Разработчики Firefox продолжили развитие режима "HTTPS Only", при включении которого все выполняемые без шифрования обращения автоматически перенаправляются на защищённые варианты страниц ("http://" заменяется на "https://"). В ночные сборки, на основе которых 25 августа будет сформирован выпуск Firefox 80, в интерфейс для настройки параметров браузера (about:preferences) в секцию "Конфиденциальность и безопасность" добавлен блок для управление включением работы только через HTTPS. Предусмотрена возможность включения данного режима для всех окон или только для окон, открываемых в режиме приватного просмотра. По умолчанию режим перенаправления на HTTPS находится в отключённом состоянии.

Напомним, что новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://". Помимо замены при вводе в адресной строке, переключение на HTTPS также производится на уровне загружаемых на страницах субресурсов.

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю показывается страница с ошибкой, на которой присутствует кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои игнорируются, но в web-консоль выводятся предупреждения, которые можно посмотреть через инструменты для web-разработчика.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53336

Форум: Новости
Автор: banbot

Опубликован корректирующий выпуск Firefox 78.0.2, в котором устранена уязвимость и исправлено несколько ошибок. Уязвимость позволяет обойти  ограничения, выставленные через заголовок X-Frame-Options, и подставить содержимое с другого сайта, используя теги object или embed.

Из исправлений отмечается решение проблем со средствами для людей с ограниченными возможностями и устранение регрессивных изменений, мешающих открытии ссылок во внешних приложениях (в Firefox 78 было изменено значение настройки security.allow_disjointed_external_uri_loads). Кроме того, повышена стойкость адресной строки к повреждению данных в профиле пользователя (при повреждении профиля переставал работать поиск).

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Опубликован корректирующий выпуск Firefox 78.0.2, в котором устранена уязвимость и исправлено несколько ошибок. Уязвимость позволяет обойти ограничения, выставленные через заголовок X-Frame-Options, и подставить содержимое с другого сайта, используя теги object или embed.

Из исправлений отмечается решение проблем со средствами для людей с ограниченными возможностями и устранение регрессивных изменений, мешающих открытии ссылок во внешних приложениях (в Firefox 78 было изменено значение настройки security.allow_disjointed_external_uri_loads). Кроме того, повышена стойкость адресной строки к повреждению данных в профиле пользователя (при повреждении профиля переставал работать поиск).

Источник: http://www.opennet.ru/opennews/art.shtml?num=53324

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.10.0.

• Исправлено: Чат: Некоторые символы в заголовках отображались некорректно
  
• Исправлено: Календарь: Если были выбраны «Невыполненные задачи», фильтрация задач не работала
  
• Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

  • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Состоялся релиз набора интернет-приложений SeaMonkey 2.53.3, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

Среди изменений:

• До версии 1.0.2 обновлена утилита TexZilla, используемая для вставки математических формул (выполняет конвертацию LaTeX в MathML);
  
• В редакторе html-страниц Composer добавлена возможность настройки содержимого панелей инструментов;
  
• Добавлена возможность пометки прочитанным всех почтовых папок, привязанных к учётной записи;
  
• Реализована настройка для отключения упоминания SeaMonkey в заголовке User Agent;
  
• Настройки для скрытия панели и меню теперь доступны в разделе "Preferences->Appearance";
  
• По умолчанию отключено автоматическое скрытие панели вкладок при наличии только одной открытой вкладки;
  
• Языковые пакеты теперь привязаны к версиям SeaMonkey и могут быть отключены при обновлении профиля после установке новой версии SeaMonkey;
  
• Обновлены поисковые движки;
  
• В адресной книге реализованы поля с информацией о мессенджерах, улучшена раскладка просмотра в форме карт, расширен поиск по нескольким ключам, добавлена возможность поиска в нескольких адресных книгах, в контекстное меню и в панель добавлена кнопка вывода на печать;
  
• Обновлён мультимедийный код, задействован мультимедийный парсер на языке Rust и проведена подготовка к реализации поддержки дополнительных форматов звука и видео в следующем выпуске.

Загрузить:

    Русская версия:
        Windows (64-bit)
        Windows (32-bit)
        Mac OS X (64-bit)
        Linux (64-bit)
        Linux (32-bit)

    Английская версия:
        Windows (64-bit)
        Windows (32-bit)
        Mac OS X (64-bit)
        Linux (64-bit)
        Linux (32-bit)

Другие языки

Примечания к выпуску для Windows, Mac and Linux
Новость взята с сайта opennet.ru

Компания Mozilla временно приостановила работу сервиса обмена файлами Firefox Send из-за его вовлечения в распространение вредоносного ПО и жалоб на отсутствие средств для отправки abuse-уведомлений о ненадлежащем использовании сервиса (присутствовала только общая форма обратной связи). Работу планируется восстановить после реализации возможности отправки жалоб на размещение вредоносного или проблемного содержимого, а также налаживания службы для оперативного реагирования на подобные сообщения. Также планируется отключить возможности анонимной отправки файлов - при размещении файла в сервисе станет обязательной регистрация учётной записи через сервис Firefox Account.

Напомним, что Firefox Send позволял загрузить в хранилище на серверах Mozilla файл, размером до 1 Гб в анонимном режиме и 2.5 Гб при создании зарегистрированной учётной записи. На стороне браузера файл шифровался и передавался на сервер уже в зашифрованном виде. После загрузки файла пользователю предоставлялась ссылка, которая генерировалась на стороне клиента и включала идентификатор и ключ для расшифровки. При помощи предоставленной ссылки получатель мог загрузить файл и расшифровать на своей стороне. Отправитель имел возможность определить число загрузок, после исчерпания которых файл удалялся из хранилища Mozilla, а также время жизни файла (от одного часа до 7 дней).

В последнее время Firefox Send оказался востребован злоумышленниками как канал для распространения вредоносного ПО, хранения компонентов, используемых при проведении различных атак, и передачи данных, перехваченных в результате работы вредоносных программ или компрометации пользовательских систем. Популярности сервиса среди злоумышленников способствовала поддержка в Firefox Send шифрования данных и защиты содержимого паролем, а также возможность автоудаления файла после определённого числа загрузок или истечения времени жизни, которая затрудняла расследование вредоносной активности и позволяла обходить системы обнаружения атак. Кроме того, ссылки на домен send.firefox.com в письмах, как правило, рассматривались как заслуживающие доверие и не блокировались антиспам фильтрами.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53309

Состоялся релиз набора интернет-приложений SeaMonkey 2.53.3, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

Среди изменений:

• До версии 1.0.2 обновлена утилита TexZilla, используемая для вставки математических формул (выполняет конвертацию LaTeX в MathML);
• В редакторе html-страниц Composer добавлена возможность настройки содержимого панелей инструментов;
• Добавлена возможность пометки прочитанным всех почтовых папок, привязанных к учётной записи;
• Реализована настройка для отключения упоминания SeaMonkey в заголовке User Agent;
• Настройки для скрытия панели и меню теперь доступны в разделе "Preferences-›Appearance";
• По умолчанию отключено автоматическое скрытие панели вкладок при наличии только одной открытой вкладки;
• Языковые пакеты теперь привязаны к версиям SeaMonkey и могут быть отключены при обновлении профиля после установке новой версии SeaMonkey;
• Обновлены поисковые движки;
• В адресной книге реализованы поля с информацией о мессенджерах, улучшена раскладка просмотра в форме карт, расширен поиск по нескольким ключам, добавлена возможность поиска в нескольких адресных книгах, в контекстное меню и в панель добавлена кнопка вывода на печать;
• Обновлён мультимедийный код, задействован мультимедийный парсер на языке Rust и проведена подготовка к реализации поддержки дополнительных форматов звука и видео в следующем выпуске.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53298

Безусловно одной из самых популярных технологий доставки оповещений на устройства пользователей являются Push уведомления. Технология такова, что для её работы необходим постоянный доступ к интернету, а именно доступ к серверам, на которых регистрируются устройства пользователя для получения уведомлений. В данной статье мы рассмотрим весь спектр механизмов технологии WebPush уведомлений, спрятанных за словами WebSocket, ServiceWorker, vapid, register, broadcast, message encryption и т.д. Основной причиной побудившей меня к реверсу и изучению механизма, являлась необходимость доставки уведомлений мониторинга на рабочие места техподдержки, находящиеся в закрытом сегменте сети без доступа в интернет. И да, это возможно! Подробности под катом.

Читать дальше →

В кодовую базу Firefox, на основе которой 25 августа будет сформирован релиз Firefox 80, добавлено изменение, отключающее для Linux привязку поддержки аппаратного ускорения декодирования видео к системам на базе Wayland. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder. Таким образом, поддержка аппаратного ускорения видео через VA-API станет доступна и для Linux-систем, использующих протокол X11.

Ранее стабильное аппаратное ускорение видео обеспечивалось только для нового бэкенда, использующего Wayland и механизм DMABUF. Для X11 ускорение не применялось из-за проблем с gfx-драйверами. Теперь проблема с задействованием ускорения видео для X11 решена через использование EGL. Также для систем с X11 реализована возможность работы WebGL через EGL, которая в будущем позволит включить для X11 и поддержку аппаратного ускорения WebGL. В настоящее время данная возможность пока остаётся отключённой по умолчанию (включается через widget.dmabuf-webgl.enabled), так как не все проблемы пока решены.

Для активации работы через EGL предусмотрена переменная окружения MOZ_X11_EGL, после установки которой Webrender и компоненты композитинга OpenGL переключаются на использование EGL вместо GLX. Реализация основана на новом бэкенде для X11 на базе DMABUF, который подготовлен путём разделения DMABUF-бэкенда, ранее предложенного для Wayland.

Дополнительно можно отметить включение в кодовую базу, на основе которой формируется выпуск Firefox 79, системы композитинга WebRender для ноутбуков на базе чипов AMD на платформе Windows 10. WebRender написан на языке Rust и позволяет добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.

В Firefox 79 также по умолчанию добавлена настройка для включения динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). Настройка предложена в конфигураторе в секции настройки блокировки отслеживания перемещений в выпадающем блоке методов блокировки Cookie. Также в Firefox 79 активирован по умолчанию новый экран с экспериментальными настройками - "about:preferences#experimental", предоставляющий интерфейс для включения экспериментальных возможностей, похожий на about:flags в Chrome.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53285

Форум: Новости
Автор: banbot

Опубликован экстренный корректирующий выпуск Firefox 78.0.1, в котором устранена всплывшая в Firefox 78 проблема, приводившая к пропаданию установленных поисковых движков. После обновления браузера список быстрого доступа к поисковым системам у некоторых пользователей оказался пустым, нарушилась работа автодополнения ввода в адресной строке и перестали отправляться запросы через поле поиска на стартовой странице. Причиной сбоя оказалось включение в Firefox 78 функции синхронизации настроек поисковых систем. В Firefox 78.0.1 удалённое извлечение настроек отключено и возвращён локальный метод хранения.

Также с задержкой почти на сутки раскрыты сведения об устранённых в Firefox 78 уязвимостях. В Firefox 78 устранено 16 уязвимостей, из которых 10 помечены как опасные. Четыре уязвимости, собранные под CVE-2020-12426, потенциально способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Кроме того, анонсировано обновление наборов голосовых данных, собранных в результате инициативы Common Voice и включающий примеры произношения около ста тысяч людей. В сумме было получено 7226 часов (проверен 5591 час) речевого материала на 54 языках, 14 из которых были предложены впервые. В том числе опубликован набор для украинского языка, подготовленный благодаря работе 235 участников, надиктовавших 22 часа. Для русского языка число участников увеличилось до
928, а объём речевого материала вырос до 105 часов. Для сравнения в подготовке материалов на английском языке приняли участие более 60 тысяч человек, надиктовавших 1452 часа подтверждённой речи.

Предложенные наборы можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. Данные опубликованы как общественное достояние (CC0). Напомним, что проект Common Voice нацелен на организацию совместной работы по накоплению базы голосовых шаблонов, учитывающей всё разнообразие голосов и манер речи. Пользователям предлагается озвучить выводимые на экран фразы или оценить качество данных, добавленных другими пользователями. Накопленную базу данных c записями различного произношения типовых фраз человеческой речи без ограничений можно использовать в системах машинного обучения и в исследовательских проектах.

Среди недостатков проекта Common Voice автор библиотеки распознавания слитной речи Vosk назвал однобокость голосового материала (преобладание людей мужского пола 20-30 лет, и недостаток материала с голосом женщин, детей и пожилых людей), отсутствие вариативности словаря (повторение одних и тех же фраз), распространение записей во вносящем искажения формате MP3, создание нового проекта вместо присоединения к существующему VoxForge.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Опубликован экстренный корректирующий выпуск Firefox 78.0.1, в котором устранена всплывшая в Firefox 78 проблема, приводившая к пропаданию установленных поисковых движков. После обновления браузера список быстрого доступа к поисковым системам у некоторых пользователей оказался пустым, нарушилась работа автодополнения ввода в адресной строке и перестали отправляться запросы через поле поиска на стартовой странице. Причиной сбоя оказалось включение в Firefox 78 функции синхронизации настроек поисковых систем. В Firefox 78.0.1 удалённое извлечение настроек отключено и возвращён локальный метод хранения.

Также с задержкой почти на сутки раскрыты сведения об устранённых в Firefox 78 уязвимостях. В Firefox 78 устранено 16 уязвимостей, из которых 10 помечены как опасные. Четыре уязвимости, собранные под CVE-2020-12426, потенциально способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Кроме того, анонсировано обновление наборов голосовых данных, собранных в результате инициативы Common Voice и включающий примеры произношения около ста тысяч людей. В сумме было получено 7226 часов (проверен 5591 час) речевого материала на 54 языках, 14 из которых были предложены впервые. В том числе опубликован набор для украинского языка, подготовленный благодаря работе 235 участников, надиктовавших 22 часа. Для русского языка число участников увеличилось до 928, а объём речевого материала вырос до 105 часов. Для сравнения в подготовке материалов на английском языке приняли участие более 60 тысяч человек, надиктовавших 1452 часа подтверждённой речи.

Предложенные наборы можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. Данные опубликованы как общественное достояние (CC0). Напомним, что проект Common Voice нацелен на организацию совместной работы по накоплению базы голосовых шаблонов, учитывающей всё разнообразие голосов и манер речи. Пользователям предлагается озвучить выводимые на экран фразы или оценить качество данных, добавленных другими пользователями. Накопленную базу данных c записями различного произношения типовых фраз человеческой речи без ограничений можно использовать в системах машинного обучения и в исследовательских проектах.

Среди недостатков проекта Common Voice автор библиотеки распознавания слитной речи Vosk назвал однобокость голосового материала (преобладание людей мужского пола 20-30 лет, и недостаток материла с голосом женщин, детей и пожилых людей), отсутствие вариативности словаря (повторение одних и тех же фраз), распространение записей во вносящем искажения формате MP3, создание нового проекта вместо присоединения к существующему VoxForge.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53274

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 78, а также мобильной версии Firefox 68.10 для платформы Android. Выпуск Firefox 78 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 68.10.0 (в дальнейшем ожидается ещё два обновления 68.11 и 68.12). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 79, релиз которой намечен на 28 июля.

Основные новшества:

• Расширена сводная страница (Protections Dashboard) с отчётами об эффективности работы механизмов защиты от отслеживания перемещений, проверки компрометации учётных данных и управления паролями. В новом выпуске появилась возможность просмотреть статистику использованию скомпрометированных учётных данных, а также отследить возможные пересечения сохранённых паролей с известными утечками пользовательских баз. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.7 миллиардах учётных записей, похищенных в результате взломов 456 сайтов. Сводка предоставляется на странице "about:protections" или через меню, вызываемое через клик на значок щита в адресной строке (вместо Show Report теперь показывается Protections Dashboard).
  
  
  
• В Uninstaller добавлена кнопка "Refresh Firefox", позволяющая сбросить в исходное состояние настройки и удалить все дополнения без потери накопившихся данных. В случае проблем пользователи часто пытаются решить их переустановкой браузера. Кнопка Refresh позволит добиться подобного эффекта не потеряв закладки, историю посещений, сохранённые пароли, Cookie, подключённые словари и данные для автозаполнения форм (при нажатии кнопки создаётся новый профиль и в него переносятся указанные БД). После нажатия Refresh будут потеряны дополнения, темы оформления, сведения о правах доступа, подключённые поисковые движки, локальные DOM-хранилища, сертификаты, изменённые настройки, пользовательские стили (userChrome, userContent).
  
  
  
• В показываемое для вкладок контекстное меню добавлены элементы для отмены закрытия нескольких вкладок, а также для закрытия вкладок справа от текущей и закрытия всех вкладок, кроме текущей.
  
  
  
• Обеспечено отключение срабатывания хранителя экрана во время осуществления видеозвонков и конференций на базе WebRTC.
  
• На платформе Windows для GPU Intel при любых разрешения экрана включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel при использовании небольших экранных разрешений, а также на системах с APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  
• До 100% доведена доля пользователей из Великобритании, для которых на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Оплаченные спонсорами блоки показывается только в США и явно помечены как реклама. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  
• Включены патчи, влияющие на производительность и стабильность аппаратного ускорения декодирования видео при помощи VA-API (поддерживается только в окружениях на базе Wayland).
  
• Повышены требования к системным компонентам Linux. Для запуска Firefox в Linux теперь требуется как минимум Glibc 2.17, libstdc++ 4.8.1 и GTK+ 3.14.
  
• Следуя плану по прекращению поддержки устаревших криптоалгоритмов по умолчанию отключены все наборы шифров TLS на базе DHE (TLS_DHE_*, протокол обмена ключей Диффи — Хеллмана). Для снижения возможного негативного влияния от отключения DHE добавлено два новых набора шифров AES-GCM на базе SHA2.
  
• Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
  
• Существенно улучшено качество работы с экранными ридерами для людей с нарушением зрения (решились проблемы с позиционированием курсора, устранены подвисания, ускорена обработка очень больших таблиц и т.п.). Для пользователей с мигренью и эпилепсией сокращены анимационные эффекты, такие как подсвечивание вкладок и расширение поисковой панели.
  
• Для предприятий в групповые политики добавлены новые правила для настройки внешних приложений-обработчиков, отключения режима картинка-в-картинке, обязательности задания мастер-пароля.
  
• В JavaScript-движке SpiderMonkey обновлена подсистема обработки регулярных выражений, которая синхронизирована с реализацией из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Изменение позволило реализовать поддержку следующих возможностей, связанных с регулярными выражениями:
  • Именованные группы позволяют связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?<year>\d{4})-(?<month>\d{2})-(?<day>\d{2})/" и получить доступ к году не через result[1], а через result.groups.year).
    
  • Экранирование классов Unicode-символов добавляет конструкции \p{…} и \P{…}, например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.
    
  • Флаг dotAll приводит к срабатыванию маски "." в том числе для символов перевода строки.
    
  • Режим Lookbehind позволяет определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара).

• Реализованы псевдоклассы CSS :is() и :where() для привязки CSS-правил к набору селекторов. Например, вместо
  Выделить код

  Код:

  header p:hover, main p:hover, footer p:hover {...}

  можно указать

  Выделить код

  Код:

  :is(header, main, footer) p:hover {...}

• Включены псевдоклассы CSS :read-only и :read-write для привязки к элементам форм (input или textarea), которые запрещено или разрешено редактировать.
  
• Добавлена поддержка метода Intl.ListFormat() для создания локализованных списков (например, замены "or" на "или", "and" на "и").
  Выделить код

  Код:

  const lf = new Intl.ListFormat('en');
   lf.format(['Frank', 'Christine', 'Flora']);
   // → 'Frank, Christine, and Flora' 
   // при локали "ru" будет 'Frank, Christine и Flora'

• В метод Intl.NumberFormat добавлена поддержка форматирования единиц измерения, валют, научных и компактных обозначений (например, "Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}");
  
• Добавлен метод ParentNode.replaceChildren(), позволяющий заменить или очистить существующий дочерний узел.
  
• В ESR-ветке включена поддержка Service worker и Push API (в прошлом ESR-выпуске они были отключены).
  
• В WebAssembly добавлена поддержка импорта и экспорта 64-разрядных целых параметров функции, используя JavaScript-тип BigInt. Для WebAssembly также реализовано расширение Multi-value, позволяющее функции возвращать более одного значения.
  
• В консоли для web-разработчиков обеспечено детализированное журналирование ошибок, связанных с Promise, включая сведения об именах, стеках и свойствах, что существенно упрощает разбор ошибок при использовании таких фреймворков, как Angular.
  
  
  
• В инструментах для web-разработчиков значительно повышена производительность навигации по DOM при инспектировании сайтов, на которых используется очень много CSS-свойств.
  
• В отладчике JavaScript реализована возможность раскрытия сокращённых имён переменных на основе source-map при использовании точек журналирования (Log points), позволяющих в момент срабатывания метки сбрасывать в web-консоль информацию о номере строки в коде и значениях переменных.
  
• В интерфейсе инспектирования сети добавлены сведения о дополнениях, механизмах защиты от отслеживания и CORS-ограничениях (Cross-Origin Resource Sharing), ставших причиной блокировки запроса.
  

Кроме новшеств и исправления ошибок в Firefox 78 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Что нового в Firefox 78 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Форум: Новости
Автор: banbot

Выпущена версия Firefox со статусом длительного срока поддержки. Обновления для этой версии будут выпускаться в течение года каждые 4 недели и будут включать в себя устранение серьёзных проблем безопасности и стабильности.

Жизненный цикл Firefox с длительным сроком поддержки:

Загрузить Firefox 78 с длительным сроком поддержки:

    • Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    • Другие языки

   
Что нового в Firefox 78 для разработчиков
Примечания к выпуску для Windows, Mac and Linux
Страница Firefox с длительным сроком поддержки
Документация по Firefox с длительным сроком поддержки

Состоялся релиз web-браузера Firefox 78, а также мобильной версии Firefox 68.10 для платформы Android. Выпуск Firefox 78 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 68.10.0 (в дальнейшем ожидается ещё два обновления 68.11 и 68.12). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 79, релиз которой намечен на 28 июля.

Основные новшества:

• Расширена сводная страница (Protections Dashboard) с отчётами об эффективности работы механизмов защиты от отслеживания перемещений, проверки компрометации учётных данных и управления паролями. В новом выпуске появилась возможность просмотреть статистику использованию скомпрометированных учётных данных, а также отследить возможные пересечения сохранённых паролей с известными утечками пользовательских баз. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.7 миллиардах учётных записей, похищенных в результате взломов 456 сайтов. Сводка предоставляется на странице "about:protections" или через меню, вызываемое через клик на значок щита в адресной строке (вместо Show Report теперь показывается Protections Dashboard).
• В Uninstaller добавлена кнопка "Refresh Firefox", позволяющая сбросить в исходное состояние настройки и удалить все дополнения без потери накопившихся данных. В случае проблем пользователи часто пытаются решить их переустановкой браузера. Кнопка Refresh позволит добиться подобного эффекта не потеряв закладки, историю посещений, сохранённые пароли, Cookie, подключённые словари и данные для автозаполнения форм (при нажатии кнопки создаётся новый профиль и в него переносятся указанные БД). После нажатия Refresh будут потеряны дополнения, темы оформления, сведения о правах доступа, подключённые поисковые движки, локальные DOM-хранилища, сертификаты, изменённые настройки, пользовательские стили (userChrome, userContent).
• В показываемое для вкладок контекстное меню добавлены элементы для отмены закрытия нескольких вкладок, а также для закрытия вкладок справа от текущей и закрытия всех вкладок, кроме текущей.
• Обеспечено отключение срабатывания хранителя экрана во время осуществления видеозвонков и конференций на базе WebRTC.
• На платформе Windows для GPU Intel при любых разрешения экрана включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel при использовании небольших экранных разрешений, а также на системах с APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
• До 100% доведена доля пользователей из Великобритании, для которых на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Оплаченные спонсорами блоки показывается только в США и явно помечены как реклама. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
• Включены патчи, влияющие на производительность и стабильность аппаратного ускорения декодирования видео при помощи VA-API (поддерживается только в окружениях на базе Wayland).
• Повышены требования к системным компонентам Linux. Для запуска Firefox в Linux теперь требуется как минимум Glibc 2.17, libstdc++ 4.8.1 и GTK+ 3.14.
• Следуя плану по прекращению поддержки устаревших криптоалгоритмов по умолчанию отключены все наборы шифров TLS на базе DHE (TLS_DHE_*, протокол обмена ключей Диффи — Хеллмана). Для снижения возможного негативного влияния от отключения DHE добавлено два новых набора шифров AES-GCM на базе SHA2.
• Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
• Существенно улучшено качество работы с экранными ридерами для людей с нарушением зрения (решились проблемы с позиционированием курсора, устранены подвисания, ускорена обработка очень больших таблиц и т.п.). Для пользователей с мигренью и эпилепсией сокращены анимационные эффекты, такие как подсвечивание вкладок и расширение поисковой панели.
• Для предприятий в групповые политики добавлены новые правила для настройки внешних приложений-обработчиков, отключения режима картинка-в-картинке, обязательности задания мастер-пароля.
• В JavaScript-движке SpiderMonkey обновлена подсистема обработки регулярных выражений, которая синхронизирована с реализацией из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Изменение позволило реализовать поддержку следующих возможностей, связанных с регулярными выражениями:
  • Именованные группы позволяют связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?‹year›\d{4})-(?‹month›\d{2})-(?‹day›\d{2})/" и получить доступ к году не через result[1], а через result.groups.year).
  • Экранирование классов Unicode-символов добавляет конструкции \p{…} и \P{…}, например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.
  • Флаг dotAll приводит к срабатыванию маски "." в том числе для символов перевода строки.
  • Режим Lookbehind позволяет определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара).
• Реализованы псевдоклассы CSS :is() и :where() для привязки CSS-правил к набору селекторов. Например, вместо

       header p:hover, main p:hover, footer p:hover {...}  

  можно указать

       :is(header, main, footer) p:hover {...}  

• Включены псевдоклассы CSS :read-only и :read-write для привязки к элементам форм (input или textarea), которые запрещено или разрешено редактировать.
• Добавлена поддержка метода Intl.ListFormat() для создания локализованных списков (например, замены "or" на "или", "and" на "и").

       const lf = new Intl.ListFormat('en');     lf.format(['Frank', 'Christine', 'Flora']);     // → 'Frank, Christine, and Flora'      // при локали "ru" будет 'Frank, Christine и Flora'   

• В метод Intl.NumberFormat добавлена поддержка форматирования единиц измерения, валют, научных и компактных обозначений (например, "Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}");
• Добавлен метод ParentNode.replaceChildren(), позволяющий заменить или очистить существующий дочерний узел.
• В ESR-ветке включена поддержка Service worker и Push API (в прошлом ESR-выпуске они были отключены).
• В WebAssembly добавлена поддержка импорта и экспорта 64-разрядных целых параметров функции, используя JavaScript-тип BigInt. Для WebAssembly также реализовано расширение Multi-value, позволяющее функции возвращать более одного значения.
• В консоли для web-разработчиков обеспечено детализированное журналирование ошибок, связанных с Promise, включая сведения об именах, стеках и свойствах, что существенно упрощает разбор ошибок при использовании таких фреймворков, как Angular.
• В инструментах для web-разработчиков значительно повышена производительность навигации по DOM при инспектировании сайтов, на которых используется очень много CSS-свойств.
• В отладчике JavaScript реализована возможность раскрытия сокращённых имён переменных на основе source-map при использовании точек журналирования (Log points), позволяющих в момент срабатывания метки сбрасывать в web-консоль информацию о номере строки в коде и значениях переменных.
• В интерфейсе инспектирования сети добавлены сведения о дополнениях, механизмах защиты от отслеживания и CORS-ограничениях (Cross-Origin Resource Sharing), ставших причиной блокировки запроса.

Кроме новшеств и исправления ошибок в Firefox 78 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53263

Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Компании Apple и Mozilla ранее приняли решение ввести аналогичное ограничение в Safari и Firefox. Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года). Попытка открытия в браузере сайта с сертификатом, не соответствующим упомянутым критериям, будет приводить к отображению ошибки "ERR_CERT_VALIDITY_TOO_LONG".

В прошлом и позапрошлом годах изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было утверждено из-за несогласия большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.

Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53250

Компания Mozilla заключила соглашение с третьим провайдером DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Помимо ранее предлагавшихся DNS-серверов CloudFlare ("https://1.1.1.1/dns-query") и NextDNS (https://dns.nextdns.io/id), в настройки также будет включён сервис Comcast (https://doh.xfinity.com/dns-query). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

Напомним, что в Firefox 77 была включена тестовая проверка DNS over HTTPS с отправкой 10 пробных запросов каждым клиентом и автоматическим выбором провайдера DoH. Данную проверку пришлось отключить в выпуске 77.0.1, так как она превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.

Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Из связанных с DNS-over-HTTPS событий также можно отметить решение компании Apple реализовать поддержку DNS-over-HTTPS и DNS-over-TLS в будущих выпусках iOS 14 и macOS 11, а также добавить поддержку дополнений в формате WebExtension в Safari.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53238

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.2, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Кроме того, начиная с версии Firefox 77 в качестве бета-версии обычного Firefox теперь предлагаются сборки на основе Firefox Preview 5.x (Firefox 77 Beta для Android идентичен Firefox Preview 5.1).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

• Предложен новый всплывающий блок для переключения между открытыми вкладками (Tab Tray). Вместо показа открытых вкладок на базовом домашнем экране в новом выпуске добавлена кнопка с индикатором числа открытых вкладок, при нажатии на которую показывается отдельный список вкладок, открытых в обычном и приватном режимах. На домашней странице оставлены список часто используемых сайтов и содержимое коллекций, в которых сгруппированы сведения о ранее открытых сайтах. Закрытие вкладок производится скользящим движением вправо, после закрытия вкладки внизу появляется кнопка для отмены действия.
• Упрощена активация голосового поиска, позволяющего вводить ключи для поиска с использованием механизма распознавания речи.
• Внесены улучшения для людей с ограниченными возможностями.
• В адресною строку добавлена видимая кнопка для открытия страницы в режиме читателя (ранее режим читателя вызывался из меню и было не видно поддерживается ли он для текущего сайта).
• Включён динамический показ нижней навигационной панели.
• В интерфейс переключения вкладок добавлен быстрый вызов контекстного меню.
• Добавлена возможность инициирования синхронизации списков закладок и истории при помощи жеста "сдвиг вниз".

Дополнительно можно отметить появление в ночных сборках Firefox, на базе которых будет подготовлен релиз Firefox 79, страницы "about:preferences#experimental" с интерфейсом включения экспериментальных возможностей, похожим на about:flags в Chrome. Для включения нового интерфейса в about:config предусмотрена опция "browser.preferences.experimental".

Источник: http://www.opennet.ru/opennews/art.shtml?num=53191

Компания Mozilla представила новый сервис Mozilla VPN, который ранее проходил тестирование под именем Firefox Private Network. Сервис позволяет организовать работу до 5 устройств пользователя через VPN по цене $4.99 в месяц. Доступ к Mozilla VPN пока открыт только для пользователей из США. Сервис может оказаться полезен при работе в сетях, не заслуживающих доверия, например, при подключении через публичные точки беспроводного доступа, или при желании не показывать свой реальный IP-адрес, например, для скрытия адреса от сайтов и рекламных сетей, подбирающих контент в зависимости от местоположения посетителя.

Работу сервиса обеспечивает шведский VPN-провайдер Mullvad, подключение к которому производится при помощи протокола WireGuard. Mullvad обязался выполнять рекомендации Mozilla по соблюдению конфиденциальности, не отслеживать сетевые запросы и не сохранять сведения о любых формах активности пользователя в логах. Пользователю предоставлена возможность выбора узла выхода трафика в более, чем 30 странах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53189

Применяемый в Firefox JavaScript-движок SpiderMonkey переведён на использование обновлённой реализации регулярных выражений, основанной на актуальном коде Irregexp из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Новая реализация RegExp будет предложена в выпуске Firefox 78, намеченном на 30 июня, и позволит реализовать в браузере все недостающие элементы ECMAScript, связанные с регулярными выражениями.

Отмечается, что движок RegExp в SpiderMonkey оформлен в виде отдельного компонента, что делает его относительно независимым и пригодным для замены без необходимости внесения значительных изменений в кодовую базу. Модульность позволила в 2014 году заменить изначально применяемый в Firefox RegExp-движок YARR на форк движка Irregexp из V8. Irregexp завязан на API V8, привязан к сборщику мусора, использует специфичные для V8 представление строк и объектную модель. В процессе адаптации к внутреннему API SpiderMonkey в 2014 году движок Irregexp частично переписали, а появляющиеся изменения, такие как флаг '\u', по возможности переносили в ответвление, поддерживаемое Mozilla.

К сожалению, поддержание синхронизированного форка является трудной задачей и его сопровождение требует больших ресурсов. С появлением в стандарте ECMAScript 2018 новых возможностей, связанных с регулярными выражениями, разработчики Mozilla задумались как можно упростить перенос изменений из Irregexp. В качестве выхода была предложена концепция обвязки, позволяющая использовать в SpiderMonkey почти неизменённый движок Irregexp (изменения сводятся только к автоматической замене блоков "#include").

Обвязка предоставляет для Irregexp необходимые специфичные возможности V8, включая функции управления памятью и генерацией кода, а также исходные структуры данных, которые реализованы на основе механизмов управления памятью, генераторов кода и структур SpiderMonkey.

Обновление RegExp-движка позволит обеспечить в Firefox поддержку таких возможностей, как именованные группы (named captures), экранирование классов Unicode-символов, флаг dotAll и режим Lookbehind:

• Именованные группы позволяют связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?‹year›\d{4})-(?‹month›\d{2})-(?‹day›\d{2})/" и получить доступ к году не через result[1], а через result.groups.year).
• Экранирование классов Unicode-символов добавляет конструкции \p{…} и \P{…}, например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.
• Флаг dotAll приводит к срабатыванию маски "." в том числе для символов перевода строки.
• Режим Lookbehind позволяет определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара).

Проект был осуществлён при участии разработчиков V8, которые со своей стороны провели работу по сокращению зависимости Irregexp от V8, и вынесли некоторые особенности, которые невозможно реализовать на базе SpiderMonkey, в отключаемые блоки "#ifdef". Сотрудничество оказалось взаимовыгодным. Со своей стороны разработчики Mozilla передали в Irregexp изменения, устраняющие некоторые несоответствия с требованиями стандарта JavaScript и улучшающие качество кода. Также в ходе fuzzing-тестирования Firefox были выявлены и устранены ранее не замеченные ошибки в коде Irregexp, приводящие к крахам.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53173

В Firefox и Chrome выявлена особенность обработки набранных в адресной строке поисковых запросов, которая приводит к утечке сведений через DNS-сервер провайдера. Суть проблемы в том, что если поисковый запрос состоит только из одного слова, браузер вначале пытается в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправляет запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получает сведения о состоящих из одного слова поисковых запросах, что оценивается как нарушение конфиденциальности.

Проблема проявляется при использовании как DNS-сервера провайдера, так и сервисов "DNS over HTTPS" (DoH), в случае задания в настройках DNS-суффикса (устанавливается по умолчанию при получении параметров по DHCP). При этом, главная проблема в том, что даже при включении DoH, запросы продолжают отправляться через указанный в системе DNS-сервер провайдера. Важно, что попытка резолвинга осуществляется только при отправке поисковых запросов, состоящих из одного слова. При указании нескольких слов обращение к DNS не производится.

Проблема подтверждена в Firefox и Chrome, а также возможно затрагивает и другие браузеры. Разработчики Firefox согласились с наличием проблемы и намерены предоставить решение в выпуске Firefox 79. В частности, для управления поведением при обработке поисковых запросов в about:config добавлена настройка "browser.urlbar.dnsResolveSingleWordsAfterSearch", при установке которой в значение "0" резолвинг блокируется , "1" (по умолчанию) используется эвристика для выборочного резолвинга и "2" сохраняется старое поведение. Эвристика заключается в проверке включения DoH, наличия только записи о 'localhost' в /etc/hosts и отсутствия поддомена для текущего хоста.

Разработчики Chrome пообещали ограничить утечку через DNS, но сообщение о похожей проблеме остаётся нерешённым с 2015 года. В Tor Browser проблема не проявляется.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53178

В интернете есть достаточное количество информации по теме шифрования и защиты трафика от вмешательств, однако сложился некоторый перекос в сторону различных VPN-технологий. Возможно, отчасти он вызван статьями VPN-сервисов, которые так или иначе утверждают о строгом превосходстве VPN-решений перед прокси. При этом многие решения тех же VPN-провайдеров, не смотря на маркетинговое позиционирование в качестве VPN, технически являются прокси.

На практике прокси больше подходят для повседневной защиты веб-трафика, не создавая при этом неудобств в виде заметной потери скорости и неизбирательности туннелирования. То есть при использовании хорошего прокси не стоит необходимость его отключать для комфортного пользования интернетом.

В этой статье расказано о преимуществах защищённого прокси перед VPN и предложены различные реализации, готовые к использованию. Читать дальше →

Привет Хабр, меня зовут Илья, я работаю в платформенной команде компании Exness. Мы разрабатываем и внедряем базовые инфраструктурные компоненты, которые используют наши продуктовые команды разработки.

В этой статье я бы хотел поделиться опытом внедрения технологии encrypted SNI (ESNI) в инфраструктуре публичных веб-сайтов.


Читать дальше →

Представлен релиз web-браузера Pale Moon 28.10, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.

В новой версии:

• Реализован метод URLSearchParams.sort();
• Реализовано ключевое слово globalThis для доступа к глобальным объектам независимо от текущего контекста (позволяет избавиться от мешанины из window, self, global и this, употребляемых в зависимости от того, где выполняется скрипт, на странице, в worker-е или в Node.js);
• Улучшены парсеры формата кодирования видео WebM и звукового формата MP3, которые адаптированы для различных стилей кодирования, встречающихся в очень мелких файлах и при потоковом вещании;
• Увеличена производительность отрисовки таблиц;
• Приближен к поведению Chrome метод обработки изображений, задаваемых без параметра SRC в теге IMG.
• Добавлена поддержка современных процессоров MIPS;
• Проведена дополнительная чистка кода, связанного с телеметрией;
• Удалён код встроенного движка распознавания речи и связанного с ним API;
• Удалена поддержка устаревшего и оставшегося без сопровождения интерфейса NVIDIA 3DVision;
• Перенесены исправления, связанные с устранением уязвимостей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53100

В кодовую базу, на основе которой будет подготовлен релиз Firefox 79, добавлена возможность экспорта сохранённых в менеджере паролей учётных данных в формате CSV (текстовые поля с разделителями, которые можно импортировать в табличный процессор). В дальнейшем также планируется реализовать функцию импорта паролей из сохранённого ранее CSV-файла (подразумевается, что пользователю может потребоваться резервное копирование и восстановление сохранённых паролей или перенос паролей из другого браузера).

При экспорте пароли помещаются в файл в открытом виде. Напомним, что при задании мастер-пароля пароли во встроенном в Firefox менеджере паролей хранятся зашифрованными. Примечательно, что предложение по добавлению в Firefox функции экспорта паролей было добавлено 16 лет назад, но всё это время оставалось не принятым. В Google Chrome экспорт паролей в CSV поддерживается с выпуска Chrome 67, сформированного в 2018 году.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53096

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.9.0.

• Исправлено: Пользовательские заголовки, добавленные для выполнения поиска или фильтрации, не могли быть удалены
  
• Исправлено: Календарь: Панель «Сегодня» обновлялась прежде чем были загружены все данные
  
• Исправлено: Повышена стабильность работы
  
• Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

  • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 77.0.1, в котором отключён автоматический выбор провайдера DNS over HTTPS (DoH) в процессе тестирования для последующего постепенного включения, чтобы не создавать пиковую нагрузку на провайдеров DoH. Реализованная в Firefox 77 тестовая проверка DoH с отправкой 10 пробных запросов каждым клиентом превратилось в подобие DDoS-атаки на  сервис NextDNS, который не справился с нагрузкой.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Мэйнтейнер пакетов с Firefox для Fedora Linux сообщил о готовности к использованию в Fedora аппаратного ускорения декодирования видео в Firefox при помощи VA-API. Ускорение пока работает только в окружениях на базе Wayland. Поддержка VA-API в Chromium была реализована в Fedora в прошлом году.

Аппаратное ускорение декодирования видео в Firefox стало возможным благодаря новому бэкенду для Wayland, который использует механизм DMABUF для отрисовки в текстуры и организации совместного использования разными процессами буферов с этими текстурами. В Fedora 32 и Fedora 31 в свежем пакете с Firefox 77 новый бэкенд по умолчанию включается при запуске в сеансе GNOME на базе Wayland, но для активации аппаратного ускорения декодирования видео дополнительно требуется установка пакетов ffmpeg, libva и libva-utils из репозитория RPM Fusion, собранных с поддержкой VA-API.

На системах с видеокартами Intel ускорение работает только с драйвером libva-intel-driver (драйвер libva-intel-hybrid-driver пока не поддерживается). Для GPU AMD ускорение работает при наличии штатной библиотеки radeonsi_drv_video.so, входящей в состав пакета mesa-dri-drivers. Для видеокарт NVIDIA поддержка пока не реализована. Для оценки поддержки VA-API драйвером можно воспользоваться утилитой vainfo. Если поддержка подтверждена, то для включения ускорения в Firefox на странице "about:config" следует установить в значение true переменные "gfx.webrender.enabled" и "widget.wayland-dmabuf-vaapi.enabled". После перезапуска браузера необходимо проверить активацию WebRender и нового бэкенда (Wayland/drm) на странице "about:support".

После этого нужно убедиться в применении VA-API для ускорения при просмотре видео (могут быть проблемы совместимости с кодеками, размерами видео и библиотеками), для чего можно включить отладочный режим, запустив Firefox c переменной окружения MOZ_LOG и проверить в выводе наличие сторк "VA-API FFmpeg init successful" и "Got one VAAPI frame output".

     MOZ_LOG="PlatformDecoderModule:5" MOZ_ENABLE_WAYLAND=1 firefox  

Применение ускорения при просмотре Youtube зависит от способа кодирования ролика (H.264, AV1 и т.п.). Посмотреть формат можно в открываемом по клику правой кнопкой мыши контекстном меню в секции "Stats for nerds". Для выбора формата, поддерживаемого системой аппаратного декодирования видео, можно использовать дополнение enhanced-h264ify.

Отдельно отмечается, что в пакеты с Firefox 77.0 для Fedora включены дополнительные патчи, влияющие на производительность и стабильность, которые отсутствуют в штатных сборках Firefox 77.0 от Mozilla. Включение данных патчей в основной состав ожидается только в Firefox 78.0 (пользователи могут использовать бета-версию Firefox 78 или ночные сборки от Mozilla, запуская браузер командой "MOZ_ENABLE_WAYLAND=1 ./firefox"). Кроме того, в сборках от Mozilla для декодирования VP8/VP9 применяется встроенная библиотека libvpx, не поддерживающая VA-API - при необходимости ускорения декодирования VP8/VP9 следует отключить libvpx, установив в about:config переменную "media.ffvpx.enabled" в значение "false" (в пакете из репозитория Fedora libvpx уже отключён).

Источник: http://www.opennet.ru/opennews/art.shtml?num=53086

Опубликовано корректирующее обновление Firefox 77.0.1, в котором отключён автоматический выбор провайдера DNS over HTTPS (DoH) в процессе тестирования для последующего постепенного включения, чтобы не создавать пиковую нагрузку на провайдеров DoH. Реализованная в Firefox 77 тестовая проверка DoH с отправкой 10 пробных запросов каждым клиентом превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53084

После шести месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 9.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 68. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.

Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новом выпуске:

• Реализован индикатор наличия варианта сайта, работающего в форме скрытого сервиса, выводимый в адресной строке при просмотре обычного web-сайта. При первом открытии сайта, также доступного через onion-адрес, выводится диалог с предложением впредь автоматически переключаться на onion-сайт при открытии web-сайта. Сведения о доступности через .onion-адрес передаются владельцем сайта при помощи HTTP-заголовка Alt-Svc.
• Владельцы скрытых сервисов, желающие ограничить доступ к своим ресурсам, теперь могут задать набор ключей для контроля доступа и аутентификации. Пользователь может сохранить переданный ключ доступа на своей системе и использовать интерфейс Onion Services Authentication в "about:preferences#privacy" для управления ключами.
• Расширены индикаторы безопасности в адресной строке. Осуществлён переход от индикации безопасного соединения к индикации проблем с безопасностью. Безопасные onion-соединения теперь не выделяются и помечаются штатным серым значком. В случае выявления недостаточного уровня защиты соединения при доступе к onion-сервису индикатор соединения перечёркивается красной линией. При выявлении на странице смешанной загрузки ресурсов выводится дополнительное предупреждение в форме значка с восклицательным знаком.
• Добавлены отдельные варианты страниц, показываемых при ошибках подключения к onion-сервисам (ранее показывались штатные страницы ошибок Firefox, такие же, что для web-сайтов). Новые страницы включают дополнительные сведения для диагностики причин невозможности подключиться к скрытому сервису, позволяющие судить о проблемах в адресе, сервисе, клиенте или сетевой инфраструктуре.
• Для более наглядного доступа к onion-сайтам предоставлена экспериментальная возможность привязки символьных имён, решающая проблемы с запоминанием и поиском onion-адресов. Для упрощения доступа совместно с организациями FPF (Freedom of the Press Foundation) и EFF (Electronic Frontier Foundation) на базе дополнения HTTPS Everywhere реализован прототип каталога имён. В настоящее время для тестирования предложены символьные имена для onion-сервисов SecureDrop - theintercept.securedrop.tor.onion и lucyparsonslabs.securedrop.tor.onion.
• Обновлены версии сторонних компонентов, включая NoScript 11.0.26, Firefox 68.9.0esr, HTTPS-Everywhere 2020.5.20, NoScript 11.0.26, Tor Launcher 0.2.21.8 и Tor 0.4.3.5.
• В версии для Android обеспечен вывод предупреждения о возможной работе в обход прокси при открытии внешних приложений. Решены проблемы с использованием obfs4.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53077

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 77, а также мобильной версии Firefox 68.9 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.9.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 78, релиз которой намечен на 30 июня.

Основные новшества:

• Добавлена новая служебная страница "about:certificate" для доступа ко встроенному интерфейсу просмотра сертификатов. В интерфейсе можно вывести список корневых и сохранённых сертификатов, посмотреть детали по каждому сертификату и выполнить экспорт сертификатов (поддержка импорта пока отсутствует).
  
  
  
• Добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  
• Расширено число систем для которых включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. WebRender теперь включён на оборудовании с Intel Skylake GT1, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA, работающих под управлением Windows 10. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  
• В адресной строке улучшен разбор поисковых фраз. Слова с точкой теперь оцениваются на связь с актуальными доменами (например, раньше ввод ключей вида "test.log" приводил не к поиску, а к попытке открытия сайта, а ввод "data:url" с пробелами и символом вопроса - к поиску, а не загрузке).
  
• Включён по умолчанию режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  
• Добавлена поддержка необязательных полномочий, запрос которых в дополнениях не приводит к выводу уведомления о подтверждении новых полномочий при установке или обновлении дополнения, а выводится при непосредственном обращении дополнения к операции, требующей повышенных прав. В число полномочий, которые можно заявить как необязательные, включены management, devtools, browsingData, pkcs11 proxy и session. В качестве мотива добавления необязательных полномочий упоминается желание снизить нагрузку на пользователей при обновлении дополнений и предоставить возможность обновления дополнения без обязательного подтверждения полномочий (ранее, если пользователь не согласен с полномочиями, дополнение не обновлялось).
  
• Для пользователей из Великобритании на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Следует отметить, что оплаченные спонсорами блоки показывается только в США и явно помечены как реклама, в остальных странах рекламные статьи пока не используются. Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  
  
  
• В движке Gecko включён по умолчанию режим полного управления цветом (gfx.color_management.mode = 1), обеспечивающий цветокоррекцию с использованием цветовых профилей не только для изображений в тегах img, но и для CSS.
  
• В конфигураторе в выпадающий блок методов блокировки Cookie в секции настройки блокировки отслеживания перемещений добавлен новый пункт для динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта).
  
• Для упрощения навигации на устройствах с сенсорными экранами увеличены отступы на панели закладок (при открытии новой вкладки новая адресная строка Megabar частично перекрывает панель с закладками и оставляет мало места для нажатия).
  
• Реализованы новые модальные диалоги, привязанные к отдельным вкладкам и не блокирующие весь интерфейс. Для управления включением привязки диалогов в about:config добавлены опции "prompts.defaultModalType", "prompts.modalType.confirmAuth" и "prompts.modalType.insecureFormSubmit" (1 - привязка к контенту, 2 - привязка к вкладке, 3 - привязка к окну).
  
  
  
• В about:config добавлена новая настройка middlemouse.openNewWindow, при помощи которой можно отключить использование средней кнопки мыши для открытия ссылки в новой вкладке.
  
• Удалена настройка browser.urlbar.update1.view.stripHttps (поддержка настройки browser.urlbar.trimURLs сохранена).
  
• Из движка Gecko полностью удалена поддержка XUL Grids.
  
• По умолчанию включён автоматический поворот JPEG-изображений на основе данных из Exif.
  
• Удалена настройка "browser.urlbar.oneOffSearches". Для скрытия кнопок альтернативных поисковых систем, появляющихся при начале набора в адресной или поисковой строке, можно выбрать необходимые поисковые системы на странице about:preferences#search.
  
  
  
• Текст, не вмещающийся в ограничение "maxlength", больше не обрезается при вставки в поля <input> и <textarea>.
  
• Добавлен метод String.prototype.replaceAll(), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  
• Обеспечено отображения значения метки, заданной при помощи атрибута "label" в элементе <option>, если содержимое элемента не заполнено.
  
• В IndexedDB реализовано свойство IDBCursor.request.
  
• Добавлена экспериментальная поддержка раскладки Masonry в grid-контейнерах.
  
• В средства для разработчиков добавлена панель для оценки потенциальных проблем с совместимостью с разными браузерами (показывается в каких браузерах поддерживается то или иное свойство CSS, привязанное к выбранному элементу). Включается через настройку devtools.inspector.compatibility.enabled в about:config.
  
  
  
• Внесена большая порция улучшений в отладчик JavaScript. Ускорена загрузка и пошаговая отладка, сокращено потребление памяти. Улучшено сопоставление разных представлений кода (source map), позволяющее просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей. При изменении выделенной строки через клик в окне Call Stack и запуска пошагового выполнения  (Step over, F10), отладчик будет выполнять код до тех пор, пока не достигнет строки, идущей следом за выделенной.  В панель добавлено меню (значок шестерёнки), в котором пока только один пункт для отключения JavaScript. Добавлена возможность установки  условных точек останова (watchpoint), приостанавливающих выполнение при изменении или чтении определённых значений (ранее можно было приостановить выполнение  при чтении и изменении по отдельности).
  
  
  
• В панель интерфейса для инспектирования сетевой активности добавлено меню "Actions", в котором собраны функции управления ведением логов (сохранение лога между загрузками сайта, импорт HAR-файла, запись HAR-файла). В панель блокировки запросов ("Request Blocking") добавлено контекстное меню для включения, отключения и удаления блокируемых элементов.
  
  
  
• Отключение поддержки FTP отложено до выпуска Firefox 79, но уже добавлена опция для управления активностью FTP (network.ftp.enabled в about:config).

Кроме новшеств и исправления ошибок в Firefox 77 устранено 9 уязвимостей, из которых 7 помечены как опасные:

• Четыре уязвимости (собраны под CVE-2020-12411 и CVE-2020-12409) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
  
• Уязвимость CVE-2020-12406 вызвана отсутствием проверки типов при удалении объектов NativeTypes и потенциально может использоваться для организации выполнения кода атакующего.
  
• Уязвимость CVE-2020-12405 вызвана обращением к освобождённому блоку памяти (Use-after-free) в SharedWorkerService и скорее всего ограничивается вызовом краха.
  
• Уязвимость CVE-2020-12399 связана с подверженностью библиотеки NSS атаке по сторонним каналам, позволяющей на основе анализа различий во времени вычислений восстановить закрытый ключ для цифровой подписи DSA.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Что нового в Firefox 77 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Состоялся релиз web-браузера Firefox 77, а также мобильной версии Firefox 68.9 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.9.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 78, релиз которой намечен на 30 июня.

Основные новшества:

• Добавлена новая служебная страница "about:certificate" для доступа ко встроенному интерфейсу просмотра сертификатов. В интерфейсе можно вывести список корневых и сохранённых сертификатов, посмотреть детали по каждому сертификату и выполнить экспорт сертификатов (поддержка импорта пока отсутствует).
• Добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
• Расширено число систем для которых включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. WebRender теперь включён на оборудовании с Intel Skylake GT1, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA, работающих под управлением Windows 10. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
• В адресной строке улучшен разбор поисковых фраз. Слова с точкой теперь оцениваются на связь с актуальными доменами (например, раньше ввод ключей вида "test.log" приводил не к поиску, а к попытке открытия сайта, а ввод "data:url" с пробелами и символом вопроса - к поиску, а не загрузке).
• Добавлена поддержка необязательных полномочий, запрос которых в дополнениях не приводит к выводу уведомления о подтверждении новых полномочий при установке или обновлении дополнения, а выводится при непосредственном обращении дополнения к операции, требующей повышенных прав. В число полномочий, которые можно заявить как необязательные, включены management, devtools, browsingData, pkcs11 proxy и session. В качестве мотива добавления необязательных полномочий упоминается желание снизить нагрузку на пользователей при обновлении дополнений и предоставить возможность обновления дополнения без обязательного подтверждения полномочий (ранее, если пользователь не согласен с полномочиями, дополнение не обновлялось).
• Для пользователей из Великобритании на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Следует отметить, что оплаченные спонсорами блоки показывается только в США и явно помечены как реклама, в остальных странах рекламные статьи пока не используются. Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
• В конфигураторе в выпадающий блок методов блокировки Cookie в секции настройки блокировки отслеживания перемещений добавлен новый пункт для динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). В about:config интерфейс включается через настройку "browser.contentblocking.reject-and-isolate-cookies.preferences.ui.enabled" или напрямую "network.cookie.cookieBehavior = 5".
• Для упрощения навигации на устройствах с сенсорными экранами увеличены отступы на панели закладок (при открытии новой вкладки новая адресная строка Megabar частично перекрывает панель с закладками и оставляет мало места для нажатия).
• Реализованы новые модальные диалоги, привязанные к отдельным вкладкам и не блокирующие весь интерфейс. Для управления включением привязки диалогов в about:config добавлены опции "prompts.defaultModalType", "prompts.modalType.confirmAuth" и "prompts.modalType.insecureFormSubmit" (1 - привязка к контенту, 2 - привязка к вкладке, 3 - привязка к окну).
• В about:config добавлена новая настройка middlemouse.openNewWindow, при помощи которой можно отключить использование средней кнопки мыши для открытия ссылки в новой вкладке.
• Удалены настройки browser.urlbar.update1, позволяющая вернуть старую реализацию адресной строки, и browser.urlbar.update1.view.stripHttps (поддержка настройки browser.urlbar.trimURLs сохранена).
• Из движка Gecko полностью удалена поддержка XUL Grids.
• По умолчанию включён автоматический поворот JPEG-изображений на основе данных из Exif.
• Удалена настройка "browser.urlbar.oneOffSearches". Для скрытия кнопок альтернативных поисковых систем, появляющихся при начале набора в адресной или поисковой строке, можно выбрать необходимые поисковые системы на странице about:preferences#search.
• Текст, не вмещающийся в ограничение "maxlength", больше не обрезается при вставки в поля ‹input› и ‹textarea›.
• Добавлен метод String.prototype.replaceAll() (String#replaceAll), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
• Обеспечено отображения значения метки, заданной при помощи атрибута "label" в элементе ‹option›, если содержимое элемента не заполнено.
• В IndexedDB реализовано свойство IDBCursor.request.
• Добавлена экспериментальная поддержка раскладки Masonry в grid-контейнерах.
• В средства для разработчиков добавлена панель для оценки потенциальных проблем с совместимостью с разными браузерами (показывается в каких браузерах поддерживается то или иное свойство CSS, привязанное к выбранному элементу). Включается через настройку devtools.inspector.compatibility.enabled в about:config.
• Внесена большая порция улучшений в отладчик JavaScript. Ускорена загрузка и пошаговая отладка, сокращено потребление памяти. Улучшено сопоставление разных представлений кода (source map), позволяющее просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей. При изменении выделенной строки через клик в окне Call Stack и запуска пошагового выполнения (Step over, F10), отладчик будет выполнять код до тех пор, пока не достигнет строки, идущей следом за выделенной. В панель добавлено меню (значок шестерёнки), в котором пока только один пункт для отключения JavaScript. Добавлена возможность установки условных точек останова (watchpoint), приостанавливающих выполнение при изменении или чтении определённых значений (ранее можно было приостановить выполнение при чтении и изменении по отдельности).
• В панель интерфейса для инспектирования сетевой активности добавлено меню, в котором собраны функции управления ведением логов (сохранение лога между загрузками сайта, импорт HAR-файла, запись HAR-файла). В панель блокировки запросов ("Request Blocking") добавлено контекстное меню для включения, отключения и удаления блокируемых элементов.
• Отключение поддержки FTP отложено до выпуска Firefox 79, но уже добавлена опция для управления активностью FTP (network.ftp.enabled в about:config).

Кроме новшеств и исправления ошибок в Firefox 77 устранено 9 уязвимостей, из которых 7 помечены как опасные:

• Четыре уязвимости (собраны под CVE-2020-12411 и CVE-2020-12409) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
• Уязвимость CVE-2020-12406 вызвана отсутствием проверки типов при удалении объектов NativeTypes и потенциально может использоваться для организации выполнения кода атакующего.
• Уязвимость CVE-2020-12405 вызвана обращением к освобождённому блоку памяти (Use-after-free) в SharedWorkerService и скорее всего ограничивается вызовом краха.
• Уязвимость CVE-2020-12399 связана с подверженностью библиотеки NSS атаке по сторонним каналам, позволяющей на основе анализа различий во времени вычислений восстановить закрытый ключ для цифровой подписи DSA.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53072

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.1, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

• Добавлена возможность отображения сохранённых учётных данных в отсортированном виде. Допускается сортировка в алфавитном порядке и по времени последнего использования.
• Добавлены отдельные элементы меню для доступа к закладкам и истории навигации, без применения промежуточной кнопки "Library".
• Реализован улучшенный экран сканирования QR-кодов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53054

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.8.1.

• Исправлено: Повышена стабильность работы IMAP
  
• Исправлено: HTML-теги при изменениях темы IRC-канала отображались неправильно
  
• Исправлено: MailExtensions: не удавалось использовать Веб-сокеты

Загрузить:

    • Русская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

  • Другие языки

Примечания к выпуску

Mozilla планирует удалить поддержку Adobe Flash в выпуске Firefox 84, который ожидается в декабре этого года. Дополнительно отмечается, что Flash также может быть отключен раньше для некоторых категорий пользователей, принимающих участие в тестовом включении режима строгой изоляции страниц Fission (модернизированная многопроцессная архитектура, подразумевающая разнесение по изолированным процессам не на основе вкладок, а с разделением по доменам, что позволит отдельно изолировать iframe-блоки).

Напомним, что компания Adobe намерена прекратить сопровождение технологии Flash в конце 2020 года. Возможность запуска плагина Adobe Flash пока сохраняется в Firefox, но начиная с выпуска Firеfox 69 отключена по умолчанию (оставлена опция для индивидуального включения Flash для конкретных сайтов). Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration и NPAPI-плагинов с поддержкой мультимедийных кодеков была прекращена ещё в Firefox 52, выпущенном в 2016 году.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52972

В ночные сборки Firefox, на основе которых будет подготовлен релиз Firefox 78, добавлен переработанный вариант режима читателя (Reader Mode), оформление которого приведено к соответствию с элементами дизайна Photon. Наиболее заметным изменением стала замена компактной боковой панели на верхнюю панель с более крупными кнопками и текстовыми метками. В качестве мотива изменения указано желание сделать более видимыми кнопки управления шрифтами, вызова синтезатора речи и сохранения в сервис Pocket. Проведённое исследование показало, что пользователи упускают их из виду и не замечают (возможно невостребованность кнопок объясняется не тем, что их не замечают, а тем, что в них нет необходимости).

Изменение уже вызвало недовольство пользователей ноутбуков с широкоформатными экранами, так как дополнительная верхняя панель уменьшает доступное вертикальное пространство, создаёт необходимость дополнительной прокрутки и уменьшает объём контента, который можно уместить на экране. При прокрутке вниз текстовые метки исчезают и размер панели уменьшается, что отвлекает внимание (изменение в области периферийного зрения невольно заставляет перевести взгляд в верхнюю часть). Более того, новая кнопка "Done" вводит в заблуждение и не убирает панель, как можно подумать, а инициирует выход из режима читателя.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52966

Разработчики Mozilla без формирования нового выпуска через систему экспериментов распространили среди пользователей Firefox 76 и Firefox 77-beta обновление, отключающее новый механизм подтверждения доступа к сохранённым паролям, применяемый на системах без мастер-пароля. Напомним, что в Firefox 76 для пользователей Windows и macOS без установленного мастер-пароля для просмотра сохранённых в браузере паролей начал выводиться диалог аутентификации ОС, требующий ввода системных учётных данных. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно.

Собранная телеметрия показала аномально высокий уровень проблем при аутентификации с использованием системных учётных данных при попытке доступа к сохранённым в браузере паролям. В 20% случаев пользователи не смогли пройти подтверждение и не получили доступ к своим сохранённым паролям. Выделены две основные причины, которые, вероятно, являются источником возникших проблем:

• Пользователь может не помнить или не знать свой системный пароль, так как использует сеанс с автоматическим входом.
• Из-за недостаточно чёткого пояснения в диалоге пользователь не понимает, что необходимо ввести системный пароль и пытается вводить пароль от учётной записи в Firefox Account, используемой для синхронизации настроек между устройствами.

Предполагалось, что системная аутентификация позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль. На деле же многие пользователи не смогли получить доступ к своим сохранённым паролям. Разработчики временно отключили новую возможность и намерены пересмотреть реализацию. В частности, они планируют добавить более ясное описание о необходимости ввода системных учётных данных и отключить вывод диалога для конфигураций с автоматическим входом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52965

В ночные сборки Firefox, на основе которых 30 июня будет сформирован выпуск Firefox 78, добавлена служебная страница "about:processes", на которой предложен менеджер процессов. Новая страница позволяет оценить какие процессы-обработчики запущены, какие внутренние потоки выполняются в каждом процессе и сколько каждый поток и процесс потребляет ресурсов CPU и памяти.

Разделяется потребление CPU кодом в пространстве пользователя и на уровне ядра (при выполнении системных вызовов). Отдельно выводятся данные о потреблении резидентной и виртуальной памяти, а также показывается динамика изменения потребления памяти. Отражаются сведения о процессах gpu (отрисовка), web, webisolated (отдельные вкладки), extension, privilegedabout, socket и browser (основной процесс).

Из ранее доступных служебных страниц диагностики можно отметить about:support, about:performance, about:memory, about:networking, about:cache, about:webrtc и about:telemetry.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52926

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.8.0.

• Исправлено: Диспетчер учетных записей: в некоторых случаях текстовые поля были слишком малы
  
• Исправлено: Диспетчер учетных записей: при выборе SMTP-сервера не обновлялся метод аутентификации
  
• Исправлено: Ссылки со встроенными в них учётными данными не открывались в Windows
  
• Исправлено: При заполнении адреса из адресной книги сообщения иногда отправлялись с плохо сформированным адресом
  
• Исправлено: Специальные возможности: программы чтения с экрана сообщали о слишком большом количестве действий в строке состояния.
  
• Исправлено: MailExtensions: не удавалось помечать сообщения IMAP как прочтённые с использованием browser.messages.updated
  
• Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

  • Другие языки

Примечания к выпуску

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 76.0.1, в котором исправлены две серьёзные ошибки в Firefox 76. Первая проблема приводит к краху на 32-разрядных системах Windows 7 с определёнными драйверами NVIDIA, а вторая нарушает работоспособность некоторых дополнений, включая Amazon Assistant, официально предлагаемого на Amazon.com.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Компания Mozilla приостановила продвижение Firefox 76 через систему автоматической доставки обновлений до выпуска обновления 76.0.1, появление которого ожидается сегодня или завтра. Решение обусловлено выявлением двух серьёзных ошибок в Firefox 76. Первая проблема приводит к краху на 32-разрядных системах Windows 7 с определёнными драйверами NVIDIA, а вторая нарушает работоспособность некоторых дополнений, включая Amazon Assistant, официально предлагаемого на Amazon.com.

Дополнение: Доступен Firefox 76.0.1 с исправлениями.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52906

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.

Основные новшества:

• Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.
  

  Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

  

  Расширено число сайтов для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей <input type="password"> с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.

  

  В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.
  

• Добавлен режим работы "HTTPS Only", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращение по https к введённому в адресной строке адресу завершиться таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
  
• Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
  
• Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
  
• В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  
• В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
  
• Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
  
• В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
  
• В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
  
• Включена блокировка неизвестных протоколов в методах, подобных "location.href" или <meta http-equiv="refresh">.
  
• При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптмизировать свои сайты для Firefox для Android без мобильного устройства.
  
• В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
  
• В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.
  
  
  
• В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.
  
  
  
• В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).

Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Что нового в Firefox 76 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.

Основные новшества:

• Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.

  Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккаунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

  

  Расширено число сайтов, для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей ‹input type="password"› с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.

  

  В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.

• Добавлен режим работы "HTTPS Only", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращения по https к введённому в адресной строке адресу завершится таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
• Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
• Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
• В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
• В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
  
  
  
• Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
• В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
• В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
• Включена блокировка неизвестных протоколов в методах, подобных "location.href" или ‹meta http-equiv="refresh"›.
  
  
  
• При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптимизировать свои сайты для Firefox для Android без мобильного устройства.
• В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
• В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.
• В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.
• В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).

Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляции с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52883

Форум: Новости
Автор: banbot

Опубликован релиз набора интернет-приложений SeaMonkey 2.53.2, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

Среди изменений: при отображении полос прокрутки задействованы родные темы оформления GTK3, обеспечено корректное отображение состояния в менеджере загрузок, улучшен стиль всплывающих уведомлений, добавлена возможность закрытия всех вкладок справа от текущей вкладки, реализована защита от появление дубликатов в адресной книге, в Windows по умолчанию включён режим группировки операций GPU в один вызов отрисовки (layers.mlgpu.enabled).

Загрузить:

    Русская версия:
        Windows (64-bit)
        Windows (32-bit)
        Mac OS X (64-bit)
        Linux (64-bit)
        Linux (32-bit)

    Английская версия:
        Windows (64-bit)
        Windows (32-bit)
        Mac OS X (64-bit)
        Linux (64-bit)
        Linux (32-bit)

Другие языки

Примечания к выпуску для Windows, Mac and Linux
Новость взята с сайта opennet.ru

В кодовую базу, используемую для подготовки выпуска Firefox 77, добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled.

Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR). Включение поддержки AVIF также ожидается в Chrome.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52871

Опубликован релиз набора интернет-приложений SeaMonkey 2.53.2, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

Среди изменений:

• При отображении полос прокрутки задействованы родные темы оформления GTK3;
• Обеспечено корректное отображение состояния в менеджере загрузок;
• Улучшен стиль всплывающих уведомлений;
• Добавлена возможность закрытия всех вкладок справа от текущей вкладки;
• Реализована защита от появления дубликатов в адресной книге;
• В Windows по умолчанию включён режим группировки операций GPU в один вызов отрисовки (layers.mlgpu.enabled).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52870

Компания Mozilla развивает сервис Firefox Private Relay, дающий возможность генерировать временные почтовые адреса для прохождения регистрации на сайтах, чтобы не афишировать свой реальный адрес. При помощи дополнения в один клик можно получить уникальный анонимный псевдоним, письма на который будут перенаправлены на реальный адрес пользователя. Для использования сервиса предлагается установить дополнение, которое в случае запроса email в web-форме будет предлагать кнопку для генерации нового email-псевдонима.

Сгенерированный email можно использовать для входа на сайты или в приложения, а также для подписок. Для каждого сайта можно сгенерировать отдельный псевдоним и в случае поступления спама станет ясно какой ресурс является источником утечки. В любой момент можно деактивировать полученный email и не получать больше сообщений через него. Кроме того, в случае взлома сервиса или утечки базы пользователей, злоумышленники не смогут связать указанный при регистрации email с фактическим адресом электронной почты пользователя.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52861

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

• Расширена поддержка дополнений. Помимо uBlock Origin в список совместимых с Firefox Preview дополнений добавлены Dark Reader, HTTPS Everywhere, NoScript, Privacy Badger и Search by Image. Доступные дополнения отображаются в меню "Add-ons Manager".
• Внесены исправления, связанные с поддержкой устанавливаемых web-приложений, работающих в режиме Progressive Web Apps (PWA).
• Добавлен режим "картинка в картинке", позволяющей воспроизводить видео в небольшом окошке во время просмотра другого контента или при работе в другом приложении.
• Возможность запуска web-приложений в полноэкранном режиме.
• Улучшение поддержки просмотра видео на полном экране.
• Устранены ошибки и проведена оптимизация производительности.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52853

За десять лет чтения Хабра у меня выработалась привычка просматривать самые высокооцененные комментарии к прочитанной статье. Порой в них попадается информация полезнее самой статьи, но не всегда есть желание просматривать условные 100+ комментариев. Конечно, высокая оценка может быть признаком как хорошего комментария, так и хайпового, но если я читаю статью, далекую от знакомой мне области, прочтения комментариев с наибольшими оценками достаточно для считывания общей сути.

Давным давно мной уже был написан юзер скрипт, упрощающий поиск комментариев, и в связи с карантином дошли руки его немного причесать и оформить в виде расширений для браузеров Google Chrome и Mozilla Firefox. Расширение выводит статистику всех оценок в комментариях. Кликнув на одну из положительных оценок, подсвечиваются все комментарии с оценкой равной или выше, а при клике на отрицательную — равной или ниже. Повторный клик на оценку снимает фильтрацию и возвращает дефолтное дерево комментариев.
Читать дальше →

В ночных сборках Firefox появилась поддержка спецификации WebGPU, предоставляющей программный интерфейс для обработки 3D-графики и вычислений на стороне GPU, концептуально схожий с API Vulkan, Metal и Direct3D 12. Спецификация развивается Mozilla, Google, Apple, Microsoft и представителями сообщества в рабочей группе, созданной при организации W3C.

Ключевой задачей WebGPU является создание безопасного, удобного, переносимого и высокопроизводительного программного интерфейса для использования в Web-платформе технологий и возможностей 3D-графики, предоставляемых современными системными графическими API, такими как Direct3D 12 в Windows, Metal в macOS и Vulkan в Linux. Концептуально WebGPU отличается от WebGL примерно так же, как Vulkan отличается от OpenGL, и при этом не основывается на конкретном графическом API, а представляет собой универсальную прослойку, в общем виде использующую те же низкоуровневые примитивы, что имеются в Vulkan, Metal и Direct3D.

WebGPU предоставляет приложениям на JavaScript средства для более низкоуровневого контроля за организацией, обработкой и передачей команд к GPU, управления связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами. Подобный подход позволяет добиться более высокой производительности графических приложений за счёт снижения накладных расходов и повышения эффективности работы с GPU.

WebGPU даёт возможность создавать для Web полноценные сложные 3D-проекты, работающие не хуже, чем обособленные программы, напрямую обращающиеся с Vulkan, Metal или Direct3D, но не привязанные к конкретным платформам. WebGPU также предоставляет дополнительные возможности при портировании нативных графических программ в форму, способную работать на базе web-технологий, благодаря применению технологии WebAssembly. Кроме 3D-графики WebGPU охватывает и возможности, связанные с выносом вычислений на сторону GPU и поддержкой разработки шейдеров. Шейдеры могут создаваться на языке WebGPU Shading Language или задаваться в промежуточном формате SPIR-V, после чего транслироваться в языки шейдеров, поддерживаемые текущими драйверами.

В WebGPU применяется раздельное управление ресурсами, подготовительными работами и передачей команд в GPU (в WebGL один объект отвечал за всё разом). Предоставляется три отдельных контекста: GPUDevice для создания ресурсов, таких как текстуры и буферы; GPUCommandEncoder для кодирования отдельных команд, включая стадии рендеринга и вычисления; GPUCommandBuffer для передачи в очередь на выполнение в GPU. Результат может быть отрисован в области, связанной с одним или несколькими элементами canvas, или обработан без вывода (например, при запуске вычислительных задач). Разделение стадий упрощает разнесение создания ресурсов и подготовительные операции в разные обработчики, которые могут выполняться в разных потоках.

Вторым отличием WebGPU от WebGL является иной подход для обработки состояний. В WebGPU предлагается два объекта - GPURenderPipeline и GPUComputePipeline, позволяющих комбинировать различные состояния, заранее определённые разработчиком, что даёт возможность браузеру не тратить ресурсы на проведение дополнительной работы, такой как перекомпиляция шейдеров. Среди поддерживаемых состояний: шейдеры, раскладки вершинных буферов и атрибутов, раскладки прикреплённых групп, смешивание, глубина и шаблоны, форматы вывода после рендеринга.

Третьей особенностью WebGPU называется модель связывания, во многом напоминающая присутствующие в Vulkan средства группировки ресурсов. Для объединения ресурсов в группы в WebGPU предоставляется объект GPUBindGroup, который во время записи команд можно связать с другими такими же объектами для использования в шейдерах. Создание подобных групп даёт возможность драйверу заранее выполнить необходимые подготовительные действия, а браузеру позволяет значительно быстрее менять привязки ресурсов между вызовами отрисовки. Раскладка привязок ресурсов может быть определена заранее при помощи объекта GPUBindGroupLayout.

В Firefox для включения WebGPU в about:config предусмотрена настройка "dom.webgpu.enabled". Для отрисовки CanvasContext также требуется включение системы композитинга WebRender ("gfx.webrender.all" в about:config), написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. Реализация WebGPU основана на коде проекта wgpu, написанного на языке Rust и способного работать поверх API DX12, Vulkan и Metal в Linux, Android, Windows и macOS (в разработке также находится поддержка DX11 и OpenGL ES 3.0). Параллельно компанией Google развивается другая реализация, которая доступна в Canary-ветке Chromium и включается при помощи флага "chrome://flags/#enable-unsafe-webgpu", но работает пока только в macOS и Windows.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52800

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.3, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

• Расширены настройки для управления блокировки автоматического воспроизведения мультимедийного контента (добавлена возможность отключения блокировки при соединении через Wi-Fi);
• Добавлена форма выбора языка из приложения;
• Улучшена реализация домашнего экрана (изменено оформление коллекций и сокращены элементы брендинга для выделения большего пространства для контента);
• Реализована опция для отключения создания скриншотов в приватном режиме;
• Внесены исправления, связанные с поддержкой устанавливаемых web-приложений, работающих в режиме Progressive Web Apps (PWA);
• Улучшен анимационный эффект при поиске и убрано мерцание пиктограмм при выборе элемента в истории;
• Решены проблемы с полноэкранным режимом.

Отдельно сообщается о расширении поддержки дополнений в Firefox Preview. В следующем выпуске помимо uBlock Origin в список совместимых с Firefox Preview дополнений будут добавлены Dark Reader, HTTPS Everywhere, NoScript, Privacy Badger и Search by Image. Доступные дополнения отображаются в меню "Add-ons Manager".

Источник: http://www.opennet.ru/opennews/art.shtml?num=52758

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.7.0.

• Новое: MailExtensions: MailExtensions теперь имеют доступ к исходному тексту сообщений
  
• Изменено: MailExtensions: Через функцию messages.update теперь можно помечать сообщения как спам или не спам
  
• Изменено: MailExtensions: Функции browser.compose.begin больше не раскрывают списки рассылки
  
• Исправлено: Различные улучшения в настройке учетной записи при подключении к серверу Exchange
  
• Исправлено: Обсуждение свёртывалось при открытии новостного сообщения в новом окне
  
• Исправлено: Дополнения не обновлялись автоматически до совместимой версии после обновления с Thunderbird 60
  
• Исправлено: При запросе новых разрешений не запрашивалось обновление дополнений
  
• Исправлено: Панель дополнительных адресатов была недоступна с клавиатуры
  
• Исправлено: Доступность: Строка состояния не обнаруживалась программами чтения с экрана
  
• Исправлено: MailExtensions: messages.query по имени папки не требовала разрешения accountsRead
  
• Исправлено: Календарь: Приглашения со встроенными нулевыми байтами не всегда правильно декодировались
  
• Исправлено: Календарь: Отменённые события не отображались перечёркнутыми
  
• Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

    • Английская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Mac OS X
        Linux (64 бит)
        Windows (32 бит)
        Linux (32 бит)

  • Другие языки

Примечания к выпуску

Митчелл Бейкер (Mitchell Baker), председатель совета директоров Mozilla Corporation и лидер Mozilla Foundation, утверждена советом директоров на пост руководителя (CEO) компании Mozilla Corporation. Должность руководителя оставалась вакантной с августа прошлого года, после ухода Криса Бирда (Chris Beard). Митчелл является автором лицензии Mozilla Public License и первым руководителем Mozilla Foundation. Митчелл работает в команде ещё со времён Netscape Communications, в том числе возглавляла подразделение Netscape, координирующее открытый проект Mozilla, а после увольнения из Netscape продолжила работу как волонтёр и основала Mozilla Foundation.

В течение восьми месяцев компания пыталась нанять на должность CEO внешнего кандидата, но после ряда собеседований совет директоров пришёл к заключению, что Митчелл Бейкер в настоящее время больше всего подходит на пост лидера. Стратегический план Mozilla продолжает фокусироваться на развитии и продвижении Firefox, но также охватывает инвестирование в инновации, нацеленные на решение крупнейших проблем, стоящих перед Интернетом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52699

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

• Для Linux началось формирование официальных сборок в формате Flatpak.
  
• Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.
  
  

  Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  
  
  
• Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещение в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
  
• Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
  
• Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  
• Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
  
• Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  
• Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
  
  
  
• Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
  
  
  
• Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматичкеского определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
  
• Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
  
• На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
  
• Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
  
• Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
  
• Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  
• Атрибут "type" в элементе <style> теперь может принимать только значение "text/css".
  
• В CSS реализованы функции min(), max() и clamp().
  
• Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
  
• В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.
  
• Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
  
• Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
  
• В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  
• Событие submit теперь реализуется объектом с тимпом SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
  
• Реализована корректная передача события о клики при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
  
• В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().
  
• Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  
• В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
  
• В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
  
• В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
  
• Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые макси).
  
• Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  
• В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket.
  
• Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).
  

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Что нового в Firefox 75 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

• Для Linux началось формирование официальных сборок в формате Flatpak.
• Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.

  Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  
• Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещения в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
• Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
• Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
• Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
• Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
• Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
• Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
• Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматического определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
• Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
• На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
• Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
• Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
• Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  
  
  
• Атрибут "type" в элементе ‹style› теперь может принимать только значение "text/css".
• В CSS реализованы функции min(), max() и clamp().
• Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
• В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.

        class ClassWithStaticField {         static staticField = 'static field'      }    

• Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
• Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
• В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
• Событие submit теперь реализуется объектом с типов SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
• Реализована корректная передача события о клике при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
• В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().
  
  
  
• Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
• В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
• В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
• В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
• Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые маски).
• В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket. Также добавлена поддержка анализа вызовов async/await.
• Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52689

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.2, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Следом уже вышло обновление 4.2.1 с устранением уязвимостей. Новый выпуск опубликован в каталоге Google Play (для работы необходим Android 5 или новее). На завтра запланирован релиз Firefox 75.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

• В адресной строке прекращён показ протокола (https://, http://) и поддомена "www.". Статус безопасного соединения отображается через пиктограмму. Для просмотра полного URL необходимо кликнуть на адресной строке и войти в режим редактирования URL.
• Добавлена опция для разрешения автоматического воспроизведения звука или видео только при подсоединении к сети через Wi-Fi. Блокировку звука и видео теперь можно выбирать по отдельности.
• При просмотре истории и закладок реализована возможность использования функции отправки ссылки ("share") сразу для нескольких страниц.
• Добавлена анимация перехода между разными страницами настроек.
• Компоненты браузера обновлены до библиотеки Android Components 37.0.0 и движка GeckoView 75 (срез репозитория от 2020-03-22).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52682

Форум: Новости
Автор: banbot

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты  применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти  (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора  nsDocShell  (CVE-2020-6819).

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора nsDocShell (CVE-2020-6819).

Дополнение: Вышел Tor Browser 9.0.8 с исправлением тех же уязвимостей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52672

В рамках программы Test Pilot компания Mozilla предложила пользователям Firefox протестировать новый сервис "Firefox Better Web with Scroll", экспериментирующий с альтернативными видами финансирования сайтов. Тестирование доступно только для пользователей настольных версий Firefox из США. Для подключения используется единая учётная запись Firefox, также применяемая для синхронизации. Для участия требуется установка в Firefox специального дополнения.

Основная идея проекта - использование платной подписки на сервис для финансирования создания контента, что позволяет владельцам сайтов обойтись без показа рекламы. Сервис организован совместно с проектом Scroll, развивающим модель, похожую на реализованную в браузере Brave - пользователь оплачивает подписку на сервис ($2.49 в месяц) и имеет возможность просмотра сайтов, присоединившихся к инициативе Scroll, без рекламных вставок. До 70% полученных от пользователей средств распределяется между владельцами сайтов-партнёров, в пропорции, соответствующей времени, проведённому подписанными на сервис пользователями на каждом сайте (данные о том, сколько времени проведено на сайтах сервис Scroll собирает при помощи JavaScript-кода, размещаемого на сайтах-партнёрах).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52609

В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.
Читать дальше →

В ночные сборки Firefox, на основе которых 5 мая будет сформирован релиз Firefox 76, добавлен опциональный режим работы "HTTPS Only", при включении которого все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Для включения режима в about:config добавлена настройка "dom.security.https_only_mode".

Замена будет производиться как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://".

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.

В Chrome также ведётся работа по блокировке незащищённой загрузки субресурсов. Например, в выпуске Chrome 81 ожидалась активация нового режима защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений (в Chrome 80 была добавлена замена для скриптов, iframe, звуковых и видео файлов). В будущих выпусках Chrome также намечен переход к блокировке загрузки файлов по HTTP.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52597