячеек и столбцов таблиц. Например, "width: calc(100%/7)";
  
• Стандартизированы и избавлены от префикса "-moz-" ключевые слова min-content и max-content, которые можно применять для установки предпочтительного и минимального размера в свойствах width, height, flex-basis, min-width, max-width, min-height, max-height, min-block-size, min-inline-size, max-block-size, max-inline-size, block-size и inline-size;
  
• Реализован метод HTMLSlotElement.assignedElements() для вывода последовательности элементов, прикреплённых к указанному слоту;
  
• Реализован метод  TextEncoder.encodeInto() для перекодирования USV-строки и помещения результата в объект unit8Array;
  
• Добавлена поддержка свойств:  InputEvent.inputType (тип изменения редактируемого контента - добавление, удаление, форматирование), Window.event и Event.returnValue;
  
• Значение HTTP-заголовка  "Accept" изменено по умолчанию на "*/*" (было - "text/html, application/xhtml+xml, application/xml; q=0.9, */*; q=0.8");
  
• В Linux решена проблема с зависанием браузера при загрузке файлов;
  
• В Windows 10 добавлена поддержка механизма Windows Hello для  аутентификации на сайтах (при помощи API Web Authentication) без пароля с использованием отпечатка пальца, распознавания лица или USB-токена  с поддержкой спецификации FIDO2;
  
• На платформе macOS добавлена начальная поддержка сенсорных панелей (Touch Bar);
  
• В версии для Android добавлена возможность открытия файлов с внешних носителей, например, с SD-карты.
  

Кроме новшеств и исправления ошибок в Firefox 66 устранена серия уязвимостей, из которых 26 (CVE-2019-9792, CVE-2019-9791, CVE-2019-9790, 13 объединены под CVE-2019-9789 и 10 под CVE-2019-9788) помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 66 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Представлен релиз web-браузера Firefox 66, а также мобильной версии Firefox 66 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 67, релиз которой намечен на 15 мая.

Основные новшества:

• Добавлена поддержка механизма "Scroll Anchoring", при котором позиция прокрутки привязывается к конкретному месту на странице и не меняется при отображении новых элементов в вышележащей области. Изменение позволит исключить ситуации, когда прокрутка сразу после открытия страницы приводит к постепенному смещению позиции и необходимости вновь и вновь прокручивать содержимое по мере загрузки изображений и внешних вставок (например, ранее возникали казусы, когда в момент клика на нужную ссылку завершалась загрузка расположенного выше рекламного баннера, контент смещался и клик попадал на баннер);
• Включена блокировка автоматического воспроизведения мультимедийного контента со звуком (использование свойства autoplay без выставления флага mute или отсутствия звуковой дорожки). Воспроизведение звука теперь будет начинаться только при явном действии пользователя, например, при нажатии на кнопку или клике на видеоролике. Для включения режима блокировки в настройки добавлена специальная опция:

  При открытии страницы, автоматически воспроизводящей звук, пользователю будет выводится уведомление о блокировке. В уведомлении будет предоставлена опция, позволяющая добавить текущий сайт в белый список, разрешающий автоматическое воспроизведение звука. Статус блокировки также можно изменить через блок настроек, отображаемый в контекстном меню сайта.

  

  Предложенный блокировщик позволит противостоять злоупотреблениям на некоторых сайтах, автоматически показывающих видеорекламу со звуком, которая создаёт неудобства и отвлекает пользователя при просмотре страниц. На этой неделе режим будет активирован по умолчанию для 25% пользователей, браузера, а на следующей неделе охват будет увеличен до 50%. Если не будет выявлено существенных проблем, ещё через неделю блокировщик будет активирован для всех пользователей;

• В меню "V", появляющееся при открытии большого числа вкладок, добавлена кнопка "Search Tabs" для поиска открытых вкладок и упрощения навигации при наличии большого числа открытых страниц. Реализация кнопки базируется на уже давно существующей, но малоизвестной возможности, позволяющей выполнять поиск по заголовкам страниц во вкладках при помощи ключа "%" в адресной строке (например, после набора в адресной строке "% Free" будет показан список вкладок в заголовках которых присутствует слово "Free"). При нажатии кнопки "Search Tabs" осуществляется смена фокуса на адресную строку и ввод символа "%" с приглашением продолжить ввод;
• Изменено оформление страницы новой вкладки в приватном режиме, в том числе добавлена строка поиска;
• В сборках для Linux по умолчанию включено декорирование окон на стороне клиента (CSD, Client Side Decoration), при котором заголовок и рамки окна отрисовываются не оконным менеджером, а самим приложением. Применение CSD позволяет приблизить интерфейс Firefox к оформлению штатных приложений GNOME, а именно перенести панели вкладок в заголовок окна и реализовать скрытые рамки. Начиная с Firefox 60 данная возможность была реализована в виде опции. Отключить CSD можно через флажок в левом нижнем углу раздела кастомизации;
  
  
• Изменено оформление и увеличена информативность страниц, выдаваемых при проблемах с сертификатами защищённого соединения. Реализован вывод отдельного предупреждения (MOZILLA_PKIX_ERROR_MITM_DETECTED) при выявлении подмены сертификатов и перехвата трафика HTTPS из-за активности антивирусов, вредоносного ПО или вмешательства провайдера в трафик;
• С 4 до 8 увеличено число запускаемых браузером процессов-обработчиков, каждый из которых обслуживает несколько вкладок (браузер также запускает отдельные процессы для WebExtension и интерфейса). Увеличение до 8 числа процессов-обработчиков приведёт к повышению производительности и устойчивости к сбоям, но суммарное потребление памяти увеличится приблизительно на 6%. В дальнейшем планируется реализация режима строгой изоляции сайтов, в котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox, а разделение будет осуществляться не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков;
• На странице открытия новой вкладки проводятся эксперименты c выводом дополнительного информационного контента, рекомендованного сервисом Pocket, а также с изменением раскладки размещения информации на странице. Например, у некоторых пользователей будет изменён размер блоков и число рекомендаций, предложены новые тематические секции (Здоровье, Наука, Технологии и Развлечения). Для отказа от участия в эксперименте следует в верхнем правом углу страницы новой вкладки отключить опцию "Content Discovery";
• Проведена работа по повышению производительности и удобства работы с дополнениями. Для хранения настроек дополнений теперь используется БД IndexedDB, вместо разбора отдельных JSON-файлов, что позволяет заметно повысить скорость работы и снизить потребление памяти в дополнениях, активно читающих настройки (например, заметно возросла производительность Adblock Plus). Разработчикам дополнений для использование IndexedDB не требуется вносить изменения в свои продукты, штатный API storage.local() автоматически переведён на новый бэкенд;
• Изменено оформление интерфейса для привязки горячих клавиш к функциям дополнений (вызывается через контекстное меню в about:addons);
• В инструментах для web-разработчиков обеспечена возможность использования режима инспектирования при остановке отладчика;
• Снижена интенсивность генерации событий таймеров setTimeout и setInterval в процессе загрузки страницы (по аналогии с фоновыми вкладками уменьшен предоставляемый бюджет времени, который расходуется на выполнение обработчика событий таймера), что позволило ускорить загрузку страниц при наличии работ, интенсивно нагружающих процессор;
• Обеспечено корректное отображение HTML и тестовых файлов в кодировке UTF-8, открываемых с локального диска с использованием схемы URL "file:" (теперь не обязательно выставление в фале meta charset="utf-8" или изменение кодировки в меню);
• Реализован модификатор "i" для сравнения атрибутов CSS с учётом регистра символов. Например, "a[href*="insensitive" i] {...}";
• Добавлены отдельные CSS-свойства, упрощающие доступ к типовым частям составных CSS-свойств: padding-block, padding-inline, margin-block, margin-inline, inset, inset-block, inset-inline, border-block-color, border-block-style, border-block-width, border-inline-color, border-inline-style, border-inline-width, border-block, border-inline, border-start-start-radius, border-start-end-radius, border-end-start-radius и border-end-end-radius;
• Добавлены новые медиа-запросы overflow-inline и overflow-block, позволяющие протестировать как устройство вывода обрабатывает (обрезает или допускает прокрутку) выходящий за пределы блока контент;
• В CSS-функции calc() добавлена возможность манипуляции величинами в процентах при вычислении ширины ячеек и столбцов таблиц. Например, "width: calc(100%/7)";
• Стандартизированы и избавлены от префикса "-moz-" ключевые слова min-content и max-content, которые можно применять для установки предпочтительного и минимального размера в свойствах width, height, flex-basis, min-width, max-width, min-height, max-height, min-block-size, min-inline-size, max-block-size, max-inline-size, block-size и inline-size;
• Реализован метод HTMLSlotElement.assignedElements() для вывода последовательности элементов, прикреплённых к указанному слоту;
• Реализован метод TextEncoder.encodeInto() для перекодирования USV-строки и помещения результата в объект unit8Array;
• Добавлена поддержка свойств: InputEvent.inputType (тип изменения редактируемого контента - добавление, удаление, форматирование), Window.event и Event.returnValue;
• Значение HTTP-заголовка "Accept" изменено по умолчанию на "*/*" (было - "text/html, application/xhtml+xml, application/xml; q=0.9, */*; q=0.8");
• В Linux решена проблема с зависанием браузера при загрузке файлов;
• В Windows 10 добавлена поддержка механизма Windows Hello для аутентификации на сайтах (при помощи API Web Authentication) без пароля с использованием отпечатка пальца, распознавания лица или USB-токена с поддержкой спецификации FIDO2;
• На платформе macOS добавлена начальная поддержка сенсорных панелей (Touch Bar);
• В версии для Android добавлена возможность открытия файлов с внешних носителей, например, с SD-карты.

Кроме новшеств и исправления ошибок в Firefox 66 устранена серия уязвимостей, из которых 26 (CVE-2019-9792, CVE-2019-9791, CVE-2019-9790, 13 объединены под CVE-2019-9789 и 10 под CVE-2019-9788) помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50352

Компания Mozilla запустила новый сервис Firefox Send, предоставляющий средства для обмена файлами между пользователями с применением оконечного шифрования (end-to-end). Изначально данный сервис проходил тестирование в рамках программы Test Pilot ещё в 2017 году, а теперь признан готовым для повсеместного использования.

Firefox Send позволяет загрузить в хранилище на серверах Mozilla файл, размером до 1 Гб в анонимном режиме и 2.5 Гб при создании зарегистрированной учётной записи. На стороне браузера файл шифруется и передаётся на сервер уже в зашифрованном виде. После загрузки файла пользователю предоставляется ссылка, которая генерируется на стороне браузера и включает идентификатор и ключ для расшифровки. При помощи предоставленной ссылки получатель загружает файл и расшифровывает на своей стороне.

Отправитель имеет возможность определить число загрузок, после которых файл будет удалён из хранилища Mozilla, а также время жизни файла (от одного часа до 7 дней). По умолчанию файл удаляется после первой загрузки или после истечения 24 часов. Также можно задать отдельный пароль для получения файла, позволяющий предотвратить доступ к конфиденциальной информации в случае попадания ссылки не в те руки (для усиления защиты пароль можно передать отдельно от ссылки, например через SMS, также можно опубликовать ссылку публично, а пароль отправить только избранным пользователям).

Сервис Send не привязан к Firefox и подготовлен в виде универсального web-приложения, не требующего встраивания в браузер дополнений. Для работы с сервисом также подготовлено специализированное Android-приложение, бета-версия которого будет загружена в каталог Google Play в течение недели. Серверная часть написана на JavaScript с использованием Node.js и СУБД Redis. Код сервера размещён на GitHub под лицензией MPL 2.0 (Mozilla Public License), что позволяет любому желающему развернуть аналогичный сервис на подконтрольном оборудовании.

Для шифрования применяется API Web Crypto и алгоритм блочного шифрования AES-GCM (128 bit). Для каждой загрузки вначале при помощи функции crypto.getRandomValues создаётся секретный ключ, на основе которого затем генерируется три ключа: ключ для шифрования файла при помощи AES-GCM, ключ для шифрования метаданных при помощи AES-GCM и ключ цифровой подписи для аутентификации запроса (HMAC SHA-256). Зашифрованные данные и ключ цифровой подписи загружаются на сервер, а секретный ключ для расшифровки отображается как часть URL.

При указании пароля ключ для цифровой подписи формируется как хэш PBKDF2 от введённого пароля и URL с фрагментом секретного ключа (заданный пользователем пароль используется для аутентификации запроса, т.е. сервер отдаст файл только если пароль введён верно, но сам пароль не используется для шифрования).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50306

На днях я публиковала подборку расширений для Chrome, которую использую для «прокачивания» различных навыков английского. В комментариях попросили сделать подобный материал для аддонов Firefox. Поскольку это мой второй любимый браузер, которым я также активно пользуюсь, сделать это было нетрудно.

Итак, вот семь полезных расширений, которые помогут улучшить навыки письма, пополнить словарный запас и научиться воспринимать английскую речь на слух. Читать дальше →

В состав ночных сборок Firefox, на основе которых 14 мая будет сформирован релиз Firefox 67, включена поддержка опций для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также кода для отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Для включения новых режимов блокировки в конфигуратор добавлены соответствующие настройки.

Блокировка осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации, что приводят к существенному увеличению нагрузки на процессор в системе пользователя.

Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

Кроме того, из Tor Browser в ночные сборки Firefox перенесена поддержка техники блокирования идентификации "letterboxing", добавляющая в каждой вкладке отступы между рамкой окна и отображаемым контентом для предотвращения привязки к размеру видимой области. Отступы добавляются с расчётом приведения разрешения к значению кратному 128 и 100 пикселей по горизонтали и вертикали. В случае произвольного изменения размера окна пользователем, размер видимой области становится фактором, достаточным для идентификации разных вкладок в одном окне браузера. Приведение видимой области к типовому размеру не позволяет осуществить данную привязку. Для включения противостояния идентификации в about:config предусмотрена настройка "privacy.resistFingerprinting".

Из других изменений, недавно добавленных в ночные сборки Firefox можно отметить:

• Добавление на панель новой кнопки с аватаром, предоставляющей доступ к управлению учётной записью в сервисе Firefox Account и отображающей статус синхронизации (Firefox Sync).
• При выводе рекомендаций при заполнении форм входа добавлена кнопка "View Saved Logins", позволяющая просмотреть параметры сохранённых учётных записей в менеджере паролей;

Источник: http://www.opennet.ru/opennews/art.shtml?num=50274

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.5.3. Основные изменения в новой версии:

• Исправлено: Проблема при использовании пункта меню «Отправить > Адресат» в Windows, появившаяся в версии 60.5.2
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

В этом руководстве мы научимся использовать видео в Вебе, как это принято в 2019. Chrome и Firefox начали поддерживать новый кодек AV1 — для них видео можно сделать в два раза меньше.

Отдельно поговорим, как заменить GIF на видео в AV1 и H.264 — тогда его размер упадёт в 20-40 раз.



YouTube уже использует его в TestTube. Netflix заявил, что AV1 будет «их основным кодеком следующего поколения».

Мы в Злых Марсианах уже используем его на нашем сайте и на Ампллифере. В этой статье я поделюсь опытом внедрения AV1 и шаг-за-шагом расскажу, как вставить видео, чтобы оно работало во всех браузерах.
Читать дальше →

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.5.2. Основные изменения в новой версии:

• Исправлено: Падение в некоторых случаях в Windows при использовании пункта меню «Отправить > Адресат» (интерфейс MAPI)
  
• Исправлено: Поддержка UTF-8 для MAPISendMail
  
• Исправлено: Проблема с проверкой сертификата S/MIME при получении электронной почты из Outlook (проблема появилась в версии 60.5.1)
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 65.0.2, в котором исправлена проблема со службой определения местоположения, затрагивающая пользователей Windows.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

Что нового в Firefox 65 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

В ночных сборках Firefox, на основе которых будет сформирован релиз Firefox 67, появилась поддержка новой встроенной страницы "about:compat". На данной странице перечислены обходные пути и патчи, применяемые для обеспечения совместимости с отдельными сайтами, которые некорректно работают в Firefox. Вносимые для совместимости изменения в простейших случаях ограничиваются сменой идентификатора "User Agent", если сайт жестко привязывается к определённым браузерам. В более сложных ситуациях в контексте сайта запускается JavaScript-код, исправляющий проблемы с совместимостью.

Ещё одним новшеством, запланированным для включения в Firefox, стала реализация возможности автоматической выгрузки вкладок для высвобождения ресурсов. Функция активируется при нехватке памяти и в первую очередь вытесняет давно не используемые вкладки. При этом вкладки не исчезают, а переводятся в состояние готовности к загрузке (режим ожидания), аналогичное тому, что наблюдается после восстановления сеанса. Для включения режима в about:config добавлена опция "browser.tabs.unloadOnLowMemory", которая уже включена в ночных сборках.

Дополнительно можно отметить публикацию корректирующего обновления Firefox 65.0.2, в котором исправлена специфичная для платформы Windows проблема с работой сервисов по определению местоположения пользователя (API Geolocation).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50231

Компания Mozilla опубликовала набор голосовых данных, собранный в результате инициативы Common Voice и включающий примеры произношения 42 тысяч людей. В результате инициативы было получено почти 1400 часов речевого материала на 18 языках (русский язык отсутствует), который можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. Данные опубликованы как общественное достояние (CC0).

Напомним, что проект Common Voice нацелен на организацию совместной работы по накоплению базы голосовых шаблонов, учитывающей всё разнообразие голосов и манер речи. Пользователям предлагалось озвучить выводимые на экран фразы или оценить качество данных, добавленных другими пользователями. Накопленную базу данных c записями различного произношения типовых фраз человеческой речи без ограничений можно использовать в системах машинного обучения и в исследовательских проектах. До сих пор исследователям и разработчикам были доступны только ограниченные наборы голосовых данных, а стоимость полноценных коллекций голосовых выборок исчислялась десятками тысяч долларов, что сильно тормозило независимые исследования в области распознавание речи.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50229

Несколько изменений, добавленных в кодовую базу Firefox и ожидаемых в одном из следующих выпусков:

• В ночные сборки Firefox добавлена начальная поддержка API Picture-in-Picture и возможность просмотра видео в режиме "картинка в картинке", позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для включения нового режима в Firefox в about:config следует активировать опцию "media.videocontrols.picture-in-picture.enabled". Для просмотра в данном режиме видео с YouTube необходимо два раза кликнуть на видео правой кнопкой мыши и выбрать режим "Picture in picture";
• Предложена новая реализация менеджера дополнений (about:addons), который по аналогии с about:config переписан с использованием JavaScript и стандартных web-технологий. Отдельные кнопки управления активацией дополнений заменены на контекстное меню. Для каждого дополнения обеспечена возможность просмотра полного описания, изменения настроек и управления правами доступа, не покидая основную страницу со списком дополнений. Для оценки работы нового интерфейса в ночных сборках Firefox в about:config можно включить опцию "extensions.htmlaboutaddons.enabled". Ожидается, что новый интерфейс менеджера дополнений будет предложен в Firefox 67.
• В Firefox 67 решено запретить возможность использования дополнительных протоколов в URL, используемых в качестве источника для загрузки iframe. Речь ведётся о внешних протоколах, не возвращающих какие-либо данные, таких как "mailto:", "ircs://" и "itms://". Блокировка будет предпринята для защиты от возможных DoS-атак, направленных на исчерпание имеющихся ресурсов при открытии страниц, содержащих большое число iframe-блоков, ссылающихся на внешние обработчики. Например, при указании конструкций вида ‹iframe src="mailto:support@example.com"› можно инициировать запуск большого числа экземпляров почтового клиента.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50200

В ночных сборках, на базе которых 14 мая будет сформирован релиз Firefox 67, переработан интерфейс about:config. Реализация about:config полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum.

Вместо столбцов со статусом переменной и её типом добавлен столбец с кнопками, позволяющими инвертировать переменные с булевыми значениями (true/false) и редактировать строковые и числовые переменные. Кроме выделения жирным шрифтом значений, изменённых пользователем, для них также будет отображаться кнопка, позволяющая вернуть значение по умолчанию.

По сути новый интерфейс представляет собой открываемую внутри браузера служебную web-страницу. Элементы в about:config теперь можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Кроме того, на странице можно использовать штатный диалог внутреннего поиска для пошагового перебора интересующих элементов. Верхняя строка поиска сохранена и теперь может применяться для добавления новых конфигурационных переменных - в строке поиска достаточно ввести новое значение, определить тип и нажать кнопку "Добавить".

Дополнительно можно отметить решение включить в Firefox 67 системное дополнение Firefox Monitor, эксперимент по активации которого для ограниченного числа англоязычных пользователей был проведён ещё в Firefox 62, а активация была запланирована в одном из следующих выпусков. Пользователям также был был предложен web-сервис monitor.firefox.com для проверки своего email. После этого дополнение Firefox Monitor было доставлено дополнительным категориям пользователей, но включено только для подписчиков сервиса monitor.firefox.com.

Теперь разработка дополнения перемещена в основную кодовую базу Firefox, дополнение вошло в состав ночных сборок и после релиза Firefox 67 будет активировано для всех пользователей (для включения до релиза следует установить переменную extensions.fxmonitor.enabled в about:config). Напомним, что дополнение Firefox Monitor обеспечивает вывод предупреждения в случае компрометации учётной записи (проверка по email) или попытке входа на ранее взломанный сайт. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 6.4 миллиардах учётных записей, похищенных в результате взломов 342 сайтов. Предупреждение выводится только для сайтов, информация о взломах которых добавлена в базу haveibeenpwned.com в течение последних 12 месяцев. В случае если с момента появления данных о взломе не прошло 2 месяца будет показано повторное предупреждение.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50164

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 60.5.1. Основные изменения в новой версии:

• Исправлено: Не удавалось подключиться к некоторым серверам CalDav
  
• Исправлено: Устранены уязвимости в системе безопасности
  

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 65.0.1, в котором устранены три уязвимости и исправлено 8 ошибок. Уязвимости затрагивают входящую в состав библиотеку Skia и могут привести к целочисленному переполнению, обращению к уже освобождённой  области памяти или переполнению буфера  при обработке специально оформленных данных. Уязвимости также устранены в выпуске Firefox 60.5.1 ESR.

Среди исправленных ошибок:

• При показе контекстных рекомендаций дополнений убрано случайное обращениек внешнему хосту addons.mozilla.org до того как пользователь нажал кнопку установки;
  
• Улучшено воспроизведение интерактивных видео с сервиса Netflix;
  
• Решена проблема с некорректным выбором размера диалога очистки недавней истории посещений;
  
• Устранены задержки при выводе звука и видео в момент совершения вызовов по WebRTC;
  
• Исправлен некорректный выбор размера видео для некоторых видеовызовов по WebRTC;
  
• Устранено зацикливание запросов CONNECT при организации канала связи через прокси-сервер при использовании WebSockets поверх HTTP/2;
  
• Решена проблема с неработоспособностью клавиши "Enter" в формах ввода паролей в Ubuntu и некоторых других дистрибутивах Linux.
  

Одновременно сформирован выпуск  Browser 8.0.6, в котором помимо вышеотмеченных исправлений уязвимостей обновлена версия дополнения  HTTPS Everywhere 2019.1.31 и из списка доступных по умолчанию шлюзов удалён адрес 83.212.101.3 (уже несколько месяцев данный узел не работает).
Дополнительно можно отметить объявление о заключении соглашения с компанией Ubisoft по использованию при разработке Firefox системы сопровождения процесса разработки Clever-Commit, использующей методы машинного обучения для анализа качества кода и выявления ошибок во время рецензирования изменений, написания нового кода и тестирования продукта. Clever-Commit позволяет на самых ранних стадиях разработки выявлять типичные ошибки программистов, учитывая историю изменений, различные вспомогательные метрики и данные из системы отслеживания ошибок (система обучается на ранее допущенных ошибках и позволяет определять появление похожих проблем).

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 65 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 65.0.1, в котором устранены три уязвимости и исправлено 8 ошибок. Уязвимости затрагивают входящую в состав библиотеку Skia и могут привести к целочисленному переполнению, обращению к уже освобождённой области памяти или переполнению буфера при обработке специально оформленных данных. Уязвимости также устранены в выпуске Firefox 60.5.1 ESR.

Среди исправленных ошибок:

• При показе контекстных рекомендаций дополнений убрано случайное обращение к внешнему хосту addons.mozilla.org до того как пользователь нажал кнопку установки;
• Улучшено воспроизведение интерактивных видео с сервиса Netflix;
• Решена проблема с некорректным выбором размера диалога очистки недавней истории посещений;
• Устранены задержки при выводе звука и видео в момент совершения вызовов по WebRTC;
• Исправлен некорректный выбор размера видео для некоторых видеовызовов по WebRTC;
• Устранено зацикливание запросов CONNECT при организации канала связи через прокси-сервер при использовании WebSockets поверх HTTP/2;
• Решена проблема с неработоспособностью клавиши "Enter" в формах ввода паролей в Ubuntu и некоторых других дистрибутивах Linux.

Одновременно сформирован выпуск Tor Browser 8.0.6, в котором помимо вышеотмеченных исправлений уязвимостей обновлена версия дополнения HTTPS Everywhere 2019.1.31 и из списка доступных по умолчанию шлюзов удалён адрес 83.212.101.3 (уже несколько месяцев данный узел не работает).

Дополнительно можно отметить объявление о заключении соглашения с компанией Ubisoft по использованию при разработке Firefox системы сопровождения процесса разработки Clever-Commit, использующей методы машинного обучения для анализа качества кода и выявления ошибок во время рецензирования изменений, написания нового кода и тестирования продукта. Clever-Commit позволяет на самых ранних стадиях разработки выявлять типичные ошибки программистов, учитывая историю изменений, различные вспомогательные метрики и данные из системы отслеживания ошибок (система обучается на ранее допущенных ошибках и позволяет определять появление похожих проблем).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50140

Разработчики Mozilla сообщили об успехах развития проекта Fission, в рамках которого предпринята попытка модернизации архитектуры Firefox для повышения защищённости браузера. По аналогии с изменениями, предложенными летом прошлого года в Chrome, в Firefox планируется реализовать режим строгой изоляции сайтов, при котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox. Разделение осуществляется не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков.

Проект развивается уже около года и в конце февраля достигнет состояния первого тестового выпуска (Milestone 1), в котором будет реализована возможность выноса выполнения содержимого iframe в отдельные процессы. В дальнейшем начнётся работа по адаптации подсистем Firefox для использования предложенной модернизированной архитектуры. В настоящее время Firefox запускает несколько процессов-обработчиков (от 1 до 7, в зависимости от настроек), каждый из которых обслуживает несколько вкладок, а также запускает отдельные процессы для WebExtension и интерфейса.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50106

В ближайших версиях Firefox и Chromium могут произойти важные изменения.

Во-первых, в Firefox 66 для десктопов по умолчанию заблокируется автоматическое воспроизведение видео и звука на всех страницах. Блог Mozilla Hacks заранее предупреждает об этом разработчиков. Воспроизведение видео и звука разрешается только через HTMLMediaElement API и только после взаимодействия пользователя со страницей (щелчок мыши, нажатие кнопки или прикосновение к тачскрину).

В Chromium могут произойти ещё более интересные изменения.
Читать дальше →

Разработчики Mozilla рассматривают возможность включения в Firefox 67 кода для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также для противодействия отслеживанию пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). В настоящее время обсуждается прототип интерфейса для управления блокировками. Например, для включения новых режимов блокировки в настройки предлагается добавить несколько новых опций:

Для ручного включения блокировщиков в about:config предусмотрены настройки "privacy.trackingprotection.cryptomining.enabled" и "privacy.trackingprotection.fingerprinting.enabled". Состояние блокировки для текущего сайта можно будет оценить через меню "(i)", там же предусмотрена возможность перехода на страницы с более детальной информацией о том, какой именно код был заблокирован.

Блокировка будет осуществляться по дополнительным категориям в списке блокировки Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации, что приводят к существенному увеличению нагрузки на процессор в системе пользователя. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50094

В ночных сборках Firefox, на базе которых формируется релиз Firefox 67, расширено применение системы композитинга Servo WebRender, которая теперь включена по умолчанию для некоторых GPU AMD (CIK, VI, GFX9) и Intel (HD Graphics P530/530/630, UHD Graphics 630, Iris Pro Graphics P555). В настоящее время по умолчанию заявлена поддержка лишь отдельных видеокарт, но по мере тестирования список будет расширяться. Напомним, что ранее WebRender был предложен для тестирования только пользователям видеокарт NVIDIA.

Реализация WebRender написана на языке Rust и позволяет вынести на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU. Активировать WebRender можно через переменные "gfx.webrender.all.qualified" и "gfx.webrender.all" в about:config.

Дополнительно можно отметить временную приостановку распространения автоматических обновлений с Firefox 65 для платформы Windows из-за выявления серьёзной несовместимости с некоторыми антивирусами, которая приводит к выводу ошибки SEC_ERROR_UNKNOWN_ISSUER при попытке открытия сайтов по HTTPS. Проблема проявляется при включении в антивирусах Avast, AVG, Kaspersky, ESET и Bitdefender модуля защиты Web, который анализирует HTTPS-трафик через подстановку своего сертификата в список корневых сертификатов Windows и подмену на него изначально используемых сертификатов сайтов. Firеfox использует собственный список корневых сертификатов и игнорирует системный список сертификатов, поэтому воспринимает подобную активность как MITM-атаку. Столкнувшимся с проблемой пользователям рекомендуется отключить модуль сканирования HTTPS в антивирусах или разрешить в Firefox использовать системный список сертификатов (security.enterprise_roots.enabled в about:config).

В Firefox 66 планируется выводить отдельное предупреждение (MOZILLA_PKIX_ERROR_MITM_DETECTED) при выявлении подмены сертификатов и перехвата трафика HTTPS из-за активности антивирусов, вредоносного ПО или вмешательства в трафик провайдера.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50075

В прошлом году Mozilla выпустила Quantum CSS для Firefox, который стал кульминацией восьми лет разработки Rust — безопасного для памяти языка системного программирования. Потребовалось более года, чтобы переписать основной компонент браузера на Rust.

До сих пор все основные браузерные движки написаны на C++, в основном по соображениям эффективности. Но с большой производительностью приходит большая ответственность: программисты C++ должны вручную управлять памятью, что открывает ящик Пандоры уязвимостей. Rust не только устраняет такие ошибки, но его методы также предотвращают гонки данных, позволяя программистам более эффективно внедрять параллельный код.

Читать дальше →

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 60.5.0. В новой версии предоставлена возможность подключения дополнительных поисковых движков OpenSearch с определением конфигурации в XML-файле (в интерфейс добавлены кнопки для загрузки и удаления файла с настройками). По умолчанию предложены поисковые системы  Google и DuckDuckGo.

При создании учётной записи реализовано определение серверов, поддерживающих протокол Microsoft Exchange, и рекомендация установить дополнение для его поддержки. Добавлена поддержка использования сервиса WeTransfer для сохранения больших вложений к письмам с передачей в составе письма лишь ссылки на внешнее хранилище (FileLink). Обеспечена совместимость с  WebExtension-дополнениями  с другими реализациями FileLink, например, для передачи вложений через Dropbox. Устранён крах при настройке собственного звука для уведомлений о поступлении новых писем. Устранены 10 уязвимостей, в том числе 8 проблем отмечены как критические.


Из планов по развитию Thunderbird  в этом году отмечается анализ и устранения проблем с отзывчивостью интерфейса и производительностью, переход на многопроцессную модель работы, улучшение поддержки Gmail (с поддержкой меток и специфичных возможностей Gmail), улучшение системы уведомлений, переработка и расширение системы почтовых фильтров (в том числе переход на асинхронный режим работы и учёт контекста при фильтрации), переработка обработчиков протоколов (SMTP, NNTP) с использованием web-технологий, упрощение интерфейса для шифрования писем, поддержка OTR и шифрованных чатов, интеграция качественных дополнений в основной состав, расширение режимов импорта и экспорта, поддержка протокола  Exchange для календаря-планировщика, обновление инфраструктуры автоматизированного тестирования, улучшение поддержки форматов CardDAV, WebDAV, vCard, JSON-LD и RDF.

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Новость взята с сайта opennet.ru

Форум: Новости
Автор: banbot

Представлен релиз web-браузера Firefox 65, а также мобильной версии Firefox 65 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 66, релиз которой намечен на 19 марта.
Основные новшества:

• Предложен новый интерфейс управления блокировкой контента, предлагающий три режима блокировки (стандартный, строгий и настраиваемый):
  
  
  
  • В применяемом по умолчанию стандартном режиме блокировка отслеживания применяется только в окне приватного просмотра. Блокировка выполняется для доменов, уличённых в отслеживании перемещений несмотря на установку заголовка "Do Not Track" и занесённых в чёрный список disconnect.me. Ранее планируемая блокировка по умолчанию, не ограниченная приватным режимом, отложена и будет активирована после дополнительных тестов на отдельных категориях пользователей;
    
  • В строгом режиме блокируются все известные системы отслеживания перемещений и все сторонние Cookie, что может привести к нарушению работы отдельных сайтов;
    
  • Настраиваемый режим близок к форме конфигурации, реализованной в Firefox 63. В данном режиме пользователю предоставлена возможность определения списков блокировки (базовый или полный список disconnect.me), выбора вида блокировки Cookie,  включения/выключения кода отслеживания перемещений. Из видов блокировки Cookie поддерживается очистка Cookie связанных с кодом для отслеживания, блокировка Cookie от ранее не открывавшихся сайтов, блокировка всех Cookie, выставляемых в контексте другого сайта и очистка любых Cookie;
    
    
    
    
    
  
  
• Модернизирован индикатор состояния блокировки, отображаемый для каждого сайта в информационной панели "(i)". В индикаторе отображается статус блокировки, выявленные проблемы и ссылки, позволяющие посмотреть для каких доменов заблокированы  Cookie из-за отслеживания перемещений;
  
  
  
  
  
  
  
  
  
  
• Продолжено усовершенствование появившегося в прошлом выпуске  интерфейса для анализа потребления ресурсов (Task Manager), доступного через служебную страницу "about:performance". В новой версии добавлен столбец, отражающий потребление памяти для каждой вкладки и дополнения. Для каждого сайта во вкладке также можно оценить нагрузку, создаваемую внешними скриптами и дополнительными ресурсами, такими как iframe-блоки и Worker-потоки. В интерфейс добавлены кнопки для быстрого закрытия проблемных вкладок и для перехода к параметрам дополнений для их быстрого отключения;
  
  
  
  
  
  
• В настройки добавлена поддержка одновременной установки сразу нескольких языковых наборов  с возможностью переключения между ними. Теперь не обязательно загружать изначально локализованную версию -  при необходимости можно поменять язык  интерфейса в настройках;
  
  
  
  
  
  
• Добавлена поддержка формата изображений WebP, который разработан компанией Google и поддерживает анимированные изображения. В режиме кодирования с потерями WebP позволяет добиться сокращения размера файла на 25%-34% по сравнению с файлами JPEG аналогичного качества, а в режиме сжатия без потерь обеспечивает сокращение результирующего размера файла на 26% по сравнению с максимальным уровнем сжатия PNG. Реализация WebP до сих пор не была включена в состав Firefox из-за расхождения взглядов Mozilla и Google в области поддержки анимированных изображений. Разработчики из Mozilla продвигали формат APNG, а Google отказывался включать поддержку APNG из-за наличия собственного формата WebP. В прошлом году противостояние завершилось включением в Chromium поддержки APNG.
  
• Добавлена штатная поддержка работы в графическом окружении на основе протокола Wayland. Код для поддержки Wayland уже достаточно давно развивается в кодовой базе Firefox, но до сих пор для его активации требовалась пересборка из исходных текстов. Представленные в новых сборках изменения включают поддержку Wayland из коробки - для использования Wayland достаточно выбрать соответствующий бэкенд GTK+, запустив Firefox с переменной окружения GDK_BACKEND, выставленной в значение "wayland". Статус активации Wayland-бэкенда можно посмотреть на странице about:support (в секциях "WebGL Driver WSI Info" вместо GLX будет указано EGL);
  
• Для платформ Linux, Android и macOS включена по умолчанию защита SSP (Stack Smashing Protection, при сборке в GCC и Clang применяется опция "-fstack-protector-strong") для блокирования атак, связанных с переполнением буфера в стеке;
  
• Добавлен вывод предупреждения при закрытия окон, независимо от того, включена ли функция автоматического восстановления сеанса после перезапуска;
  
• Улучшена работа блокировщика всплывающих окон (pop-up blocker). Решена проблема с обходом блокировки через одновременное открытие нескольких всплывающих окон. Отныне  Window.open() может вызываться только один раз для каждого события, генерируемого  в ответ на действие пользователя;
  
• Включена поддержка  API Storage Access, позволяющего при выполнении стороннего встроенного контента (например, выполняемого в iframe) проверить наличие доступа к браузерному хранилищу и запросить необходимые полномочия у пользователя;
  
• Включена поддержка API Readable Streams, предоставляющего средства для потоковой обработки поступающих по сети данных (обработка по мере загрузки, не дожидаясь получения всего ресурса) при выполнении запроса при помощи функции fetch();
  
• Добавлена функция Intl.RelativeTimeFormat() для форматирование времени в текстовом представлении с учётом особенностей различных языков. Например, при выборе английского языка (rtf = new Intl.RelativeTimeFormat('en')) вызов rtf.format(3.14, 'second') приведёт к выводу 'in 3.14 seconds', а rtf.format(-15, 'minute') - '15 minutes ago'. В случае выбора русского языка, соответственно, будут выданы фразы 'через 3,14 секунд' и '15 минут назад';
  
• Добавлено ключевое слово globalThis для доступа к глобальным объектам независимо от текущего контекста (позволяет избавиться от мешанины из  window, self, global и this, употребляемых в зависимости от того, где выполняется скрипт, на странице, в worker-е или в Node.js);
  
• В объекте FetchEvent реализованы свойства replacesClientId и resultingClientId, определяющие исходный и целевой ресурсы при навигации по страницам;
  
• В API MediaRecorder добавлены события  pause и resume для приостановки и продолжения записи;
  
• В функцию createImageBitmap() добавлена поддержка SVG-изображений (SVGImageElement);
  
• Реализована возможность работы WebSockets поверх HTTP/2;
  
• Добавлена поддержка переменных окружения CSS, которые определяются браузером и в отличие от задаваемых пользователем свойств обрабатываются в контексте всего документа, а не отдельных элементов.  Переменные окружения можно использовать в любых свойствах CSS при помощи функции "env()" (например, "padding: env(safe-area-inset-top, 20px)"). Среди поддерживаемых переменных: safe-area-inset-top, safe-area-inset-right, safe-area-inset-bottom и safe-area-inset-left;
  
• В CSS добавлена функция steps() для синхронизации вывода анимации с выводом кадром через равные промежутки времени. Например, указание "animation: move-across 2s infinite alternate steps(5, jump-end);" вместо сглаженного вывода анимации разобьёт вывод на 5 равных шагов;
  
• Добавлены CSS-свойства break-before, break-after и break-inside, позволяющие настроить поведение разрывов при фрагментированном выводе в разрезе отдельных страниц, столбцов и областей. Например, "ol, ul, p { break-inside: avoid;}" запретит разрывать страницу внутри списков или параграфов;
  
• В WebGL добавлена поддержка расширений сжатия текстур BPTC и RGTC;
  
• Правила оформления заголовка Referrer (referrerpolicy)  теперь могут задаваться для скриптов (для тега script);
  
• Максимальный размер строки в JavaScript увеличен с 256MB до 1GB;
  
• В средства для web-разработчиков добавлен новый режим для инспектирования и отладки моделей компоновки элементов страницы flexbox, позволяющий анализировать расположение flexbox-контейнеров и проверять корректность выбранного размера элементов;
  
  
  
  
  
  
• Добавлена новая панель "Changes", на которой отражается история всех изменений CSS, произведённых через панель  Rules в рамках текущего сеанса работы в инструментах для разработчиков;
  
  
  
  
  
  
• Добавлен инструмент для оценки контраста и читаемости выбранного для текста сочетания цветов;
  
  
  
  
  
  
• Расширены возможности отладчика JavaScript. При отображении трассировок стека для улучшения восприятия основного кода теперь выявляются и сворачиваются обращения к методам фреймворков.  Добавлена поддержка установки точек останова на XHR-запросы (POST, GET);
  
• В JavaScript-консоли добавлена возможность поиска в обратном порядке по истории действий. Обеспечено автоматическое дополнение аргументов "$0", ссылающегося на инспектируемый в настоящий момент элемент (например, при вводе "$0.te" будет предложено "$0.textContent").
  
• На платформе macOS добавлена возможность использования технологии Handoff  для отправки данных об отрытых вкладках на другие устройства пользователя;
  
• В сборки для Windows добавлена поддержка формата сжатия видео AV1 (в Linux и macOS он был добавлен в позапрошлом выпуске);
  
• В версии для платформы Android проведена оптимизация производительности и отзывчивости интерфейса при прокрутке содержимого. Возобновлено отображения в адресной строке кнопок для управления воспроизведением через  Chromecast.
  

Кроме новшеств и исправления ошибок в Firefox 65 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 65 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Представлен релиз web-браузера Firefox 65, а также мобильной версии Firefox 65 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 66, релиз которой намечен на 19 марта.

Основные новшества:

• Предложен новый интерфейс управления блокировкой контента, предлагающий три режима блокировки (стандартный, строгий и настраиваемый):
  • В применяемом по умолчанию стандартном режиме блокировка отслеживания применяется только в окне приватного просмотра. Блокировка выполняется для доменов, уличённых в отслеживании перемещений несмотря на установку заголовка "Do Not Track" и занесённых в чёрный список disconnect.me. Ранее планируемая блокировка по умолчанию, не ограниченная приватным режимом, отложена и будет активирована после дополнительных тестов на отдельных категориях пользователей;
  • В строгом режиме блокируются все известные системы отслеживания перемещений и все сторонние Cookie, что может привести к нарушению работы отдельных сайтов;
  • Настраиваемый режим близок к форме конфигурации, реализованной в Firefox 63. В данном режиме пользователю предоставлена возможность определения списков блокировки (базовый или полный список disconnect.me), выбора вида блокировки Cookie, включения/выключения кода отслеживания перемещений. Из видов блокировки Cookie поддерживается очистка Cookie связанных с кодом для отслеживания, блокировка Cookie от ранее не открывавшихся сайтов, блокировка всех Cookie, выставляемых в контексте другого сайта и очистка любых Cookie;
• Модернизирован индикатор состояния блокировки, отображаемый для каждого сайта в информационной панели "(i)". В индикаторе отображается статус блокировки, выявленные проблемы и ссылки, позволяющие посмотреть для каких доменов заблокированы Cookie из-за отслеживания перемещений;
• Продолжено усовершенствование появившегося в прошлом выпуске интерфейса для анализа потребления ресурсов (Task Manager), доступного через служебную страницу "about:performance". В новой версии добавлен столбец, отражающий потребление памяти для каждой вкладки и дополнения. Для каждого сайта во вкладке также можно оценить нагрузку, создаваемую внешними скриптами и дополнительными ресурсами, такими как iframe-блоки и Worker-потоки. В интерфейс добавлены кнопки для быстрого закрытия проблемных вкладок и для перехода к параметрам дополнений для их быстрого отключения;
• В настройки добавлена поддержка одновременной установки сразу нескольких языковых наборов с возможностью переключения между ними. Теперь не обязательно загружать изначально локализованную версию - при необходимости можно поменять язык интерфейса в настройках;
• Добавлена поддержка формата изображений WebP, который разработан компанией Google и поддерживает анимированные изображения. В режиме кодирования с потерями WebP позволяет добиться сокращения размера файла на 25%-34% по сравнению с файлами JPEG аналогичного качества, а в режиме сжатия без потерь обеспечивает сокращение результирующего размера файла на 26% по сравнению с максимальным уровнем сжатия PNG. Реализация WebP до сих пор не была включена в состав Firefox из-за расхождения взглядов Mozilla и Google в области поддержки анимированных изображений. Разработчики из Mozilla продвигали формат APNG, а Google отказывался включать поддержку APNG из-за наличия собственного формата WebP. В прошлом году противостояние завершилось включением в Chromium поддержки APNG.
• Добавлена штатная поддержка работы в графическом окружении на основе протокола Wayland. Код для поддержки Wayland уже достаточно давно развивается в кодовой базе Firefox, но до сих пор для его активации требовалась пересборка из исходных текстов. Представленные в новых сборках изменения включают поддержку Wayland из коробки - для использования Wayland достаточно выбрать соответствующий бэкенд GTK+, запустив Firefox с переменной окружения GDK_BACKEND, выставленной в значение "wayland". Статус активации Wayland-бэкенда можно посмотреть на странице about:support (в секциях "WebGL Driver WSI Info" вместо GLX будет указано EGL);
• Для платформ Linux, Android и macOS включена по умолчанию защита SSP (Stack Smashing Protection, при сборке в GCC и Clang применяется опция "-fstack-protector-strong") для блокирования атак, связанных с переполнением буфера в стеке;
• Добавлен вывод предупреждения при закрытия окон, независимо от того, включена ли функция автоматического восстановления сеанса после перезапуска;
• Улучшена работа блокировщика всплывающих окон (pop-up blocker). Решена проблема с обходом блокировки через одновременное открытие нескольких всплывающих окон. Отныне Window.open() может вызываться только один раз для каждого события, генерируемого в ответ на действие пользователя;
  
  
  
• Включена поддержка API Storage Access, позволяющего при выполнении стороннего встроенного контента (например, выполняемого в iframe) проверить наличие доступа к браузерному хранилищу и запросить необходимые полномочия у пользователя;
• Включена поддержка API Readable Streams, предоставляющего средства для потоковой обработки поступающих по сети данных (обработка по мере загрузки, не дожидаясь получения всего ресурса) при выполнении запроса при помощи функции fetch();
• Добавлена функция Intl.RelativeTimeFormat() для форматирования времени в текстовом представлении с учётом особенностей различных языков. Например, при выборе английского языка (rtf = new Intl.RelativeTimeFormat('en')) вызов rtf.format(3.14, 'second') приведёт к выводу 'in 3.14 seconds', а rtf.format(-15, 'minute') - '15 minutes ago'. В случае выбора русского языка, соответственно, будут выданы фразы 'через 3,14 секунд' и '15 минут назад';
• Добавлено ключевое слово globalThis для доступа к глобальным объектам независимо от текущего контекста (позволяет избавиться от мешанины из window, self, global и this, употребляемых в зависимости от того, где выполняется скрипт, на странице, в worker-е или в Node.js);
• В объекте FetchEvent реализованы свойства replacesClientId и resultingClientId, определяющие исходный и целевой ресурсы при навигации по страницам;
• В API MediaRecorder добавлены события pause и resume для приостановки и продолжения записи;
• В функцию createImageBitmap() добавлена поддержка SVG-изображений (SVGImageElement);
  
  
  
• Реализована возможность работы WebSockets поверх HTTP/2;
• Добавлена поддержка переменных окружения CSS, которые определяются браузером и в отличие от задаваемых пользователем свойств обрабатываются в контексте всего документа, а не отдельных элементов. Переменные окружения можно использовать в любых свойствах CSS при помощи функции "env()" (например, "padding: env(safe-area-inset-top, 20px)"). Среди поддерживаемых переменных: safe-area-inset-top, safe-area-inset-right, safe-area-inset-bottom и safe-area-inset-left;
• В CSS добавлена функция steps() для синхронизации вывода анимации с выводом кадром через равные промежутки времени. Например, указание "animation: move-across 2s infinite alternate steps(5, jump-end);" вместо сглаженного вывода анимации разобьёт вывод на 5 равных шагов;
• Добавлены CSS-свойства break-before, break-after и break-inside, позволяющие настроить поведение разрывов при фрагментированном выводе в разрезе отдельных страниц, столбцов и областей. Например, "ol, ul, p { break-inside: avoid;}" запретит разрывать страницу внутри списков или параграфов;
• В WebGL добавлена поддержка расширений сжатия текстур BPTC и RGTC;
• Правила оформления заголовка Referrer (referrerpolicy) теперь могут задаваться для скриптов (для тега script);
• Максимальный размер строки в JavaScript увеличен с 256MB до 1GB;
  
  
  
• В средства для web-разработчиков добавлен новый режим для инспектирования и отладки моделей компоновки элементов страницы flexbox, позволяющий анализировать расположение flexbox-контейнеров и проверять корректность выбранного размера элементов;
• Добавлена новая панель "Changes", на которой отражается история всех изменений CSS, произведённых через панель Rules в рамках текущего сеанса работы в инструментах для разработчиков;
• Добавлен инструмент для оценки контраста и читаемости выбранного для текста сочетания цветов;
• Расширены возможности отладчика JavaScript. При отображении трассировок стека для улучшения восприятия основного кода теперь выявляются и сворачиваются обращения к методам фреймворков. Добавлена поддержка установки точек останова на XHR-запросы (POST, GET);
• В JavaScript-консоли добавлена возможность поиска в обратном порядке по истории действий. Обеспечено автоматическое дополнение аргументов "$0", ссылающегося на инспектируемый в настоящий момент элемент (например, при вводе "$0.te" будет предложено "$0.textContent").
• На платформе macOS добавлена возможность использования технологии Handoff для отправки данных об отрытых вкладках на другие устройства пользователя;
• В сборки для Windows добавлена поддержка формата сжатия видео AV1 (в Linux и macOS он был добавлен в позапрошлом выпуске);
• В версии для платформы Android проведена оптимизация производительности и отзывчивости интерфейса при прокрутке содержимого. Возобновлено отображения в адресной строке кнопок для управления воспроизведением через Chromecast.

Кроме новшеств и исправления ошибок в Firefox 65 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50050

Начиная с Firefox 66 сборки для Linux будут по умолчанию переведены на применение режима декорирования окон на стороне клиента (CSD, Client Side Decoration), при котором заголовок и рамки окна отрисовываются не оконным менеджером, а самим приложением. Применение CSD позволяет приблизить интерфейс Firefox к оформлению штатных приложений GNOME, а именно перенести панели вкладок в заголовок окна и реализовать скрытые рамки. В Firefox 60 данная возможность была реализована в виде опции, которая в Firefox 66 будет активна по умолчанию (отключить CSD можно будет через флажок в левом нижнем углу раздела кастомизации).

Источник: http://www.opennet.ru/opennews/art.shtml?num=50047

В Firefox 65, который официально будет выпущен сегодня вечером, появится новый интерфейс управления блокировками контента и будет активирован по умолчанию блокировщик отслеживания перемещений пользователя. В связи с этим разработчики Mozilla подготовили свод правил, описывающих неправомерные методы отслеживания перемещений, подлежащие блокировке по умолчанию.

Под отслеживанием перемещений понимается сбор данных об активности конкретного пользователя на чужих сайтах, а также сохранение, использование и обмен полученными данными при участии третьих лиц, не связанных с владельцами ресурсов на которых была собрана статистика. Блокировке подлежат:

• Отслеживание перемещений через установку Cookie или запись идентификаторов в предоставляемые браузером постоянные хранилища, если данные операции выполнены в контексте текущего сайта кодом, загруженным с другого сайта (межсайтовое отслеживание), и выставляемый данным кодом идентификатор привязан к конкретному пользователю и используется для построения профиля его активности в сети, вопреки ожиданию пользователя (например, несмотря на установку заголовка "Do Not Track").
• Отслеживание перемещений через упоминание идентификатора пользователя или других персональных данных в URL загружаемых ресурсов с целью построения профиля активности пользователя в сети. Передача сведений через параметры в URL считается допустимой в таких ситуациях, как получение общей статистики об эффективности рекламной кампании, если данные обезличены, не привязываются в конкретному пользователю и не позволяют судить об его активности на других сайтах.
• Применение косвенных методов идентификации при помощи браузерных возможностей, изначально не рассчитанных на отслеживание и хранение или генерацию идентификаторов. Например, для скрытой идентификации может учитываться сочетание таких параметров, как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках HTTP/2 и HTTPS, списки установленных плагинов и шрифтов, активность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
• Использование для хранения идентификаторов "Supercookies", областей, изначально не предназначенных для постоянного хранения информации и не очищаемых при удалении данных в штатных браузерных хранилищах. Например, вовлечение в передачу идентификатора системы автозаполнения полей, привязка идентификатора при помощи механизма HPKP (HTTP Public Key Pinning) или закрепление идентификатора через флаги HSTS (HTTPS Strict Transport Security).

Первым шагом к воплощению правил в жизнь станет блокировка в Firefox 65 установки Cookie и сохранения данных через DOM Storage API для доменов, уличённых в отслеживании перемещений несмотря на установку заголовка "Do Not Track" и занесённых в чёрный список disconnect.me.

В одном из будущих выпусков также ожидается ужесточение приватного режима просмотра, в котором по умолчанию будут отключаться все установленные дополнения (подобное поведение действует в режиме инкогнито в Chrome). При этом через интерфейс about:addons пользователь сможет по своему желанию выбрать дополнения, допустимые в приватном режиме. Изменение планируется применить в Firefox 66.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50046