На прошедшей в Сан-Франциско конференции "All Hands 2018" среди разработчиков Mozilla состоялось обсуждение архитектуры системы для голосовой навигации в браузере. Проект находится на начальной стадии планирования и ещё не анонсирован официально, так как он пока не вышел из стадии мозгового штурма и обсуждений. В качестве основы Scout может послужить развиваемая в Mozilla открытая система распознавания речи.

В качестве базовой функциональности в обсуждении рассматривался новый голосовой помощник "Scout", способный распознавать команды на естественном языке, по аналогии с тем, как это делают Apple Siri и Google Now. Например, для взаимодействия с голосовым интерфейсом Mozilla может быть использована фраза "Эй Скаут, прочитай мне статью о белых медведях".

Следует отметить, что Google обеспечил интеграцию с голосовым помощником Google Now четыре года назад в Chrome 34, а в Chrome OS 41 добавил в виртуальную клавиатуру возможность распознавания голосовых команд. Для Firefox в рамках программы Test Pilot в прошлом году проводилось тестирование дополнения Voice Fill, которое позволяло использовать голосовой ввод для заполнения форм на сайтах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48792

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 60.0.2, в котором устранена критическая уязвимость и исправлено несколько ошибок. Информация о критической уязвимости пока не раскрывается, в отчёте упоминается только проблема CVE-2018-6126 в библиотеке  Skia, которая может привести к краху браузера из-за переполнения буфера при растеризации специально оформленных изображений в формате SVG при выключенном сглаживании.

Из исправлений ошибок отмечается решение проблемы с пропаданием узлов DOM в панели инструментов для разработчиков. Кроме того, устранена ошибка, мешавшая нормальному отображению шрифтов в Mac OS X 10.11 и более ранних выпусках при использовании сторонних менеджеров шрифтов. Библиотека NSS (Network Security Services) обновлена до версии 3.36.4, в которой решена проблема с выводом ошибки SSL_RX_MALFORMED_SERVER_HELLO при соединении к серверам с поддержкой TLS 1.3 и устранён крах на платформе macOS при обработке токенов аутентификации (PK11, WebAuthn).

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 60.0.2, в котором устранена критическая уязвимость и исправлено несколько ошибок. Информация о критической уязвимости пока не раскрывается, в отчёте упоминается только проблема CVE-2018-6126 в библиотеке Skia, которая может привести к краху браузера из-за переполнения буфера при растеризации специально оформленных изображений в формате SVG при выключенном сглаживании.

Из исправлений ошибок отмечается решение проблемы с пропаданием узлов DOM в панели инструментов для разработчиков. Кроме того, устранена ошибка, мешавшая нормальному отображению шрифтов в Mac OS X 10.11 и более ранних выпусках при использовании сторонних менеджеров шрифтов. Библиотека NSS (Network Security Services) обновлена до версии 3.36.4, в которой решена проблема с выводом ошибки SSL_RX_MALFORMED_SERVER_HELLO при соединении к серверам с поддержкой TLS 1.3 и устранён крах на платформе macOS при обработке токенов аутентификации (PK11, WebAuthn).

Источник: http://www.opennet.ru/opennews/art.shtml?num=48726

Проект Mozilla объявил о расширении инициативы Test Pilot, которая предоставляет пользователям возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot (учетная запись в системе Firefox Account при этом не обязательна), в котором будет доступен список предлагаемых для тестирования возможностей. В процессе работы Test Pilot осуществляется сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями.

В состав Test Pilot включены две новые функции:

• Side View (код) - даёт возможность одновременно просматривать содержимое двух произвольных вкладок, что удобно использовать, например, для сравнения содержимого разных страниц или для просмотра видео параллельно с какой-то другой работой. Просмотр вкладок осуществляется бок о бок c возможностью изменения ширины правой или левой частей. Для одновременного отображения дополнительной вкладки следует нажать на значок Side View в панели и выбрать вкладку из списка. Пары открытых вкладок сохраняются в списке недавних операций, что позволяет при необходимости повторно открыть их в будущем;
  
  
• Firefox Color (код) - позволяет быстро изменить оформление основных элементов интерфейса браузера. Например, при помощи данной возможности пользователь может изменить цвет панели, вкладок, адресной строки и пиктограмм, а также установить картинку в качестве фона. Результат изменений можно сохранить в виде новой темы оформления и поделиться с другими пользователями. Примеры цветовых тем можно установить с сайта color.firefox.com.
  
  

Источник: http://www.opennet.ru/opennews/art.shtml?num=48721

По данным общемирового рейтинга Net Applications, доля Firefox за год снизилась с 12.63% в июне 2017 года до 9.92% в мае 2018 года. При этом продолжают укрепляться позиции Chrome, который за год повысил своё присутствие с 60.08% до 62.85%. Позиция Internet Explorer снизилась до 11.8%, но данное снижение компенсировал Microsoft Edge, который за год повысил свою долю с 0.50% до 4.26%.

Похожая тенденция наблюдается и в рейтинге StatCounter: за год доля Firefox снизилась с 6.12 до 5.27%, а доля Chrome возросла c 54.14% до 58.09%, Internet Explorer и Edge занимают 2.59% и 1.91% рынка, соответственно. По рейтингу w3schools доля Firefox уменьшилась за год с 13.6% до 11.2%, Chrome увеличилась с 75.7% до 78.6%, суммарная доля IE и Edge снизилась с 4.6% до 3.9%. По статистике посещений Wikipedia позиция Firefox практически не изменилась, за год доля снизилась лишь с 13.4 до 13.1%, а доля Chrome возросла с 45.5% до 47.3% в основном за счёт IE.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48717

Думаю, все вы неоднократно слышали о том что «пароли мертвы», «пароли вымирают», «новая технология убьет пароли» и тому подобное.

Мы в FIDO Alliance как раз-таки пришли сообщить вам о том, что пароли все-таки вымрут… в аутентификации.
Читать дальше →

Разработчики Tor и Mozilla основали совместный проект Fusion, нацеленный на интеграцию поддержки Tor в Firefox. У разработчиков уже имеется давний опыт сотрудничества, в рамках которого в Firefox из Tor Browser переносились некоторые изменения, связанные с усилением защиты и обеспечением приватности (например, усилена изоляция контента и добавлена защита от идентификации конкретного экземпляра браузера). Целью данного сотрудничества было в основном упрощение сопровождения Tor Browser за счёт снижения различий в кодовых базах и увеличение защищённости Firеfox.

Проект Fusion продолжает инициативу по интеграции специфичных для Tor Browser патчей в основной состав Firefox, но делает основную ставку на подготовку кода для встраивания Tor proxy в Firefox. В рамках проекта также производится реализация в Firefox защиты от прямой установки соединений в обход настроек прокси и добавление полноценных средств для борьбы с косвенной идентификацией, простых для использования и не нарушающих нормальную работу в Web. Результаты текущей работы уже можно оценить в тестовых выпусках Firеfox, включив в about:config настройки privacy.resistFingerprinting и privacy.firstparty.isolate.

В конечном счёте планируется добавить в Firefox режим обеспечения настоящей приватности, включающий средства защиты от идентификации, работу через Tor и расширенные настройки изоляции, т.е. по сути повторяющий функциональность Tor Browser. Интеграция Tor рассматривается как существенное конкурентное преимущество, способное выгодно выделить Firefox среди других браузеров.

Идеальной целью проекта является прекращение разработки Tor Browser в пользу поставки встроенной в Firefox аналогичной функциональности и акцентирование всех ресурсов проекта Tor на развитии технологий, непосредственно связанных с анонимизацией, не тратя ресурсы на портирование и сопровождение форка Firefox. Но данная цель пока отмечается как задача на долгосрочную перспективу, так как требуется проделать очень много работы для достижения в Firefox уровня безопасности, аналогичного Tor Browser.

Среди возможностей, которые имеются в Tor Browser, но не будут реализованы в режиме приватного просмотра Firefox, отмечаются: панель для выбора уровня безопасности, отображение сведений о цепочках проброса трафика Tor, Tor Launcher, дополнения HTTPS Everywhere и NoScript, поддержка подключаемых транспортных протоколов скрытия доступа к Tor.

Из связанных с проектом планов также упоминается увеличение масштабируемости инфраструктуры Tor (Mozilla намеревается запустить дополнительную сеть узлов Tor), стандартизация спецификаций на реализацию клиента Tor, подготовка тестов для оценки соответствия спецификациям, использование единого клиентского кода в Tor и Firefox.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48703

В Firefox 63 запланировано расширение возможностей системы блокирования отслеживания перемещений, по умолчанию предлагаемой в режиме "инкогнито". Помимо блокирования внешних JavaScript-скриптов, изображений и iframe-страниц с сайтов, занесённых в чёрный список disconnect.me, будут добавлены средства для противодействия скриптам для майнинга криптовалют и скриптам, применяемым для идентификации пользователя. Как правило, JavaScript-скрипты для майнинга криптовалют внедряются на сайты в результате взломов или как метод монетизации, и приводят к существенному увеличению нагрузки на процессор в системе пользователя.

Разработчики также намерены сделать более доступными настройки для управления приватностью. Кроме раздела с настройками, включить блокировку отслеживания можно будет через контекстное меню, выводимое при клике на пиктограмме информации о сайте в адресной строке. Через данное меню также будет доступна новая опция для быстрой очистки Cookie для текущего сайта.

В настройках блокировки отслеживания появится возможность выборочного включения режимов блокировки счётчиков, социальных виджетов, кода для майнинга, трекеров рекламных сетей и скриптов, применяемых для идентификации браузера.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48668

Форум: Новости
Автор: Объемный

Вот на Конозал . тв я и поставил этот плагин и вот после включение замедляется загрузка всех сайтов.

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 52.8.0. В новой версии устранены уязвимости в системе безопасности.
Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 60.0.1, в котором устранено несколько ошибок. Решённые проблемы:

• Наблюдались длительные приостановки в процессе работы сборщика мусора, проявляющиеся при использовании некоторых дополнений (например, при использовании ZenHub отмечалось подвисание на 1-2 секунды);
  
• Рекламные блоки  некоторое время продолжали показываться при открытии стартовой страницы  после запрещения показа подобного контента в настройках;
  
• Некорректно работала прокрутка немасштабируемых страниц на сенсорных экранах;
  
• При просмотре Google Maps на macOS с новыми драйверами NVIDIA иногда отображались чёрные квадраты вместо карты;
  
• В режиме повышенного контраста для слабовидящих людей выбирался не тот цвет фона (-moz-default-background-color) при открытии окон и вкладок;
  
• Возобновлён перевод элементов в панелях раздела настройки при подключении языкового пакета и добавлен перевод интерфейса деинсталлятора для Windows;
  
• В сборке для macOS по умолчанию отключен WebVR из-за проблем при наличии SteamVR.
  

Дополнительно можно отметить включение в кодовую базу Firefox 61 очередной порции новшеств. Релиз Firefox 61 намечен на 26 июня. Среди наиболее заметных улучшений, ожидаемых в Firefox 61:

• API WebExtension расширен средствами для скрытия вкладок, которые позволяют реализовать расширения для сворачивания и группировки вкладок (см. пример на скринкасте). Для тех кому не хватает удалённой функциональности Tab Groups предложено дополнение Panorama View;
  
• Включено несколько оптимизаций для увеличения скорости запуска: добавлена настройка browser.startup.blankWindow для отображения пустого окна как можно раньше с последующим заполнением, API для работы со списками блокировки переведён на асинхронный режим работы,  в ContentPrefs  задействован Sqlite.jsm;
  
• Включен механизм ускорения перехода между открытыми вкладками, работающий через упреждающую отрисовку содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществит отрисовку в буфер композитинга и в случае клика мгновенно выведет уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей;
  
• Проведена оптимизация движка Quantum CSS для ускорения отрисовки страниц;
  
• Встроена поддержка изменчивых шрифтов OpenType (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться;
  
• Включена по умолчанию поддержка последнего чернового варианта спецификации TLS 1.3;
  
• Улучшена реализация тёмной темы оформления;
  
• Для настроек содержимого домашней страницы и страницы новой вкладки создан отдельный раздел в конфигураторе (about:preferences#home);
  
• Запрещена загрузка ресурсов по протоколу FTP из страниц, открытых по HTTP/HTTPS;
  
• Полноценная поддержка Source Map, позволяющая при возникновении ошибки посмотреть переменные и выполнить пошаговую отладку оригинального JavaScript-кода;
  
• В инструменты для разработчиков в режиме инспектировния сети появилось новое меню для урезания пропускной способности с целью симуляции открытия страниц через низкоскоростные каналы связи;
  
• Планируется добавить отдельную панель для отладки Service Workers и трехпанельный интерфейс инспектирования (блок Rules может быть вынесен в отдельную панель), позволяющий одновременно изменять и отлаживать CSS;
  

Загрузить Firefox 60:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 60 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 60.0.1, в котором устранено несколько ошибок. Решённые проблемы:

• Наблюдались длительные приостановки в процессе работы сборщика мусора, проявляющиеся при использовании некоторых дополнений (например, при использовании ZenHub отмечалось подвисание на 1-2 секунды);
• Рекламные блоки некоторое время продолжали показываться при открытии стартовой страницы после запрещения показа подобного контента в настройках;
• Некорректно работала прокрутка немасштабируемых страниц на сенсорных экранах;
• При просмотре Google Maps на macOS с новыми драйверами NVIDIA иногда отображались чёрные квадраты вместо карты;
• В режиме повышенного контраста для слабовидящих людей выбирался не тот цвет фона (-moz-default-background-color) при открытии окон и вкладок;
• Возобновлён перевод элементов в панелях раздела настройки при подключении языкового пакета и добавлен перевод интерфейса деинсталлятора для Windows;
• В сборке для macOS по умолчанию отключен WebVR из-за проблем при наличии SteamVR.

Дополнительно можно отметить включение в кодовую базу Firefox 61 очередной порции новшеств. Релиз Firefox 61 намечен на 26 июня. Среди наиболее заметных улучшений, ожидаемых в Firefox 61:

• API WebExtension расширен средствами для скрытия вкладок, которые позволяют реализовать расширения для сворачивания и группировки вкладок (см. пример на скринкасте). Для тех, кому не хватает удалённой функциональности Tab Groups предложено дополнение Panorama View;
• Включено несколько оптимизаций для увеличения скорости запуска: добавлена настройка browser.startup.blankWindow для отображения пустого окна как можно раньше с последующим заполнением, API для работы со списками блокировки переведён на асинхронный режим работы, в ContentPrefs задействован Sqlite.jsm;
• Включен механизм ускорения перехода между открытыми вкладками, работающий через упреждающую отрисовку содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществит отрисовку в буфер композитинга и в случае клика мгновенно выведет уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей;
• Проведена оптимизация движка Quantum CSS для ускорения отрисовки страниц;
• Встроена поддержка изменчивых шрифтов OpenType (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться;
• Включена по умолчанию поддержка последнего чернового варианта спецификации TLS 1.3;
• Улучшена реализация тёмной темы оформления;
• Для настроек содержимого домашней страницы и страницы новой вкладки создан отдельный раздел в конфигураторе (about:preferences#home);
• Запрещена загрузка ресурсов по протоколу FTP из страниц, открытых по HTTP/HTTPS;
• Полноценная поддержка Source Map, позволяющая при возникновении ошибки посмотреть переменные и выполнить пошаговую отладку оригинального JavaScript-кода;
• В инструменты для разработчиков в режиме инспектировния сети появилось новое меню для урезания пропускной способности с целью симуляции открытия страниц через низкоскоростные каналы связи;
• Планируется добавить отдельную панель для отладки Service Workers и трехпанельный интерфейс инспектирования (блок Rules может быть вынесен в отдельную панель), позволяющий одновременно изменять и отлаживать CSS;
  
  Источник: http://www.opennet.ru/opennews/art.shtml?num=48611

В недавно выпущенном релизе Firefox 60 была существенно улучшена sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level.

Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвимостей в разных подсистемах. Блокирование сетевого доступа в процессах обработки контента позволяет исключить все нештатные пути отправки трафика, например, при включении работы через прокси в настройках доступ теперь возможен только через прокси, даже в случае эксплуатации уязвимости и попытки прямой установки соединения (особенно изменение актуально для защиты от атак по деанонимизации пользователей Tor Browser). Не менее важна блокировка доступа через unix-сокеты, так как эта возможность позволяет обратиться от имени пользователя к локальным сервисам, RPC-интерфейс которых допускает команды, в результате которых можно выполнить код в системе.

Блокировка реализована через запрет системных вызовов, таких как connect, и помещение процесса в отдельное пространство имён идентификаторов пользователя (user namespaces), по аналогии с тем как реализуется изоляция для контейнеров. Исключение сделано только для протокола X11, который применяется для отображения графики и приёма событий ввода (в будущих выпусках планируют реализовать защиту и для канала связи с X11).

Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог), ограничен доступ дочерних процессов Firefox к системным вызовам (используется Seccomp-bpf), ограничено взаимодействие со сторонними процессами, исключён доступ к разделяемой памяти и видеоподсистеме.

В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48589

Форум: Новости
Автор: banbot

Выпущена версия Firefox со статусом длительного срока поддержки, предназначенная для корпоративных пользователей. Обновления для этой версии будут выпускаться в течение года каждые 6 недель и будут включать в себя устранение серьёзных проблем безопасности и стабильности.

Жизненный цикл Firefox Quantum for Enterprise:

Загрузить Firefox 60 Quantum for Enterprise:

    • Русская версия:
        Windows (32-bit)
        Windows (64-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Windows (64-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Что нового в Firefox 60 для разработчиков
Примечания к выпуску Firefox 60.0.2
Страница Firefox Quantum for Enterprise
Документация по Firefox Quantum for Enterprise

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 60, а также мобильной версии Firefox 60 для платформы Android. Выпуск отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. В ближайшие часы ожидается обновление прошлой ветки с длительным сроком поддержки 52.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 61 (ESR), релиз которой намечен на 26 июня.

Основные новшества:

• Проведена модернизация стартовой страницы, показываемой при открытии новой вкладки. Благодаря применению адаптивной вёрстки на широких экранах на стартовой странице теперь умещается больше элементов. В секцию Highlights включены сайты, сохранённые через сервис Pocket. Добавлены новые опции для перегруппировки содержимого страницы и секций;
  
  
  
  
  
  
• Включено отображение оплаченных спонсорами блоков на стартовой странице. Ссылки на рекламные статьи показываются в разделе рекомендованного сервисом Pocket контента и явно помечены как реклама. На текущем этапе реклама показывается только для пользователей в США. Рекламные блоки можно отключить через настройки стартовой страницы. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений);
  
  
  
  
  
  
• Для пользователей Linux добавлена опция  для отображения и скрытия заголовков окна. При отключении показа заголовков применяется декорирование элементов окна на стороне клиента (CSD, Client Side Decoration), заголовок окна полностью скрывается, а кнопки управления окном размещаются в одной строке со вкладками. Для перемещения необходимо подвести курсор к самому краю и удерживать Alt. Опция активируется через раздел кастомизации в основном меню (флажок в левом нижнем углу);
  
  
  
  
  
  
• Изменён интерфейс управления Cookie. Вместо полного списка Cookie в привязке к каждому сайту ("Show Cookies" и "Remove individual cookies" в about:preferences#privacy) в настройках предложен унифицированный интерфейс, выводящих информацию о числе Cookie и размере данных из связанных с сайтом хранилищ. Новый интерфейс не предоставляет детализацию по отдельным Cookie и не позволяет выборочно удалить Cookie. В разделе с информацией о странице (Page Info/Security/View Cookie) пока оставлен прежний интерфейс, позволяющий отдельно удалить и просмотреть каждую Cookie. Отдельно Cookie также можно просмотреть через инструменты для разработчиков (раздел Storage);
  
  
  
  
  
  
• Реализована экспериментальная поддержка "DNS over HTTPS" (DoH), которая отключена по умолчанию. Для активации в about:config следует изменить значение network.trr.mode и прописать DoH-сервер через параметр network.trr.uri, например, можно использовать  "https://dns.cloudflare.com/.well-known/dns" или "https://dns.google.com/experimental". Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
  
  DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
  
• Добавлена поддержки Cookie-атрибута SameSite, который можно использовать для блокирования CSRF-атак. При помощи SameSite можно разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки любых видов межсайтовых запросов. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe;
  
• Интерфейс браузера переведён на использование CSS-движка Stylo (Quantum CSS), написанного на языке Rust и поддерживающего распараллеливание обработки стилей CSS. Ранее на Quantum CSS уже была переведена обработка страниц, а теперь он используется и для отрисовки интерфейса, что положительно сказывается на его отзывчивости;
  
• Расширены  индикаторы приватности для камеры: камера и индикатор активности камеры теперь автоматически отключаются после отключения записи видео (MediaStreamTrack) и включаются при возобновления записи, что позволяет пользователю сразу видеть когда камера активна, а когда нет;
  
• В WebRTC проведена работа по увеличению производительности обработки и воспроизведения звука на платформе Linux;
  
• Добавлена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения. По умолчанию возможность выключена и требует активации в about:config (network.tcp.tcp_fastopen_enable);
  
• Добавлен движок управления групповыми политиками, определяющими настройки для текущего рабочего окружения. Политики могут устанавливаться через Windows Group Policy или загружаться в кроссплатформенном виде при помощи к файла в формате JSON;
  
• В связи с ранее выявленными нарушениями и злоупотреблениями воплощён первый этап прекращения доверия к сертификатам удостоверяющего центра Symantec. В Firefox 60 соединения с TLS-сертификатами Symantec, выпущенными до 1 июня 2016 года, начнут помечаться небезопасными. В октябре в Firefox 63 доверие к корневому сертификату Symantec  будет полностью прекращено;
  
• Добавлена поддержка API Web Authentication, предоставляющего средства для обеспечения в web-приложениях надёжной аутентификации на основе открытых ключей. API также может применяться для организации аутентификации на сайте с использованием USB-токенов;
  
• Включена по умолчанию поддержка модулей JavaScript, определённых в стандарте ECMAScript 6 и предоставляющих средства для определения зависимостей и загрузки только необходимых для работы компонентов. Для определения модулей используется тег "script" с флагом "type=module". Предоставляемая браузером поддержка модулей позволяет без привлечения дополнительных сборочных этапов организовать загрузку зависимостей, параллельно от основного контента, использовать расширенные методы кэширования, отсеивать дубликаты, обеспечить корректный порядок выполнения скриптов;
  
• Нажатие клавиши Enter в режимах designMode и contenteditable для форм с текстом теперь приводит к вставке тега "div" вместо "br";
  
• Значения CSS-свойств align-content, align-items, align-self, justify-content и place-content приведены к соответствию спецификации CSS Box Alignment Module Level 3;
  
• Возвращена поддержка JavaScript-метода  Array.prototype.values(), который возвращает объект итератора, содержащий значения для каждого индекса в массиве. Ранее данный метод был отключен из-за проблем с совместимостью;
  
• Добавлено новое CSS-свойство paint-order, позволяющее определить порядок применения заполнения, обводки и отображения маркеров для текстового содержимого и SVG-рисунков;
  
• В инструментах для web-разработчиков добавлена поддержка автодополнения переменных в панели правил CSS, в Responsive Design Mode добавлена настройка "Reload when..." для управления автоматической перезагрузкой страницы при изменении симулируемого типа экрана и типа User Agent. Удалена настройка  view_source.tab, код страницы теперь может быть показан только в новой вкладке (поддержка открытия нового окна прекращена);
  
• Удалена настройка dom.workers.enabled, Web Workers теперь нельзя отключить;
  
• Применяемая для отрисовки содержимого графическая библиотека Skia обновлена до версии 66;
  
• В версии для Android появилась возможность просмотра исходного текста страницы ("View Page Source" в контекстном меню "Page Action"). Кроме того, следом за Firefox для настольных систем версия для Android также переведена на новый многопоточный движок Stylo (Quantum CSS);
  
• В ESR-сборках Firefox 60 по сравнению с обычными сборками Firefox 60 отключена поддержка Service Workers (dom.serviceWorkers.enabled=false) и Push-уведомлений (dom.push.enabled=false),  добавлена опция xpinstall.signatures.required, позволяющая отключить проверку дополнений по цифровой подписи. По сравнению с прошлой ESR-веткой Firefox 52 в новой версии поддерживаются  только дополнения WebExtensions, по умолчанию включен WebAssembly, задействован многопроцессный режим обработки контента, прекращена поддержка Windows XP и Windows Vista, прекращена поддержка NPAPI-плагинов Silverlight и Java (поддержка Adobe Flash оставлена).
  

Кроме новшеств и исправления ошибок в Firefox 60 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 60 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Состоялся релиз web-браузера Firefox 60, а также мобильной версии Firefox 60 для платформы Android. Выпуск отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. В ближайшие часы ожидается обновление прошлой ветки с длительным сроком поддержки 52.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 61, релиз которой намечен на 26 июня.

Основные новшества:

• Проведена модернизация стартовой страницы, показываемой при открытии новой вкладки. Благодаря применению адаптивной вёрстки на широких экранах на стартовой странице теперь умещается больше элементов. В секцию Highlights включены сайты, сохранённые через сервис Pocket. Добавлены новые опции для перегруппировки содержимого страницы и секций;
• Включено отображение оплаченных спонсорами блоков на стартовой странице. Ссылки на рекламные статьи показываются в разделе рекомендованного сервисом Pocket контента и явно помечены как реклама. На текущем этапе реклама показывается только для пользователей в США. Рекламные блоки можно отключить через настройки стартовой страницы. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений);
  
• Для пользователей Linux добавлена опция для отображения и скрытия заголовков окна. При отключении показа заголовков применяется декорирование элементов окна на стороне клиента (CSD, Client Side Decoration), заголовок окна полностью скрывается, а кнопки управления окном размещаются в одной строке со вкладками. Для перемещения необходимо подвести курсор к самому краю и удерживать Alt. Опция активируется через раздел кастомизации в основном меню (флажок в левом нижнем углу);
• Изменён интерфейс управления Cookie. Вместо полного списка Cookie в привязке к каждому сайту ("Show Cookies" и "Remove individual cookies" в about:preferences#privacy) в настройках предложен унифицированный интерфейс, выводящих информацию о числе Cookie и размере данных из связанных с сайтом хранилищ. Новый интерфейс не предоставляет детализацию по отдельным Cookie и не позволяет выборочно удалить Cookie. В разделе с информацией о странице (Page Info/Security/View Cookie) пока оставлен прежний интерфейс, позволяющий отдельно удалить и просмотреть каждую Cookie. Отдельно Cookie также можно просмотреть через инструменты для разработчиков (раздел Storage);
• Реализована экспериментальная поддержка "DNS over HTTPS" (DoH), которая отключена по умолчанию. Для активации в about:config следует изменить значение network.trr.mode и прописать DoH-сервер через параметр network.trr.uri, например, можно использовать "https://mozilla.cloudflare-dns.com/dns-query" или "https://dns.google.com/experimental". Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

  DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

• Добавлена поддержки Cookie-атрибута SameSite, который можно использовать для блокирования CSRF-атак. При помощи SameSite можно разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки любых видов межсайтовых запросов. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe;
• Интерфейс браузера переведён на использование CSS-движка Stylo (Quantum CSS), написанного на языке Rust и поддерживающего распараллеливание обработки стилей CSS. Ранее на Quantum CSS уже была переведена обработка страниц, а теперь он используется и для отрисовки интерфейса, что положительно сказывается на его отзывчивости;
• Расширены индикаторы приватности для камеры: камера и индикатор активности камеры теперь автоматически отключаются после отключения записи видео (MediaStreamTrack) и включаются при возобновления записи, что позволяет пользователю сразу видеть когда камера активна, а когда нет;
• В WebRTC проведена работа по увеличению производительности обработки и воспроизведения звука на платформе Linux;
• Добавлена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения. По умолчанию возможность выключена и требует активации в about:config (network.tcp.tcp_fastopen_enable);
• Добавлен движок управления групповыми политиками, определяющими настройки для текущего рабочего окружения. Политики могут устанавливаться через Windows Group Policy или загружаться в кроссплатформенном виде при помощи файла в формате JSON;
• В связи с ранее выявленными нарушениями и злоупотреблениями воплощён первый этап прекращения доверия к сертификатам удостоверяющего центра Symantec. В Firefox 60 соединения с TLS-сертификатами Symantec, выпущенными до 1 июня 2016 года, начнут помечаться небезопасными. В октябре в Firefox 63 доверие к корневому сертификату Symantec будет полностью прекращено;
• Добавлена поддержка API Web Authentication, предоставляющего средства для обеспечения в web-приложениях надёжной аутентификации на основе открытых ключей. API также может применяться для организации аутентификации на сайте с использованием USB-токенов;
• Включена по умолчанию поддержка модулей JavaScript, определённых в стандарте ECMAScript 6 и предоставляющих средства для определения зависимостей и загрузки только необходимых для работы компонентов. Для определения модулей используется тег "script" с флагом "type=module". Предоставляемая браузером поддержка модулей позволяет без привлечения дополнительных сборочных этапов организовать загрузку зависимостей, параллельно от основного контента, использовать расширенные методы кэширования, отсеивать дубликаты, обеспечить корректный порядок выполнения скриптов;
• Нажатие клавиши Enter в режимах designMode и contenteditable для форм с текстом теперь приводит к вставке тега "div" вместо "br";
• Значения CSS-свойств align-content, align-items, align-self, justify-content и place-content приведены к соответствию спецификации CSS Box Alignment Module Level 3;
• Возвращена поддержка JavaScript-метода Array.prototype.values(), который возвращает объект итератора, содержащий значения для каждого индекса в массиве. Ранее данный метод был отключен из-за проблем с совместимостью;
• Добавлено новое CSS-свойство paint-order, позволяющее определить порядок применения заполнения, обводки и отображения маркеров для текстового содержимого и SVG-рисунков;
• В инструментах для web-разработчиков добавлена поддержка автодополнения переменных в панели правил CSS, в Responsive Design Mode добавлена настройка "Reload when..." для управления автоматической перезагрузкой страницы при изменении симулируемого типа экрана и типа User Agent. Удалена настройка view_source.tab, код страницы теперь может быть показан только в новой вкладке (поддержка открытия нового окна прекращена);
• Удалена настройка dom.workers.enabled, Web Workers теперь нельзя отключить;
• Применяемая для отрисовки содержимого графическая библиотека Skia обновлена до версии 66;
• В версии для Android появилась возможность просмотра исходного текста страницы ("View Page Source" в контекстном меню "Page Action"). Кроме того, следом за Firefox для настольных систем версия для Android также переведена на новый многопоточный движок Stylo (Quantum CSS);
• В ESR-сборках Firefox 60 по сравнению с обычными сборками Firefox 60 отключена поддержка Service Workers (dom.serviceWorkers.enabled=false) и Push-уведомлений (dom.push.enabled=false), добавлена опция xpinstall.signatures.required, позволяющая отключить проверку дополнений по цифровой подписи. По сравнению с прошлой ESR-веткой Firefox 52 в новой версии поддерживаются только дополнения WebExtensions, по умолчанию включен WebAssembly, задействован многопроцессный режим обработки контента, прекращена поддержка Windows XP и Windows Vista, прекращена поддержка NPAPI-плагинов Silverlight и Java (поддержка Adobe Flash оставлена).

Кроме новшеств и исправления ошибок в Firefox 60 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48565

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 59.0.3, в котором устранена следующая проблема:

• Исправление для совместимости с обновлением Windows 10 в апреле 2018 года (Ошибка 1452619)
  

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux

Форум: Новости
Автор: banbot

Представлено третье обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.3 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовыми базами Firefox 52.7.3  и Thunderbird 52.7.0, и включает все доступные в них исправления.

Загрузить:

    Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)

    Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Представлено третье обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.3 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовыми базами Firefox 52.7.3 и Thunderbird 52.7.0, и включает все доступные в них исправления.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48549

Компания Mozilla сообщила о намерении включить в выпуске Firefox 60, намеченном на 9 мая, отображения оплаченных спонсорами блоков на стартовой странице, показываемой при открытии новой вкладки. Ссылки на рекламные статьи будут показываться в разделе рекомендованного сервисом Pocket контента и будут явно помечены как реклама. На текущем этапе реклама станет показываться только для пользователей в США. Рекламные блоки можно будет отключить через настройки стартовой страницы.

Интересно, что несколько лет назад в Firefox уже включался показ рекламы на стартовой странице. Показ рекламы был организован в ходе эксперимента по организации доступа к различным видам контента и изучения возможности ненавязчивой рекламы, уважающей интересы пользователей и соблюдающей требования приватности. В 2015 году эксперимент был закрыт после негативной реакции пользователей.

Из особенностей нового варианта размещения рекламы называется:

• Бережное отношение к приватности, благодаря выполнению персонализации только на стороне клиента и без передачи сведений о пользователе третьим лицам. В браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений;
• Размещение только качественного контента, достойного внимания пользователя, а не просто стимулирование кликов;
• Предоставление возможности скрыть не интересные пользователю рекомендации или вообще отключить размещение рекламных статьей;
• Прозрачность - весь код, используемый для показа объявлений, является открытым и любой желающий может проверить, какие данные о пользователе собирает Mozilla, а какие не собирает. Например, отправляются данные о числе показов блоков и взаимодействии с ними пользователя, но передачу данных сведений можно отключить.

Из связанных с Firefox событий также можно отметить решение включить в Firefox 61 механизм ускорения перехода между открытыми вкладками при помощи упреждающей отрисовки содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществляет отрисовку в буфер композитинга и в случае клика мгновенно выводит уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей. Из новинок также можно упомянуть добавление в секцию Activity Stream информации о последних загрузках и возможность настройки какие из источников (закладки, история открытия страниц, ссылки Pocket, загрузки) учитывать в Activity Stream.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48525

Недавно я писал о недостаточной защите локально сохранённых паролей в Firefox. Как правильно отметили некоторые читатели, злоумышленник с физическим доступом к вашему устройству — не главная угроза. Поэтому взглянем, как разработчики браузеров защищают ваши пароли при их передаче в облако. И Chrome, и Firefox предоставляют сервис синхронизации, который может загружать не только сохранённые пароли, но и куки, и историю просмотров страниц. Насколько безопасен этот сервис?

TL;DR: в настоящее время ответ «нет». У обеих служб есть слабые места в защите. Впрочем, некоторые из этих недостатков хуже других.
Читать дальше →

Разработчики Mozilla сообщили о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite, позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.

Злоумышленники пользуются данной особенностью для организации CSRF-атак - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48496

Доступен для тестирования четвёртый бета-выпуск почтового клиента Thunderbird 60, в котором осуществлён переход на технологию WebExtensions вместо XUL, задействован новый web-движок Quantum и адаптированы новые элементы интерфейса, предложенные пользователям в Firefox 57. Thunderbird 60 основан на находящейся в разработке кодовой базе следующего ESR-выпуска Firefox 60, релиз которого ожидается 9 мая.

Среди интересных новшеств:

• Новое оформление интерфейса пользователя, основанное на макетах, подготовленных в рамках проекта Photon, в том числе задействованы прямоугольные кнопки для вкладок;
• Включение в состав основной кодовой базы Thunderbird календаря-планировщика Lightning. В календаре добавлена возможность копирования, вырезания и удаления выделенных записей или серий повторяющихся событий. Добавлена опция для отображения местоположения проведения мероприятия в обзорах событий дня и недели. Реализована возможность отправки сообщений с напоминанием о встречах вместо отображения всплывающего уведомления;
• Добавлена команда для создания сообщений из шаблонов (Message from Template) и команда редактирования шаблонов;
• При подведении курсора к адресатам в полях To/Cc/Bcc теперь появляется кнопка для быстрого удаления адреса получателя;
• В процессе написания сообщения или при нажатии Alt+M обеспечен вывода панели управления вложениями. В случае наличие вложений, панель теперь невозможно скрыть для защиты от случайной отправки вложений. В процессе редактирования сообщения добавлена возможность изменения порядка прикрепления вложений;
• Реализована возможность преобразования хранилища писем из формата mbox в maildir и наоборот (возможность пока экспериментальная и требует изменения настройки mail.store_conversion_enabled);
• По умолчанию включена поддержка тем оформления на базе WebExtension;
• Возможность изменения языка проверки правописания в строке статуса;
• В чате предложено несколько встроенных тем оформления сообщений. Имена участников в сообщениях теперь подсвечиваются цветами, аналогичными тем, что используются в списке участников;
• Возможность настройки начального каталога для окна с адресной книгой;
• Поддержка настройки индивидуального интервала обновления ленты новостей;
• В настройках появилась возможность переопределения правил системной локали, например, в английской сборке Thunderbird теперь можно включить использование русских правил форматирования;
• Добавлена поддержка универсальной двухфакторной аутентификации FIDO U2F;
• При нахождении в online обеспечен вывод предложения о проведении операции упаковки папок в IMAP;
• Из менеджера дополнений убрана возможность настройки дополнений. Настройка теперь производится через меню "Tools / Add-on Options";
• Адрес для указания в SMTP-команде "MAIL FROM" теперь берётся из поля From, а не из настроек аутентификации. Для возвращения старого поведения добавлена опция mail.smtp.useSenderForSmtpMailFrom;
• В процессе ввода адреса в адресной книге совпадения теперь выделяются жирным шрифтом;
• При использовании команды редактирования с созданием нового сообщения ("Edit As New Message") теперь применяется формат, заданный в настройках по умолчанию (HTML, голый текст), а не формат из исходного сообщения;
• Улучшено преобразование голого текста в HTML;
• В режиме редактирования черновика ("Edit Draft") теперь можно использовать клавишу Shift для преобразования HTML в текст или обратно;
• При прикреплении сообщения через интерфейс drag&drop, тема сообщения теперь устанавливается идентично названию вложения;
• При первом запуске обеспечен показ диалога настройка учётной записи;
• Добавлена поддержка новых технологий прокси, например, теперь поддерживается дополнение FoxyProxy;
• В случае сбоя при сохранении отправляемого сообщения в IMAP, сообщение сохраняется в локальном хранилище;
• Для кодирования сообщений задействован код на языке Rust;
• Улучшены средства для работы с фотографиями в адресной книге. Фотографии могут быть добавлены в режиме drag&drop. Копии всех фотографий сохраняются в профиле Thunderbird.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48488

Эволюция идёт, и более слабые, медленные и неэффективные организмы вымирают. Не так давно мы проводили в пучину истории Оперу-12, глядя куда-то вдаль, молча слушая за спиной всхлипывания сочувствующих. В отличие от трупа последнего животного из Красной Книги, ею можно было ещё пользоваться 2-3 года, да и на некрофилов пользователи не смахивали. Похожая ситуация повторяется с Firefox на движке Gecko с последней наиболее удобной версией 56.0.2. Есть много полезной и привычной функциональности, не только встроенной, но и в аддонах (расширениях). Даже пониженное быстродействие — не основание для перехода к новой версии, если с ней теряется несколько полезных функций. А со старым движком есть, что терять...

Рассмотрим список того, чем ещё можно пользоваться в старой версии Firefox и с какими успехами идёт замена и восстановление этого в новых версиях. Что имеется совершенно нового, ради чего стоит всё бросить и забыть. (На самом деле — не обязательно. Ведь можно одновременно открывать старую и новую версии.)

Читать дальше →

Разработчик из команды Mozilla представил проект wasm-bindgen, в рамках которого ведётся создание прослойки для организации взаимодействия между JavaScript и кодом, скомпилированным в представление WebAssembly. В текущем виде проект сосредоточен на предоставление связки между языками JavaScript и Rust, но в будущем ожидается появление поддержки и других языков, включая C/C++.

Wasm-bindgen позволяет из частей на разных языках организовать доступ к строкам, объектам, классам и прочими структурам. Например, можно импортировать в Rust функциональность JavaScript, такую как возможности манипуляции с DOM, или наоборот экспортировать функциональность Rust в JavaScript, такую как классы и функции, обеспечить совместную работу со сложными типами, такими как строки, классы и объекты, несмотря на то, что спецификация WebAssembly предусматривает манипуляцию только с низкоуровневыми числовыми типами (u32, i32, f32, f64).

Источник: http://www.opennet.ru/opennews/art.shtml?num=48399

Форум: Новости
Автор: banbot

Что нового в Thunderbird 60.0 Бета:

• Новое: При создании сообщения добавлена кнопка удаления, которая позволяет удалить получателя. Кнопка удаления отображается при наведении указателя мыши на выпадающий список Кому/Копия/Скрытая копия.
  
• Новое: Дальнейшие улучшения работы с вложениями при составлении сообщения, сочетание клавиш Alt + M теперь позволяет отобразить панель вложений.
  
• Новое: Thunderbird теперь может конвертировать папки из формата mbox в формат maildir и наоборот. Это экспериментальная функция.
  
• Новое: Календарь: Разрешено копирование, вырезание или удаление выбранного события или всей серии повторяющихся событий.
  
• Новое: Календарь: Предоставлена возможность отображения местоположений событий в видах календарного дня и календарной недели.
  
• Новое: Календарь: Предоставлена возможность отправки/неотправки уведомлений о встречах напрямую вместо отображения всплывающего окна.
  
• Изменено: Thunderbird теперь предлагает сжать папки IMAP, даже если учетная запись подключена к сети.
  
• Изменено: Во время ввода адреса подходящая под ввод часть адреса теперь выделяется жирным шрифтом. Настройка mail.autoComplete.commentColumn позволяет отобразить адресную книгу, в которой хранится этот адрес.
  
• Изменено: Календарь: Удалена возможность отправки приглашений по электронной почте, совместимых с Outlook 2002 и более ранними версиями.
  

Полный список внесённых исправлений и улучшений

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

31 марта сообщество празднует двадцать лет с момента основания проекта Mozilla, в 1998 году приступившего к созданию первого полноценного свободного web-браузера, основанного на коде Netscape Communicator 5. После четырёх лет разработки, в 2002 году был выпущен релиз Mozilla 1.0. В этом же году проект признал перспективной идею разработки нового браузера с гибким и расширяемым интерфейсом на языке XUL, поддержкой вкладок и широкими возможностями по расширению функциональности через дополнения, которая в 2004 году воплотилась в первом стабильном релизе Firefox.

Mozilla также сообщает о первом значительном обновлении манифеста, определяющего основные принципы, которые отражают отношение к назначению Firefox и online-жизни в целом. Например, в манифесте определено, что интернет является глобальным общественным ресурсом, открытым и доступным для всех. Люди должны иметь возможность формировать интернет и свое пребывание в нём. Безопасность и приватность пользователей имеют первостепенное значение. В интернете должен быть здоровый баланс между коммерческой выгодой и общественной пользой.

Отныне манифест дополнен ещё 4 пунктами:

• Интернет для всех людей на земле и демографические особенности не должны влиять на выход в Сеть, возможности и качество доступа;
• Интернет должен поддерживать выражение гражданской позиции, человеческого достоинства и индивидуальности;
• Интернет должен способствовать критическому мышлению, аргументированным точкам зрения, общим знаниям и проверяемым фактам;
• Интернет должен стимулировать сотрудничество между различными сообществами, работающих вместе для общего блага.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48356

Создатель AdBlock Plus Владимир Палант (Wladimir Palant) обнаружил уязвимость в браузере Firefox и почтовом клиенте Thunderbird, позволяющую подобрать их мастер-пароль путем перебора. Источник проблемы — используемый механизм хеширования SHA-1.

Подробнее об уязвимости ниже.

Читать дальше →

Форум: Новости
Автор: gena2009

Компания выпустила новое расширение для браузера, способное предотвратить инциденты, подобные Cambridge Analytica.

Mozilla представила расширение "Facebook Container Extension для браузера Firefox, позволяющее пользователям ограничивать возможность отслеживания их активности на других сайтах соцсетью Facebook. Новое расширение обеспечит пользователям больше контроля над данными путем их изоляции в отдельном контейнере, что усложнит для соцсети процесс отслеживания активности пользователей на других сайтах с помощью сторонних файлов cookie.

Выход расширения состоялся на фоне скандала с аналитической фирмой Cambridge Analytica,собравшей данные 50 млн пользователей Facebook в интересах предвыборной кампании Дональда Трампа. В результате многие утратили доверие к соцсети, а создатель SpaceX и Tesla Илон Маск даже согласился удалить страницы своих компаний. Глава Facebook Марк Цукерберг пообещал сделать все возможное, чтобы не допустить подобных инцидентов в будущем.

Как пояснили в Mozilla, Facebook Container не может защитить пользователей от инцидентов, подобных Cambridge Analytica, и здесь придет на помощь новое расширение для Firefox. После установки оно удаляет файлы cookie и выводит их из соцсети. При следующем посещении Facebook сайт откроется в новой вкладке браузера (вкладке контейнера) голубого цвета.

Пользователи смогут авторизоваться и пользоваться соцсетью, как обычно. Когда пользователь пройдет по ссылке, ведущей за пределы Facebook, или введет адрес стороннего сайта в адресной строке, страницы будут загружаться за пределами контейнера. Если пользователь нажмет на кнопку «Поделиться в Facebook» в других вкладках браузера, загрузка страницы будет осуществляться в контейнере.

Подробнее: https://www.securitylab.ru/news/492323.php

Разработчики Mozilla опубликовали дополнение Facebook Container, которое блокирует отслеживание перемещений, организованное Facebook при помощи виджетов, размещённых на различных сайтах в Cети. Дополнение изолирует параметры идентификации Facebook в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. При этом возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

Для более гибкого разделения областей видимости предлагается использовать дополнение Firefox Multi-Account Containers с реализацией контекстных контейнеров. Например, при помощи данного дополнения можно создать отдельные области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48342

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 59.0.2, в котором устранена уязвимость (крах при выполнении определённых графических операций) и исправлено несколько проблем:

• Неработоспособность API getUserMedia на системах DragonFly, FreeBSD, NetBSD и OpenBSD, что приводит, например, к невозможности использования видеочатов;
  
• Неработоспособность горячих клавиш (например, Ctrl+C), при использовании данных сочетаний на сайтах при включенной настройке privacy.resistFingerprinting;
  
• Невозможность перезагрузки настроек прокси при использовании URL для автоматической настройки;
  
• Нарушение ответа от  Service Worker при использовании URL с разделителем "#";
  
• Крах при попытке отменить вывод на печать в момент, близкий к завершению печати;
  
• Высокая нагрузка на CPU  и большое потребление памяти в Windows при наличии некоторых сторонних программ, использующих Accessibility API;
  
• Некорректная отрисовка страницы при включении аппаратного ускорения в Windows;
  
• Крах в  Windows 7 при использовании сенсорных экранов или сервисов для людей с ограниченными возможностями.
  

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 59.0.2, в котором устранена уязвимость (крах при выполнении определённых графических операций) и исправлено несколько проблем:

• Неработоспособность API getUserMedia на системах DragonFly, FreeBSD, NetBSD и OpenBSD, что приводит, например, к невозможности использования видеочатов;
• Неработоспособность горячих клавиш (например, Ctrl+C), при использовании данных сочетаний на сайтах при включенной настройке privacy.resistFingerprinting;
• Невозможность перезагрузки настроек прокси при использовании URL для автоматической настройки;
• Нарушение ответа от Service Worker при использовании URL с разделителем "#";
• Крах при попытке отменить вывод на печать в момент, близкий к завершению печати;
• Высокая нагрузка на CPU и большое потребление памяти в Windows при наличии некоторых сторонних программ, использующих Accessibility API;
• Некорректная отрисовка страницы при включении аппаратного ускорения в Windows;
• Крах в Windows 7 при использовании сенсорных экранов или сервисов для людей с ограниченными возможностями.
  
  Источник: http://www.opennet.ru/opennews/art.shtml?num=48334

Форум: Новости
Автор: banbot

Аса Доцлер (Asa Dotzler), координатор сообщества разработчиков Firefox, опубликовал план развития Firefox в 2018 году. Основными векторами развития названы повышение производительности, персонализация, новые возможности для мобильных систем, защита интересов пользователя и расширение функциональности инструментария и Web API.

Наиболее важным разделом плана является защита интересов пользователя, в рамках которого запланирована серия возможностей, направленных на устранение практик, мешающих комфортной работе в Web. Например, на третий квартал 2018 года намечена интеграция блокировщика рекламы, по аналогии с блокировщиком, недавно добавленным в Chrome. Виды контента, которые будут блокироваться автоматически пока не утверждены, но наиболее вероятно блокировка будет распространяться на раздражающие виды рекламы, которые не соответствуют критериям, выработанным Коалицией по улучшению рекламы (перекрывающие контент всплывающие окна, автовоспроизводимая со звуком видеореклама, реклама со счётчиком секунд до закрытия, очень большие закреплённые блоки). Также ожидается блокировка таргетированной рекламы, предлагающей варианты на основе прошлой активности пользователя в сети (отслеживание перемещений и предпочтений).

В третьем квартале также планируется расширить возможности по защите приватности:

• Все связанные с приватностью настройки будут сведены в одну секцию (план на 3 квартал);
  
• Механизм противодействия отслеживанию перемещений будет расширен возможностью выборочной блокировки тех или иных техник отслеживания (план на 3 квартал);
  
• Возможно появление автоблокировки кода трекеров, которые негативно влияют на производительности загрузки страниц (план на 3 квартал);
  
• Опция для запрета автовоспроизведения видео (план на Firefox 60);
  
• Вывод уведомлений об использовании потенциально скомпрометированных учётных записей (план на октябрь).
  

В области увеличения производительности будет продолжена работа по замене частей движка Gecko на компоненты Servo и оптимизации различных подсистем:

• Интеграция наработок проекта Quantum Render, основанного на системе композитинга Servo WebRender и привлекающего GPU для обработки графики (планируется в Firefox 64 c поддержкой GPU NVIDIA);
  
• Поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения (план на Firefox 60);
  
• Поддержка механизма ускорения перехода между открытыми вкладками за счёт упреждающей отрисовки содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществит отрисовку в буфер композитинга и в случае клика мгновенно выведет уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей. (план на Firefox 61);
  
• Загрузка списков блокировки в асинхронном режиме, без негативного влияния на время запуска;
  
• API Resize Observer, позволяющий подключить обработчик, которому будут направляться уведомления об изменении размера указанных элементов на странице. Ключевое отличие нового API от window.onresize и CSS Media Queries, заключается в том, что можно определить факт изменения конкретного элемента на странице, а не всей видимой области, что позволяет отреагировать изменением только этого элемента без изменения всего видимого содержимого;
  
• Поддержка CSS-свойства contain (CSS Containment), позволяющего предотвратить отображение дочерних элементов за границами блока родительского элемента. Применение contain значительно ускоряет отрисовку, так как гарантирует, что дочерние элементы не выходят за границы родительского блока и достаточно перерисовать только область родительского элемента без применения ресурсоёмких эвристических методов определения изменившихся областей на странице;
  
• Поддержка выполнения дополнений в отдельных процессах (уже реализовано для Windows, в течение года ожидается появление в Linux и macOS);
  
• Поддержка сетевого протокола QUIC (Quick UDP Internet Connections), решающего проблемы с большим временем установки и согласования TCP-соединений и устраняющего задержки при потере пакетов в процессе передачи данных;
  
• Оптимизация интерпретатора JavaScript в движке SpiderMonkey;
  
• Ускорение отображения первой страницы - после запуска окно браузера будет показано так быстро как только возможно, без необходимости ожидания пока загрузится весь стек.
  

В области персонализации изменения в основном связаны с созданием и доставкой дополнений:

• Намечена интеграция менеджера паролей Lockbox, который решит проблемы с безопасностью в текущей реализации master password, в которой используется ненадёжный метод хэширования на основе SHA-1;
  
• В Firefox Accounts появится поддержка многофакторной аутентификации через применение одноразовых паролей с ограниченным временем действия;
  
• В Firefox Accounts появится возможность восстановления учётной записи в случае утери пароля;
  
• Возможность смены языка интерфейса без переустановки (в настройках можно будет выбрать другой язык и будет загружен связанный с ним языковой пакет);
  
• Будет добавлен Policy Manager, дающий администратору возможность централизованной настройки (прокси, закладки по умолчанию) через файл policies.json или Window GPO;
  
• Будут расширены возможности по расширению тем оформления (например, можно будет менять оформление полос прокрутки, всплывающих окон и боковых панелей).
  
• Для дополнений отмечается появление новых API для управления вкладками, панелями, сеансами, закладками и буфером обмена: Tab Hiding, User Scripts, Toolbar Overlays, Secure Overlays, Session Management, Bookmark Management, Clipboard Interaction.
  
• Запланирована серия изменений в каталоге дополнений addons.mozilla.org, например, рекомендации будут формироваться на основе контекста, данных телеметрии и уровня пользователя. При открытии каталога дополнений Firefox из другого браузера будет предоставлена возможность загрузки инсталлятора с Firefox и выбранным дополнением.
  

Планы по расширению Web-платформы и инструментов для разработчиков:

• Поддержка модулей JavaScript, определённых в стандарте ECMAScript 6 и предоставляющих средства для определения зависимостей и загрузки только необходимых для работы компонентов. Для определения модулей используется тег "script" с флагом "type=module". Предоставляемая браузером поддержка модулей позволяет без привлечения дополнительных сборочных этапов организовать загрузку зависимостей, параллельно от основного контента, использовать расширенные методы кэширования, отсеивать дубликаты, обеспечить корректный порядок выполнения скриптов (план на Firefox 60);
  
• Поддержка изменчивых шрифтов OpenType (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться. Вместо отдельного описания каждого представления, комбинации возможных вариантов определяются в одном шрифтовом ресурсе через определения возможных delta-отклонений от базового глифа с получением результата через применение интерполяции. Таким образом, вместо использования для каждого стиля своего файла со шрифтом, можно обойтись одним шрифтовым файлом, что значительно сокращает размер данных, необходимых для получения заданного результата (план на Firefox 61);
  
• API Web Authentication, предоставляющего средства для обеспечения в web-приложениях надёжной аутентификации на основе открытых ключей (план на Firefox 60);
  
• Трехпанельный интерфейс инспектирования (блок Rules может быть вынесен в отдельную панель), позволяющий одновременно изменять и отлаживать CSS (план на Firefox 61);
  
• Редактор контуров (Shapes Path Editor), позволяющий на лету изменять параметры CSS Shapes и Clip Paths (план на Firefox 61);
  
• Новый инструментарий для работы с шрифтами, учитывающий особенности изменчивых шрифтов OpenType;
  
• Новый режим инспектирования для отладки модели компоновки элементов страницы flexbox и новый инструмент для анализа выравнивания и размера элементов (план на Firefox 64 и66);
  
• Отдельная панель для отладки Service Workers (план на Firefox 61);
  
• Полноценная поддержка Source Map, позволяющая при возникновении ошибки посмотреть переменные и выполнить пошаговую отладку оригинального JavaScript-кода (план на Firefox 61);
  
• Контекстные рекомендации по выбору функциональности и расширений в инструментах для разработчиков, основанные на технологиях текущей страницы и уровне квалификации пользователя (план на 3 квартал);
  
• Подготовка страницы для пользователей Chrome с обзором отличий и особенностей инструментов для разработчиков Firefox (план на 3 квартал);
  
• Инструмент для профилирования производительности для движка GeckoView/Quantum Flow. (план на Firefox 61);
  
• Новые средства для удалённой отладки на мобильных устройствах.
  

Среди планов для мобильных систем:

• Браузер Firefox Klar (немецкий вариант Firefox Focus) будет переписан и переведён на GeckoView и технологии Quantum.
  
• В Firefox Focus появятся функции поиска, автодополнения ввода, блокировки отслеживаний и симуляции запроса версии сайта для настольных систем.
  
• Будет продолжена разработка Firefox для FireTV, например, появится родительский контроль.
  
• Firefox for iOS будет оптимизирован для iPad и получит по умолчанию защиту от отслеживания перемещений.
  
• Приложения для iOS и Android получат возможность совместного доступа к сохранённым паролям.
  

Новость взята с сайта opennet.ru

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 52.7.0. В новой версии устранено 6 уязвимостей, три из которых имеют критический уровень опасности. Улучшена обработка ошибок, выводимых при работе с учётными записями Yahoo. Обеспечен поиск содержимого вложений при поиске по телу сообщения в локальных папках.


Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Новость взята с сайта opennet.ru

Аса Доцлер (Asa Dotzler), координатор сообщества разработчиков Firefox, опубликовал план развития Firefox в 2018 году. Основными векторами развития названы повышение производительности, персонализация, новые возможности для мобильных систем, защита интересов пользователя и расширение функциональности инструментария и Web API.

Наиболее важным разделом плана является защита интересов пользователя, в рамках которого запланирована серия возможностей, направленных на устранение практик, мешающих комфортной работе в Web. Например, на третий квартал 2018 года намечена интеграция блокировщика рекламы, по аналогии с блокировщиком, недавно добавленным в Chrome. Виды контента, которые будут блокироваться автоматически пока не утверждены, но наиболее вероятно блокировка будет распространяться на раздражающие виды рекламы, которые не соответствуют критериям, выработанным Коалицией по улучшению рекламы (перекрывающие контент всплывающие окна, автовоспроизводимая со звуком видеореклама, реклама со счётчиком секунд до закрытия, очень большие закреплённые блоки). Также ожидается блокировка таргетированной рекламы, предлагающей варианты на основе прошлой активности пользователя в сети (отслеживание перемещений и предпочтений).

В третьем квартале также планируется расширить возможности по защите приватности:

• Все связанные с приватностью настройки будут сведены в одну секцию (план на 3 квартал);
• Механизм противодействия отслеживанию перемещений будет расширен возможностью выборочной блокировки тех или иных техник отслеживания (план на 3 квартал);
• Возможно появление автоблокировки кода трекеров, которые негативно влияют на производительности загрузки страниц (план на 3 квартал);
• Опция для запрета автовоспроизведения видео (план на Firefox 60);
• Вывод уведомлений об использовании потенциально скомпрометированных учётных записей (план на октябрь).

В области увеличения производительности будет продолжена работа по замене частей движка Gecko на компоненты Servo и оптимизации различных подсистем:

• Интеграция наработок проекта Quantum Render, основанного на системе композитинга Servo WebRender и привлекающего GPU для обработки графики (планируется в Firefox 64 c поддержкой GPU NVIDIA);
• Поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения (план на Firefox 60);
• Поддержка механизма ускорения перехода между открытыми вкладками за счёт упреждающей отрисовки содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществит отрисовку в буфер композитинга и в случае клика мгновенно выведет уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей. (план на Firefox 61);
• Загрузка списков блокировки в асинхронном режиме, без негативного влияния на время запуска;
• API Resize Observer, позволяющий подключить обработчик, которому будут направляться уведомления об изменении размера указанных элементов на странице. Ключевое отличие нового API от window.onresize и CSS Media Queries, заключается в том, что можно определить факт изменения конкретного элемента на странице, а не всей видимой области, что позволяет отреагировать изменением только этого элемента без изменения всего видимого содержимого;
• Поддержка CSS-свойства contain (CSS Containment), позволяющего предотвратить отображение дочерних элементов за границами блока родительского элемента. Применение contain значительно ускоряет отрисовку, так как гарантирует, что дочерние элементы не выходят за границы родительского блока и достаточно перерисовать только область родительского элемента без применения ресурсоёмких эвристических методов определения изменившихся областей на странице;
• Поддержка выполнения дополнений в отдельных процессах (уже реализовано для Windows, в течение года ожидается появление в Linux и macOS);
• Поддержка сетевого протокола QUIC (Quick UDP Internet Connections), решающего проблемы с большим временем установки и согласования TCP-соединений и устраняющего задержки при потере пакетов в процессе передачи данных;
• Оптимизация интерпретатора JavaScript в движке SpiderMonkey;
• Ускорение отображения первой страницы - после запуска окно браузера будет показано так быстро как только возможно, без необходимости ожидания пока загрузится весь стек.

В области персонализации изменения в основном связаны с созданием и доставкой дополнений:

• Намечена интеграция менеджера паролей Lockbox, который решит проблемы с безопасностью в текущей реализации master password, в которой используется ненадёжный метод хэширования на основе SHA-1;
• В Firefox Accounts появится поддержка многофакторной аутентификации через применение одноразовых паролей с ограниченным временем действия;
• В Firefox Accounts появится возможность восстановления учётной записи в случае утери пароля;
• Возможность смены языка интерфейса без переустановки (в настройках можно будет выбрать другой язык и будет загружен связанный с ним языковой пакет);
• Будет добавлен Policy Manager, дающий администратору возможность централизованной настройки (прокси, закладки по умолчанию) через файл policies.json или Window GPO;
• Будут расширены возможности по расширению тем оформления (например, можно будет менять оформление полос прокрутки, всплывающих окон и боковых панелей).
• Для дополнений отмечается появление новых API для управления вкладками, панелями, сеансами, закладками и буфером обмена: Tab Hiding, User Scripts, Toolbar Overlays, Secure Overlays, Session Management, Bookmark Management, Clipboard Interaction.
• Запланирована серия изменений в каталоге дополнений addons.mozilla.org, например, рекомендации будут формироваться на основе контекста, данных телеметрии и уровня пользователя. При открытии каталога дополнений Firefox из другого браузера будет предоставлена возможность загрузки инсталлятора с Firefox и выбранным дополнением.

Планы по расширению Web-платформы и инструментов для разработчиков:

• Поддержка модулей JavaScript, определённых в стандарте ECMAScript 6 и предоставляющих средства для определения зависимостей и загрузки только необходимых для работы компонентов. Для определения модулей используется тег "script" с флагом "type=module". Предоставляемая браузером поддержка модулей позволяет без привлечения дополнительных сборочных этапов организовать загрузку зависимостей, параллельно от основного контента, использовать расширенные методы кэширования, отсеивать дубликаты, обеспечить корректный порядок выполнения скриптов (план на Firefox 60);
• Поддержка изменчивых шрифтов OpenType (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться. Вместо отдельного описания каждого представления, комбинации возможных вариантов определяются в одном шрифтовом ресурсе через определения возможных delta-отклонений от базового глифа с получением результата через применение интерполяции. Таким образом, вместо использования для каждого стиля своего файла со шрифтом, можно обойтись одним шрифтовым файлом, что значительно сокращает размер данных, необходимых для получения заданного результата (план на Firefox 61);
• API Web Authentication, предоставляющего средства для обеспечения в web-приложениях надёжной аутентификации на основе открытых ключей (план на Firefox 60);
• Трехпанельный интерфейс инспектирования (блок Rules может быть вынесен в отдельную панель), позволяющий одновременно изменять и отлаживать CSS (план на Firefox 61);
• Редактор контуров (Shapes Path Editor), позволяющий на лету изменять параметры CSS Shapes и Clip Paths (план на Firefox 61);
• Новый инструментарий для работы с шрифтами, учитывающий особенности изменчивых шрифтов OpenType;
• Новый режим инспектирования для отладки модели компоновки элементов страницы flexbox и новый инструмент для анализа выравнивания и размера элементов (план на Firefox 64 и 66);
• Отдельная панель для отладки Service Workers (план на Firefox 61);
• Полноценная поддержка Source Map, позволяющая при возникновении ошибки посмотреть переменные и выполнить пошаговую отладку оригинального JavaScript-кода (план на Firefox 61);
• Контекстные рекомендации по выбору функциональности и расширений в инструментах для разработчиков, основанные на технологиях текущей страницы и уровне квалификации пользователя (план на 3 квартал);
• Подготовка страницы для пользователей Chrome с обзором отличий и особенностей инструментов для разработчиков Firefox (план на 3 квартал);
• Инструмент для профилирования производительности для движка GeckoView/Quantum Flow. (план на Firefox 61);
• Новые средства для удалённой отладки на мобильных устройствах.

Среди планов для мобильных систем:

• Браузер Firefox Klar (немецкий вариант Firefox Focus) будет переписан и переведён на GeckoView и технологии Quantum.
• В Firefox Focus появятся функции поиска, автодополнения ввода, блокировки отслеживаний и симуляции запроса версии сайта для настольных систем.
• Будет продолжена разработка Firefox для FireTV, например, появится родительский контроль.
• Firefox for iOS будет оптимизирован для iPad и получит по умолчанию защиту от отслеживания перемещений.
• Приложения для iOS и Android получат возможность совместного доступа к сохранённым паролям.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48312

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TRR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.

В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).

Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.

В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера "https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental". Для развёртывания своего DoH-сервера можно использовать doh-proxy от Facebook, DNSCrypt Proxy или rust-doh.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48303

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 59.0.1, в котором внесены исправления в систему безопасности. Проблемы затрагивают входящие в базовую поставку библиотеки libvorbis и libtremor (замена libvorbis для ARM и Android) и позволяют организовать запись данных за границу буфера при обработке специально оформленного звукового контента в формате Vorbis.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Завершился второй заключительный день соревнования Pwn2Own 2018, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge и Safari (две разные атаки), которые привели к успешному выполнению кода атакующего в системе. Также частично проведена атака на VirtualBox, которая не была доведена до конца. Суммарный размер выплат составил 267 тысяч долларов (общий призовой фонд составляет 2 млн долларов). Номинации за взлом Chrome, nginx, Apache httpd, OpenSSL, SMB-подсистемы Windows, vMware Workstation, Hyper-V Client, Adobe Reader, MS Office 365 ProPlus и MS Outlook остались невостребованными.

Разработчики Mozilla уже сформировали обновления Firefox 59.0.1 и 52.7.2, в которых устранены продемонстрированные в ходе соревнования уязвимости (CVE-2018-5146, CVE-2018-5147). Проблемы затрагивают входящие в базовую поставку библиотеки libvorbis и libtremor (замена libvorbis для ARM и Android) и позволяют организовать запись данных за границу буфера при обработке специально оформленного звукового контента в формате Vorbis. Кроме Firеfox, любые приложения и дистрибутивы, в которых используется необновлённые libvorbis или libtremor, остаются уязвимы.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48272

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 59, а также мобильной версии Firefox 59 для платформы Android. В ближайшие часы ожидается обновление ветки с длительным сроком поддержки 52.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 60 (ESR), релиз которой намечен на 9 мая.
Основные новшества:

• Продолжена работа по оптимизации производительности:  Ускорена загрузка содержимого стартовой страницы. Переработан механизм кэширования - если определяется, что дисковый ввод/вывод на текущей системе слишком медленный, то параллельно с обращением к кэшу на диске отправляется сетевой запрос и используется первый полученный результат. В ситуации наличия медленных дисков и высокоскоростного сетевого соединения данный подход позволяет ускорить загрузку страниц. На платформе macOS включена отрисовка в отдельном потоке (OMTP, Off-Main-Thread Painting), которая ранее уже была включена для Linux и Windows;
  
• На стартовой странице появилась возможность перегруппировки избранных сайтов через перетаскивание пиктограмм мышью (Drag-and-drop), а также предоставлены средства для гибкой настройки выводимых блоков и их оформления;
  
  
  
  
  
  
• Во встроенном инструменте для создания скриншотов появился простейший редактор, предоставляющий возможности кадрирования сохранённых изображений (изменения видимой области), рисования произвольных линий кистью и выделения областей;
  
  
  
  
  
  
• В настройки (about:preferences) в секцию "Безопасность и Приватность" добавлена опция для временного блокирования вывода сайтами запросов на доставку уведомлений, а также на запросов доступа к микрофону, камере и местоположению. Выставление данной опции не влияет на явно добавленные пользователем разрешения для заслуживающих доверия сайтов;
  
  
  
  
  
  
• В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь передаётся только имя хоста, а путь и все параметры запроса вырезаются. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/". Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам;
  
• Прекращена поддержка сборки с использованием библиотеки GTK+ 2. Для платформы GNU/Linux теперь можно использовать только GTK+ 3;
  
• Расширен API WebExtensions: улучшена поддержка децентрализованных протоколов (Secure Scuttlebutt, DATproject и IPFS), добавлена возможность динамической регистрации скриптов обработки контента, реализованы новые свойства для тем оформления, управления вкладками и доступом к настройкам, добавлены API  pageAction, browserAction и SidebarAction.
  
• Улучшены возможности, связанные с организацией коммуникаций в режиме реального времени (WebRTC): реализован интерфейс  RTCRtpTransceiver, позволяющий создавать приёмопередатчики, использующие API RTCPeerConnection (RTCPeerConnection.addTransceiver() ) и предоставляющие более тонкий контроль за вызовами. Добавлена серия методов, необходимых для поддержки хорошо масштабируемых телеконференций;
  
• В реализации формата WebVTT (Web Video Text Tracks, используется для вывода текста поверх видео) включена по умолчанию поддержка регионов (секция REGION, определяющая область вывода текста);
  
• Добавлена поддержка API PointerEvents, позволяющего контролировать в одном обработчике все события, связанные с перемещением указателя. Добавлены отдельные устройства для управления указателем ввода для мыши, пера и сенсорного экрана;
  
• Для HTML-элемента  textarea добавлена поддержка атрибута autocomplete, который позволяет управлять включением или выключением автозаполнения форм;
  
• Добавлено новое CSS-свойство overscroll-behavior, позволяющее изменить поведение при достижении конца области прокрутки;
  
• Реализована поддержка липкого позиционирования CSS - position:sticky, при которой можно определить, чтобы при скроллинге часть блока оставалась видимой, пока сам блок полностью не выйдет за пределы экрана. Например, можно легко сделать так, чтобы заголовок с пояснениями по столбцам для длинной таблицы был виден, пока видна хоть одна ячейка таблицы, не прибегая к усложнениям в виде перехвата событий прокрутки и переключения позиции с "relative" на "fixed";
  
• Добавлено CSS-свойство font-optical-sizing;
  
• Для вычисления задаваемых через CSS значений цветов и значений  media query  теперь можно использовать функцию calc();
  
• Прекращена поддержка открытия в основной странице URL "data:", содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение (фишинга). Отныне не будет работать открытие ссылок "data:", которые включают в себя непосредственно данные страницы, через JavaScript-методы window.open("data:...") и window.location = "data:...", а также клики на ссылки с ‹a href="data:..."› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока "data:" в адресную строку через буфер обмена и открытие блоков с MIME-типами "plain/text", "data:application/pdf", "data:application/json" и "image/*" (за исключением "data:image/svg+xml");
  
• Попытка загрузки изображений с внешних областей, требующих аутентификации, теперь не будет приводить к выводу диалога HTTP-аутентификации;
  
• Передаваемые при HTTP-аутентификации значения имени пользователя и пароля теперь передаются в кодировке utf-8 вместо ISO-8859-1, что соответствует поведению других браузеров;
  
• Расширены инструменты для web-разработчиков: В интерфейсе инспектирования хранилищ информация о  Cookie теперь включает столбец со значением флага sameSite. В инструменте Rulers в верхнем правом углу обеспечено отображение текущих размеров области просмотра. В инструменте Responsive Design Mode добавлена возможность установки разрешения экрана при помощи клавиш управления курсором. Во вкладке с HTTP-заголовками в Network Monitor реализовано отображение кодов ответа. Во вкладке Response интерфейса сетевого мониторинга обеспечен показ эскизов результатов отрисовки загруженного HTML-контента.
  
  
  
  
  
  
• В версии для Android добавлена поддержка воспроизведения потокового видео с использованием протокола HLS (HTTP Live Streaming). Удалена спецстраница "about:", вместо которой следует использовать секцию меню  "About Firefox". Обеспечена возможность регистрации Firefox как Assist App для организации поиска через Firefox длительным нажатием на клавишу Home. Отображение видео на весь экран теперь всегда производится в ландшафтном режиме.
  

Кроме новшеств и исправления ошибок в Firefox 59 закрыты 18 уведомлений об уязвимостях. В двух уведомлениях, охватывающих 21 ошибку (под CVE-2018-5126 сведено 19 ошибок и под CVE-2018-5125 сведено 12 ошибок) устранены  критические проблемы, которые потенциально могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 59 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Состоялся релиз web-браузера Firefox 59, а также мобильной версии Firefox 59 для платформы Android. В ближайшие часы ожидается обновление ветки с длительным сроком поддержки 52.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 60 (ESR), релиз которой намечен на 9 мая.

Основные новшества:

• Продолжена работа по оптимизации производительности: Ускорена загрузка содержимого стартовой страницы. Переработан механизм кэширования - если определяется, что дисковый ввод/вывод на текущей системе слишком медленный, то параллельно с обращением к кэшу на диске отправляется сетевой запрос и используется первый полученный результат. В ситуации наличия медленных дисков и высокоскоростного сетевого соединения данный подход позволяет ускорить загрузку страниц. На платформе macOS включена отрисовка в отдельном потоке (OMTP, Off-Main-Thread Painting), которая ранее уже была включена для Linux и Windows;
• На стартовой странице появилась возможность перегруппировки избранных сайтов через перетаскивание пиктограмм мышью (Drag-and-drop), а также предоставлены средства для гибкой настройки выводимых блоков и их оформления;
• Во встроенном инструменте для создания скриншотов появился простейший редактор, предоставляющий возможности кадрирования сохранённых изображений (изменения видимой области), рисования произвольных линий кистью и выделения областей;
• В настройки (about:preferences) в секцию "Безопасность и Приватность" добавлена опция для постоянного блокирования вывода сайтами запросов на доставку уведомлений, а также на запросов доступа к микрофону, камере и местоположению. Выставление данной опции не влияет на явно добавленные пользователем разрешения для заслуживающих доверия сайтов;
• В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь передаётся только имя хоста, а путь и все параметры запроса вырезаются. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/". Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам;
• Прекращена поддержка сборки с использованием библиотеки GTK+ 2. Для платформы GNU/Linux теперь можно использовать только GTK+ 3;
• Расширен API WebExtensions: улучшена поддержка децентрализованных протоколов (разрешено использование через внешние расширения Secure Scuttlebutt, DATproject и IPFS), добавлена возможность динамической регистрации скриптов обработки контента, реализованы новые свойства для тем оформления, управления вкладками и доступом к настройкам, добавлены API pageAction, browserAction и SidebarAction.
• Улучшены возможности, связанные с организацией коммуникаций в режиме реального времени (WebRTC): реализован интерфейс RTCRtpTransceiver, позволяющий создавать приёмопередатчики, использующие API RTCPeerConnection (RTCPeerConnection.addTransceiver() ) и предоставляющие более тонкий контроль за вызовами. Добавлена серия методов, необходимых для поддержки хорошо масштабируемых телеконференций;
• В реализации формата WebVTT (Web Video Text Tracks, используется для вывода текста поверх видео) включена по умолчанию поддержка регионов (секция REGION, определяющая область вывода текста);
• Добавлена поддержка API PointerEvents, позволяющего контролировать в одном обработчике все события, связанные с перемещением указателя. Добавлены отдельные устройства для управления указателем ввода для мыши, пера и сенсорного экрана;
• Для HTML-элемента textarea добавлена поддержка атрибута autocomplete, который позволяет управлять включением или выключением автозаполнения форм;
• Добавлено новое CSS-свойство overscroll-behavior, позволяющее изменить поведение при достижении конца области прокрутки;
• Реализована поддержка липкого позиционирования CSS - position:sticky, при которой можно определить, чтобы при скроллинге часть блока оставалась видимой, пока сам блок полностью не выйдет за пределы экрана. Например, можно легко сделать так, чтобы заголовок с пояснениями по столбцам для длинной таблицы был виден, пока видна хоть одна ячейка таблицы, не прибегая к усложнениям в виде перехвата событий прокрутки и переключения позиции с "relative" на "fixed";
• Добавлено CSS-свойство font-optical-sizing;
• Для вычисления задаваемых через CSS значений цветов и значений media query теперь можно использовать функцию calc();
• Прекращена поддержка открытия в основной странице URL "data:", содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение (фишинга). Отныне не будет работать открытие ссылок "data:", которые включают в себя непосредственно данные страницы, через JavaScript-методы window.open("data:...") и window.location = "data:...", а также клики на ссылки с ‹a href="data:..."› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока "data:" в адресную строку через буфер обмена и открытие блоков с MIME-типами "plain/text", "data:application/pdf", "data:application/json" и "image/*" (за исключением "data:image/svg+xml");
• Попытка загрузки изображений с внешних областей, требующих аутентификации, теперь не будет приводить к выводу диалога HTTP-аутентификации;
• Передаваемые при HTTP-аутентификации значения имени пользователя и пароля теперь передаются в кодировке utf-8 вместо ISO-8859-1, что соответствует поведению других браузеров;
• Расширены инструменты для web-разработчиков: В интерфейсе инспектирования хранилищ информация о Cookie теперь включает столбец со значением флага sameSite. В инструменте Rulers в верхнем правом углу обеспечено отображение текущих размеров области просмотра. В инструменте Responsive Design Mode добавлена возможность установки разрешения экрана при помощи клавиш управления курсором. Во вкладке с HTTP-заголовками в Network Monitor реализовано отображение кодов ответа. Во вкладке Response интерфейса сетевого мониторинга обеспечен показ эскизов результатов отрисовки загруженного HTML-контента.
• В версии для Android добавлена поддержка воспроизведения потокового видео с использованием протокола HLS (HTTP Live Streaming). Удалена спецстраница "about:", вместо которой следует использовать секцию меню "About Firefox". Обеспечена возможность регистрации Firefox как Assist App для организации поиска через Firefox длительным нажатием на клавишу Home. Отображение видео на весь экран теперь всегда производится в ландшафтном режиме.

Кроме новшеств и исправления ошибок в Firefox 59 закрыты 18 уведомлений об уязвимостях. В двух уведомлениях, охватывающих 21 ошибку (под CVE-2018-5126 сведено 19 ошибок и под CVE-2018-5125 сведено 12 ошибок) устранены критические проблемы, которые потенциально могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48254

Разработчики Firefox рассматривают возможность реализации средств для блокирования навязчивых всплывающих блоков, интегрированных в web-страницы. Речь ведётся о выводимых поверх содержимого раздражающих блоков, стилизованных под диалоговые окна, таких как всевозможные предложения подписаться на рассылки, принять участие в акции, ответить на опрос, заполнить анкету, отправить вопрос консультанту, начать чат с персоналом (ботом) и т.п.

Разработчики намерены предусмотреть опцию для автоматического блокирования подобных блоков, по аналогии с тем как сейчас можно блокировать автоматическое открытие отдельных окон. Так как блокировать придётся блоки, обычно создаваемые при помощи элементов div внутри HTML-страницы, имеется риск возникновения ложных блокировок, поэтому перед началом внедрения предлагается накопить данные об особенностях реализации надоедливых блоков. Для накопления сведений о блоках реализовано специальное дополнение к Firefox. Существующие дополнения, такие как Behind The Overlay, полностью не решают проблему, так как предоставляют лишь инструмент для быстрого закрытия всплывающих вставок.

Дополнительно можно отметить решение о прекращении в Firefox 62 поддержки API для доступа к сенсорам освещения и приближения (devicelight, deviceproximity и userproximity). Пока остаются доступны, но намечены на удаление или ограничение доступа в будущем, API для определения движения и ориентации в пространстве. Данные API могут применяться для получения персональной информации о пользователе, обхода ограничений same-origin и как один из факторов для идентификации браузера.

Также утверждён график прекращения доверия к сертификатам удостоверяющего центра Symantec в связи с ранее выявленными нарушениями и злоупотреблениями. В мае 2018 года в Firefox 60 соединения с TLS-сертификатами Symantec, выпущенными до 1 июня 2016 года, начнут помечаться небезопасными. В октябре в Firefox 63 доверие к корневому сертификату Symantec будет полностью прекращено.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48251

Доступен релиз web-браузера Pale Moon 27.8.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. На уровне поддержки базовых web-технологий и тем оформления браузер остаётся совместим с Firefox. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений выделяются оптимизации для процессоров Atom, дополнительные варианты восстановления сеанса после краха и возможность отключить загрузку изображений.

Основные изменения:

• В настройки добавлена опция для включения предпросмотра вкладок по Ctrl+Tab;
• В AppMenu добавлен инструмент Eyedropper, позволяющий выбирать цвет на уровне отдельных пикселей (пипетка реализована в форме увеличительного стекла, показывающего попиксельную раскладку);
• Обеспечена автоправка типовых ошибок при задании URL (например, при вводе "ttp://");
• Добавлена поддержка свойства Symbol.species, определённого в спецификации ECMAScript 2015 (ECMA-262);
• Обновлена поддержка TLS 1.3, которая синхронизирована с последней черновой спецификацией;
• Добавлен отдельный шрифт EmojiOne для качественной поддержки emoji на платформе Windows;
• Точность работы таймера (performance.now) уменьшена до 1 ms для блокирования атак Meltdown/Spectre;
• Библиотека kiss-fft обновлена до версии 1.4.0;
• В полноэкранном режиме удалена панель с уведомлениями;
• Удалён небезопасный и неподдерживемый код WebRTC (опциональная поддержка сборки с WebRTC прекращена);
• Добавлен экран отображения состояния HTTP для просмотра HTTP-запросов в исходном виде.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48180

Разработчики каталога дополнений addons.mozilla.org (AMO) приняли решение прекратить поддержку размещения бета-версий дополнений. Через официальный каталог можно будет распространять только релизы, а для тестирования бета-версий предлагается использовать самостоятельные сборки (self-hosted). Цифровую подпись для бета-версий можно будет сформировать в AMO, но распространять тестовые сборки придётся со своих ресурсов. Изменение будет принято в течение марта.

Прекращение поддержки бета-версий вызвано рядом проблем, от которых хотят избавиться разработчики AMO. В частности, пользователи не могут без лишних трудностей вернуться на использование релизов после переключения на канал для распространения бета-версий. Как следствие, разработчики дополнений должны обеспечивать обновление канала с бета-версиями с той же интенсивностью, что и канал для релизов. Кроме того, поддержка дополнительного тестового канала усложняет и без того сложный код AMO.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48172

В ночных сборках Firefox, которые лягут в основу выпуска Firefox 60, изменён интерфейс управления Cookie. Вместо полного списка Cookie в привязке к каждому сайту ( "Show Cookies" и "Remove individual cookies" в about:preferences#privacy) в настройках предложен унифицированный интерфейс, выводящих информацию о числе Cookie и размере данных из связанных с сайтом хранилищ.

Если раньше имелась возможность выборочно удалить отдельные Cookie, то теперь пользователю предоставлена только функция удаления сразу всех Cookie, выставленных для сайта. Новый интерфейс также не предоставляет детализацию по отдельным Cookie. Пока не ясно собирается ли Mozilla восстановить недостающие возможности до релиза Firefox 60 или пользователям будет предложено воспользоваться сторонними дополнениями для управления Cookie.

Дополнение: В разделе с информацией о странице (Page Info/Security/View Cookie) пока оставлен прежний интерфейс, позволяющий отдельно удалить и просмотреть каждую Cookie. Отдельно Cookie также можно просмотреть через инструменты для разработчиков (раздел Storage).

Источник: http://www.opennet.ru/opennews/art.shtml?num=48148

Форум: Новости
Автор: banbot

Что нового в Thunderbird 59.0 Бета:

• Новое: Дальнейшие улучшения в изменении порядка размещения вложений (представленного в бета-версии Thunderbird 58), включая изменение порядка размещения вложений путем перетаскивания.
  
• Новое: Команда редактирования шаблона. Это также решает различные проблемы при сохранении в качестве шаблона (создание дубликатов, потеря ID сообщения).
  
• Новое: Календарь: Возможность выбора целевого календаря при вставке события или задачи.
  
• Изменено: Настройки дополнений больше не могут быть изменены на странице Управления дополнениями. Для этого в меню «Инструменты» добавлен новый пункт «Настройки дополнений».
  
• Изменено: После указания адреса «От:» Thunderbird теперь будет использовать этот адрес для SMTP-команды «MAIL FROM». Ранее использовался адрес, указанный в параметрах учётной записи. Настройка параметра mail.smtp.useSenderForSmtpMailFrom позволяет вернуться к предыдущему поведению.
  
• Изменено: Различные обновления темы Thunderbird. Thunderbird теперь использует значки Photon.
  
• Изменено: Календарь. Оповещения из календарей, доступных только для чтения, теперь могут отложены, а оповещения о пропущенных событиях будут отображаться только из календарей, доступных для записи, если установлен флажок «Показывать пропущенные оповещения для доступных для записи календарей».
  
• Исправлено: Различные проблемы, связанные с обработкой папки «Удалённые» в IMAP: при определенных обстоятельствах выбор папки «Удалённые» не сохранялся, например, когда имя содержало символы, отличные от ASCII, или в локализованных версиях Thunderbird. Иногда создавались нежелательные дополнительные папки «Удалённые». Смена папки «Удалённые» не всегда была видна пользователю.
  
• Исправлено: Поиск в тексте сообщений в сообщениях в локальных папках, включая операции фильтра и быстрого фильтра, не находил содержимого во вложениях в сообщения.
  
• Исправлено: При некоторых обстоятельствах в диалоговом окне подписки не отображались Общие папки IMAP.
  
• Исправлено: Календарь: неправильное форматирование времени для некоторых часовых поясов.
  

Полный список внесённых исправлений и улучшений

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Доступно второе обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.2 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого.

Новый выпуск синхронизирован с кодовой базой Firefox 52.6  и включает все доступные в ней исправления. В Composer решены проблемы с невозможностью редактировать и добавлять свойства изображений. Устранены проблемы с исчезновением кнопок в области прокрутки, а также пропаданием меню и выпадающих блоков при использовании некоторых тем оформления в Linux (проблемы всплыли после перехода на GTK3+ в прошлом выпуске). По умолчанию отключен WebRTC (для выборочного включения WebRTC в привязке к сайтам теперь требуется специальное дополнение). Из соображений безопасности ограничен доступ к свойству "@-moz-document" (может применяться для передачи конфиденциальных данных из URL (session id, oauth token) при помощи только CSS, без JavaScript), для включения предусмотрена настройка "layout.css.moz-document.content.enabled".

Загрузить:

    Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)

    Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Состоялся релиз языка программирования Rust 1.24, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime.

По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

В подготовке нового выпуска приняли участие 152 разработчика. Основные новшества:

• Реализована утилита rustfmt для автоматического формирования исходных текстов в соответствии с рекомендациями по оформлению кода на языке Rust. Для установки утилиты следует использовать команду "rustup component add rustfmt-preview";
• Включена по умолчанию инкрементальная компиляция, позволяющая пересобирать только изменившиеся части кода. Данный режим позволяет значительно сократить время сборки проекта при повторной компиляции после внесения мелких правок. Кроме того, в новом выпуске параметр codegen-units по умолчанию увеличен до 16, что позволило существенно ускорить процесс сборки за счёт распараллеливания операций, ценой незначительного снижения производительности результирующего исполняемого файла (для обеспечения максимальной производительности можно указать codegen-units=1);
• Устранено неопределённое поведение обработчиков краха в контексте функций FFI (Foreign Function Interface), работа которых могла отличаться в зависимости от ABI. Например, до сих пор оставался непредсказуемым код на базе "C" ABI:

       extern "C" fn panic_in_ffi() {         panic!("Test");     }  

  В Rust 1.24 такой код теперь всегда приводит к прерыванию выполнения, вместо неопределённого поведения;
• До 10 раз ускорено выполнение операции поиска символов внутри строки при помощи функции str::find, которая переписана с использованием memchr. На memchr также переведена реализация [u8]::contains, но ускорение её работы не столь внушительно (ускорение примерно в 3 раза). С использованием ассемблерных инструкций проведена оптимизация f32::min и f32::max;
• В разряд стабильных переведена новая порция API, в том числе RefCell::replace, RefCell::swap и std::sync::atomic::spin_loop_hint;
• Обеспечена возможность использования внутри неизменных выражений (constant, static) функций Cell, RefCell, UnsafeCell, {integer}::min_value, max_value, mem’s size_of, align_of, ptr::null, null_mut, а также функции работы с различными целыми типами Atomic (AtomicBool::new, AtomicPtr::new, AtomicIsize::new и т.п.). Например, теперь можно указать "static COUNTER: AtomicUsize = AtomicUsize::new(1);"
• Добавлена поддержка новых целевых платформ armv4t-unknown-linux-gnueabi и aarch64-unknown-openbsd.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48087

Доступно второе обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.2 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого.

Новый выпуск синхронизирован с кодовой базой Firefox 52.6 и включает все доступные в ней исправления. В Composer решены проблемы с невозможностью редактировать и добавлять свойства изображений. Устранены проблемы с исчезновением кнопок в области прокрутки, а также пропаданием меню и выпадающих блоков при использовании некоторых тем оформления в Linux (проблемы всплыли после перехода на GTK3+ в прошлом выпуске). По умолчанию отключен WebRTC (для выборочного включения WebRTC в привязке к сайтам теперь требуется специальное дополнение). Из соображений безопасности ограничен доступ к свойству "@-moz-document" (может применяться для передачи конфиденциальных данных из URL (session id, oauth token) при помощи только CSS, без JavaScript), для включения предусмотрена настройка "layout.css.moz-document.content.enabled".

Источник: http://www.opennet.ru/opennews/art.shtml?num=48083

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 58.0.2, в котором устранено несколько проблем:

•   В чёрный список проблемных драйверов занесены видеодрайверы, который приводят к крахам после выноса отрисовки в отдельный процесс;
  
•   Исправлена ошибка, приводящая к краху вкладки во время вывода на печать;
  
•   Решены проблемы с проверкой цифровой подписи при обновлении браузера в окружении macOS;
  
•   Устранены недоработки, которые приводили к невозможности нажатия на ссылки и проблемам с  прокруткой содержимого писем на сайтах Microsoft Hotmail и Outlook (OWA).
  

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 58.0.2, в котором устранено несколько проблем:

• В чёрный список проблемных драйверов занесены видеодрайверы, который приводят к крахам после выноса отрисовки в отдельный процесс;
• Исправлена ошибка, приводящая к краху вкладки во время вывода на печать;
• Решены проблемы с проверкой цифровой подписи при обновлении браузера в окружении macOS;
• Устранены недоработки, которые приводили к невозможности нажатия на ссылки и проблемам с прокруткой содержимого писем на сайтах Microsoft Hotmail и Outlook (OWA).

Источник: http://www.opennet.ru/opennews/art.shtml?num=48037

Компания Mozilla представила проект Things (Project Things), развивающий открытый фреймворк для организации взаимодействия с потребительскими и IoT-устройствами через Web. Работа над проектом началась в прошлом году в рамках инициативы по разработке технологий для построения децентрализованной сети устройств, использования URL для адресации таких устройств и предоставления возможности доступа к ним из Web.

Для преодоления фрагментации, вызванной многообразием прошивок и протоколов для IoT, подготовлена реализация шлюза, который выступает прослойкой для унификации доступа к различным категориям устройств, скрывая за собой особенности каждой платформы и не требуя использования специфичных для каждого производителя приложений. Шлюз можно установить на плату Raspberry Pi и получить систему управления умным домом, объединяющую все имеющиеся в доме IoT-устройства и предоставляющую средства для мониторинга и управления ими через Web-интерфейс. Платформа также позволяет создавать дополнительные web-приложения, которые могут взаимодействовать с устройствами через Web Thing API.

Таким образом, вместо установки своего мобильного приложения для каждого типа IoT-устройств, можно использовать единый унифицированный web-интерфейс. Шлюз поддерживает такие функции, как определение устройств в локальной сети, выбор web-адреса для соединения с устройствами из интернета, создание учётных записей для доступа к web-интерфейсу шлюза, подключение к шлюзу устройств, поддерживающих проприетарные протоколы ZigBee и Z-Wave, удалённое включение и выключение устройств из web-приложения. Отдельно отмечается, что кроме web-интерфейса и API в шлюзе реализована экспериментальная поддержка голосового управления, позволяющая распознавать и выполнять голосовые команды (например, "включи свет на кухне").

Из возможностей нового выпуска также упоминается движок для определения логических правил, позволяющий автоматически реагировать на определённые ситуации с устройствами (например, можно автоматически включить устройство при определённом состоянии датчика). Добавлена поддержка новых классов устройств, таких как управляемые розетки, настраиваемые светильники, цветная подсветка, многоуровневые выключатели и различные датчики, а также виртуальные версии различных типов устройств.

В прошивку интегрированы функции автоматической доставки и установки обновлений (OTA, over-the-air), что позволяет оперативно устранять ошибки и уязвимости, не требуя от пользователя дополнительных манипуляций. Для обеспечения поддержки протоколов и устройств представлена новая система дополнений. Для авторизации доступа сторонних приложений к API предложена поддержка OAuth. В web-интерфейс добавлена карта размещения устройств, позволяющая наглядно оценить где и какое устройство находится в доме.

Код проекта написан на языке JavaScript с использованием серверной платформы Node.js. Для взаимодействия шлюза с IoT-платформами предлагается набор дополнений, позволяющих обращаться к устройствам при помощи протоколов ZigBee и ZWave, через WiFi или при помощи прямого подключения к GPIO. Прошивки с шлюзом подготовлены для Raspberry Pi, Raspberry Pi 2, Raspberry Pi 3 и Raspberry Pi Zero W. В ближайшее время обещают подготовить пакет для OpenWrt. Список протестированных IoT-устройств и брелков ZigBee/ZWave предложен на данной странице.

Установка достаточно хорошо автоматизирована - достаточно загрузить предоставленную прошивку с шлюзом на SD-карту, подключиться к Raspberry Pi и открыть в браузере хост "gateway.local", после чего можно настроить подключение к WiFi, ZigBee или ZWave, найти имеющиеся IoT-устройства, настроить параметры для доступа извне и добавить самые востребованные устройства на домашний экран.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48029

Разработчики Firefox намерены включить в следующем выпуске защиту от утечки информации через заголовок HTTP Referer. В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь будет передаваться только имя хоста, а путь и все параметры запроса будут вырезаны. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/".

Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам. В качестве примера приводятся некоторые медицинские сайты, в процессе показа рекламы на которых третьи лица могут получить сведения конфиденциального характера, такие как возраст и поставленный пациенту диагноз. Пока очистка HTTP Referrer производится только в приватном режиме, так как передаваемый через данный заголовок полный адрес предыдущей страницы востребован владельцами сайтов для анализа источников трафика и разбора фраз, которые привели к переходу с поисковой системы.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48018

Mozilla выпустила важное обновление веб-браузера Firefox для исправления критической уязвимости, которая позволяет злоумышленникам удаленно выполнять вредоносный код на компьютерах, на которых установлена ​​уязвимая версия браузера.

Критическая уязвимость (CVE-2018-5124) может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).

«Успешное использование уязвимости может позволить злоумышленнику выполнить произвольный код с привилегиями пользователя. Если пользователь имеет повышенные привилегии, злоумышленник может полностью скомпрометировать систему», — говорится в рекомендациях по безопасности от компании Cisco.

Злоумышленник может получить возможность устанавливать программы, создавать новые учетные записи с полными правами пользователя, просматривать, изменять или удалять данные. Читать дальше →

Форум: Новости
Автор: banbot

Подготовлен корректирующий выпуск Firefox 58.0.1, в котором устранена критическая уязвимость (CVE-2018-5124), которая может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).

Кроме того, в новом выпуске устранена специфичная для платформы Windows проблема, проявляющаяся в невозможности загрузить страницы (вместо страниц показывается только белый фон) при установке в Windows политик безопасности, отличных от используемых по умолчанию (например, могут быть изменены продуктами Windows Defender Exploit Protection или Webroot).

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки

    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки
   
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru

Подготовлен корректирующий выпуск Firefox 58.0.1, в котором устранена критическая уязвимость (CVE-2018-5124), которая может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).

Кроме того, в новом выпуске устранена специфичная для платформы Windows проблема, проявляющаяся в невозможности загрузить страницы (вместо страниц показывается только белый фон) при установке в Windows политик безопасности, отличных от используемых по умолчанию (например, могут быть изменены продуктами Windows Defender Exploit Protection или Webroot).

Источник: http://www.opennet.ru/opennews/art.shtml?num=47988

Форум: Новости
Автор: banbot

Доступно обновление почтового клиента Thunderbird 52.6.0. В новой версии проведена работа по улучшению поиска содержимого сообщений в локальных папках и применения фильтров. Налажен поиск не-ASCII текста и поиск в блоках, закодированных методом base64. Решены проблемы с отображением дефектных сообщений, не содержащих корректных заголовков. В календаре-планировщике устранена недоработка, приводящая к непреднамеренному удалению задач при включенном Numlock. Устранено 10 уязвимостей, одна из которых имеет критический уровень опасности.

Дополнительно разработчики Thunderbird сообщили о готовности Mozilla принять на работу в режиме полного рабочего дня инженера, задачей которого будет перевод модулей Thunderbird на новую платформу, перенос технологических новшеств из  Firefox, исправление ошибок, сопровождение сборок, взаимодействие с участниками из сообщества и разработчиками из Mozilla. Напомним, что в настоящее время ведётся работа над бета-выпуском Thunderbird 58, в котором осуществлён переход на технологии Firefox Quantum, в том числе предложен обновлённый интерфейс и осуществлён переход на систему дополнений на базе WebExtension. Новый интерфейс соответствует концепции дизайна Photon и использует новую тему оформления Monterail.

Загрузить:

    • Русская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Английская версия:
        Windows (32-bit)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    • Другие языки

Примечания к выпуску

Новость взята с сайта opennet.ru

Доступно обновление почтового клиента Thunderbird 52.6.0. В новой версии проведена работа по улучшению поиска содержимого сообщений в локальных папках и применения фильтров. Налажен поиск не-ASCII текста и поиск в блоках, закодированных методом base64. Решены проблемы с отображением дефектных сообщений, не содержащих корректных заголовков. В календаре-планировщике устранена недоработка, приводящая к непреднамеренному удалению задач при включенном Numlock. Устранено 10 уязвимостей, одна из которых имеет критический уровень опасности.

Дополнительно разработчики Thunderbird сообщили о готовности Mozilla принять на работу в режиме полного рабочего дня инженера, задачей которого будет перевод модулей Thunderbird на новую платформу, перенос технологических новшеств из Firefox, исправление ошибок, сопровождение сборок, взаимодействие с участниками из сообщества и разработчиками из Mozilla. Напомним, что в настоящее время ведётся работа над бета-выпуском Thunderbird 58, в котором осуществлён переход на технологии Firefox Quantum, в том числе предложен обновлённый интерфейс и осуществлён переход на систему дополнений на базе WebExtension. Новый интерфейс соответствует концепции дизайна Photon и использует новую тему оформления Monterail.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47966

Компания Mozilla сообщила о начале эксперимента по показу рекламных блоков в подборке рекомендованного сервисом Pocket контента, выводимой на странице новой вкладки. На первом этапе эксперимент по показу рекламы охватит небольшую часть пользователей Firefox Beta из США. Рекламные блоки явно помечены как реклама и могут быть отключены через настройки новой вкладки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47962

Компания Mozilla распределила очередную порцию грантов, выделенных в рамках инициативы Mozilla Open Source Support (MOSS), нацеленной на оказание финансовой поддержки разработчикам полезных открытых проектов. Суммарный размер вознаграждений, выплаченных в 2017 году, составил 1 миллион 650 тысяч долларов, из которых полмиллиона долларов было выделено с октября по декабрь.

В рассматриваемый отчётный период выдача грантов была сосредоточена на проектах, входящих в экосистему Python. Наиболее крупный грант, в размере 250 тысяч долларов, присуждён проекту Buildbot, развивающему сервер непрерывной интеграции, написанный на языке Python. Немногим меньшую премию, размером 170 тысяч долларов, получили разработчики проекта Warehouse, в рамках которого развивается альтернатива репозиторию PyPI (Python Package Index), создаваемая с использованием современных технологий и фреймворков.

Оставшиеся средства распределены между следующими проектами:

• 160 тысяч долларов передано проекту Tor на развитие системы OONI (Open Observatory of Network Interference), которая осуществляет отслеживание фактов цензурирования, слежки, манипуляции трафиком и серьёзных проблем с доступностью в глобальной сети;
• 65 тысяч долларов получил проект Zappa, предлагающий систему доставки приложений в форме микросервисов, не привязанную к централизованным серверам (server-less);
• 60 тысяч долларов выделено на написание качественной документации к проекту Harfbuzz, развивающему кросс-платформенный движок компоновки текста, обеспечивающий однородность отрисовки на разных системах;
• 25 тысяч долларов получили разработчики Tatoeba, платформы для сбора и хранения голосовых данных. Грант выдан на разработку инструментов для интеграции с инициативой Common Voice и решение проблем, связанных с лицензированием;
• 19 тысяч долларов присуждено в рамках дополнительной программы Global Mission Partners индийскому проекту Commento, предлагающему легковесную систему для встраивания на сайты компонента для ведения дискуссий и оставления комментариев.

Также представлен отчёт о работах, проведённых в рамках инициативы "Secure Open Source", которая предусматривает поддержание работ по увеличению безопасности и проведение аудита исходных текстов широко распространённого открытого ПО. 71356 долларов были выделены на разработку и доведение до полноценного вида библиотеки rust-av, защищённого аналога мультимедийной библиотеки libav, написанного на языке Rust.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47958

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 58, а также мобильной версии Firefox 58 для платформы Android. В ближайшие часы ожидается обновление ветки с длительным сроком поддержки 52.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 59, релиз которой намечен на 13 марта.
Основные новшества:

• Добавлен новый двухуровневый компилятор,  который обеспечивает компиляцию промежуточного кода WebAssembly в 10-15 раз быстрее за счёт компиляции по мере загрузки и распараллеливания работы на уровне компиляции отдельных функций.
  
• Для ускорения  обработки JavaScript обеспечено кэширование  байткода, полученного после разбора кода, что ускоряет загрузку Facebook на 12%, Twitter на 5.4%, сайтов Google на 4.9%. Кэширование машинных инструкций после JIT-компиляции байткода ожидается в одном из следующих выпусков;
  
• В настройки добавлен вывод предупреждений в случае наличия установленных дополнений, которые вносят изменения в работу страницы с новой вкладкой, домашней страницы или поисковых движков. Таким образом пользователь теперь сразу информируется об изменении поведения данных разделов из-за установки дополнений и рядом выводится кнопка для быстрого отключения дополнения;
  
  
  "
  
  
  
• Реализован новый метод урезания активности фоновых вкладок, не просматриваемых в текущий момент. Каждой фоновой вкладке теперь выделяется определённый бюджет времени в миллисекундах, который расходуется на запуск таймеров (setTimeout/setInterval). При каждом запуске таймера из бюджета вычитается процессорное время, потраченное на выполнение обработчика. При этом бюджет также непрерывно пополняется на 1 миллисекунду. Как только бюджет примет отрицательное значение, вызов обработчиков по таймеру прекращается. Система ограничений активируется спустя 30 секунд после нахождения вкладки в фоне. Ограничения не применяются ко вкладкам, в которых воспроизводится звук, установлены соединения WebSockets и WebRTC, или выполняется обработка данных в IndexedDB. По предварительной оценке реализованный метод на 25% снижает нагрузку от фоновых вкладок, интенсивно нагружающих процессор;
  
• Представлен метод противодействия скрытому отслеживанию пользователей при помощи API Canvas, который сводится к выводу диалога с запросом подтверждения операции при использовании на сайте кода для обработки изображений, получающего содержимое областей при помощи API getImageData;
  
• Для защиты от фишинга прекращена поддержка открытия в основной странице URL "data:", содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение. В частности теперь не будет работать открытие ссылок "data:", которые включают в себя непосредственно данные страницы, через JavaScript-методы window.open("data:...") и window.location = "data:...", а также клики на ссылки с ‹a href="data:..."› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока "data:" в адресную строку через буфер обмена и открытие блоков с MIME-типами "plain/text", "data:application/pdf", "data:application/json" и "image/*" (за исключением "data:image/svg+xml");
  
• Нарушена обратная совместимость на уровне конфигурационных профилей. Профили, созданные в Firefox 58+, не смогут быть использованы в прошлых выпусках (например, при установке Firefox 58 без восстановлении старого профиля из резервной копии невозможно будет откатиться на Firefox 52 ESR);
  
• Изменена логика выбора сайта при наборе имени в адресной строке без уточнения протокола. Например, если набрать "opennet.ru", то откроется "https://www.opennet.ru", а не легковесная версия "http://opennet.ru" (для открытия без www теперь нужно явно указывать полный адрес с https:// или http://);
  
• Обеспечен вывод предупреждения при открытии сайтов, на которых используются сертификаты удостоверяющего центра Symantec, доверие к которому скоро будет прекращено (в Firefox 60 будет прекращена работа с сертификатами, выданными до 2016-06-01, а в Firefox 63 со всеми остальными);
  
• Расширены возможности WebExtensions: добавлены дополнительные опции для создателей тем оформления, представлен API для управления режимом читателя (Reader Mode), добавлен API для смены поисковой системы по умолчанию (при обращении к данному API выводится диалог для подтверждения у пользователя смены поисковика), добавлен API для взаимодействия с устройствами PKCS #11;
  
• В интегрированном дополнении для создания скриншотов добавлена поддержка копирования и вставки изображений через буфер обмена. Скриншоты теперь можно создавать и при открытии страницы в режиме приватного просмотра (Private Browsing);
  
• Реализован API PerformanceNavigationTiming, предоставляющий методы и свойста для сохранения и извлечения метрик о событиях навигации по документу. Например, при помощи нового API можно определить какое время тратится на загрузку документа;
  
• Добавлено свойство PerformanceResourceTiming.workerStart, позволяющее измерить время запуска service worker;
  
• На всех поддерживаемых платформах добавлено CSS-свойство font-display, которое даёт возможность определить как и когда отображать текстовое содержимое, если шрифт ещё не загрузился. Например, до окончания загрузки шрифта текст можно отобразить используя шрифт по умолчанию (ранее при использовании внешних шрифтов отрисовка текста не производилась до окончания загрузки шрифта);
  
• Добавлен метод Intl.Numberformat.prototype.formatToParts(), позволяющий использовать форматирования с использованием правил текущей локали для строк, выдаваемых функциями форматирования NumberTimeFormat;
  
• Добавлен метод Promise.prototype.finally();
  
• В сборках для macOS активирована поддержка API WebVR, который ранее был доступен только пользователям Windows. WebVR предоставляет возможности для создания приложений виртуальной реальности и навигации в Web через 3D-шлемы, такие как HTC VIVE и Oculus Rift;
  
• В сборке для Windows операция отрисовки страницы вынесена в отдельный процесс, не блокирующий работу основного потока. В протестированных online-играх по сравнению с Firefox 57 наблюдается увеличение скорости отрисовки до 30% (с 31 до 40 кадров в секунду). Для ещё большего ускорения отрисовки в будущих выпусках ожидается интеграция наработок проекта Quantum Render, основанном на системе композитинга Servo WebRender и привлекающем GPU для обработки графики;
  
  
  "
  
  
  
• В Linux решена проблема с выводом пустых символов вместо текста, если связанных с текстом шрифт установлен в нестандартном каталоге;
  
• Добавлена возможность установки таймаута для этапа согласования TLS-соединения. По умолчанию таймаут установлен в 30 секунд, но может быть изменён через опцию network.http.tls-handshake-timeout в about:config;
  
• Добавлена новая CSP (Content Security Policy) директива worker-src, позволяющая ограничить URL только загрузкой Worker, SharedWorker или ServiceWorker;
  
• Удалена большая порция свойств со специфичным для Mozilla префиксом "-moz-", которые уже давно стандартизированы и доступны без префикса. Также удалены устаревшие или нестандартные JavaScript-методы Function.prototype.isGenerator() Date.prototype.toLocaleFormat() и Object.prototype.watch();
  
• В инструменты для разработчиков добавлен редактор контуров (Shape Path Editor), позволяющие наглядно просматривать и редактировать элементы, сгенерированные при помощи CSS-свойства clip-path. В панели CSS в блоках clip-path теперь показывается специальный значок, кликнув на который включается наглядное выделение контура текущего элемента;
  
• В интерфейс мониторинга сетевой активности добавлена кнопка для записи сетевого трафика, а также убран отдельный фильтр для запросов Flash-контента (Flash теперь попадает в фильтр "другое");
  
• Удалён код старого интерфейса Responsive Design Mode, для просмотра страницы в разных экранных разрешениях следует использовать новую реализацию;
  

Улучшения  версии Firefox 58 для Android:

• Добавлена поддержка  приложений, работающих в режиме Progressive Web Apps (PWA), позволяющем организовать работу с web-приложением, как с обычной программой для Android (установка на домашний экран, отображение в списке запущенных программ, выполнение деинсталляции, средства для получения запросов от других приложений, свой блок настроек в системном конфигураторе, управление уведомлениями, работа при отсутствии сетевого соединения и т.п.);
  
• В настройки добавлена опция, позволяющая выполнять операции синхронизации только при наличии стационарного сетевого соединения (WiFi);
  
• Добавлена поддержка полноэкранного интерфейса управления закладками с поддержкой разбивки закладок на каталоги;
  
  
  
  
  
  
• Добавлена поддержка аудиокодека FLAC (Free Lossless Audio Codec);
  
• В темах оформления появилась возможность смены цвета строки статуса;
  
• Из домашнего экрана удалён виджет  Firefox Search;
  
• Реализация протокола Safe Browsing обновлена до версии 4;
  

Кроме новшеств и исправления ошибок в Firefox 58 устранены, из которых 3 (CVE-2018-5089, CVE-2018-5090 и CVE-2018-5091) помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Загрузить:

    Русская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

    Английская версия:
        Windows (32-bit) (установка через Интернет)
        Windows (32-bit) (установка в автономном режиме)
        Windows (64-bit) (установка в автономном режиме)
        Mac OS X (32-bit/64-bit)
        Linux (32-bit)
        Linux (64-bit)

   Другие языки
   
    Android (с Google Play)

        Android (ARMv7, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (мультиязычная версия с сайта Mozilla)
        Android (ARMv7, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)
        Android (x86, 4.1 Jelly Bean и выше) (английская версия с сайта Mozilla)

   Другие языки

Что нового в Firefox 58 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Примечания к выпуску для Android

Новость взята с сайта opennet.ru