April 07, 2020

Mozilla Россия : Новости

Вышел Firefox 75.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

  • Для Linux началось формирование официальных сборок в формате Flatpak.

  • Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.


    Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

    0_1586265189.png

  • Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещение в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.

  • Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".

  • Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".

  • Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.

  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.

  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.

    0_1583300586.png

  • Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.

    0_1586265469.png

  • Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматичкеского определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).

  • Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.

  • На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.

  • Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.

  • Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.

  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.

  • Атрибут "type" в элементе <style> теперь может принимать только значение "text/css".

  • В CSS реализованы функции min(), max() и clamp().

  • Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).

  • В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.

  • Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;

  • Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).

  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.

  • Событие submit теперь реализуется объектом с тимпом SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.

  • Реализована корректная передача события о клики при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).

  • В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().

  • Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.

  • В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.

  • В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).

  • В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.

  • Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые макси).

  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.

  • В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket.

  • Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

    0_1586266982.png

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки

Что нового в Firefox 75 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

April 07, 2020 02:59 PM

OpenNet.ru : mozilla

Релиз Firefox 75

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

  • Для Linux началось формирование официальных сборок в формате Flatpak.
  • Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.

    Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  • Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещения в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
  • Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
  • Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
  • Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
  • Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматичкеского определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
  • Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
  • На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
  • Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
  • Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.


  • Атрибут "type" в элементе ‹style› теперь может принимать только значение "text/css".
  • В CSS реализованы функции min(), max() и clamp().
  • Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
  • В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.
          class ClassWithStaticField {         static staticField = 'static field'      }    
  • Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
  • Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Событие submit теперь реализуется объектом с тимпом SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Напирмер, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
  • Реализована корректная передача события о клике при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
  • В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().


  • Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
  • В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
  • В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
  • Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые маски).
  • В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket.
  • Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52689

April 07, 2020 01:07 PM

April 06, 2020

OpenNet.ru : mozilla

Доступен Firefox Preview 4.2 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.2, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Следом уже вышло обновление 4.2.1 с устранением уязвимостей. Новый выпуск опубликован в каталоге Google Play (для работы необходим Android 5 или новее). На завтра запланирован релиз Firefox 75.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

  • В адресной строке прекращён показ протокола (https://, http://) и поддомена "www.". Статус безопасного соединения отображается через пиктограмму. Для просмотра полного URL необходимо кликнуть на адресной строке и войти в режим редактирования URL.
  • Добавлена опция для разрешения автоматического воспроизведения звука или видео только при подсоединении к сети через Wi-Fi. Блокировку звука и видео теперь можно выбирать по отдельности.
  • При просмотре истории и закладок реализована возможность использования функции отправки ссылки ("share") сразу для нескольких страниц.
  • Добавлена анимация перехода между разными страницами настроек.
  • Компоненты браузера обновлены до библиотеки Android Components 37.0.0 и движка GeckoView 75 (срез репозитория от 2020-03-22).


Источник: http://www.opennet.ru/opennews/art.shtml?num=52682

April 06, 2020 05:35 PM

April 04, 2020

Mozilla Россия : Новости

Вышел Firefox 74.0.1

Форум: Новости
Автор: banbot

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты  применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти  (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора  nsDocShell  (CVE-2020-6819).


Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

April 04, 2020 05:19 PM

April 03, 2020

OpenNet.ru : mozilla

Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязвимостей

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора nsDocShell (CVE-2020-6819).

Дополнение: Вышел Tor Browser 9.0.8 с исправлением тех же уязвимостей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52672

April 03, 2020 07:33 PM

March 25, 2020

OpenNet.ru : mozilla

Mozilla тестирует сервис финансирования сайтов, продвигаемый как альтернатива рекламе

В рамках программы Test Pilot компания Mozilla предложила пользователям Firefox протестировать новый сервис "Firefox Better Web with Scroll", экспериментирующий с альтернативными видами финансирования сайтов. Тестирование доступно только для пользователей настольных версий Firefox из США. Для подключения используется единая учётная запись Firefox, также применяемая для синхронизации. Для участия требуется установка в Firefox специального дополнения.

Основная идея проекта - использование платной подписки на сервис для финансирования создания контента, что позволяет владельцам сайтов обойтись без показа рекламы. Сервис организован совместно с проектом Scroll, развивающим модель, похожую на реализованную в браузере Brave - пользователь оплачивает подписку на сервис ($2.49 в месяц) и имеет возможность просмотра сайтов, присоединившихся к инициативе Scroll, без рекламных вставок. До 70% полученных от пользователей средств распределяется между владельцами сайтов-партнёров, в пропорции, соответствующей времени, проведённому подписанными на сервис пользователями на каждом сайте (данные о том, сколько времени проведено на сайтах сервис Scroll собирает при помощи JavaScript-кода, размещаемого на сайтах-партнёрах).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52609

March 25, 2020 09:31 AM

Хабрахабр : Firefox

Firefox внедряет режим «только HTTPS»



В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.
Читать дальше →

Автор: GlobalSign_admin. Дата: March 25, 2020 08:53 AM

March 24, 2020

OpenNet.ru : mozilla

В Firefox 76 появится режим работы только по HTTPS

В ночные сборки Firefox, на основе которых 5 мая будет сформирован релиз Firefox 76, добавлен опциональный режим работы "HTTPS Only", при включении которого все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Для включения режима в about:config добавлена настройка "dom.security.https_only_mode".

Замена будет производиться как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://".

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.

В Chrome также ведётся работа по блокировке незащищённой загрузки субресурсов. Например, в выпуске Chrome 81 ожидалась активация нового режима защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений (в Chrome 80 была добавлена замена для скриптов, iframe, звуковых и видео файлов). В будущих выпусках Chrome также намечен переход к блокировке загрузки файлов по HTTP.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52597

March 24, 2020 06:56 AM

March 21, 2020

OpenNet.ru : mozilla

Mozilla возвращает поддержку TLS 1.0/1.1 в Firefox

Компания Mozilla приняла решение временно вернуть поддержку протоколов TLS 1.0/1.1, которые были отключены по умолчанию в Firefox 74. Поддержка TLS 1.0/1.1 будет возвращена без выпуска новой версии Firefox через систему экспериментов, применяемых для пробных внедрений новых возможностей. В качестве причины упоминаются то, что из-за пандемии коронавируса SARS-CoV-2 люди вынуждены работать из дома и не могут получить доступ к некоторым важным государственным сайтам, которые до сих пор не поддерживают TLS 1.2.

Напомним, что в Firefox 74 для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Возможность работы с устаревшими версиями TLS определяется через настройку security.tls.version.enable-deprecated в about:config.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52584

March 21, 2020 06:05 PM

March 19, 2020

OpenNet.ru : mozilla

В Firefox планируют полностью убрать поддержку FTP

Разработчики Firefox представили план полного прекращения поддержки протокола FTP, что коснётся как возможности загрузки файлов по FTP, так и просмотра содержимого каталогов на FTP-серверах. В выпуске Firefox 77, намеченном на 2 июня, поддержка FTP будет по умолчанию отключена, но в about:config будет добавлена настройка "network.ftp.enabled", позволяющая вернуть FTP. В ESR-сборках Firefox 78 поддержка FTP по умолчанию останется включённой. В 2021 году планируется полностью удалить связанный с FTP код.

В качестве причины прекращения поддержки FTP называется незащищённость данного протокола от модификации и перехвата транзитного трафика при совершении MITM-атак. По мнению разработчиков Firefox, в современных условиях нет причин в использовании FTP вместо HTTPS для загрузки ресурсов. Кроме того, код поддержки FTP в Firefox очень старый, создаёт проблемы при сопровождении и имеет историю выявления большого числа уязвимостей в прошлом. Для тех кому необходима поддержка FTP предлагается использовать внешние приложения, прикрепляемые в качестве обработчиков для URL ftp://, по аналогии с тем как используются обработчики irc:// или tg://.

Напомним, что ранее в Firefox 61 уже была запрещена загрузка ресурсов по протоколу FTP из страниц, открытых по HTTP/HTTPS, а в Firefox 70 была прекращена отрисовка содержимого файлов, загружаемых через ftp (например, при открытии через ftp перестали отображаться изображения, README и html-файлы, а сразу стал показываться диалог загрузки файла на диск). В Chrome также принят план избавления от FTP - в Chrome 80 начался процесс постепенного отключения поддержи FTP по умолчанию (для определённого процента пользователей), а на Chrome 82 намечено полное удаление кода, обеспечивающего работу FTP-клиента. По оценке Google FTP уже почти не используется - доля пользователей FTP составляет около 0.1%.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52569

March 19, 2020 06:30 AM

March 13, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.6.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.6.0.

    [*] Новое: При запуске нового профиля Thunderbird теперь отображает всплывающее окно
    [*] Изменено: Для Thunderbird теперь имеются частичные обновления, что уменьшает размер загрузки обновлений
    [*] Исправлено: В некоторых обстоятельствах поиск в теле сообщений приводил к ложным негативам, если HTML-тело сообщения использовало кодирование "quoted-printable"
    [*] Исправлено: «Получить новые сообщения для всех учетных записей» не работало для учетных записей IMAP использующих аутентификацию OAuth2
    [*] Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

  • Другие языки

Примечания к выпуску

March 13, 2020 03:36 PM

March 12, 2020

OpenNet.ru : mozilla

Mozilla поможет в актуализации платформы KaiOS (форк Firefox OS)

Mozilla и KaiOS Technologies объявили о сотрудничестве, нацеленном на обновление применяемого в мобильной платформе KaiOS браузерного движка. KaiOS продолжает разработку мобильной платформы Firefox OS и в настоящее время используется примерно на 120 млн устройствах, продаваемых более чем в 100 странах. Проблема в том, что в KaiOS продолжает применяться устаревший браузерный движок, соответствующий Firefox 48, на котором остановилось развитие B2G/Firefox OS в 2016 году. Данный движок устарел, не поддерживает многие актуальные web-технологии и не обеспечивает должной безопасности.

Целью сотрудничества с Mozilla является перевод KaiOS на новый движок Gecko и поддержание его в актуальном виде, в том числе обеспечив регулярную публикацию исправлений с устранением уязвимостей. Работа также подразумевает проведение оптимизации производительности платформы и связанных с ней сервисов и приложений. Все изменения и улучшения будут публиковаться под свободной лицензий MPL (Mozilla Public License).

Обновление браузерного движка позволит повысить безопасность мобильной платформы KaiOS и реализовать такие возможности, как поддержка WebAssembly, TLS 1.3, PWA (Progressive Web App), WebGL 2.0, средства для асинхронного выполнения JavaScript, новые свойства CSS, расширенный API для взаимодействия с оборудованием, поддержка изображений WebP и видео AV1.

В качестве основы KaiOS использованы наработки проекта B2G (Boot to Gecko), в рамках которого энтузиасты безуспешно попытались продолжить разработку Firefox OS, создав форк движка Gecko, после того как в 2016 году из основного репозитория Mozilla и движка Gecko были удалены компоненты B2G. В KaiOS применяется системное окружение Gonk, включающее ядро Linux из AOSP (Android Open Source Project), HAL-прослойку для использования драйверов от платформы Android и минимальный набор штатных утилит и библиотек Linux, необходимых для работы браузерного движка Gecko.

Пользовательский интерфейс платформы сформирован из набора web-приложений Gaia. В состав включены такие программы, как web-браузер, калькулятор, календарь-планировщик, приложение для работы с web-камерой, адресная книга, интерфейс для осуществления телефонных звонков, клиент электронной почты, система поиска, музыкальный плеер, программа для просмотра видео, интерфейс для SMS/MMS, конфигуратор, менеджер фотографий, рабочий стол и менеджер приложений с поддержкой нескольких режимов отображения элементов (cards и grid).

Приложения для KaiOS формируются с использованием стека HTML5 и расширенного программного интерфейса Web API, который позволяет организовать доступ приложений к аппаратному обеспечению, телефонии, адресной книге и другим системным функциям. Вместо предоставления доступа к реальной файловой системе, программы ограничены внутри виртуальной ФС, построенной с использованием IndexedDB API и изолированной от основной системы.

По сравнению с оригинальным Firefox OS в KaiOS проведена дополнительная оптимизация платформы, переработан интерфейс для использования на устройствах без сенсорного экрана, снижено потребление памяти (для работы платформы достаточно 256 Мб ОЗУ), обеспечено более длительное время автономной работы, добавлена поддержка 4G LTE, GPS, Wi-Fi, запущен собственный сервис доставки OTA-обновлений (over-the-air). Проектом поддерживается каталог приложений KaiStore, в котором размещено более 400 приложений, включая Google Assistant, WhatsApp, YouTube, Facebook и Google Maps.

В 2018 году компания Google инвестировала в KaiOS Technologies 22 млн долларов и обеспечила интеграцию платформы KaiOS с сервисами Google Assistant, Google Maps, YouTube и Google Search. Энтузиастами развивается модификация GerdaOS, предлагающая альтернативную прошивку для поставляемых с KaiOS телефонов Nokia 8110 4G. GerdaOS не включает предустановленных программ, отслеживающих действия пользователя (программы Google, KaiStore, FOTA updater, игры Gameloft), добавляет список блокирования рекламы на основе блокировки хостов через /etc/hosts и устанавливает в качестве поисковой системы по умолчанию DuckDuckGo.

Для установки программ вместо KaiStore в GerdaOS предлагается использовать включённые в поставку файловый менеджер и установщик пакетов GerdaPkg, позволяющий установить программу из локального ZIP-архива. Из функциональных изменений выделяется менеджер задач для одновременной работы с несколькими приложениями, поддержка создания скриншотов, возможность root-доступа через утилиту adb, интерфейс для манипуляций с IMEI и обход вводимой сотовыми операторами блокировки работы в режиме точки доступа (через TTL).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52526

March 12, 2020 06:11 AM

March 10, 2020

Mozilla Россия : Новости

Вышел Firefox 74.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборокдля Linux в формате Flatpak.

Основные новшества:

    [*] В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
    [*] Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.

    0_1581435648.png

    [*] Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжается осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки в предупреждении при первом заходе на любой сайт со старым протоколом.

    secure-connection-failed.png

    [*] В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

    Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.
    [*] В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
    [*] Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
    [*] Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
    [*] В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
    [*] Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.
    [*] В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
    [*] Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
    [*] Добавлено новое событие languagechange_even и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
    [*] Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy, позволяющего серверу запретить вставку отдаваемых ресурсов (например, изображений) в контексте других доменов (cross-origin и cross-site);
    [*] Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно включить синхронный режим работы XMLHttpRequest или отключить Geolocation API). Для назначения прав для блоков iframe предлагается использовать атрибут "allow", через который можно выборочно разрешить запросы доступа к камере, микрофону, местоположению и т.п.

    В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.
    [*] Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
    [*] В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
    [*] В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.

    debugger-nested-worker.png

    [*] Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.

Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки

Что нового в Firefox 74 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

March 10, 2020 04:44 PM

OpenNet.ru : mozilla

Релиз Firefox 74

Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-5-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборок для Linux в формате Flatpak.

Основные новшества:

  • В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.
  • Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
  • В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

    Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.

  • В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
  • Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
  • Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
  • В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
  • Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.


  • В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
  • Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
  • Добавлено новое событие languagechange и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
  • Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy (CORP), позволяющего сайтам запретить вставку ресурсов (например, изображений и скриптов), загружаемых с других доменов (cross-origin и cross-site). Заголовок может принимать два значения: "same-origin" (разрешает только запросы ресурсов с той же схемой, именем хоста и номером порта) и "same-site" (разрешает только запросы с того же сайта).
         Cross-Origin-Resource-Policy: same-site  
  • Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно отключить доступ к Geolocation API, камере, микрофону, переходу на полный экран, автовоспроизведению, encrypted-media, анимации, Payment API, синхронному режиму работы XMLHttpRequest и т.п.). Для блоков iframe отдельно предложен атрибут "allow", который может применяться в коде страницы для назначения прав для определённых блоков iframe.
         ‹iframe src="https://example.com" allow="fullscreen"›‹/iframe›        Feature-Policy: microphone 'none'; geolocation 'none'  

    В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.

  • Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
  • В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
  • В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.
  • В интерфейсе для инспектирования web-страниц обеспечено отображение предупреждений для CSS-свойств, зависящих от позиционируемых элементов z-index, top, left, bottom и right.
  • Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.

Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52513

March 10, 2020 03:27 PM

Доступен Firefox Preview 4.0 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее)

В выпуске Firefox Preview 4.0:

  • Добавлена начальная возможность подключения дополнений на базе API WebExtension. В меню появился пункт "Add-ons Manager", в котором показаны доступные для установки дополнения. В текущем виде в списке совместимых с Firefox Preview дополнений пока присутствует только uBlock Origin.
  • На стартовой странице обеспечен показ избранных сайтов (Top Sites), подборка которых формируется на основе истории посещений. По умолчанию после первого запуска предлагаются Pocket, Wikipedia и YouTube.
  • Добавлен интерфейс для управления учётными записями с поддержкой автозаполнения полей входа и синхронизации сохранённых паролей.
  • В настройки добавлена возможность выбора языка интерфейса.
  • При ошибке защищённого доступа предоставлена кнопка для открытия сайта несмотря на проблемы с сертификатом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52514

March 10, 2020 10:55 AM

March 05, 2020

OpenNet.ru : mozilla

В ночных сборках Firefox появилась возможность установки сайтов как приложений

В ночные сборки Firefox, на основе которых будет сформирован выпуск Firefox 75, добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта.

Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52483

March 05, 2020 06:56 AM

March 04, 2020

OpenNet.ru : mozilla

В Firefox для Wayland обеспечено аппаратное ускорение WebGL и видео

В ночных сборках Firefox, на основе которых 7 апреля будет сформирован релиз Firefox 75, реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. Ускорение на базе gfx в X11 было обеспечено в Chrome, но ценой поддержания огромного списка исключений и обходных манёвров для избежания проблем (см. chrome://gpu/). В Firefox аппаратное ускорение WebGL для Linux никогда не было включено по умолчанию, так как компания Mozilla не имела ресурсов для разбора каждого проблемного драйвера и видеокарты.

При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF для отрисовки в текстуры и организации совместного использования разными процессами буферов с этими текстурами, размещёнными в видеопамяти. Изначально новый бэкенд развивался с оглядкой на предоставление качественной поддержки gfx-ускорения. Кроме аппаратного ускорения WebGL бэкенд также дал возможность реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (дополнение: следом появилась и поддержка ускорения для VP9 и других форматов кодирования видео, которая будет включена в Firefox 76).

В сборках Firefox на базе Wayland удалось подготовить унифицированное рабочее GL-окружение, не привязанное к конкретным композитным серверам, таким как GNOME Mutter или KDE Kwin. Поддержка ускорения с использованием бэкенда на базе DMABUF реализована для двух доступных в Firefox механизмов отрисовки - WebRender (новый, использующий GPU для отрисовки web-страниц) и GL compositor (классический). В обоих случаях при использовании нового бэкенда текстуры создаются в GPU и могут использоваться напрямую без копирования между процессами браузера, отвечающими за композитинг и взаимодействие с GPU. Кадры WebGL могут отрисовываться сразу в память GPU, которая может отражаться во фреймбуфер EGL, обрабатываться в основном процессе и отрисовываться как текстура при сведении элементов web-страницы.

Для включения ускорения WebGL и видео следует запустить Firefox с переменной окружения "MOZ_ENABLE_WAYLAND=1" и в about:config установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled", после чего проверить включилось ли ускорение на странице about:support. Для работы требуется наличие библиотеки libva версии 2.6.0+ (протестировано в Fedora 31 c GPU Intel UHD 630).

Из грядущих изменений в Firefox 75 также можно отметить:

  • Включение для пользователей из Великобритании (ранее реклама показывалась только пользователям из США) отображения оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента (блоки явно помечены как реклама и отключаемы в настройках).
  • В менеджере паролей (about:logins), если не установлен мастер-пароль, реализована начальная поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей.
  • Добавлена возможность активации интерфейса профилирования страниц без установки дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52471

March 04, 2020 05:46 AM

February 29, 2020

Mozilla Россия : Новости

Вышел SeaMonkey 2.53.1

Форум: Новости
Автор: banbot

Спустя полгода с момента прошлого выпуска опубликован релиз набора интернет-приложений SeaMonkey 2.53.1, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят).

Основные изменения:

    [*] Используемый в SeaMonkey браузерный движок обновлён до Firefox 60.3 (в прошлом выпуске использовался Firefox 52) с портированием связанных с безопасностью исправлений и некоторых улучшений из Firefox 72.
    [*] Встроенный почтовый клиент синхронизирован с Thunderbird 60.
    [*] Менеджер закладок переименован в Библиотеку (Library) и теперь также предоставляет инструменты для просмотра истории посещений.
    [*] Реализация менеджера загрузок переведена на новый API, но сохранила старый внешний вид.
    [*] В панель CSS Layout добавлена секция для инспектирования контейнеров CSS Grid.
    [*] По умолчанию активирована версия TLS 1.3.

Загрузить:

    Русская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)

    Английская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)

  Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 29, 2020 03:31 PM

February 28, 2020

OpenNet.ru : mozilla

Выпуск интегрированного набора интернет-приложений SeaMonkey 2.53

Спустя полгода с момента прошлого выпуска опубликован релиз набора интернет-приложений SeaMonkey 2.53.1, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят).

Основные изменения:

  • Используемый в SeaMonkey браузерный движок обновлён до Firefox 60.3 (в прошлом выпуске использовался Firefox 52) с портированием связанных с безопасностью исправлений и некоторых улучшений из Firefox 72.
  • Встроенный почтовый клиент синхронизирован с Thunderbird 60.
  • Менеджер закладок переименован в Библиотеку (Library) и теперь также предоставляет инструменты для просмотра истории посещений.
  • Реализация менеджера загрузок переведена на новый API, но сохранила старый внешний вид.
  • В панель CSS Layout добавлена секция для инспектирования контейнеров CSS Grid.
  • По умолчанию активирована версия TLS 1.3.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52450

February 28, 2020 04:46 AM

February 26, 2020

OpenNet.ru : mozilla

Mozilla начинает внедрение технологии изоляции библиотек RLBox

Исследователи из Стендфордского университета, Калифорнийского университета в Сан-Диего и Техасского университета в Остине разработали инструментарий RLBox, который может применяться как дополнительный уровень изоляции для блокирования уязвимостей в библиотеках функций. RLBox нацелен на решение проблемы с безопасностью незаслуживающих доверия сторонних библиотек, которые не подконтрольны разработчикам, но уязвимости в которых могут скомпрометировать основной проект.

Компания Mozilla планирует задействовать RLBox в Linux-сборках Firefox 74 и macOS-сборках Firefox 75 для изоляции выполнения библиотеки Graphite, отвечающей за отрисовку шрифтов. При этом RLBox не специфичен для Firefox и может применяться для изоляции любых библиотек в произвольных проектах. Наработки RLBox распространяются под лицензией MIT. В настоящее время RLBox поддерживает работу на платформах Linux и macOS, поддержка Windows ожидается позднее.

Механизм работы RLBox сводится к компиляции C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю (например, библиотека для обработки строк не сможет открыть сетевой сокет или файл). Преобразование кода C/C++ в WebAssembly осуществляется при помощи wasi-sdk.

Для непосредственного выполнения WebAssembly-модуль компилируется в машинный код при помощи компилятора Lucet и выполняется в отдельном "нанопроцессе", изолированном от остальной памяти приложения. Компилятор Lucet основан на том же коде, что и JIT-движок Cranelift, применяемый в Firefox для выполнения WebAssembly.

Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.

Для разработчиков предоставлен высокоуровневый API, который позволяет вызывать функции библиотеки в режиме изоляции. WebAssembly-обработчики почти не требуют дополнительных ресурсов и взаимодействие с ними не сильно медленнее вызова обычных функций (функции библиотеки выполняется в форме нативного кода, а накладные расходы возникают лишь при копировании и проверке данных в процессе взаимодействия с изолированным окружением). Функции изолированной библиотеки не могут быть вызваны напрямую и для обращения к ним необходимо применять прослойку invoke_sandbox_function().

В свою очередь, если из библиотеки необходимо вызвать внешние функции, данные функции должны быть явно определены при помощи метода register_callback (по умолчанию RLBox предоставляет доступ к функциям стандартной библиотеки). Для обеспечения безопасной работы с памятью (memory safety) изоляции выполнения кода недостаточно и требуется также обеспечить проверку возвращаемых потоков данных.

Сформированные в изолированном окружении значения помечаются как незаслуживающие доверия, ограничиваются при помощи tainted-меток и для "очистки" требуют верификации и копирования в память приложения. Без очистки, попытка использования tainted-данных в контексте, требующем обычных данных (и наоборот) приводит к генерации ошибок на этапе компиляции. Небольшие аргументы функций, возвращаемые значения и структуры передаются через копирование между памятью процесса и памятью изолированного окружения. Для больших наборов данных память выделяется в изолированном окружении, а основному процессу возвращается прямой указатель "sandbox-reference".

Источник: http://www.opennet.ru/opennews/art.shtml?num=52440

February 26, 2020 11:43 AM

В Firefox 75 будут убраны https:// и www из выпадающего блока адресной строки

В ночных сборках Firefox, которые лягут в основу выпуска Firefox 75, запланированного на 7 апреля, обновлено оформление адресной строки. Наиболее заметным изменением стало прекращение отображения протокола https:// и поддомена "www" в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// продолжит показываться в результатах без изменений. Не изменится также отображение URL в адресной строке.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52435

February 26, 2020 06:00 AM

February 25, 2020

OpenNet.ru : mozilla

DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США

Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.

Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 5 полностью отключает DoH; 0 - применяется предлагаемый в браузере режим по умолчанию; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52427

February 25, 2020 02:50 PM

February 24, 2020

OpenNet.ru : mozilla

Google выпустил для Firefox систему аудита web-страниц Lighthouse

Компания Google опубликовала дополнение для Firefox с реализацией инструмента Lighthouse. Lighthouse входит в состав штатных инструментов для web-разработчиков, входящих в состав Chrome (вкладка "Audits"), и даёт возможность на основе собранных метрик проанализировать производительность и качество web-страниц или web-приложений. Код распространяется под лицензией Apache 2.0. Firefox-дополнение подготовлено основной командой разработчиков Lighthouse и использует при построении отчётов API PageSpeed Insights.

Дополнение позволяет определить узкие места в производительности web-приложений, проанализировать скорость загрузки компонентов и потребление ресурсов, выявить излишне ресурсоёмкие операции на JavaScript, определить проблемы в конфигурации http-сервера, оценить оптимальность оформления для индексации поисковыми системами (SEO), изучить актуальность применения web-технологий и пригодность web-приложения для людей с ограниченными возможностями. Поддерживается симуляция применения в системе более слабого CPU и низкой пропускной способности сети.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52421

February 24, 2020 07:19 AM

February 18, 2020

OpenNet.ru : mozilla

Доступен Mozilla WebThings Gateway 0.11, шлюз для умного дома и IoT-устройств

Компания Mozilla опубликовала новый выпуск продукта WebThings Gateway 0.11, который в сочетании с библиотеками WebThings Framework образует платформу WebThings для обеспечения доступа к различным категориям потребительских устройств и использования универсального Web Things API для организации взаимодействия с ними. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js и распространяется под лицензией MPL 2.0. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi. Также доступны пакеты для OpenWrt, Fedora, Arch, Ubuntu, Raspbian и Debian, а на базе OpenWrt развивается готовый дистрибутив с интегрированной поддержкой Things Gateway, предоставляющий унифицированный интерфейс для настройки умного дома и беспроводной точки доступа.

В новом выпуске:

  • Проведена локализация интерфейса для не англоязычных пользователей. Добавлены переводы для 24 языков, включая русский;
  • Расширено число платформ, для которых распространяются установочные пакеты. Помимо образов для Raspberry Pi и Docker сформированы пакеты для Debian 10, Raspbian, Ubuntu 18.04/19.04/19.10 и Fedora 30/31. В репозитории AUR размещены пакеты для Arch Linux;
  • Стабилизирована система журналирования событий, собирающая статистику о работе всех IoT-устройств и датчиков в домашней сети и позволяющая оценить их активность в форме наглядных графиков. Например, можно узнать сколько раз открывались и закрывались двери во время своего отсутствия, как изменялась температура в доме, сколько потребляли энергии устройства, подключенные к умным розеткам, когда срабатывал детектор движения и т.п. Графики могут строится в разрезе часов, дней и недель и прокручиваться по шкале времени;
  • Экспериментальная функциональность голосового ассистента, позволяющая распознавать и выполнять голосовые команды (например, "включи свет на кухне"), признана несостоятельной и удалена. В следующем выпуске также будет удалён API, связанный с голосовым управлением. Вместо встроенного голосового помощника предлагается использовать дополнения с похожей функциональностью, которые можно найти в разделе Settings ➡ Add-ons;
  • В сборке для Raspberry Pi появилась опция для отключения автоматической доставки OTA-обновлений;
  • Для дополнений предоставлена возможность доступа к настройкам языка и локализации;
  • Добавлена возможность доступа к web-интерфейсу из других систем в локальной сети без шифрования (с использованием "http://", а не "https://");
  • Повышена надёжность и стабильность PWA-приложения (Progressive Web App), позволяющего организовать работу с web-приложением, как с обособленной программой.

Напомним, что WebThings Gateway представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности каждой платформы и не требующую использования специфичных для каждого производителя приложений. Для взаимодействия шлюза с IoT-платформами можно использовать протоколы ZigBee и ZWave, WiFi или прямое подключение через GPIO. Шлюз можно установить на плату Raspberry Pi и получить систему управления умным домом, объединяющую все имеющиеся в доме IoT-устройства и предоставляющую средства для мониторинга и управления ими через Web-интерфейс.

Платформа также позволяет создавать дополнительные web-приложения, которые могут взаимодействовать с устройствами через Web Thing API. Таким образом, вместо установки своего мобильного приложения для каждого типа IoT-устройств, можно использовать единый унифицированный web-интерфейс. Для установки WebThings Gateway достаточно загрузить предоставленную прошивку на SD-карту, открыть в браузере хост "gateway.local", настроить подключение к WiFi, ZigBee или ZWave, найти имеющиеся IoT-устройства, настроить параметры для доступа извне и добавить самые востребованные устройства на домашний экран.

Шлюз поддерживает такие функции, как определение устройств в локальной сети, выбор web-адреса для соединения с устройствами из интернета, создание учётных записей для доступа к web-интерфейсу шлюза, подключение к шлюзу устройств, поддерживающих проприетарные протоколы ZigBee и Z-Wave, удалённое включение и выключение устройств из web-приложения, удалённый мониторинг за состоянием дома и видеонаблюдение.

WebThings Framework предоставляет набор заменяемых компонентов для создания IoT-устройств, которые могут напрямую взаимодействовать c использованием Web Things API. Подобные устройства могут автоматически определяться шлюзами на базе WebThings Gateway или клиентским ПО (используется mDNS) для последующего мониторинга и управления через Web. Реализации серверов для Web Things API подготовлены в форме библиотек на Python, Java, Rust, Arduino и MicroPython.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52393

February 18, 2020 07:55 PM

Mozilla Россия : Новости

Вышел Firefox 73.0.1

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 73.0.1, в котором предложено 5 исправлений:

    [*] Решена проблема с крахами браузера в некоторых Linux-дистрибутивах при воспроизведении зашифрованного мультимедийного контента;
    [*] Исправлена ошибка, приводившая к преждевременному завершению работы при выходе из режима предпросмотра перед выводом на печать;
    [*] Устранены проблемы с подсоединением к сайту RBC Royal Bank;
    [*] Исправлены крахи на системах Windows, возникающие при использовании на компьютере сторонних приложений для обеспечения безопасности, таких как 0patch и G DATA;
    [*] Устранена невозможность загрузки страниц на системах с Windows 10, при работе в режиме совместимости c Windows 7 или при наличии настроек для защиты от эксплуатации уязвимостей.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 18, 2020 04:59 PM

OpenNet.ru : mozilla

Обновление Firefox 73.0.1

Опубликовано корректирующее обновление Firefox 73.0.1, в котором предложено 5 исправлений:
  • Решена проблема с крахами браузера в некоторых Linux-дистрибутивах при воспроизведении зашифрованного мультимедийного контента;
  • Исправлена ошибка, приводившая к преждевременному завершению работы при выходе из режима предпросмотра перед выводом на печать;
  • Устранены проблемы с подсоединением к сайту RBC Royal Bank;
  • Исправлены крахи на системах Windows, возникающие при использовании на компьютере сторонних приложений для обеспечения безопасности, таких как 0patch и G DATA;
  • Устранена невозможность загрузки страниц на системах с Windows 10, при работе в режиме совместимости c Windows 7 или при наличии настроек для защиты от эксплуатации уязвимостей.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52392

February 18, 2020 04:53 PM

February 13, 2020

OpenNet.ru : mozilla

В Firefox появится режим отложенной загрузки изображений

В ночные сборки Firefox, на основе которых 7 апреля будет сформирован выпуск Firefox 75, добавлена возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" будет добавлен атрибут "loading", который может принимать значение "lazy".

Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. По умолчанию данный режим отключён в Firefox, и для его активации следует в about:config установить параметр "dom.image-lazy-loading.enabled=true". Ранее аналогичная возможность была реализована в браузере Chrome 76.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52366

February 13, 2020 04:57 PM

February 12, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.5.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.5.0.

    [*] Новое: Добавлена поддержка расширения Client Identity в службах IMAP/SMTP
    [*] Новое: Добавлена поддержка аутентификации OAuth 2.0 для учетных записей POP3
    [*] Исправлено: Во время настройки учетной записи строка состояния становилась пустой
    [*] Исправлено: Календарь: Для категорий по умолчанию не удавалось удалить цвет
    [*] Исправлено: Календарь: Предотвращение загрузки компонента календаря несколько раз
    [*] Исправлено: Календарь: Панель "Сегодня" не сохраняла ширину между сессиями
    [*] Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

February 12, 2020 08:47 AM

February 11, 2020

Mozilla Россия : Новости

Вышел Firefox 73

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

    [*] В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS) добавлена поддержка сервиса NextDNS, помимо ранее предлагавшегося DNS-сервера CloudFlare ("https://1.1.1.1/dns-query"). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

    0_1581435648.png

    [*] Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/]или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошеной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 подобные дополнения продолжат работать, но будут перенесены из общего каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений.
    [*] Реализована возможность установки глобального базового уровня масштабирования, применяемого ко всем страницам, а не привязываемого к отдельным сайтам. Изменить общий масштаб можно в настройках (about:preferences) в секции "Language and Appearance". В настойках также появилась опция, позволяющая применять масштабирование только для текста, не касаясь изображений.

    0_1581435540.png

    [*] Диалог с предложением сохранения логинов теперь выводится только если было изменено значение логина в поле ввода;
    [*] На Windows-ноутбуках с драйверами NVIDIA новее выпуска 432 и разрешением экрана меньше 1920x1200 включена система композитинга WebRender. Cистема композитинга WebRender написана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы;
    [*] Добавлена возможность использования концепции "Site Specific Browser" (SSB) для работы с web-приложением как с обычной настольной программой. В режиме SSB скрываются меню, адресная строка и прочие элементы интерфейса браузера, а в текущем окне допускается только открытие ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера). В отличие от уже имеющегося режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений. Режим также можно вызвать кнопкой "Launch Site Specific Browser", размещённой в меню действий со страницей (многоточие справа от адресной строки). По умолчанию режим неактивен и требует включения через указание "browser.ssb.enabled = true" в about:config.

    0_1581441611.png

    [*] В режиме высококонтрастного отображения, предназначенного для людей с ослабленным зрением или нарушенным восприятием цветов, появилась поддержка фоновых изображений. Для сохранения читаемости и обеспечения должного уровня контраста видимый текст отделяется отдельным фоном, в котором используется цвет активной темы оформления;
    [*] Повышено качество звука при повышении или понижении скорости воспроизведения;
    [*] Улучшено автоопределение старых текстовых кодировок на страницах, на которых явно не указана информация о кодировке;
    [*] В строке поиска в web-консоли появилась возможность фильтрации по отсутствующему ключу через указание символа "-" перед маской или регулярным выражением. Например, поисковый запрос "-img" выведет все элементы, в которых отсутствует строка "img", а "-/(cool|rad)/" покажет элементы, не соответствующие регулярному выражению "/(cool|rad)/".
    [*] Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки.
    [*] В SVG добавлена поддержка свойств letter-spacing и word-spacing.
    [*] В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
    [*] Свойства innerWidth и innerHeight объектов Window теперь всегда возвращает фактическую заданную ширину и высоту области (Viewport Layout), а не размер видимой части (Visual Viewport).
    [*] Проведена оптимизация производительности инструментов для web-разработчиков. Снижена нагрузка при сборе статистики для панели мониторинга сетевой активности. В отладчике JavaScript и web-консоли ускорена загрузка больших скриптов с привязкой к их изначальным исходным текстам (source-mapped).
    [*] В web-консоли проблемы с выходом за пределы области текущего домена (CORS, Cross-Origin Resource Sharing) теперь отображаются как ошибки, а не предупреждения. Для автодополнения в консоли стали доступны переменные, определяемые в выражениях.
    [*] В инструментах для web-разработчиках в разделе инспектирования сети обеспечено декодирование сообщений (JSON, MsgPack и CBOR) в формате WAMP (WebSocket Web Application Messaging Protocol), передаваемых через соединение WebSocket.

    wamp-ws-inspector.png

Кроме новшеств и исправления ошибок в Firefox 73 устранено 15 уязвимостей, из которых из которых 11 (собраны под CVE-2020-6800 и CVE-2020-6801) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Что нового в Firefox 73 для разработчиков
Примечания к выпуску для Firefox 73.0 для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 11, 2020 05:38 PM

OpenNet.ru : mozilla

Релиз Firefox 73

Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

  • В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS) добавлена поддержка сервиса NextDNS, помимо ранее предлагавшегося DNS-сервера CloudFlare ("https://1.1.1.1/dns-query"). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.
  • Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 подобные дополнения продолжат работать, но будут перенесены из общего каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений.
  • Реализована возможность установки глобального базового уровня масштабирования, применяемого ко всем страницам, а не привязываемого к отдельным сайтам. Изменить общий масштаб можно в настройках (about:preferences) в секции "Language and Appearance". В настройках также появилась опция, позволяющая применять масштабирование только для текста, не касаясь изображений.
  • Диалог с предложением сохранения логинов теперь выводится только если было изменено значение логина в поле ввода.
  • На Windows-ноутбуках с драйверами NVIDIA новее выпуска 432 и разрешением экрана меньше 1920x1200 включена система композитинга [[https://wiki.mozilla.org/Platform/GFX/WebRender_Where]]. Cистема композитинга WebRender написана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы.
  • Добавлена возможность использования концепции "Site Specific Browser" (SSB) для работы с web-приложением как с обычной настольной программой. В режиме SSB скрываются меню, адресная строка и прочие элементы интерфейса браузера, а в текущем окне допускается только открытие ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера). В отличие от уже имеющегося режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений. Режим также можно вызвать кнопкой "Launch Site Specific Browser", размещённой в меню действий со страницей (многоточие справа от адресной строки). По умолчанию режим неактивен и требует включения через указание "browser.ssb.enabled = true" в about:config.
  • В режиме высококонтрастного отображения, предназначенного для людей с ослабленным зрением или нарушенным восприятием цветов, появилась поддержка фоновых изображений. Для сохранения читаемости и обеспечения должного уровня контраста видимый текст отделяется отдельным фоном, в котором используется цвет активной темы оформления.
  • Повышено качество звука при повышении или понижении скорости воспроизведения;
  • Улучшено автоопределение старых текстовых кодировок на страницах, на которых явно не указана информация о кодировке.
  • В строке поиска в web-консоли появилась возможность фильтрации по отсутствующему ключу через указание символа "-" перед маской или регулярным выражением. Например, поисковый запрос "-img" выведет все элементы, в которых отсутствует строка "img", а "-/(cool|rad)/" покажет элементы, не соответствующие регулярному выражению "/(cool|rad)/".
  • Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки.
  • В SVG добавлена поддержка свойств letter-spacing и word-spacing.
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Свойства innerWidth и innerHeight объектов Window теперь всегда возвращает фактическую заданную ширину и высоту области (Viewport Layout), а не размер видимой части (Visual Viewport).
  • Проведена оптимизация производительности инструментов для web-разработчиков. Снижена нагрузка при сборе статистики для панели мониторинга сетевой активности. В отладчике JavaScript и web-консоли ускорена загрузка больших скриптов с привязкой к их изначальным исходным текстам (source-mapped).
  • В web-консоли проблемы с выходом за пределы области текущего домена (CORS, Cross-Origin Resource Sharing) теперь отображаются как ошибки, а не предупреждения. Для автодополнения в консоли стали доступны переменные, определяемые в выражениях.
  • В инструментах для web-разработчиков в разделе инспектирования сети обеспечено декодирование сообщений (JSON, MsgPack и CBOR) в формате WAMP (WebSocket Web Application Messaging Protocol), передаваемых через соединение WebSocket.

Кроме новшеств и исправления ошибок в Firefox 73 устранено 15 уязвимостей, из которых 11 (собраны под CVE-2020-6800 и CVE-2020-6801) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52347

February 11, 2020 03:32 PM

February 05, 2020

OpenNet.ru : mozilla

В мобильный браузер Firefox Preview добавлена поддержка дополнений

Разработчики Mozilla добавили поддержку дополнений в кодовую базу мобильного браузера Firefox Preview (Fenix), который развивается для замены редакции Firefox для платформы Android. Новый браузер основан на движке GeckoView и наборе библиотек Mozilla Android Components.

Возможность подключения дополнений на базе API WebExtension доступна для тестирования в ночных сборках Firefox Preview. В меню появился пункт "Add-ons Manager", в котором показаны доступные для установки дополнения. В текущем виде в списке совместимых с Firefox Preview дополнений пока присутствует только uBlock Origin. Поддержка других дополнений ожидается позднее.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52314

February 05, 2020 07:09 PM

Хабрахабр : Firefox

[Перевод] Firefox Preview Nightly для Android получил поддержку uBlock Origin

Как и было обещано, Mozilla перенесла первое расширение, uBlock Origin, из Программы рекомендуемых расширений в ночную версию Firefox Preview (кодовое название «Fenix»). Уже сейчас его можно установить и включить блокировку рекламы в следующей версии Firefox для Android.
Читать дальше →

Автор: Sanctuary_s. Дата: February 05, 2020 07:17 AM

January 28, 2020

OpenNet.ru : mozilla

Разработка Thunderbird переведена в MZLA Technologies Corporation

Разработчики почтового клиента Thunderbird объявили о переводе разработки проекта в отдельную компанию MZLA Technologies Corporation, которая является дочерним предприятием Mozilla Foundation. До сих пор Thunderbird находился под покровительством организации Mozilla Foundation, которая курировала финансовые и юридические вопросы, но инфраструктура и разработка Thunderbird были отделены от Mozilla и проект развивался обособленно. Перевод в отдельное подразделение обусловлен желанием более явно отделить процессы, связанные с разработкой, и обработку поступающих пожертвований.

Отмечается, что увеличившийся в последние годы объём пожертвований от пользователей Thunderbird теперь позволяет проекту самостоятельно успешно развиваться. Перенос в отдельную компанию увеличит гибкость процессов, например, даст возможность самостоятельно нанимать персонал, более оперативно действовать и реализовывать идеи, которые в составе Mozilla Foundation были бы невозможны. В частности, упоминается формирование связанных с Thunderbird продуктов и сервисов, а также получение дохода через партнёрские отношения и неблаготворительные пожертвования. Структурные изменения не повлияют на рабочие процессы, миссию, состав команды разработчиков, график формирования выпусков и открытый характер проекта.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52265

January 28, 2020 05:12 PM

January 26, 2020

OpenNet.ru : mozilla

За последние две недели компания Mozilla заблокировала 197 дополнений к Firefox

За последние две недели компания Mozilla удалила из каталога addons.mozilla.org (AMO) 197 дополнений, выполняющих код, загружаемый со сторонних сайтов, передающих конфиденциальные данные на внешние серверы, совершающих вредоносные действия или применяющих методы запутывания исходного кода.

129 удалённых дополнений распространялось компанией 2Ring, специализирующейся на B2B-решениях. Указанные дополнения удалены за загрузку и исполнение кода со внешнего сервера (правила каталога AMO запрещают динамическую загрузку исполняемых частей). По той же причине удалены шесть дополнений от Tamo Junto Caixa и три дополнения c подделками известных продуктов.

В связи с передачей пользовательских данных удалены дополнения Rolimons Plus, RoliTrade, Pdfviewer, WeatherPool, Your Social и ещё одно дополнение без детализации названия. Дополнения EasySearch for Firefox, EasyZipTab, FlixTab, ConvertToPDF и FlixTab Search заблокированы за сбор и передачу сведений о поисковых запросах. 14 дополнений (название не уточняется) заблокированы за применение техник запутывания кода (obfuscation).

Из-за совершения вредоносных действий при отображении сторонних сайтов (например, подстановка рекламы или захват учётных данных) удалено 30 дополнений, названия которых не уточняются. По той же причине удалены дополнения Like4Like.org, Flash Update De, Browser Kompatibilität. Дополнение с фиктивным Youtube Downloader уличено в попытках установки вредоносного ПО на систему пользователя. Дополнение FromDocToPDF загружало и выполняло сторонний код на странице открытия новой вкладки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52255

January 26, 2020 07:17 AM

January 25, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.4.2

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.4.2.

    [*] Изменено: Календарь: цвета деревьев Задач и Событий скорректированы для тёмной темы
    [*] Исправлено: Не удавалось получить сертификаты S/MIME из LDAP
    [*] Исправлено: Падение программы при разборе адреса на некоторых серверах IMAP, если была включена настройка mail.imap.use_envelope_cmd
    [*] Исправлено: Некорректная пересылка сообщений HTML приводила к отключению от SMTP-серверов по тайм-ауту
    [*] Исправлено: Календарь: различные части пользовательского интерфейса Календаря переставали работать при открытии второго окна Thunderbird
    [*] Исправлено:  Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

January 25, 2020 04:03 PM

January 20, 2020

Mozilla Россия : Новости

Вышел Firefox 72.0.2

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск Firefox 72.0.2, в котором устранено несколько проблем, влияющих на стабильность:

    [*] Исправлена ошибка, приводящая к невозможности открытия загруженных файлов, содержащих символы пробела в имени файла;
    [*] Устранено зависание при открытии страницы about:logins при установленном мастер-пароле;
    [*] Решена проблема с совместимостью реализации CSS Shadow Parts, добавленной  Firefox 72;
    [*] Исправлены проблемы с низкой производительностью воспроизведения видео с качеством  1080p на полном экране.

Дополнительно можно, отметить реализацию в ночных сборках Firefox, на базе которых будет сформирован выпуск Firefox 74,   настройки "browser.tabs.allowTabDetach" (в about:config), позволяющей запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы  при неосторожном движении мыши во время клика на вкладку. Для того чтобы избежать подобного поведения до сих пор приходилось использовать дополнения, такие как Disable Tab Detach 2.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

January 20, 2020 08:39 PM

OpenNet.ru : mozilla

Обновление Firefox 72.0.2. В Firefox 74 появится возможность запрета открепления вкладок

Доступен корректирующий выпуск Firefox 72.0.2, в котором устранено несколько проблем, влияющих на стабильность:
  • Исправлена ошибка, приводящая к невозможности открытия загруженных файлов, содержащих символы пробела в имени файла;
  • Устранено зависание при открытии страницы about:logins при установленном мастер-пароле;
  • Решена проблема с совместимостью реализации CSS Shadow Parts, добавленной Firefox 72;
  • Исправлены проблемы с низкой производительностью воспроизведения видео с качеством 1080p на полном экране.

Дополнительно отметим реализацию в ночных сборках Firefox, на базе которых будет сформирован выпуск Firefox 74, настройки "browser.tabs.allowTabDetach" (в about:config), позволяющей запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку. Для того чтобы избежать подобного поведения до сих пор приходилось использовать дополнения, такие как Disable Tab Detach 2.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52221

January 20, 2020 07:23 PM

January 19, 2020

OpenNet.ru : mozilla

Доступны мобильные браузеры Firefox Lite 2.1 и Firefox Preview 3.1.0

Состоялся выпуск web-браузера Firefox Lite 2.1, который позиционируется как легковесный вариант Firefox Focus, адаптированный для работы на системах с ограниченными ресурсами и на низкоскоростных каналах связи. Проект развивается командой разработчиков Mozilla из Тайваня и нацелен прежде всего на поставку в Индии, Индонезии, Таиланде, Филиппинах, Китае и развивающихся странах.

Ключевым отличием Firefox Lite от Firefox Focus является использование встроенного в Android движка WebView вместо Gecko, что позволило уменьшить размер APK-пакета с 38 до 5.8 МБ, а также дало возможность использовать браузер на маломощных смартфонах на базе платформы Android Go. Как и в Firefox Focus, в Firefox Lite встроен блокировщик нежелательного контента, вырезающий рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Применение блокировщика позволяет существенно уменьшить размер загружаемых данных и сократить время загрузки страниц в среднем на 20%.

Firefox Lite поддерживает такие возможности, как закладки на избранные сайты, просмотр истории посещений, вкладки для одновременной работы с несколькими страницами, менеджер загрузок, быстрый поиск текста на страницах, режим приватного просмотра (не сохраняются Cookie, история и данные в кеше). Среди расширенных возможностей режим Turbo для ускорения загрузки за счёт вырезания рекламы и стороннего контента (включён по умолчанию), режим блокировки изображений, кнопка очистки кэша для увеличения свободной памяти и поддержка изменения цветовой гаммы интерфейса.

В новой версии на стартовой странице предложен специализированный интерфейс для планирования путешествий, позволяющий быстро найти информацию об интересующем месте, получить подборку материалов о достопримечательностях (выводится статья из Wikipedia и ссылки на фото и видео из Instagram и YouTube) и сразу просмотреть сведения о свободных гостиницах (информация извлекается через сервис booking.com). Возможно составление списка мест, которые хотелось бы посетить, с быстрым переходом на связанные с ними подборки информации.

Кроме того, состоялся выпуск экспериментального браузера Firefox Preview 3.1, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

В новой версии добавлены настройки локали, позволяющие сменить язык интерфейса. По умолчанию отключен доступ к странице about:config, так как неаккуратное изменение низкоуровневых настроек могло привести браузер в неработоспособное состояние.

21 января планируется заменить в ночных сборках Firefox для Android на Firefox Preview. Пользователи ночных сборок будут переведены на Firefox Preview автоматически. Весной Firefox Preview заменит собой бета-ветку Firefox для Android. Полную замену Firefox для Android новым браузером планируют завершить в первой половине нынешнего года. Напомним, что Firefox 68 стал последним выпуском, для которого было сформировано обновление классической редакции Firefox для Android. Начиная с Firefox 69 формирование новых значительных релизов Firefox для Android прекращено, а исправление поставляются только для ESR-ветки Firefox 68.

Дополнительно можно отметить намерение реализовать в Firefox 76 поддержку формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1, который поддерживается начиная с Firefox 55. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR). Включение поддержки AVIF также ожидается в Chrome.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52212

January 19, 2020 06:39 AM

January 18, 2020

OpenNet.ru : mozilla

Бета-выпуск интегрированного набора интернет-приложений SeaMonkey 2.53

Возобновилась разработка набора интернет-приложений SeaMonkey, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят). Для тестирования предложен первый бета-выпуск новой ветки SeaMonkey 2.53.

Используемый в SeaMonkey браузерный движок обновлён до состояния Firefox 60 (в прошлом выпуске использовался Firefox 52) с портированием связанных с безопасностью исправлений и некоторых улучшений из Firefox 72. Встроенный почтовый клиент синхронизирован с Thunderbird 60.3. Менеджер закладок переименован в Библиотеку (Library) и теперь также предоставляет инструменты для просмотра истории посещений. Реализация менеджера загрузок переведена на новый API, но сохранила старый внешний вид. По умолчанию активирована версия TLS 1.3.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52209

January 18, 2020 07:07 PM

January 16, 2020

OpenNet.ru : mozilla

На фоне реструктуризации из Mozilla уволено 70 сотрудников

Компания Mozilla объявила о проведении реструктуризации. Доходы Mozilla продолжают сильно зависеть от отчислений за использование поисковых систем. Последнее время наблюдается снижение подобных отчислений, которые в 2019 и 2020 годах планировалось компенсировать за счёт развития новых платных сервисов (например, Firefox Premium и Private Network) и областей, не связанных с поисковыми системами. В конечном счёте прогнозы не оправдались, и на развитие новых платных сервисов потребовалось больше времени, чем ожидалось, поэтому Mozilla намерена начать "жить по средствам" и заранее адаптироваться к возможным пессимистичным финансовым прогнозам, для чего принято решение сократить расходы за счёт увольнения сотрудников.

В настоящее время в Mozilla по всему миру трудоустроено примерно 1000 сотрудников, из которых вчера были уволены как минимум 70 человек (7% от всего персонала). Увольнения ещё могут продолжиться, так как не принято окончательное решения о сокращении работников из Германии и Франции.

Руководство компании также рассматривало возможность закрытия фонда развития инноваций, но решило пока не делать этого, признав его необходимым для развития новых продуктов (на создание новых продуктов Mozilla выделяет 43 млн долларов). Mozilla продолжит инвестирование в инновации, так как считает работу по улучшению интернета одной из своих основных задач.

Примечательно, что это не первая волна увольнений, в 2017 году из Mozilla было уволено 50 сотрудников, занимавшихся разработкой Firefox OS. На этот раз волна увольнений затронула в том числе инженеров, занимавшихся тестированием качества (QA), безопасностью и управлением релизами. Также уволен разработчик генератора кода Cranelift для WebAssembly.

Бренден Айк (Brendan Eich), создатель языка JavaScript и бывший руководитель Mozilla, намекнул, что сокращать расходы нужно в другой области и привёл график роста зарплаты Митчелл Бейкер (Mitchell Baker), председателя совета директоров Mozilla Corporation, в зависимости от падения рыночной доли Firefox. С момента ухода Брендена Айка из Mozilla в 2014 году размер компенсации Бейкер увеличился с 1 до 2.5 млн долларов в год.

Напомним, что в соответствии с финансовым отчётом Mozilla за 2018 финансовый год, доходы Mozilla уменьшились на 112 млн долларов и составили 450 млн долларов, из которых 429 млн получены благодаря отчислениям за использование поисковых систем (Baidu, DuckDuckGo, Google, Yahoo, Bing, Yandex), сотрудничеству с различными сервисами (Cliqz, Amazon, eBay) и размещению контекстных рекламных блоков на стартовой странице. На разработку в 2018 году было потрачено 277 млн долларов, поддержку сервисов - 33.4 млн долларов, маркетинг - 53 млн долларов, административные расходы - 86 млн долларов, гранты 4.8 млн долларов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52195

January 16, 2020 04:00 AM

January 13, 2020

OpenNet.ru : mozilla

Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов

Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов - CRLite. CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Код для генерации БД и серверные компоненты написаны на Python и Go. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа, приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350мс) и имеет проблемы с обеспечением конфиденциальности (отвечающие на запросы серверы OCSP получают сведения о конкретных сертификатах, по которым можно судить о том, какие сайты открывает пользователь). Существует также возможность локальной проверки по спискам CRL (Certificate Revocation List), но минусом такого метода является очень большой размер загружаемых данных - в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается.

Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности. OneCRL, как и CRLSets в Chrome, выступает промежуточным звеном, который агрегирует CRL-списки от удостоверяющих центров и предоставляет единый централизованный OCSP-сервис для проверки отозванных сертификатов, дающий возможность не отправлять запросы непосредственно в удостоверяющие центры. Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%).

По умолчанию, в случае невозможности осуществить проверку через OCSP, браузер считает сертификат корректным. Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими - для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки. Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP или недоступность OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата.

CRLite позволяет свести полные сведения обо всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента. Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах, и эта БД будет доступна при любых условиях.

CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. Обычно для полного покрытия всех данных достаточно создания 7-10 слоёв. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP, в том числе используя технику OCSP Stapling (заверенный удостоверяющим центром ответ OCSP передаётся обслуживающим сайт сервером при согласовании TLS-соединения).

При помощи фильтров Блума декабрьский срез сведений из WebPKI, охватывающий 100 млн активных сертификатов и 750 тысяч отозванных сертификатов, удалось упаковать в структуру, размером 1.3 MB. Процесс генерации структуры достаточно ресурсоёмкий, но он выполняется на сервере Mozilla и пользователю отдаётся уже готовое обновление. Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб. Процесс агрегирования всех отозванных и активных сертификатов занимает около 40 минут, а процесс генерации упакованной структуры на основе фильтра Блума требует ещё 20 минут.

В настоящее время в Mozilla обеспечено обновление БД CRLite четыре раза в день (не все обновления доставляются клиентам). Генерация delta-обновлений пока не реализована - применение bsdiff4, используемого для создания delta-обновлений релизов, не обеспечивает должную эффективность для CRLite и обновления получаются неоправданно большими. Для устранения этого недостатка планируется переработать формат структуры хранения для исключения лишнего перестроения и удаления слоёв.

CRLite пока работает в Firefox в пассивном режиме и используется параллельно с OCSP для накопления статистики о корректности работы. CRLite можно перевести в режим основной проверки, для этого в about:config нужно установить параметр security.pki.crlite_mode = 2.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52175

January 13, 2020 07:38 AM

January 12, 2020

OpenNet.ru : mozilla

Mozilla тестирует систему голосового управления Firefox Voice

Компания Mozilla начала тестирование дополнения Firefox Voice с реализацией экспериментальной системы голосовой навигации, позволяющей использовать речевые команды для выполнения типовых действий в браузере. В настоящее время поддерживается обработка команд только на английском языке. Для активации требуется нажать на индикатор в адресной строке и выдать голосовую команду (в фоне микрофон отключён).

От типовых систем голосового управления предложенное дополнение отличается тем, что оно сосредоточено не на замене мыши и клавиатуры при манипуляциях с интерфейсом, а позиционируется как вспомогательный инструмент для обработки вопросов на естественном языке, выполняющий роль голосового помощника. Например, пользователь может передавать такие команды, как "какая сейчас погода", "найди вкладку с Gmail", "отключи звук", "сохрани как PDF", "увеличь масштаб", "открой сайт mozilla".

После установки дополнения пользователю предлагается предоставить право сбора и анализа голосовых шаблонов с их передачей на серверы Mozilla для увеличения точности работы сервиса (данные собираются анонимно и не передаются третьим лицам). При этом отправка телеметрии с голосовыми данными опциональна и от неё можно отказаться.

По данным издания soeren-hentzschel.at обработка команд производится с задействованием службы распознавания речи Google (Google Cloud Speech Service), но в коде дополнения определены серверы Mozilla (настройки могут быть переопределены при сборке). В файле, определяющем политику конфиденциальности, упомянута возможность отправки голосовых данных как в Mozilla, так и в Google Cloud Speech.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52172

January 12, 2020 06:10 AM

Mozilla Россия : Новости

Вышел Thunderbird 68.4.1

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.4.1.

    [*] Изменено: Улучшена настройка учетных записей, расположенных на серверах Microsoft Exchange: если имеется возможность, предлагается настроить доступ по IMAP/SMTP; улучшено обнаружение учётных записей Office 365; после смены пароля производится повторная перенастройка конфигурации.
    [*] Исправлено: В некоторых случаях не удавалось открыть вложения, в именах которых имелось один или несколько пробелов
    [*] Исправлено: В некоторых случаях после изменения разбивки окна в окне просмотра сообщений отображалось искаженное содержимое
    [*] Исправлено: В некоторых случаях у сообщений в общих папках IMAP терялись метки
    [*] Исправлено: Различные изменения темы для достижения «совершенных пикселей»: значок «непрочитанный», значок «нет результатов», формат абзаца и выбор шрифта, фон всплывающей подсказки для сведений о папке
    [*] Исправлено: Календарь: диалоговое окно участника мероприятия отображалось неправильно
    [*] Исправлено:  Уязвимости в системе безопасности.

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

January 12, 2020 01:26 AM

January 09, 2020

OpenNet.ru : mozilla

Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости

Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов.

Следы совершения атак с использование 0-day уязвимости были обнаружены китайским производителем антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном коде, скомпилированном JIT-движком IonMonkey. Подробности пока не раскрываются, но для анализа доступен код патча.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52155

January 09, 2020 05:01 AM

January 08, 2020

Mozilla Россия : Новости

Вышел Firefox 72.0.1

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 72, а также мобильной версии Firefox 68.4.1 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.4.1. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 73, релиз которой намечен на 11 февраля (проект перешёлна 4-недельный цикл разработки).

Основные новшества:

    [*] В применяемом по умолчанию стандартном режиме блокировки нежелательного контента включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"), которая осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

    0_1578421200.png

    [*] Активированы методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий (Notification.requestPermission(), PushManager.subscribe() и MediaDevices.getDisplayMedia()). Запросы подтверждения полномочий теперь не будут прерывать работу с браузером, а лишь станут приводить к выводу индикатора в адресной строке после того, как зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш). Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения.
    [*] Добавлена экспериментальная поддержка протокола HTTP/3 (для активации в about:config нужно установить опцию "network.http.http3.enabled"). Поддержка HTTP/3 в Firefox основана на neqo, написанной на языке Rust реализации клиента и сервера протокола QUIC (HTTP/3 стандартизирует использование протокола QUIC в качестве транспорта для HTTP/2).
    [*] В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) добавлена возможность удаления данных телеметрии с серверов Mozilla. Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии. Из данных, которые оседают на серверах Mozilla в процессе сбора телеметрии отмечается информация о производительности, безопасности Firefox и общих параметрах, таких как число открытых вкладок и длительность сеанса (сведения об открываемых сайтах и поисковых запросах не передаются). Полные сведения о собираемых данных можно посмотреть на странице "about:telemetry".

    0_1578421431.png

    [*] Для Linux и macOS добавлена возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift).

    0_1578421771.png

    [*] При отображении полосы прокрутки задействован цвета фона текущей страницы.
    [*] Удалена возможность привязки открытых ключей (PKP, Public Key Pinning), позволяющая при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).
    [*] В состав приняты патчи, позволяющие в OpenBSD задействовать системные вызовы unveil() и pledge() для дополнительной изоляции файловой системы и процессов.
    [*] Удалена поддержка блокировки изображений с отдельных доменов. В качестве причины удаления указывается невостребованность функции среди пользователей и неудобный интерфейс для блокировки.
    [*] В сборках для Windows реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload).
    [*] Активирована по умолчанию поддержка CSS Shadow Parts, включая атрибут "part" и псевдоэлемент "::part", позволяющие выборочно отображать заданные элементы из Shadow DOM.
    [*] Добавлена поддержка спецификации Motion Path, позволяющей определять траекторию движения объектов анимации при помощи CSS без использования кода на JavaScript и без блокирования процесса отрисовки и ввода во время показа анимации. Для управления анимацией представлены CSS-свойства offset, offset-path, offset-anchor, offset-distance и offset-rotate.
    [*] Включены по умолчанию отдельные CSS-свойства трансформации scale, rotate и translate, не привязанные к свойству transform (т.е. в CSS теперь можно указать "scale: 2;" вместо "transform: scale(2);").
    [*] В JavaScript реализован логический оператор объединения "??", который возвращает правый операнд, если левый операнд имеет значение NULL или undefined, и наоборот. Например, "const foo = bar ?? 'default string'" если bar равен null вернёт стоку или значение bar в противном случае, в том числе когда bar равен 0 и ' ', в отличие от оператора "||".
    [*] Добавлен API FormDataEvent и событие FormData, которые дают возможность использовать обработчики на JavaScript для добавления данных в форму на этапе её отправки без необходимости сохранять данные в скрытых элементах input.
    [*] API Geolocation обновлён для соответствия новой спецификации, например, переименованы Coordinates в GeolocationCoordinates, Position в GeolocationPosition и PositionError в GeolocationPositionError.
    [*] В отладчик JavaScript добавлена поддержка условных точек останова (watchpoint), срабатывающих при изменении или чтении определённых свойств объектов.

    wp3.png

    [*] Ускорен запуск отладчика JavaScript в условиях открытия очень большого числа вкладок (в первую очередь приоритет теперь отдаётся видимым вкладкам).
    [*] В Responsive Design Mode реализована симуляция различных значений meta viewport. В режиме инспектирования страниц добавлен симулятор значений "prefers-color-scheme".
    [*] В web-консоли в многострочном режиме интерпретации JavaScript добавлена поддержка сохранения и открытия файлов при помощи комбинаций Ctrl + O и Ctrl + S.
    [*] Добавлена настройка javascript.options.asyncstack для визуального разделения асинхронных сообщений в web-консоли. При активации настройки для console.trace() и console.error() выводится полный стек вызова асинхронных операций, позволяющий разобраться в планировании запуска таймеров, событий, promise, генераторов и т.п.

    async-stacks.jpg

       
    [*] В режиме инспектирования WebSocket реализован разбор и наглядное отображение метаданных формата SignalR, применяемого в сообщениях ASP.NET Core, Также добавлены счётчики, показывающие суммарный размер отданных и загруженных данных.
    [*] В инструменте для мониторинга сетевой активности во вкладке Timings раздельно отображены данные о времени помещения в очередь для загрузки, начале загрузки и завершении загрузки каждого ресурса.
    [*] Из инструментов для web-разработчиков исключено окружение Scratchpad, предназначенное для экспериментов в кодом JavaScript (на смену Scratchpad в прошлом выпуске пришёл многострочный режим работы web-консоли).

Кроме новшеств и исправления ошибок в Firefox 72 устранено 20 уязвимостей, из которых 11 (собраны под CVE-2019-17025 и CVE-2019-17024) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические. Особого внимания также заслуживает проблема CVE-2019-17017 в коде XPCVariant.cpp, которая также потенциально может привести к исполнению кода.

Обновление: Выпущен Firefox 72.0.1 в котором устранена уязвимость в системе безопасности.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Что нового в Firefox 72 для разработчиков
Примечания к выпуску для Firefox 72.0 для Windows, Mac and Linux
Примечания к выпуску для Firefox 72.0.1 для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Выделить код

Код:

  <custom-element>
   <p part="example">A paragraph</p>
  </custom-element>

... в CSS для выбора элементов в привязке к атрибуту part:

  custom-element::part(example) {
   border: solid 1px black;
   border-radius: 5px;
   padding: 5px;
  }

January 08, 2020 02:21 PM

January 07, 2020

OpenNet.ru : mozilla

Релиз Firefox 72

Состоялся релиз web-браузера Firefox 72, а также мобильной версии Firefox 68.4 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.4.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 73, релиз которой намечен на 11 февраля (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

  • В применяемом по умолчанию стандартном режиме блокировки нежелательного контента включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"), которая осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
  • Активированы методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий (Notification.requestPermission(), PushManager.subscribe() и MediaDevices.getDisplayMedia()). Запросы подтверждения полномочий теперь не будут прерывать работу с браузером, а лишь станут приводить к выводу индикатора в адресной строке после того, как зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш). Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения.
  • Добавлена экспериментальная поддержка протокола HTTP/3 (для активации в about:config нужно установить опцию "network.http.http3.enabled"). Поддержка HTTP/3 в Firefox основана на neqo, написанной на языке Rust реализации клиента и сервера протокола QUIC (HTTP/3 стандартизирует использование протокола QUIC в качестве транспорта для HTTP/2).
  • В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) добавлена возможность удаления данных телеметрии с серверов Mozilla. Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии. Из данных, которые оседают на серверах Mozilla в процессе сбора телеметрии отмечается информация о производительности, безопасности Firefox и общих параметрах, таких как число открытых вкладок и длительность сеанса (сведения об открываемых сайтах и поисковых запросах не передаются). Полные сведения о собираемых данных можно посмотреть на странице "about:telemetry".
  • Для Linux и macOS добавлена возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift).
  • При отображении полосы прокрутки задействован цвет фона текущей страницы.
  • Удалена возможность привязки открытых ключей (PKP, Public Key Pinning), позволяющая при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).
  • В состав приняты патчи, позволяющие в OpenBSD задействовать системные вызовы unveil() и pledge() для дополнительной изоляции файловой системы и процессов.
  • Удалена поддержка блокировки изображений с отдельных доменов. В качестве причины удаления указывается невостребованность функции среди пользователей и неудобный интерфейс для блокировки.
  • В сборках для Windows реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload).


  • Активирована по умолчанию поддержка CSS Shadow Parts, включая атрибут "part" и псевдоэлемент "::part", позволяющие выборочно отображать заданные элементы из Shadow DOM.
         ‹custom-element›       ‹p part="example"›A paragraph‹/p›     ‹/custom-element›    ... в CSS для выбора элементов в привязке к атрибуту part:       custom-element::part(example) {       border: solid 1px black;       border-radius: 5px;       padding: 5px;     }    
  • Добавлена поддержка спецификации CSS Motion Path, позволяющей определять траекторию движения объектов анимации при помощи CSS без использования кода на JavaScript и без блокирования процесса отрисовки и ввода во время показа анимации. Для управления анимацией представлены CSS-свойства offset, offset-path, offset-anchor, offset-distance и offset-rotate.
  • Включены по умолчанию отдельные CSS-свойства трансформации scale, rotate и translate, не привязанные к свойству transform (т.е. в CSS теперь можно указать "scale: 2;" вместо "transform: scale(2);").
  • В JavaScript реализован логический оператор объединения "??", который возвращает правый операнд, если левый операнд имеет значение NULL или undefined, и наоборот. Например, "const foo = bar ?? 'default string'" если bar равен null, вернёт стоку или значение bar в противном случае, в том числе, когда bar равен 0 и ' ', в отличие от оператора "||".
  • Добавлен API FormDataEvent и событие FormData, которые дают возможность использовать обработчики на JavaScript для добавления данных в форму на этапе её отправки без необходимости сохранять данные в скрытых элементах input.
  • API Geolocation обновлён для соответствия новой спецификации, например, переименованы Coordinates в GeolocationCoordinates, Position в GeolocationPosition и PositionError в GeolocationPositionError.


  • В отладчик JavaScript добавлена поддержка условных точек останова (watchpoint), срабатывающих при изменении или чтении определённых свойств объектов.
  • Ускорен запуск отладчика JavaScript в условиях открытия очень большого числа вкладок (в первую очередь приоритет теперь отдаётся видимым вкладкам).
  • В Responsive Design Mode реализована симуляция различных значений meta viewport. В режиме инспектирования страниц добавлен симулятор значений "prefers-color-scheme".
  • В web-консоли в многострочном режиме интерпретации JavaScript добавлена поддержка сохранения и открытия файлов при помощи комбинаций Ctrl + O и Ctrl + S.
  • Добавлена настройка javascript.options.asyncstack для визуального разделения асинхронных сообщений в web-консоли. При активации настройки для console.trace() и console.error() выводится полный стек вызова асинхронных операций, позволяющий разобраться в планировании запуска таймеров, событий, promise, генераторов и т.п.
  • В режиме инспектирования WebSocket реализован разбор и наглядное отображение метаданных формата SignalR, применяемого в сообщениях ASP.NET Core, Также добавлены счётчики, показывающие суммарный размер отданных и загруженных данных.
  • В инструменте для мониторинга сетевой активности во вкладке Timings раздельно отображены данные о времени помещения в очередь для загрузки, начале загрузки и завершении загрузки каждого ресурса.
  • Из инструментов для web-разработчиков исключено окружение Scratchpad, предназначенное для экспериментов в кодом JavaScript (на смену Scratchpad в прошлом выпуске пришёл многострочный режим работы web-консоли).

Кроме новшеств и исправления ошибок в Firefox 72 устранено 20 уязвимостей, из которых 11 (собраны под CVE-2019-17025 и CVE-2019-17024) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические. Особого внимания также заслуживает проблема CVE-2019-17017 в коде XPCVariant.cpp, которая также потенциально может привести к исполнению кода.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52144

January 07, 2020 04:17 PM

January 03, 2020

OpenNet.ru : mozilla

В Firefox 72 появится возможность удаления данных телеметрии с серверов Mozilla

В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) компания Mozilla предложит в выпуске Firefox 72, намеченном на 7 января, возможность инициировать удаление с серверов Mozilla данных, полученных в процессе сбора телеметрии и привязанных к конкретному экземпляру браузера.

Закон CCPA предоставляет право знать, какие именно персональные данные собираются и кому эти данные передаются, требует предоставить доступ к этим данным, а также дать возможность изменения, удаления и запрета продажи уже собранных персональных данных. Предоставляемая законом CCPA защита персональных данных распространяется только на жителей Калифорнии, но в Mozilla решили предоставить средства удаления данных телеметрии всем пользователям, независимо от места проживания.

Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии. Из данных, которые оседают на серверах Mozilla в процессе сбора телеметрии отмечается информация о производительности, безопасности Firefox и общих параметрах, таких как число открытых вкладок и длительность сеанса (сведения об открываемых сайтах и поисковых запросах не передаются). Полные сведения о собираемых данных можно посмотреть на странице "about:telemetry".



Источник: http://www.opennet.ru/opennews/art.shtml?num=52131

January 03, 2020 05:05 PM

December 28, 2019

Mozilla Россия : Новости

Вышел Thunderbird 68.3.1

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.3.1.

    [*] Изменено: При использовании темной темы непрочитанные сообщения больше не выделяются синим цветом, чтобы отличить их от помеченных меткой сообщений
    [*] Изменено: Настройка учетной записи теперь ищет MX-записи в DNS на стороне клиента, а не полагается на сервер
    [*] Исправлено: В некоторых обстоятельствах при поиске в адресной книге LDAP происходило падение программы
    [*] Исправлено: В некоторых случаях не работала навигация по сообщениям с помощью кнопок «Назад» и «Вперед»
    [*] Исправлено: Значки панели инструментов WebExtension были слишком маленькими
    [*] Исправлено: Календарь: задачи, которые должны были быть выполнены сегодня, не выделялись жирным шрифтом
    [*] Исправлено: Календарь: не отображался последний день продолжительных событий

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

December 28, 2019 11:43 AM

December 19, 2019

OpenNet.ru : mozilla

Mozilla перейдёт с IRC на Matrix и добавит в Firefox второго провайдера DNS-over-HTTPS

Компания Mozilla приняла решение перейти на использование децентрализованного сервиса для общения разработчиков, построенного с использованием открытой платформы Matrix. Matrix-сервер решено запустить с использованием хостинг-сервиса Modular.im.

Matrix признан оптимальным для общения разработчиков Mozilla, так как является открытым проектом, не привязан к централизованным серверам и проприетарным разработкам, использует открытые стандарты, обеспечивает сквозное шифрование, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков.

Ранее для общения в Mozilla применялся IRC, который рассматривался как серьёзный барьер для подключения к обсуждениям новичков. Кроме того, отмечено моральное и техническое устаревание протокола IRC, который в современных реалиях не так удобен, как хотелось бы, часто блокируется на межсетевых экранах и не предоставляет должных инструментов для защиты от спама и нарушений норм общения. Работа IRC-серверов Mozilla (irc.mozilla.org) будет прекращена в марте 2020 года. Проект SeaMonkey объявил о продолжении использования IRC и переходе на канал #seamonkey в IRC-сети Freenode.

Из связанных c Mozilla событий также можно отметить добавление в Firefox альтернативного провайдера для DNS поверх HTTPS (DoH, DNS over HTTPS). Помимо ранее предлагавшегося по умолчанию DNS-сервера CloudFlare ("https://1.1.1.1/dns-query") в настройки также будет включён сервис NextDNS, который также развивает одноимённый прокси для DoH. Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

Для отбора провайдеров DoH сформированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Примечательно, что один (104.16.248.249) из двух IP-адресов, связанных с предлагаемым в Firefox DoH-сервером mozilla.cloudflare-dns.com, включён в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52056

December 19, 2019 06:15 PM

December 18, 2019

Хабрахабр : Firefox

[Перевод] 30 полезностей для Firefox Developer Tools


Ниже приведены фичи и советы по использованию Firefox Developer Tools. Некоторые из них аналогичны возможностям инструментов в Chrome, для некоторых аналоги в других браузерах отсутствуют.


Осторожно, под катом много тяжёлых гифок!

Осторожно, под катом много тяжёлых гифок!

Автор: QueenOfTheEarth. Дата: December 18, 2019 03:28 PM

December 17, 2019

Хабрахабр : Firefox

Скрытая активация камеры браузерами: Большой Брат или технологический просчёт?

image


Всем привет!


Меня зовут Вадим, и я один из технических консультантов и, по совместительству, системный администратор "РосКомСвободы".


Но данный пост будет не обо мне. Он будет историей о подозрительной (с точки зрения приватности в контексте мобильных телефонов) ситуации, с которой мы недавно столкнулись.
Он мог бы быть в стиле "А-а-а-а-а-а! Смотрите, Большой брат (Google) следит за нами", но я, всё же, попробую провести какой-никакой анализ и выдвинуть правдоподобные гипотезы о том, почему может происходить то, что произошло.


Заранее прошу прощения, если кому-то не нравится формат а-ля "журнал }{akep в нулевые". Пишите — исправлюсь.

Читать дальше →

Автор: mva. Дата: December 17, 2019 12:16 PM

December 14, 2019

OpenNet.ru : mozilla

В Firefox 73 появится режим браузера одного сайта. Усиление защиты аккаунтов разработчиков дополнений

После добавления в Firefox 71 поддержки работы в режиме интернет-киоска, разработчики Mozilla добавили в ночные сборки Firefox, на базе которых будет сформирован релиз Firefox 73, возможность открытия ссылок с использованием концепции "Site Specific Browser" (SSB). Новый режим ограничивает открытие в окне только ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера), а также скрывает меню, адресную строку и прочие элементы интерфейса браузера.

В отличие от ранее добавленного режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. При помощи новой возможности можно организовать работу с web-приложением как с обычной настольной программой. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений, и кнопка "Launch Site Specific Browser", размещённая в меню действий со страницей (открывается через многоточие справа от адресной строки).

Дополнительно можно упомянуть решение ввести в практику обязательное применение двухфакторной аутентификации для учётных записей разработчиков дополнений. При подключении к addons.mozilla.org будет дополнительно запрашиваться код верификации, генерируемый отдельным приложением (FreeOTP, Authy, Google Authenticator, Duo Mobile, andOTP или KeepassXC). Изменение планируется ввести в начале 2020 года. Ожидается, что принудительное использование двухфакторной аутентификации поможет предотвратить неавторизированный доступ в случае утечки параметров учётной записи разработчика и защитить от захвата злоумышленниками контроля за дополнениями.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52034

December 14, 2019 08:07 PM

December 10, 2019

OpenNet.ru : mozilla

Доступен браузер Firefox Preview 3.0 для Android

Компания Mozilla опубликовала третий значительный выпуск экспериментального браузера Firefox Preview, развиваемого под кодовым именем Fenix. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Первый стабильный выпуск ожидается в первой половине 2020 года. После стабилизации проекта и реализации всей задуманной функциональности браузер заменит собой редакцию Firefox для Android, выпуск новых релизов которой прекращён, начиная с Firefox 69.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

В новом выпуске:

  • Добавлены расширенные средства для защиты от отслеживания перемещений, позволяющие по аналогии с настольной версией Firefox блокировать рекламу с кодом для отслеживания перемещений, счётчики web-аналитики, виджеты социальных сетей, скрытые методы идентификации пользователя и код для майнинга криптовалют. По умолчанию активен режим жёсткой блокировки (Strict). По оценке разработчиков включение блокировки приводит к ускорению загрузки страниц в среднем на 20%. При касании к пиктограмме с изображением щита отрывается окно с информацией о заблокированных элементах c возможностью детального просмотра списка блокировки для текущего сайта.
  • По умолчанию активирована опция для открытия внешних ссылок (переходы по ссылке из сторонних приложений) в приватном режиме.
  • Добавлена опция для автоматической очистки истории открытия страниц при выходе из браузера.
  • Добавлена возможность выбора типов информации, которая будет синхронизироваться между устройствами. Из информации для синхронизации пока предложены только закладки и история открытия страниц.
  • Добавлены настройки поведения автоматического и фонового воспроизведения видео и звука.
  • Реализован интерфейс для просмотра и управления загрузками. Состояние загрузки отображается через виджет в области уведомлений, через который также можно приостановить, продолжить или отменить загрузку. После завершения загрузки всплывает диалог, через который можно открыть загруженный файл.
  • Вместо панели Quick Action предложена новая реализация браузерного меню.
  • Добавлена возможность добавления новых движков для обращения к поисковым системам.
  • Предложена опция для перемещения навигационной панели в нижнюю или верхнюю часть экрана.
  • Добавлена настройка для установки глобального уровня масштабирования, применяемого для всех сайтов.



Основные особенности Firefox Preview:

  • Высокая производительность. Заявлено, что Firefox Preview до двух раз быстрее классического Firefox для Android, что достигается благодаря применению на этапе компиляции оптимизаций на основе результатов профилирования кода (PGO - Profile-guided optimization) и за счёт включения JIT-компилятора IonMonkey для 64-разрядных систем ARM. Кроме ARM сборки GeckoView также теперь формируются и для систем x86_64.
  • Включение по умолчанию защиты от отслеживания перемещений и различной паразитной активности.
  • Универсальное меню, через которое можно получить доступ к настройкам, библиотеке (избранные страницы, история, загрузки, недавно закрытые вкладки), выбору режима отображения сайта (показ десктоп-версии сайта), поиску текста на странице, переходу в приватный режим, открытию новой вкладки и навигации между страницами.
  • Многофункциональная адресная строка, в которой имеется универсальная кнопка для быстрого выполнения операций, таких как отправка ссылки на другое устройство и добавление сайта в список избранных страниц. При нажатии на адресной строке запускается полноэкранный режим подсказки, предлагающий релевантные варианты ввода на основе истории посещений и рекомендаций от поисковых систем.
  • Применение вместо вкладок концепции коллекций, позволяющих сохранять, группировать и обмениваться избранными сайтами. После закрытия браузера остающиеся открытыми вкладки автоматически группируются в коллекцию, которую затем можно просмотреть и восстановить.
  • На стартовой странице выводится адресная строка, совмещённая с функцией глобального поиска, и показывается список открытых вкладок или, если страницы не открыты, отображается список сеансов, в которых сгруппированы ранее открытые сайты в привязке к сеансам работы с браузером.
  • Присутствует функция отправки вкладки или коллекции на другое устройство.


Источник: http://www.opennet.ru/opennews/art.shtml?num=51998

December 10, 2019 04:47 AM

December 08, 2019

Mozilla Россия : Новости

Вышел Thunderbird 68.3.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.3.0.

    [*] Новинка: WebExtension API для действий на панели инструментов отображения сообщений
    [*] Новинка: Кнопки навигации теперь доступны на вкладках содержимого, например тех, которые открываются после поиска дополнения
    [*] Изменено: Значок «Новая почта» в системном трее Windows изменен со входного лотка со стрелкой на конверт
    [*] Исправлено: Значки вложений в панели вложений окна «Создание сообщения» были не всегда корректны
    [*] Исправлено: Кнопки дополнений для панели инструментов не отображались в панели меню после запуска
    [*] Исправлено: Поиск в LDAP не работал при включенном SSL. Поиск в LDAP не работал при выборе «Все адресные книги»
    [*] Исправлено: Панель подтверждения мошеннических ссылок не работала
    [*] Исправлено: В окне «Создание сообщения» диалоговое окно «Свойства ссылки» не отображало якоря с именем в контекстном меню
    [*] Исправлено: Календарь: не запускался, если меню приложения отсутствовало на панелях инструментов календаря
    [*] Исправлено: Чат: изменение порядка учетных записей с помощью перетаскивания не работало в диалоговом окне состояния Мгновенных сообщений (Показать учетные записи)
    [*] Исправлено: Различные исправления в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

December 08, 2019 03:23 PM

OpenNet.ru : mozilla

Компания Mozilla представила движок распознавания речи DeepSpeech 0.6

Представлен выпуск развиваемого компанией Mozilla движка распознавания речи DeepSpeech 0.6, который реализует одноимённую архитектуру распознавания речи, предложенную исследователями из компании Baidu. Реализация написана на языке Python с использованием платформы машинного обучения TensorFlow и распространяется под свободной лицензией MPL 2.0. Поддерживается работа в Linux, Android, macOS и Windows. Производительности достаточно для использования движка на платах LePotato, Raspberry Pi 3 и Raspberry Pi 4.

В наборе также предлагаются обученные модели, примеры звуковых файлов и инструментарий для распознавания из командной строки. Для встраивания функции распознавания речи в свои программы предложены готовые к применению модули для Python, NodeJS, C++ и .NET (сторонними разработчиками отдельно подготовлены модули для Rust и Go). Готовая модель поставляется только для английского языка, но для других языков по прилагаемой инструкции можно обучить систему самостоятельно, используя голосовые данные, собранные проектом Common Voice.

DeepSpeech значительно проще традиционных систем и при этом обеспечивает более высокое качество распознавания при наличии постороннего шума. В разработке не используются традиционные акустические модели и концепция фонем, вместо них применяется хорошо оптимизированная система машинного обучения на основе нейронной сети, которая позволяет обойтись без разработки отдельных компонентов для моделирования различных отклонений, таких как шум, эхо и особенности речи.

Обратной стороной подобного подхода является то, что для получения качественного распознавания и обучения нейронной сети движок DeepSpeech требует большого объёма разнородных данных, надиктованных в реальных условиях разными голосами и при наличии естественных шумов. Сбором подобных данных занимается созданный в Mozilla проект Common Voice, предоставляющий проверенный набор данных с 780 часами на английском языке, 325 на немецком, 173 на французском и 27 часами на русском.

Конечной целью проекта Common Voice является накопление 10 тысяч часов c записями различного произношения типовых фраз человеческой речи, что позволит достичь приемлемого уровня ошибок при распознавании. В текущем виде участниками проекта уже надиктовано в сумме 4.3 тысячи часов, из которых 3.5 тысячи прошли проверку. При обучении итоговой модели английского языка для DeepSpeech использовано 3816 часов речи, кроме Common Voice охватывающей данные от проектов LibriSpeech, Fisher и Switchboard, а также включающей около 1700 часов транскрибированных записей радиошоу.

При использовании предлагаемой для загрузки готовой модели английского языка уровень ошибок распознавания в DeepSpeech составляет 7.5% при оценке тестовым набором LibriSpeech. Для сравнения, уровень ошибок при распознавании человеком оценивается в 5.83%.

DeepSpeech состоит из двух подсистем - акустической модели и декодировщика. Акустическая модель использует методы глубинного машинного обучения для вычисления вероятности наличия определённых символов в подаваемом на вход звуке. Декодировщик применяет алгоритм лучевого поиска для преобразования данных о вероятности символов в текстовое представление.

Основные новшества DeepSpeech 0.6 (ветка 0.6 не совместима с прошлыми выпусками и требует обновления кода и моделей):

  • Предложен новый потоковый декодировщик, обеспечивающий более высокую отзывчивость и не зависящий от размера обрабатываемых звуковых данных. В итоге, в новой версии DeepSpeech удалось снизить задержку на распознавание до 260 мс, что на 73% быстрее, чем раньше, и позволяет применять DeepSpeech в решениях для распознавания речи на лету.
  • Внесены изменения в API и проведена работа по унификации имён функций. Добавлены функции для получения дополнительных метаданных о синхронизации, позволяющие не просто получать на выходе текстовое представление, но и отслеживать привязку отдельных символов и предложений к позиции в звуковом потоке.
  • В инструментарий для обучения модули добавлена поддержка использования библиотеки CuDNN для оптимизации работы с рекуррентными нейронными сетями (RNN), что позволило добиться существенного (примерно в два раза) увеличения производительности обучения модели, но потребовало внесения в код изменений, нарушающих совместимость с моделями, подготовленными ранее.
  • Минимальные требования к версии TensorFlow подняты с 1.13.1 до 1.14.0. Добавлена поддержка легковесной редакции TensorFlow Lite, при использовании которой размер пакета DeepSpeech уменьшен с 98 MB до 3.7 MB. Для использования на встраиваемых и мобильных устройствах с 188 MB до 47 MB также сокращён размер упакованного файла с моделью (для сжатия использован метод квантования после завершения обучения модели).
  • Языковая модель переведена на другой формат структур данных, позволяющий выполнять маппинг файлов в память при загрузке. Поддержка старого формата прекращена.
  • Изменён режим загрузки файла с языковой моделью, что позволило снизить потребление памяти и уменьшить задержки при обработке первого запроса после создания модели. В процессе работы DeepSpeech теперь потребляет в 22 раза меньше памяти и запускается в 500 раз быстрее.
  • Проведена фильтрация редких слов в языковой модели. Общее число слов сокращено до 500 тысяч самых популярных слов, встречающихся в тексте, использованном при тренировке модели. Проведённая чистка позволила снизить размер языковой модели с 1800МБ до 900МБ, практически не повлияв на показатели уровня ошибок распознавания.
  • Добавлена поддержка различных техник создания дополнительных вариаций (augmentation) звуковых данных, используемых при обучении (например, добавление к набору вариантов, в которые внесены искажения или шумы).
  • Добавлена библиотека с биндингами для интеграции с приложениями на базе платформы .NET.
  • Переработана документация, которая теперь собрана на отдельном сайте deepspeech.readthedocs.io.


Источник: http://www.opennet.ru/opennews/art.shtml?num=51991

December 08, 2019 10:14 AM

December 03, 2019

OpenNet.ru : mozilla

Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных

Компания Mozilla удалила из каталога addons.mozilla.org (AMO) четыре дополнения компании Avast - Avast Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice. Дополнения удалены из-за организации утечки персональных данных пользователей. Google пока никак не отреагировал на инцидент и дополнения остаются в каталоге Chrome App Store.

В коде дополнений выявлены вставки для выгрузки на сайт uib.ff.avast.com профилей пользователей и детальных сведений об истории открытия страниц. Вовне передавалось значительно больше данных, чем необходимо для реализации заявленной функциональности дополнений для проверки безопасности (предупреждение об открытии вредоносных сайтов) и предоставления помощи при совершении online-покупок (сравнение цен, предоставление купонов и т.п.).

Например, отправлялись данные об открываемых URL (с параметрами запроса), операционной системе, идентификаторе пользователя, локали, способе попадания на страницу, referer и т.п. Интересно, что на сайте принадлежащей Avast компании Jumpshot явно заявлено о продаже данных об активности пользователей, пригодных для анализа их предпочтений при поиске и выборе тех или иных продуктов.

Дополнение: Расширения возвращены в каталог addons.mozilla.org после того как компания Avast выполнила требования Mozilla и сократила объём отправляемых данных до необходимого минимума.

Источник: http://www.opennet.ru/opennews/art.shtml?num=51970

December 03, 2019 06:38 PM

Mozilla Россия : Новости

Вышел Firefox 71.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки).

Основные новшества:

    [*] Предложен новый интерфейс страницы "about:config", который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно реализована поддержка поиска через штатный механизм, который применяется и для поиска на обычных страницах с пошаговым перебором совпадений.

    0_1575387204.png

    Для каждой настройки добавлена кнопка, позволяющая инвертировать переменные с булевыми значениями (true/false) или редактировать строковые и числовые переменные. Для изменённых пользователем значений добавлена кнопка для возвращения изменений к значению по умолчанию.

    0_1575387040.png

    После открытия about:config по умолчанию элементы не показываются и видна только строка поиска, а для просмотра всего списка нужно нажать кнопку "Show all". В настройки добавлена опция "general.aboutConfig.enable", позволяющая вернуть доступ к странице about:config, если он опционально был отключён на этапе сборки;

    0_1575387233.png

    [*] Задействован по умолчанию новый интерфейс просмотра TLS-сертификатов, доступный через служебную страницу "about:certificate" и меню "Tools > Page Info > Security > View Certificate". Реализация интерфейса просмотра сертификатов полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum. Если раньше для просмотра сертификатов открывалось отдельное окно, то теперь информация отображается во вкладке в форме, напоминающей дополнение Certainly Something.

    0_1571764403.png

    [*] Модернизировано оформление адресной строки. Наиболее заметным изменением стал уход от отображения списка рекомендаций на всю ширину экрана в пользу явно обозначенного выпадающего окна. Предложенные изменения продолжают развитие новой реализации адресной строки Quantum Bar, появившейся в Firefox 68 и отличающейся полным переписыванием кода с заменой XUL/XBL на стандартный Web API. На первом этапе оформление Quantum Bar полностью повторяло старую адресную строку и изменения сводились лишь к внутренней переработке. Теперь началась работа по усовершенствованию внешнего вида. Изменения пока отключены по умолчанию и требуют активации через настройку "browser.urlbar.megabar" в about:config.

    0_1575387548.png

    [*] Добавлена поддержка запуска браузера в режиме интернет-киоска, который активируется при указании в командной строке опции "--kiosk" и приводит к возможности работы только в полноэкранном режиме. Показ управляющих элементов интерфейса, всплывающих окон, контекстных меню и индикаторов состояния загрузки страницы (отображения ссылок и текущего URL) блокируется. Ввод с клавиатуры сильно ограничивается, например, отключается обработка клавиш Alt и Ctrl, что не позволяет выйти из браузера, переключиться на другое приложение или открыть другой сайт. Режим можно использовать для организации работы различных автономных терминалов, рекламных стендов, демонстрационных панелей и прочих систем, ограниченных работой с одним сайтом/web-приложением.
    [*] Во входящем в состав браузера системном дополнении Lockwise (ранее дополнение поставлялось как Lockbox), предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилось распознавание поддоменов при автозаполнении форм ввода пароля. Вывод предупреждений Firefox Monitor о компрометации учётных записей реализован и для пользователей с экранными ридерами.
    [*] В сборках для Windows, Linux и macOS задействован нативный декодировщик MP3.
    [*] В расширенный режим защиты от отслеживания перемещений добавлен вывод уведомлений о блокировке кода для майнинга криптовалют. В панели, показываемой при клике на пиктограмму с изображений щита в адресной строке, обеспечен показ счётчика заблокированных трекеров.
    [*] Для пользователей Windows включена по умолчанию возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift). В системах отличных от Windows поддержка режима может быть включена в about:config при помощи опции "media.videocontrols.picture-in-picture.enabled".
    [*] Реализована поддержка вложенной многослойной компоновки элементов страницы (CSS Grid Level 2), которая заметно повышает гибкость построения макетов страниц, выровненных по сетке, за счёт предоставления возможности определения дочерних элементов, привязанных к родительским ячейкам (размещение отдельного grid внутри ячейки). Вложенные сетки определяются через использования в свойствах "grid-template-columns" и "grid-template-rows" значения "subgrid". Поддержка вложенных grid также добавлена в режим инспектирования DevTools Grid Inspector.
    [*] В CSS добавлено свойство column-span, позволяющее элементу охватывать все столбцы.
    [*] В CSS-свойстве clip-path добавлена возможность определения ограничивающей видимость области, заданной при помощи значения path() в форматепути SVG.
    [*] Добавлена возможность учёта коэффициента соотношения сторон, определённого через свойство aspect-ratio, для HTML-атрибутов "height" и "width" в теге img.
    [*] В JavaScript добавлен метод Promise.allSettled(), который возвращает только уже выполненные или отклонённые promise, не учитывая promise, ожидающие выполнения (позволяет дождаться результата выполнения до запуска другого кода).
    [*] Реализован класс MathMLElement (ранее предоставлялся только класс Element), определяющий элементы в нотации MathML. Также добавлено соответствующее DOM-дерево MathML с которым можно использовать mathmlEl.style и глобальные обработчики событий.
    [*] В DOM добавлен конструктор StaticRange() для создания объекта StaticRange, представляющего часть содержимого DOM.
    [*] Добавлен API Media Session, предоставляющий средства для настройки блока с информацией о воспроизведении мультимедийного контента в области уведомлений. Через данный API web-приложение может не только вывести уведомление о начале воспроизведения новой композиции, но и организовать управление из области уведомлений или через интерфейс хранителя экрана, например, разместить кнопки приостановки, перемещения по потоку или переходу к следующей композиции.
    [*] В API для разработчиков дополнений улучшена обработка сбоев при загрузке данных. Во всплывающих окнах, открываемых дополнениями через вызов windows.create, обеспечен показ названия дополнения вместо URL дополнения ("moz-extension://").
    [*] В WebGL добавлена поддержка расширения OVR_multiview2, позволяющем одним вызовом выполнять отрисовку сразу в несколько областей просмотра (например, полезно для стереовывода в WebXR);
    [*] В интерфейсе инспектирования сетевой активности реализована возможность анализа стадий обработки сетевого запроса с раздельным отображением времени резолвинга в DNS, установки соединения, отправки данных и получения ответа. Информация предоставляется через новую вкладку Timing в правой боковой панели.

    network_timings.png"

    [*] В интерфейсе отслеживания сетевой активности по умолчанию включён режим инспектирования соединений WebSocket с возможностью приостановки активных соединений.

    wsi-messages-panel.png

    [*] Кроме того в Network Monitor добавлена поддержка полнотекствого поиска в телах запросов/ответов, cookie и заголовках, а также реализована возможность блокировки загрузки определённых URL через добавления фильтров с необходимыми масками.

    request_blocking_panel.png

    [*] В web-консоли по умолчанию включён многострочный режим редактирования, позволяющий вводить разбитые на несколько строк конструкции JavaScript с их выполнением не при нажатии Enter, а через клик на кнопку Run. Режим оформлен в виде боковой панели, отображаемой после нажатия на пиктограмму "split pane" в правой части поля ввода или через клавиатурную комбинацию Ctrl+B.

    multi-line-console-2.png

    [*] В отладчике JavaScript обеспечен предпросмотр значений переменных по месту их использования в коде, ведение лога событий и возможность отключения всплывающего блока с точками останова (devtools.debugger.features.overlay в about:config).

    inline-preview.png

    [*] Для Android подготовлено корректирующее обновление Firefox 68.2. Напомним, что формирование новых значительных релизов Firefox для Android прекращено. Для замены Firefox для Android под кодовым именем Fenix (распространяется как Firefox Preview) развивается новый браузер для мобильных устройств, использующий движок GeckoView и набор библиотек Mozilla Android Components.

Кроме новшеств и исправления ошибок в Firefox 71 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Что нового в Firefox 71 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

December 03, 2019 04:29 PM

OpenNet.ru : mozilla

Релиз Firefox 71

Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки).

Основные новшества:

  • Предложен новый интерфейс страницы "about:config", который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно реализована поддержка поиска через штатный механизм, который применяется и для поиска на обычных страницах с пошаговым перебором совпадений.

    Для каждой настройки добавлена кнопка, позволяющая инвертировать переменные с булевыми значениями (true/false) или редактировать строковые и числовые переменные. Для изменённых пользователем значений добавлена кнопка для возвращения изменений к значению по умолчанию.

    После открытия about:config по умолчанию элементы не показываются и видна только строка поиска, а для просмотра всего списка нужно нажать кнопку "Show all". В настройки добавлена опция "general.aboutConfig.enable", позволяющая вернуть доступ к странице about:config, если он опционально был отключён на этапе сборки;

  • Задействован по умолчанию новый интерфейс просмотра TLS-сертификатов, доступный через служебную страницу "about:certificate" и меню "Tools > Page Info > Security > View Certificate". Реализация интерфейса просмотра сертификатов полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum. Если раньше для просмотра сертификатов открывалось отдельное окно, то теперь информация отображается во вкладке в форме, напоминающей дополнение Certainly Something.
  • Модернизировано оформление адресной строки. Наиболее заметным изменением стал уход от отображения списка рекомендаций на всю ширину экрана в пользу явно обозначенного выпадающего окна. Предложенные изменения продолжают развитие новой реализации адресной строки Quantum Bar, появившейся в Firefox 68 и отличающейся полным переписыванием кода с заменой XUL/XBL на стандартный Web API. На первом этапе оформление Quantum Bar полностью повторяло старую адресную строку и изменения сводились лишь к внутренней переработке. Теперь началась работа по усовершенствованию внешнего вида. Изменения пока отключены по умолчанию и требуют активации через настройку "browser.urlbar.megabar" в about:config.
  • Добавлена поддержка запуска браузера в режиме интернет-киоска, который активируется при указании в командной строке опции "--kiosk" и приводит к возможности работы только в полноэкранном режиме. Показ управляющих элементов интерфейса, всплывающих окон, контекстных меню и индикаторов состояния загрузки страницы (отображения ссылок и текущего URL) блокируется. Ввод с клавиатуры сильно ограничивается, например, отключается обработка клавиш Alt и Ctrl, что не позволяет выйти из браузера, переключиться на другое приложение или открыть другой сайт. Режим можно использовать для организации работы различных автономных терминалов, рекламных стендов, демонстрационных панелей и прочих систем, ограниченных работой с одним сайтом/web-приложением.
  • Во входящем в состав браузера системном дополнении Lockwise (ранее дополнение поставлялось как Lockbox), предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилось распознавание поддоменов при автозаполнении форм ввода пароля. Вывод предупреждений Firefox Monitor о компрометации учётных записей реализован и для пользователей с экранными ридерами.
  • В сборках для Windows, Linux и macOS задействован нативный декодировщик MP3.
  • В расширенный режим защиты от отслеживания перемещений добавлен вывод уведомлений о блокировке кода для майнинга криптовалют. В панели, показываемой при клике на пиктограмму с изображений щита в адресной строке, обеспечен показ счётчика заблокированных трекеров.
  • Для пользователей Windows включена по умолчанию возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift). В системах отличных от Windows поддержка режима может быть включена в about:config при помощи опции "media.videocontrols.picture-in-picture.enabled".


  • Реализована поддержка вложенной многослойной компоновки элементов страницы (CSS Grid Level 2), которая заметно улучшает гибкость построения макетов страниц, выровненных по сетке, за счёт предоставления возможности определения дочерних элементов, привязанных к родительским ячейкам (размещение отдельного grid внутри ячейки). Вложенные сетки определяются через использования значения "subgrid" в свойствах "grid-template-columns" и "grid-template-rows". Поддержка вложенных grid также добавлена в режим инспектирования DevTools Grid Inspector.
  • В CSS добавлено свойство column-span, позволяющее элементу охватывать все столбцы.
  • В CSS-свойстве clip-path добавлена возможность определения ограничивающей видимость области, заданной при помощи функции path() в формате контура SVG.
  • Добавлена возможность учёта коэффициента соотношения сторон, определённого через свойство aspect-ratio, для HTML-атрибутов "height" и "width" в теге img.
  • В JavaScript добавлен метод Promise.allSettled(), который возвращает только уже выполненные или отклонённые promise, не учитывая promise, ожидающие выполнения (позволяет дождаться результата выполнения до запуска другого кода).
  • Реализован класс MathMLElement (ранее предоставлялся только класс Element), определяющий элементы в нотации MathML. Также добавлено соответствующее DOM-дерево MathML с которым можно использовать mathmlEl.style и глобальные обработчики событий.
  • В DOM добавлен конструктор StaticRange() для создания объекта StaticRange, представляющего часть содержимого DOM.
  • Добавлен API Media Session, предоставляющий средства для настройки блока с информацией о воспроизведении мультимедийного контента в области уведомлений. Через данный API web-приложение может не только вывести уведомление о начале воспроизведения новой композиции, но и организовать управление из области уведомлений или через интерфейс хранителя экрана, например, разместить кнопки приостановки, перемещения по потоку или переходу к следующей композиции.
  • В API для разработчиков дополнений улучшена обработка сбоев при загрузке данных. Во всплывающих окнах, открываемых дополнениями через вызов windows.create, обеспечен показ названия дополнения вместо URL дополнения ("moz-extension://").
  • В WebGL добавлена поддержка расширения OVR_multiview2, позволяющее одним вызовом выполнять отрисовку сразу в несколько областей просмотра (например, полезно для стереовывода в WebXR);


  • В интерфейсе инспектирования сетевой активности реализована возможность анализа стадий обработки сетевого запроса с раздельным отображением времени резолвинга в DNS, установки соединения, отправки данных и получения ответа. Информация предоставляется через новую вкладку Timing в правой боковой панели.
  • В интерфейсе отслеживания сетевой активности по умолчанию включён режим инспектирования соединений WebSocket с возможностью приостановки активных соединений.
  • В Network Monitor добавлена поддержка полнотекствого поиска в телах запросов/ответов, cookie и заголовках, а также реализована возможность блокировки загрузки определённых URL через добавления фильтров с необходимыми масками.
  • В web-консоли реализован многострочный режим редактирования, позволяющий вводить разбитые на несколько строк конструкции JavaScript с их выполнением не при нажатии Enter, а через клик на кнопку Run. Режим оформлен в виде боковой панели, отображаемой после нажатия на пиктограмму "split pane" в правой части поля ввода или через клавиатурную комбинацию Ctrl+B.
  • В отладчике JavaScript обеспечен предпросмотр значений переменных по месту их использования в коде, реализовано ведение лога событий и добавлена возможность отключения всплывающего блока с точками останова (devtools.debugger.features.overlay в about:config).
  • Для Android подготовлено корректирующее обновление Firefox 68.2. Напомним, что формирование новых значительных релизов Firefox для Android прекращено. Для замены Firefox для Android под кодовым именем Fenix (распространяется как Firefox Preview) развивается новый браузер для мобильных устройств, использующий движок GeckoView и набор библиотек Mozilla Android Components.

Кроме новшеств и исправления ошибок в Firefox 71 устранено 26 уязвимостей, из которых 17 (собраны под CVE-2019-17013 и CVE-2019-17012) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Примечательно, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, теперь помечаются как опасные, но не критические.

Источник: http://www.opennet.ru/opennews/art.shtml?num=51965

December 03, 2019 03:09 PM

November 26, 2019

OpenNet.ru : mozilla

Компания Mozilla опубликовала финансовый отчёт за 2018 год

Компания Mozilla опубликовала финансовый отчет за 2018 год. В 2018 году доходы Mozilla уменьшились на 112 млн долларов и составили 450 млн долларов, в то время как в 2017 году компания Mozilla заработала 562 млн долларов, в 2016 году - 520 млн долларов, в 2015 - 421 млн долларов, в 2014 - 329 млн долларов, в 2013 - 314 млн, 2012 - 311 млн.

429 млн из 450 млн получены благодаря отчислениям за использование поисковых систем (Baidu, DuckDuckGo, Google, Yahoo, Bing, Yandex), сотрудничеству с различными сервисами (Cliqz, Amazon, eBay) и размещению контекстных рекламных блоков на стартовой странице. В 2017 году размер подобных отчислений составил 539 млн. 6.3 млн долларов составили пожертвования, что на 100 тысяч меньше, чем в 2017 году. Объём средств, вложенных в инвестиции в 2018 году, составил 368 млн долларов (в 2017 году 414 млн, в 2016 году - 329 млн, в 2015 году - 227 млн, в 2014 году - 137 млн).

Среди затрат доминируют расходы на разработку (277 млн долларов в 2018 против 259 млн в 2017 году, в режиме полного рабочего дня трудоустроено более 1000 сотрудников), поддержку сервисов (33.4 млн долларов в 2018 против 20.7 млн в 2017), маркетинг (53 млн долларов в 2018 против 66 млн в 2017) и административные расходы (86 млн долларов в 2018 и 74 млн в 2017). 4.8 млн долларов потрачено на выплату грантов (в 2017 году - 5.4 млн). Общая сумма затрат составила 451 млн долларов (в 2017 году - 421.8, в 2016 году - 360.6, в 2015 году - 337.7, в 2014 - 317.8, в 2013 - 295 млн, в 2012 - 145.4 млн). Размер активов на начало года - 514 млн долларов, на конец года - 523 млн долларов.



Источник: http://www.opennet.ru/opennews/art.shtml?num=51931

November 26, 2019 07:35 AM

November 25, 2019

OpenNet.ru : mozilla

В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя

В ночных сборках Firefox, которые лягут в основу намеченного на 7 января выпуска Firefox 72, по умолчанию включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Защита от скрытого отслеживания включена в применяемом по умолчанию стандартном режиме блокировки нежелательного контента и осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации.

Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

Источник: http://www.opennet.ru/opennews/art.shtml?num=51927

November 25, 2019 07:36 AM

Планета Mozilla

planet

Подписки

Ленты: Atom, RSS 2.0, RSS 1.0
Списки: FOAF, OPML

Участвуют


Справка

Последнее обновление

April 07, 2020 05:00 PM
Время в UTC.