June 05, 2020

OpenNet.ru : mozilla

В Firefox появится возможность экспорта сохранённых паролей в формате CSV

В кодовую базу, на основе которой будет подготовлен релиз Firefox 78, добавлена возможность экспорта сохранённых в менеджере паролей учётных данных в формате CSV (текстовые поля с разделителями, которые можно импортировать в табличный процессор). В дальнейшем также планируется реализовать функцию импорта паролей из сохранённого ранее CSV-файла (подразумевается, что пользователю может потребоваться резервное копирование и восстановление сохранённых паролей или перенос паролей из другого браузера).

При экспорте пароли помещаются в файл в открытом виде. Напомним, что при задании мастер-пароля пароли во встроенном в Firefox менеджере паролей хранятся зашифрованными. Примечательно, что предложение по добавлению в Firefox функции экспорта паролей было добавлено 16 лет назад, но всё это время оставалось непринятым. В Google Chrome экспорт паролей в CSV поддерживается с выпуска Chrome 67, сформированного в 2018 году.



Источник: http://www.opennet.ru/opennews/art.shtml?num=53096

June 05, 2020 09:43 AM

June 04, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.9.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.9.0.


  • Исправлено: Пользовательские заголовки, добавленные для выполнения поиска или фильтрации, не могли быть удалены
  • Исправлено: Календарь: Панель «Сегодня» обновлялась прежде чем были загружены все данные
  • Исправлено: Повышена стабильность работы
  • Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)


  • Другие языки

Примечания к выпуску

June 04, 2020 08:33 AM

Вышел Firefox 77.0.1

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 77.0.1, в котором отключён автоматический выбор провайдера DNS over HTTPS (DoH) в процессе тестирования для последующего постепенного включения, чтобы не создавать пиковую нагрузку на провайдеров DoH. Реализованная в Firefox 77 тестовая проверка DoH с отправкой 10 пробных запросов каждым клиентом превратилось в подобие DDoS-атаки на  сервис NextDNS, который не справился с нагрузкой.


Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


Другие языки

Примечания к выпуску для Windows, Mac and Linux


Новость взята с сайта opennet.ru

June 04, 2020 08:24 AM

OpenNet.ru : mozilla

В пакете с Firefox для Fedora появилась поддержка ускорения декодирования видео через VA-API

Мэйнтейнер пакетов с Firefox для Fedora Linux сообщил о готовности к использованию в Fedora аппаратного ускорения декодирования видео в Firefox при помощи VA-API. Ускорение пока работает только в окружениях на базе Wayland. Поддержка VA-API в Chromium была реализована в Fedora в прошлом году.

Аппаратное ускорение декодирования видео в Firefox стало возможным благодаря новому бэкенду для Wayland, который использует механизм DMABUF для отрисовки в текстуры и организации совместного использования разными процессами буферов с этими текстурами. В Fedora 32 и Fedora 31 в свежем пакете с Firefox 77 новый бэкенд по умолчанию включается при запуске в сеансе GNOME на базе Wayland, но для активации аппаратного ускорения декодирования видео дополнительно требуется установка пакетов ffmpeg, libva и libva-utils из репозитория RPM Fusion, собранных с поддержкой VA-API.

На системах с видеокартами Intel ускорение работает только с драйвером libva-intel-driver (драйвер libva-intel-hybrid-driver пока не поддерживается). Для GPU AMD ускорение работает при наличии штатной библиотеки radeonsi_drv_video.so, входящей в состав пакета mesa-dri-drivers. Для видеокарт NVIDIA поддержка пока не реализована. Для оценки поддержки VA-API драйвером можно воспользоваться утилитой vainfo. Если поддержка подтверждена, то для включения ускорения в Firefox на странице "about:config" следует установить в значение true переменные "gfx.webrender.enabled" и "widget.wayland-dmabuf-vaapi.enabled". После перезапуска браузера необходимо проверить активацию WebRender и нового бэкенда (Wayland/drm) на странице "about:support".

После этого нужно убедиться в применении VA-API для ускорения при просмотре видео (могут быть проблемы совместимости с кодеками, размерами видео и библиотеками), для чего можно включить отладочный режим, запустив Firefox c переменной окружения MOZ_LOG и проверить в выводе наличие сторк "VA-API FFmpeg init successful" и "Got one VAAPI frame output".

     MOZ_LOG="PlatformDecoderModule:5" MOZ_ENABLE_WAYLAND=1 firefox  

Применение ускорения при просмотре Youtube зависит от способа кодирования ролика (H.264, AV1 и т.п.). Посмотреть формат можно в открываемом по клику правой кнопкой мыши контекстном меню в секции "Stats for nerds". Для выбора формата, поддерживаемого системой аппаратного декодирования видео, можно использовать дополнение enhanced-h264ify.

Отдельно отмечается, что в пакеты с Firefox 77.0 для Fedora включены дополнительные патчи, влияющие на производительность и стабильность, которые отсутствуют в штатных сборках Firefox 77.0 от Mozilla. Включение данных патчей в основной состав ожидается только в Firefox 78.0 (пользователи могут использовать бета-версию Firefox 78 или ночные сборки от Mozilla, запуская браузер командой "MOZ_ENABLE_WAYLAND=1 ./firefox"). Кроме того, в сборках от Mozilla для декодирования VP8/VP9 применяется встроенная библиотека libvpx, не поддерживающая VA-API - при необходимости ускорения декодирования VP8/VP9 следует отключить libvpx, установив в about:config переменную "media.ffvpx.enabled" в значение "false" (в пакете из репозитория Fedora libvpx уже отключён).

Источник: http://www.opennet.ru/opennews/art.shtml?num=53086

June 04, 2020 06:01 AM

June 03, 2020

OpenNet.ru : mozilla

Корректирующее обновление Firefox 77.0.1

Опубликовано корректирующее обновление Firefox 77.0.1, в котором отключён автоматический выбор провайдера DNS over HTTPS (DoH) в процессе тестирования для последующего постепенного включения, чтобы не создавать пиковую нагрузку на провайдеров DoH. Реализованная в Firefox 77 тестовая проверка DoH с отправкой 10 пробных запросов каждым клиентом превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53084

June 03, 2020 07:31 PM

Доступен Tor Browser 9.5

После шести месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 9.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 68. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy.

Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новом выпуске:

  • Реализован индикатор наличия варианта сайта, работающего в форме скрытого сервиса, выводимый в адресной строке при просмотре обычного web-сайта. При первом открытии сайта, также доступного через onion-адрес, выводится диалог с предложением впредь автоматически переключаться на onion-сайт при открытии web-сайта. Сведения о доступности через .onion-адрес передаются владельцем сайта при помощи HTTP-заголовка Alt-Svc.
  • Владельцы скрытых сервисов, желающие ограничить доступ к своим ресурсам, теперь могут задать набор ключей для контроля доступа и аутентификации. Пользователь может сохранить переданный ключ доступа на своей системе и использовать интерфейс Onion Services Authentication в "about:preferences#privacy" для управления ключами.
  • Расширены индикаторы безопасности в адресной строке. Осуществлён переход от индикации безопасного соединения к индикации проблем с безопасностью. Безопасные onion-соединения теперь не выделяются и помечаются штатным серым значком. В случае выявления недостаточного уровня защиты соединения при доступе к onion-сервису индикатор соединения перечёркивается красной линией. При выявлении на странице смешанной загрузки ресурсов выводится дополнительное предупреждение в форме значка с восклицательным знаком.
  • Добавлены отдельные варианты страниц, показываемых при ошибках подключения к onion-сервисам (ранее показывались штатные страницы ошибок Firefox, такие же, что для web-сайтов). Новые страницы включают дополнительные сведения для диагностики причин невозможности подключиться к скрытому сервису, позволяющие судить о проблемах в адресе, сервисе, клиенте или сетевой инфраструктуре.
  • Для более наглядного доступа к onion-сайтам предоставлена экспериментальная возможность привязки символьных имён, решающая проблемы с запоминанием и поиском onion-адресов. Для упрощения доступа совместно с организациями FPF (Freedom of the Press Foundation) и EFF (Electronic Frontier Foundation) на базе дополнения HTTPS Everywhere реализован прототип каталога имён. В настоящее время для тестирования предложены символьные имена для onion-сервисов SecureDrop - theintercept.securedrop.tor.onion и lucyparsonslabs.securedrop.tor.onion.
  • Обновлены версии сторонних компонентов, включая NoScript 11.0.26, Firefox 68.9.0esr, HTTPS-Everywhere 2020.5.20, NoScript 11.0.26, Tor Launcher 0.2.21.8 и Tor 0.4.3.5.
  • В версии для Android обеспечен вывод предупреждения о возможной работе в обход прокси при открытии внешних приложений. Решены проблемы с использованием obfs4.


Источник: http://www.opennet.ru/opennews/art.shtml?num=53077

June 03, 2020 08:46 AM

June 02, 2020

Mozilla Россия : Новости

Вышел Firefox 77.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 77, а также мобильной версии Firefox 68.9 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.9.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 78, релиз которой намечен на 30 июня.


Основные новшества:

  • Добавлена новая служебная страница "about:certificate" для доступа ко встроенному интерфейсу просмотра сертификатов. В интерфейсе можно вывести список корневых и сохранённых сертификатов, посмотреть детали по каждому сертификату и выполнить экспорт сертификатов (поддержка импорта пока отсутствует).

    0_1591114573.png

  • Добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • Расширено число систем для которых включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. WebRender теперь включён на оборудовании с Intel Skylake GT1, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA, работающих под управлением Windows 10. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  • В адресной строке улучшен разбор поисковых фраз. Слова с точкой теперь оцениваются на связь с актуальными доменами (например, раньше ввод ключей вида "test.log" приводил не к поиску, а к попытке открытия сайта, а ввод "data:url" с пробелами и символом вопроса - к поиску, а не загрузке).
  • Включён по умолчанию режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Добавлена поддержка необязательных полномочий, запрос которых в дополнениях не приводит к выводу уведомления о подтверждении новых полномочий при установке или обновлении дополнения, а выводится при непосредственном обращении дополнения к операции, требующей повышенных прав. В число полномочий, которые можно заявить как необязательные, включены management, devtools, browsingData, pkcs11 proxy и session. В качестве мотива добавления необязательных полномочий упоминается желание снизить нагрузку на пользователей при обновлении дополнений и предоставить возможность обновления дополнения без обязательного подтверждения полномочий (ранее, если пользователь не согласен с полномочиями, дополнение не обновлялось).
  • Для пользователей из Великобритании на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Следует отметить, что оплаченные спонсорами блоки показывается только в США и явно помечены как реклама, в остальных странах рекламные статьи пока не используются. Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.

    0_1525205587.png

  • В движке Gecko включён по умолчанию режим полного управления цветом (gfx.color_management.mode = 1), обеспечивающий цветокоррекцию с использованием цветовых профилей не только для изображений в тегах img, но и для CSS.
  • В конфигураторе в выпадающий блок методов блокировки Cookie в секции настройки блокировки отслеживания перемещений добавлен новый пункт для динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта).
  • Для упрощения навигации на устройствах с сенсорными экранами увеличены отступы на панели закладок (при открытии новой вкладки новая адресная строка Megabar частично перекрывает панель с закладками и оставляет мало места для нажатия).
  • Реализованы новые модальные диалоги, привязанные к отдельным вкладкам и не блокирующие весь интерфейс. Для управления включением привязки диалогов в about:config добавлены опции "prompts.defaultModalType", "prompts.modalType.confirmAuth" и "prompts.modalType.insecureFormSubmit" (1 - привязка к контенту, 2 - привязка к вкладке, 3 - привязка к окну).

    attachment.cgi?id=9126714

  • В about:config добавлена новая настройка middlemouse.openNewWindow, при помощи которой можно отключить использование средней кнопки мыши для открытия ссылки в новой вкладке.
  • Удалена настройка browser.urlbar.update1.view.stripHttps (поддержка настройки browser.urlbar.trimURLs сохранена).
  • Из движка Gecko полностью удалена поддержка XUL Grids.
  • По умолчанию включён автоматический поворот JPEG-изображений на основе данных из Exif.
  • Удалена настройка "browser.urlbar.oneOffSearches". Для скрытия кнопок альтернативных поисковых систем, появляющихся при начале набора в адресной или поисковой строке, можно выбрать необходимые поисковые системы на странице about:preferences#search.

    0_1591115848.png

  • Текст, не вмещающийся в ограничение "maxlength", больше не обрезается при вставки в поля <input> и <textarea>.
  • Добавлен метод String.prototype.replaceAll(), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  • Обеспечено отображения значения метки, заданной при помощи атрибута "label" в элементе <option>, если содержимое элемента не заполнено.
  • В IndexedDB реализовано свойство IDBCursor.request.
  • Добавлена экспериментальная поддержка раскладки Masonry в grid-контейнерах.
  • В средства для разработчиков добавлена панель для оценки потенциальных проблем с совместимостью с разными браузерами (показывается в каких браузерах поддерживается то или иное свойство CSS, привязанное к выбранному элементу). Включается через настройку devtools.inspector.compatibility.enabled в about:config.

    compat_view.png

  • Внесена большая порция улучшений в отладчик JavaScript. Ускорена загрузка и пошаговая отладка, сокращено потребление памяти. Улучшено сопоставление разных представлений кода (source map), позволяющее просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей. При изменении выделенной строки через клик в окне Call Stack и запуска пошагового выполнения  (Step over, F10), отладчик будет выполнять код до тех пор, пока не достигнет строки, идущей следом за выделенной.  В панель добавлено меню (значок шестерёнки), в котором пока только один пункт для отключения JavaScript. Добавлена возможность установки  условных точек останова (watchpoint), приостанавливающих выполнение при изменении или чтении определённых значений (ранее можно было приостановить выполнение  при чтении и изменении по отдельности).

    Set.png

  • В панель интерфейса для инспектирования сетевой активности добавлено меню "Actions", в котором собраны функции управления ведением логов (сохранение лога между загрузками сайта, импорт HAR-файла, запись HAR-файла). В панель блокировки запросов ("Request Blocking") добавлено контекстное меню для включения, отключения и удаления блокируемых элементов.

    Settings-Menu.png

  • Отключение поддержки FTP отложено до выпуска Firefox 79, но уже добавлена опция для управления активностью FTP (network.ftp.enabled в about:config).

Кроме новшеств и исправления ошибок в Firefox 77 устранено 9 уязвимостей, из которых 7 помечены как опасные:


  • Четыре уязвимости (собраны под CVE-2020-12411 и CVE-2020-12409) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
  • Уязвимость CVE-2020-12406 вызвана отсутствием проверки типов при удалении объектов NativeTypes и потенциально может использоваться для организации выполнения кода атакующего.
  • Уязвимость CVE-2020-12405 вызвана обращением к освобождённому блоку памяти (Use-after-free) в SharedWorkerService и скорее всего ограничивается вызовом краха.
  • Уязвимость CVE-2020-12399 связана с подверженностью библиотеки NSS атаке по сторонним каналам, позволяющей на основе анализа различий во времени вычислений восстановить закрытый ключ для цифровой подписи DSA.

Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки


Что нового в Firefox 77 для разработчиков
Примечания к выпуску для Windows, Mac and Linux


Новость взята с сайта opennet.ru

June 02, 2020 05:54 PM

OpenNet.ru : mozilla

Релиз Firefox 77

Состоялся релиз web-браузера Firefox 77, а также мобильной версии Firefox 68.9 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.9.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 78, релиз которой намечен на 30 июня.

Основные новшества:

  • Добавлена новая служебная страница "about:certificate" для доступа ко встроенному интерфейсу просмотра сертификатов. В интерфейсе можно вывести список корневых и сохранённых сертификатов, посмотреть детали по каждому сертификату и выполнить экспорт сертификатов (поддержка импорта пока отсутствует).
  • Добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • Расширено число систем для которых включена система композитинга WebRender, написанная на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU. WebRender выносит на сторону GPU операции отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. WebRender теперь включён на оборудовании с Intel Skylake GT1, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA, работающих под управлением Windows 10. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
  • В адресной строке улучшен разбор поисковых фраз. Слова с точкой теперь оцениваются на связь с актуальными доменами (например, раньше ввод ключей вида "test.log" приводил не к поиску, а к попытке открытия сайта, а ввод "data:url" с пробелами и символом вопроса - к поиску, а не загрузке).
  • Добавлена поддержка необязательных полномочий, запрос которых в дополнениях не приводит к выводу уведомления о подтверждении новых полномочий при установке или обновлении дополнения, а выводится при непосредственном обращении дополнения к операции, требующей повышенных прав. В число полномочий, которые можно заявить как необязательные, включены management, devtools, browsingData, pkcs11 proxy и session. В качестве мотива добавления необязательных полномочий упоминается желание снизить нагрузку на пользователей при обновлении дополнений и предоставить возможность обновления дополнения без обязательного подтверждения полномочий (ранее, если пользователь не согласен с полномочиями, дополнение не обновлялось).
  • Для пользователей из Великобритании на странице новой вкладки включено отображение контента, рекомендованного сервисом Pocket. Ранее подобные страницы показывалась только пользователям из США, Канады и Германии. Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Следует отметить, что оплаченные спонсорами блоки показывается только в США и явно помечены как реклама, в остальных странах рекламные статьи пока не используются. Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  • В конфигураторе в выпадающий блок методов блокировки Cookie в секции настройки блокировки отслеживания перемещений добавлен новый пункт для динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). В about:config интерфейс включается через настройку "browser.contentblocking.reject-and-isolate-cookies.preferences.ui.enabled" или напрямую "network.cookie.cookieBehavior = 5".
  • Для упрощения навигации на устройствах с сенсорными экранами увеличены отступы на панели закладок (при открытии новой вкладки новая адресная строка Megabar частично перекрывает панель с закладками и оставляет мало места для нажатия).
  • Реализованы новые модальные диалоги, привязанные к отдельным вкладкам и не блокирующие весь интерфейс. Для управления включением привязки диалогов в about:config добавлены опции "prompts.defaultModalType", "prompts.modalType.confirmAuth" и "prompts.modalType.insecureFormSubmit" (1 - привязка к контенту, 2 - привязка к вкладке, 3 - привязка к окну).
  • В about:config добавлена новая настройка middlemouse.openNewWindow, при помощи которой можно отключить использование средней кнопки мыши для открытия ссылки в новой вкладке.
  • Удалены настройки browser.urlbar.update1, позволяющая вернуть старую реализацию адресной строки, и browser.urlbar.update1.view.stripHttps (поддержка настройки browser.urlbar.trimURLs сохранена).
  • Из движка Gecko полностью удалена поддержка XUL Grids.
  • По умолчанию включён автоматический поворот JPEG-изображений на основе данных из Exif.
  • Удалена настройка "browser.urlbar.oneOffSearches". Для скрытия кнопок альтернативных поисковых систем, появляющихся при начале набора в адресной или поисковой строке, можно выбрать необходимые поисковые системы на странице about:preferences#search.
  • Текст, не вмещающийся в ограничение "maxlength", больше не обрезается при вставки в поля ‹input› и ‹textarea›.
  • Добавлен метод String.prototype.replaceAll() (String#replaceAll), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  • Обеспечено отображения значения метки, заданной при помощи атрибута "label" в элементе ‹option›, если содержимое элемента не заполнено.
  • В IndexedDB реализовано свойство IDBCursor.request.
  • Добавлена экспериментальная поддержка раскладки Masonry в grid-контейнерах.
  • В средства для разработчиков добавлена панель для оценки потенциальных проблем с совместимостью с разными браузерами (показывается в каких браузерах поддерживается то или иное свойство CSS, привязанное к выбранному элементу). Включается через настройку devtools.inspector.compatibility.enabled в about:config.
  • Внесена большая порция улучшений в отладчик JavaScript. Ускорена загрузка и пошаговая отладка, сокращено потребление памяти. Улучшено сопоставление разных представлений кода (source map), позволяющее просматривать переменные из оригинальных исходных текстов при отладке итоговых модулей. При изменении выделенной строки через клик в окне Call Stack и запуска пошагового выполнения (Step over, F10), отладчик будет выполнять код до тех пор, пока не достигнет строки, идущей следом за выделенной. В панель добавлено меню (значок шестерёнки), в котором пока только один пункт для отключения JavaScript. Добавлена возможность установки условных точек останова (watchpoint), приостанавливающих выполнение при изменении или чтении определённых значений (ранее можно было приостановить выполнение при чтении и изменении по отдельности).
  • В панель интерфейса для инспектирования сетевой активности добавлено меню, в котором собраны функции управления ведением логов (сохранение лога между загрузками сайта, импорт HAR-файла, запись HAR-файла). В панель блокировки запросов ("Request Blocking") добавлено контекстное меню для включения, отключения и удаления блокируемых элементов.
  • Отключение поддержки FTP отложено до выпуска Firefox 79, но уже добавлена опция для управления активностью FTP (network.ftp.enabled в about:config).



Кроме новшеств и исправления ошибок в Firefox 77 устранено 9 уязвимостей, из которых 7 помечены как опасные:

  • Четыре уязвимости (собраны под CVE-2020-12411 и CVE-2020-12409) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
  • Уязвимость CVE-2020-12406 вызвана отсутствием проверки типов при удалении объектов NativeTypes и потенциально может использоваться для организации выполнения кода атакующего.
  • Уязвимость CVE-2020-12405 вызвана обращением к освобождённому блоку памяти (Use-after-free) в SharedWorkerService и скорее всего ограничивается вызовом краха.
  • Уязвимость CVE-2020-12399 связана с подверженностью библиотеки NSS атаке по сторонним каналам, позволяющей на основе анализа различий во времени вычислений восстановить закрытый ключ для цифровой подписи DSA.


Источник: http://www.opennet.ru/opennews/art.shtml?num=53072

June 02, 2020 04:12 PM

May 30, 2020

OpenNet.ru : mozilla

Доступен Firefox Preview 5.1 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.1, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

  • Добавлена возможность отображения сохранённых учётных данных в отсортированном виде. Допускается сортировка в алфавитном порядке и по времени последнего использования.
  • Добавлены отдельные элементы меню для доступа к закладкам и истории навигации, без применения промежуточной кнопки "Library".
  • Реализован улучшенный экран сканирования QR-кодов.


Источник: http://www.opennet.ru/opennews/art.shtml?num=53054

May 30, 2020 06:41 AM

May 23, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.8.1

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.8.1.


  • Исправлено: Повышена стабильность работы IMAP
  • Исправлено: HTML-теги при изменениях темы IRC-канала отображались неправильно
  • Исправлено: MailExtensions: не удавалось использовать Веб-сокеты

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)


  • Другие языки

Примечания к выпуску

May 23, 2020 11:04 PM

May 17, 2020

OpenNet.ru : mozilla

В Firefox 84 намечено удаление кода для поддержки Adobe Flash

Mozilla планирует удалить поддержку Adobe Flash в выпуске Firefox 84, который ожидается в декабре этого года. Дополнительно отмечается, что Flash также может быть отключен раньше для некоторых категорий пользователей, принимающих участие в тестовом включении режима строгой изоляции страниц Fission (модернизированная многопроцессная архитектура, подразумевающая разнесение по изолированным процессам не на основе вкладок, а с разделением по доменам, что позволит отдельно изолировать iframe-блоки).

Напомним, что компания Adobe намерена прекратить сопровождение технологии Flash в конце 2020 года. Возможность запуска плагина Adobe Flash пока сохраняется в Firefox, но начиная с выпуска Firеfox 69 отключена по умолчанию (оставлена опция для индивидуального включения Flash для конкретных сайтов). Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration и NPAPI-плагинов с поддержкой мультимедийных кодеков была прекращена ещё в Firefox 52, выпущенном в 2016 году.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52972

May 17, 2020 06:17 AM

May 16, 2020

OpenNet.ru : mozilla

В ночные сборки Firefox внесены спорные изменения в интерфейс режима читателя

В ночные сборки Firefox, на основе которых будет подготовлен релиз Firefox 78, добавлен переработанный вариант режима читателя (Reader Mode), оформление которого приведено к соответствию с элементами дизайна Photon. Наиболее заметным изменением стала замена компактной боковой панели на верхнюю панель с более крупными кнопками и текстовыми метками. В качестве мотива изменения указано желание сделать более видимыми кнопки управления шрифтами, вызова синтезатора речи и сохранения в сервис Pocket. Проведённое исследование показало, что пользователи упускают их из виду и не замечают (возможно невостребованность кнопок объясняется не тем, что их не замечают, а тем, что в них нет необходимости).

Изменение уже вызвало недовольство пользователей ноутбуков с широкоформатными экранами, так как дополнительная верхняя панель уменьшает доступное вертикальное пространство, создаёт необходимость дополнительной прокрутки и уменьшает объём контента, который можно уместить на экране. При прокрутке вниз текстовые метки исчезают и размер панели уменьшается, что отвлекает внимание (изменение в области периферийного зрения невольно заставляет перевести взгляд в верхнюю часть). Более того, новая кнопка "Done" вводит в заблуждение и не убирает панель, как можно подумать, а инициирует выход из режима читателя.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52966

May 16, 2020 06:57 AM

Mozilla отключила дополнительную аутентификацию для систем без мастер-пароля

Разработчики Mozilla без формирования нового выпуска через систему экспериментов распространили среди пользователей Firefox 76 и Firefox 77-beta обновление, отключающее новый механизм подтверждения доступа к сохранённым паролям, применяемый на системах без мастер-пароля. Напомним, что в Firefox 76 для пользователей Windows и macOS без установленного мастер-пароля для просмотра сохранённых в браузере паролей начал выводиться диалог аутентификации ОС, требующий ввода системных учётных данных. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно.

Собранная телеметрия показала аномально высокий уровень проблем при аутентификации с использованием системных учётных данных при попытке доступа к сохранённым в браузере паролям. В 20% случаев пользователи не смогли пройти подтверждение и не получили доступ к своим сохранённым паролям. Выделены две основные причины, которые, вероятно, являются источником возникших проблем:

  • Пользователь может не помнить или не знать свой системный пароль, так как использует сеанс с автоматическим входом.
  • Из-за недостаточно чёткого пояснения в диалоге пользователь не понимает, что необходимо ввести системный пароль и пытается вводить пароль от учётной записи в Firefox Account, используемой для синхронизации настроек между устройствами.

Предполагалось, что системная аутентификация позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль. На деле же многие пользователи не смогли получить доступ к своим сохранённым паролям. Разработчики временно отключили новую возможность и намерены пересмотреть реализацию. В частности, они планируют добавить более ясное описание о необходимости ввода системных учётных данных и отключить вывод диалога для конфигураций с автоматическим входом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52965

May 16, 2020 06:09 AM

May 11, 2020

OpenNet.ru : mozilla

В Firefox 78 появится менеджер процессов

В ночные сборки Firefox, на основе которых 30 июня будет сформирован выпуск Firefox 78, добавлена служебная страница "about:processes", на которой предложен менеджер процессов. Новая страница позволяет оценить какие процессы-обработчики запущены, какие внутренние потоки выполняются в каждом процессе и сколько каждый поток и процесс потребляет ресурсов CPU и памяти.

Разделяется потребление CPU кодом в пространстве пользователя и на уровне ядра (при выполнении системных вызовов). Отдельно выводятся данные о потреблении резидентной и виртуальной памяти, а также показывается динамика изменения потребления памяти. Отражаются сведения о процессах gpu (отрисовка), web, webisolated (отдельные вкладки), extension, privilegedabout, socket и browser (основной процесс).

Из ранее доступных служебных страниц диагностики можно отметить about:support, about:performance, about:memory, about:networking, about:cache, about:webrtc и about:telemetry.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52926

May 11, 2020 05:48 AM

May 10, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.8.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.8.0.


  • Исправлено: Диспетчер учетных записей: в некоторых случаях текстовые поля были слишком малы
  • Исправлено: Диспетчер учетных записей: при выборе SMTP-сервера не обновлялся метод аутентификации
  • Исправлено: Ссылки со встроенными в них учётными данными не открывались в Windows
  • Исправлено: При заполнении адреса из адресной книги сообщения иногда отправлялись с плохо сформированным адресом
  • Исправлено: Специальные возможности: программы чтения с экрана сообщали о слишком большом количестве действий в строке состояния.
  • Исправлено: MailExtensions: не удавалось помечать сообщения IMAP как прочтённые с использованием browser.messages.updated
  • Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)


  • Другие языки

Примечания к выпуску

May 10, 2020 04:02 PM

Вышел Firefox 76.0.1

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 76.0.1, в котором исправлены две серьёзные ошибки в Firefox 76. Первая проблема приводит к краху на 32-разрядных системах Windows 7 с определёнными драйверами NVIDIA, а вторая нарушает работоспособность некоторых дополнений, включая Amazon Assistant, официально предлагаемого на Amazon.com.


Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

May 10, 2020 03:51 PM

May 08, 2020

OpenNet.ru : mozilla

Продвижение Firefox 76 приостановлено. Доступен Firefox 76.0.1

Компания Mozilla приостановила продвижение Firefox 76 через систему автоматической доставки обновлений до выпуска обновления 76.0.1, появление которого ожидается сегодня или завтра. Решение обусловлено выявлением двух серьёзных ошибок в Firefox 76. Первая проблема приводит к краху на 32-разрядных системах Windows 7 с определёнными драйверами NVIDIA, а вторая нарушает работоспособность некоторых дополнений, включая Amazon Assistant, официально предлагаемого на Amazon.com.

Дополнение: Доступен Firefox 76.0.1 с исправлениями.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52906

May 08, 2020 07:15 AM

May 05, 2020

Mozilla Россия : Новости

Вышел Firefox 76.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.


Основные новшества:

  • Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.

    0_1588696932.png

    Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

    0_1588696912.png

    Расширено число сайтов для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей <input type="password"> с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.

    0_1571763611.png

    В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.

  • Добавлен режим работы "HTTPS Only", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращение по https к введённому в адресной строке адресу завершиться таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
  • Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
  • Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
  • В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
  • Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
  • В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
  • В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
  • Включена блокировка неизвестных протоколов в методах, подобных "location.href" или <meta http-equiv="refresh">.
  • При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптмизировать свои сайты для Firefox для Android без мобильного устройства.
  • В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
  • В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.

    websocket-message-formatting.png

  • В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.

    0_1588704839.png

  • В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).

Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.


Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки

Что нового в Firefox 76 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

May 05, 2020 09:23 PM

OpenNet.ru : mozilla

Релиз Firefox 76

Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.

Основные новшества:

  • Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.

    Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккаунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

    Расширено число сайтов, для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей ‹input type="password"› с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.

    В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.

  • Добавлен режим работы "HTTPS Only", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращения по https к введённому в адресной строке адресу завершится таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
  • Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
  • Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
  • В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.


  • Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
  • В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
  • В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
  • Включена блокировка неизвестных протоколов в методах, подобных "location.href" или ‹meta http-equiv="refresh"›.


  • При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптимизировать свои сайты для Firefox для Android без мобильного устройства.
  • В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
  • В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.
  • В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.
  • В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).

Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляции с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52883

May 05, 2020 06:51 PM

May 03, 2020

Mozilla Россия : Новости

Вышел SeaMonkey 2.53.2

Форум: Новости
Автор: banbot

Опубликован релиз набора интернет-приложений SeaMonkey 2.53.2, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).


Среди изменений: при отображении полос прокрутки задействованы родные темы оформления GTK3, обеспечено корректное отображение состояния в менеджере загрузок, улучшен стиль всплывающих уведомлений, добавлена возможность закрытия всех вкладок справа от текущей вкладки, реализована защита от появление дубликатов в адресной книге, в Windows по умолчанию включён режим группировки операций GPU в один вызов отрисовки (layers.mlgpu.enabled).


Загрузить:

    Русская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)

    Английская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)


Другие языки


Примечания к выпуску для Windows, Mac and Linux
Новость взята с сайта opennet.ru

May 03, 2020 03:31 PM

OpenNet.ru : mozilla

В Firefox 77 появится поддержка изображений AVIF

В кодовую базу, используемую для подготовки выпуска Firefox 77, добавлена экспериментальная поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1 (поддерживается начиная с Firefox 55). Для включения AVIF в about:config предусмотрена опция image.avif.enabled.

Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR). Включение поддержки AVIF также ожидается в Chrome.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52871

May 03, 2020 10:08 AM

Выпуск интегрированного набора интернет-приложений SeaMonkey 2.53.2

Опубликован релиз набора интернет-приложений SeaMonkey 2.53.2, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox).

Среди изменений:

  • При отображении полос прокрутки задействованы родные темы оформления GTK3;
  • Обеспечено корректное отображение состояния в менеджере загрузок;
  • Улучшен стиль всплывающих уведомлений;
  • Добавлена возможность закрытия всех вкладок справа от текущей вкладки;
  • Реализована защита от появления дубликатов в адресной книге;
  • В Windows по умолчанию включён режим группировки операций GPU в один вызов отрисовки (layers.mlgpu.enabled).


Источник: http://www.opennet.ru/opennews/art.shtml?num=52870

May 03, 2020 09:39 AM

May 01, 2020

OpenNet.ru : mozilla

Mozilla тестирует сервис анонимных email-адресов Firefox Private Relay

Компания Mozilla развивает сервис Firefox Private Relay, дающий возможность генерировать временные почтовые адреса для прохождения регистрации на сайтах, чтобы не афишировать свой реальный адрес. При помощи дополнения в один клик можно получить уникальный анонимный псевдоним, письма на который будут перенаправлены на реальный адрес пользователя. Для использования сервиса предлагается установить дополнение, которое в случае запроса email в web-форме будет предлагать кнопку для генерации нового email-псевдонима.

Сгенерированный email можно использовать для входа на сайты или в приложения, а также для подписок. Для каждого сайта можно сгенерировать отдельный псевдоним и в случае поступления спама станет ясно какой ресурс является источником утечки. В любой момент можно деактивировать полученный email и не получать больше сообщений через него. Кроме того, в случае взлома сервиса или утечки базы пользователей, злоумышленники не смогут связать указанный при регистрации email с фактическим адресом электронной почты пользователя.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52861

May 01, 2020 07:22 PM

Доступен Firefox Preview 5.0 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 5.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

  • Расширена поддержка дополнений. Помимо uBlock Origin в список совместимых с Firefox Preview дополнений добавлены Dark Reader, HTTPS Everywhere, NoScript, Privacy Badger и Search by Image. Доступные дополнения отображаются в меню "Add-ons Manager".
  • Внесены исправления, связанные с поддержкой устанавливаемых web-приложений, работающих в режиме Progressive Web Apps (PWA).
  • Добавлен режим "картинка в картинке", позволяющей воспроизводить видео в небольшом окошке во время просмотра другого контента или при работе в другом приложении.
  • Возможность запуска web-приложений в полноэкранном режиме.
  • Улучшение поддержки просмотра видео на полном экране.
  • Устранены ошибки и проведена оптимизация производительности.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52853

May 01, 2020 07:50 AM

April 28, 2020

Хабрахабр : Firefox

Фильтр комментариев по оценке


За десять лет чтения Хабра у меня выработалась привычка просматривать самые высокооцененные комментарии к прочитанной статье. Порой в них попадается информация полезнее самой статьи, но не всегда есть желание просматривать условные 100+ комментариев. Конечно, высокая оценка может быть признаком как хорошего комментария, так и хайпового, но если я читаю статью, далекую от знакомой мне области, прочтения комментариев с наибольшими оценками достаточно для считывания общей сути.

Давным давно мной уже был написан юзер скрипт, упрощающий поиск комментариев, и в связи с карантином дошли руки его немного причесать и оформить в виде расширений для браузеров Google Chrome и Mozilla Firefox. Расширение выводит статистику всех оценок в комментариях. Кликнув на одну из положительных оценок, подсвечиваются все комментарии с оценкой равной или выше, а при клике на отрицательную — равной или ниже. Повторный клик на оценку снимает фильтрацию и возвращает дефолтное дерево комментариев.
Читать дальше →

Автор: dotneter. Дата: April 28, 2020 05:39 AM

April 24, 2020

OpenNet.ru : mozilla

В ночные сборки Firefox добавлена поддержка WebGPU

В ночных сборках Firefox появилась поддержка спецификации WebGPU, предоставляющей программный интерфейс для обработки 3D-графики и вычислений на стороне GPU, концептуально схожий с API Vulkan, Metal и Direct3D 12. Спецификация развивается Mozilla, Google, Apple, Microsoft и представителями сообщества в рабочей группе, созданной при организации W3C.

Ключевой задачей WebGPU является создание безопасного, удобного, переносимого и высокопроизводительного программного интерфейса для использования в Web-платформе технологий и возможностей 3D-графики, предоставляемых современными системными графическими API, такими как Direct3D 12 в Windows, Metal в macOS и Vulkan в Linux. Концептуально WebGPU отличается от WebGL примерно так же, как Vulkan отличается от OpenGL, и при этом не основывается на конкретном графическом API, а представляет собой универсальную прослойку, в общем виде использующую те же низкоуровневые примитивы, что имеются в Vulkan, Metal и Direct3D.

WebGPU предоставляет приложениям на JavaScript средства для более низкоуровневого контроля за организацией, обработкой и передачей команд к GPU, управления связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами. Подобный подход позволяет добиться более высокой производительности графических приложений за счёт снижения накладных расходов и повышения эффективности работы с GPU.

WebGPU даёт возможность создавать для Web полноценные сложные 3D-проекты, работающие не хуже, чем обособленные программы, напрямую обращающиеся с Vulkan, Metal или Direct3D, но не привязанные к конкретным платформам. WebGPU также предоставляет дополнительные возможности при портировании нативных графических программ в форму, способную работать на базе web-технологий, благодаря применению технологии WebAssembly. Кроме 3D-графики WebGPU охватывает и возможности, связанные с выносом вычислений на сторону GPU и поддержкой разработки шейдеров. Шейдеры могут создаваться на языке WebGPU Shading Language или задаваться в промежуточном формате SPIR-V, после чего транслироваться в языки шейдеров, поддерживаемые текущими драйверами.

В WebGPU применяется раздельное управление ресурсами, подготовительными работами и передачей команд в GPU (в WebGL один объект отвечал за всё разом). Предоставляется три отдельных контекста: GPUDevice для создания ресурсов, таких как текстуры и буферы; GPUCommandEncoder для кодирования отдельных команд, включая стадии рендеринга и вычисления; GPUCommandBuffer для передачи в очередь на выполнение в GPU. Результат может быть отрисован в области, связанной с одним или несколькими элементами canvas, или обработан без вывода (например, при запуске вычислительных задач). Разделение стадий упрощает разнесение создания ресурсов и подготовительные операции в разные обработчики, которые могут выполняться в разных потоках.

Вторым отличием WebGPU от WebGL является иной подход для обработки состояний. В WebGPU предлагается два объекта - GPURenderPipeline и GPUComputePipeline, позволяющих комбинировать различные состояния, заранее определённые разработчиком, что даёт возможность браузеру не тратить ресурсы на проведение дополнительной работы, такой как перекомпиляция шейдеров. Среди поддерживаемых состояний: шейдеры, раскладки вершинных буферов и атрибутов, раскладки прикреплённых групп, смешивание, глубина и шаблоны, форматы вывода после рендеринга.

Третьей особенностью WebGPU называется модель связывания, во многом напоминающая присутствующие в Vulkan средства группировки ресурсов. Для объединения ресурсов в группы в WebGPU предоставляется объект GPUBindGroup, который во время записи команд можно связать с другими такими же объектами для использования в шейдерах. Создание подобных групп даёт возможность драйверу заранее выполнить необходимые подготовительные действия, а браузеру позволяет значительно быстрее менять привязки ресурсов между вызовами отрисовки. Раскладка привязок ресурсов может быть определена заранее при помощи объекта GPUBindGroupLayout.

В Firefox для включения WebGPU в about:config предусмотрена настройка "dom.webgpu.enabled". Для отрисовки CanvasContext также требуется включение системы композитинга WebRender ("gfx.webrender.all" в about:config), написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. Реализация WebGPU основана на коде проекта wgpu, написанного на языке Rust и способного работать поверх API DX12, Vulkan и Metal в Linux, Android, Windows и macOS (в разработке также находится поддержка DX11 и OpenGL ES 3.0). Параллельно компанией Google развивается другая реализация, которая доступна в Canary-ветке Chromium и включается при помощи флага "chrome://flags/#enable-unsafe-webgpu", но работает пока только в macOS и Windows.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52800

April 24, 2020 07:41 AM

April 18, 2020

OpenNet.ru : mozilla

Доступен Firefox Preview 4.3 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.3, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее).

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

  • Расширены настройки для управления блокировки автоматического воспроизведения мультимедийного контента (добавлена возможность отключения блокировки при соединении через Wi-Fi);
  • Добавлена форма выбора языка из приложения;
  • Улучшена реализация домашнего экрана (изменено оформление коллекций и сокращены элементы брендинга для выделения большего пространства для контента);
  • Реализована опция для отключения создания скриншотов в приватном режиме;
  • Внесены исправления, связанные с поддержкой устанавливаемых web-приложений, работающих в режиме Progressive Web Apps (PWA);
  • Улучшен анимационный эффект при поиске и убрано мерцание пиктограмм при выборе элемента в истории;
  • Решены проблемы с полноэкранным режимом.

Отдельно сообщается о расширении поддержки дополнений в Firefox Preview. В следующем выпуске помимо uBlock Origin в список совместимых с Firefox Preview дополнений будут добавлены Dark Reader, HTTPS Everywhere, NoScript, Privacy Badger и Search by Image. Доступные дополнения отображаются в меню "Add-ons Manager".

Источник: http://www.opennet.ru/opennews/art.shtml?num=52758

April 18, 2020 05:53 AM

April 12, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.7.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.7.0.

  • Новое: MailExtensions: MailExtensions теперь имеют доступ к исходному тексту сообщений
  • Изменено: MailExtensions: Через функцию messages.update теперь можно помечать сообщения как спам или не спам
  • Изменено: MailExtensions: Функции browser.compose.begin больше не раскрывают списки рассылки
  • Исправлено: Различные улучшения в настройке учетной записи при подключении к серверу Exchange
  • Исправлено: Обсуждение свёртывалось при открытии новостного сообщения в новом окне
  • Исправлено: Дополнения не обновлялись автоматически до совместимой версии после обновления с Thunderbird 60
  • Исправлено: При запросе новых разрешений не запрашивалось обновление дополнений
  • Исправлено: Панель дополнительных адресатов была недоступна с клавиатуры
  • Исправлено: Доступность: Строка состояния не обнаруживалась программами чтения с экрана
  • Исправлено: MailExtensions: messages.query по имени папки не требовала разрешения accountsRead
  • Исправлено: Календарь: Приглашения со встроенными нулевыми байтами не всегда правильно декодировались
  • Исправлено: Календарь: Отменённые события не отображались перечёркнутыми
  • Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

  • Другие языки

Примечания к выпуску

April 12, 2020 03:50 PM

April 08, 2020

OpenNet.ru : mozilla

Митчелл Бейкер заняла пост руководителя Mozilla Corporation

Митчелл Бейкер (Mitchell Baker), председатель совета директоров Mozilla Corporation и лидер Mozilla Foundation, утверждена советом директоров на пост руководителя (CEO) компании Mozilla Corporation. Должность руководителя оставалась вакантной с августа прошлого года, после ухода Криса Бирда (Chris Beard). Митчелл является автором лицензии Mozilla Public License и первым руководителем Mozilla Foundation. Митчелл работает в команде ещё со времён Netscape Communications, в том числе возглавляла подразделение Netscape, координирующее открытый проект Mozilla, а после увольнения из Netscape продолжила работу как волонтёр и основала Mozilla Foundation.

В течение восьми месяцев компания пыталась нанять на должность CEO внешнего кандидата, но после ряда собеседований совет директоров пришёл к заключению, что Митчелл Бейкер в настоящее время больше всего подходит на пост лидера. Стратегический план Mozilla продолжает фокусироваться на развитии и продвижении Firefox, но также охватывает инвестирование в инновации, нацеленные на решение крупнейших проблем, стоящих перед Интернетом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52699

April 08, 2020 06:58 PM

April 07, 2020

Mozilla Россия : Новости

Вышел Firefox 75.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

  • Для Linux началось формирование официальных сборок в формате Flatpak.
  • Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.


    Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

    0_1586265189.png

  • Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещение в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
  • Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
  • Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.

    0_1583300586.png

  • Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.

    0_1586265469.png

  • Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматичкеского определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
  • Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
  • На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
  • Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
  • Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • Атрибут "type" в элементе <style> теперь может принимать только значение "text/css".
  • В CSS реализованы функции min(), max() и clamp().
  • Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
  • В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.
  • Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
  • Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Событие submit теперь реализуется объектом с тимпом SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
  • Реализована корректная передача события о клики при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
  • В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().
  • Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
  • В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
  • В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
  • Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые макси).
  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket.
  • Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

    0_1586266982.png

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки

Что нового в Firefox 75 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

April 07, 2020 02:59 PM

OpenNet.ru : mozilla

Релиз Firefox 75

Состоялся релиз web-браузера Firefox 75, а также мобильной версии Firefox 68.7 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.7.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 76, релиз которой намечен на 5 мая (проект перешёл на 4-5-недельный цикл разработки).

Основные новшества:

  • Для Linux началось формирование официальных сборок в формате Flatpak.
  • Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.

    Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  • Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещения в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
  • Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
  • Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
  • Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
  • Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
  • Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматического определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
  • Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
  • На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
  • Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
  • Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
  • Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.


  • Атрибут "type" в элементе ‹style› теперь может принимать только значение "text/css".
  • В CSS реализованы функции min(), max() и clamp().
  • Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
  • В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.
          class ClassWithStaticField {         static staticField = 'static field'      }    
  • Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
  • Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Событие submit теперь реализуется объектом с типов SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
  • Реализована корректная передача события о клике при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
  • В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().


  • Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
  • В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
  • В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
  • Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые маски).
  • В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket. Также добавлена поддержка анализа вызовов async/await.
  • Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52689

April 07, 2020 01:07 PM

April 06, 2020

OpenNet.ru : mozilla

Доступен Firefox Preview 4.2 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.2, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Следом уже вышло обновление 4.2.1 с устранением уязвимостей. Новый выпуск опубликован в каталоге Google Play (для работы необходим Android 5 или новее). На завтра запланирован релиз Firefox 75.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

Основные изменения:

  • В адресной строке прекращён показ протокола (https://, http://) и поддомена "www.". Статус безопасного соединения отображается через пиктограмму. Для просмотра полного URL необходимо кликнуть на адресной строке и войти в режим редактирования URL.
  • Добавлена опция для разрешения автоматического воспроизведения звука или видео только при подсоединении к сети через Wi-Fi. Блокировку звука и видео теперь можно выбирать по отдельности.
  • При просмотре истории и закладок реализована возможность использования функции отправки ссылки ("share") сразу для нескольких страниц.
  • Добавлена анимация перехода между разными страницами настроек.
  • Компоненты браузера обновлены до библиотеки Android Components 37.0.0 и движка GeckoView 75 (срез репозитория от 2020-03-22).


Источник: http://www.opennet.ru/opennews/art.shtml?num=52682

April 06, 2020 05:35 PM

April 04, 2020

Mozilla Россия : Новости

Вышел Firefox 74.0.1

Форум: Новости
Автор: banbot

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты  применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти  (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора  nsDocShell  (CVE-2020-6819).


Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

April 04, 2020 05:19 PM

April 03, 2020

OpenNet.ru : mozilla

Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязвимостей

Опубликованы корректирующие обновления Firefox 74.0.1 и 68.6.1, в которых исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора nsDocShell (CVE-2020-6819).

Дополнение: Вышел Tor Browser 9.0.8 с исправлением тех же уязвимостей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52672

April 03, 2020 07:33 PM

March 25, 2020

OpenNet.ru : mozilla

Mozilla тестирует сервис финансирования сайтов, продвигаемый как альтернатива рекламе

В рамках программы Test Pilot компания Mozilla предложила пользователям Firefox протестировать новый сервис "Firefox Better Web with Scroll", экспериментирующий с альтернативными видами финансирования сайтов. Тестирование доступно только для пользователей настольных версий Firefox из США. Для подключения используется единая учётная запись Firefox, также применяемая для синхронизации. Для участия требуется установка в Firefox специального дополнения.

Основная идея проекта - использование платной подписки на сервис для финансирования создания контента, что позволяет владельцам сайтов обойтись без показа рекламы. Сервис организован совместно с проектом Scroll, развивающим модель, похожую на реализованную в браузере Brave - пользователь оплачивает подписку на сервис ($2.49 в месяц) и имеет возможность просмотра сайтов, присоединившихся к инициативе Scroll, без рекламных вставок. До 70% полученных от пользователей средств распределяется между владельцами сайтов-партнёров, в пропорции, соответствующей времени, проведённому подписанными на сервис пользователями на каждом сайте (данные о том, сколько времени проведено на сайтах сервис Scroll собирает при помощи JavaScript-кода, размещаемого на сайтах-партнёрах).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52609

March 25, 2020 09:31 AM

Хабрахабр : Firefox

Firefox внедряет режим «только HTTPS»



В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.
Читать дальше →

Автор: GlobalSign_admin. Дата: March 25, 2020 08:53 AM

March 24, 2020

OpenNet.ru : mozilla

В Firefox 76 появится режим работы только по HTTPS

В ночные сборки Firefox, на основе которых 5 мая будет сформирован релиз Firefox 76, добавлен опциональный режим работы "HTTPS Only", при включении которого все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется на "https://"). Для включения режима в about:config добавлена настройка "dom.security.https_only_mode".

Замена будет производиться как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Новый режим решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://". Предложенная настройка меняет данное поведение, а также включает автоматическую замену на "https://" при явном вводе адреса с "http://".

Если обращение к первичным страницам (ввод домена в адресной строке) по https:// завершается таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.

В Chrome также ведётся работа по блокировке незащищённой загрузки субресурсов. Например, в выпуске Chrome 81 ожидалась активация нового режима защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений (в Chrome 80 была добавлена замена для скриптов, iframe, звуковых и видео файлов). В будущих выпусках Chrome также намечен переход к блокировке загрузки файлов по HTTP.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52597

March 24, 2020 06:56 AM

March 21, 2020

OpenNet.ru : mozilla

Mozilla возвращает поддержку TLS 1.0/1.1 в Firefox

Компания Mozilla приняла решение временно вернуть поддержку протоколов TLS 1.0/1.1, которые были отключены по умолчанию в Firefox 74. Поддержка TLS 1.0/1.1 будет возвращена без выпуска новой версии Firefox через систему экспериментов, применяемых для пробных внедрений новых возможностей. В качестве причины упоминаются то, что из-за пандемии коронавируса SARS-CoV-2 люди вынуждены работать из дома и не могут получить доступ к некоторым важным государственным сайтам, которые до сих пор не поддерживают TLS 1.2.

Напомним, что в Firefox 74 для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Возможность работы с устаревшими версиями TLS определяется через настройку security.tls.version.enable-deprecated в about:config.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52584

March 21, 2020 06:05 PM

March 19, 2020

OpenNet.ru : mozilla

В Firefox планируют полностью убрать поддержку FTP

Разработчики Firefox представили план полного прекращения поддержки протокола FTP, что коснётся как возможности загрузки файлов по FTP, так и просмотра содержимого каталогов на FTP-серверах. В выпуске Firefox 77, намеченном на 2 июня, поддержка FTP будет по умолчанию отключена, но в about:config будет добавлена настройка "network.ftp.enabled", позволяющая вернуть FTP. В ESR-сборках Firefox 78 поддержка FTP по умолчанию останется включённой. В 2021 году планируется полностью удалить связанный с FTP код.

В качестве причины прекращения поддержки FTP называется незащищённость данного протокола от модификации и перехвата транзитного трафика при совершении MITM-атак. По мнению разработчиков Firefox, в современных условиях нет причин в использовании FTP вместо HTTPS для загрузки ресурсов. Кроме того, код поддержки FTP в Firefox очень старый, создаёт проблемы при сопровождении и имеет историю выявления большого числа уязвимостей в прошлом. Для тех кому необходима поддержка FTP предлагается использовать внешние приложения, прикрепляемые в качестве обработчиков для URL ftp://, по аналогии с тем как используются обработчики irc:// или tg://.

Напомним, что ранее в Firefox 61 уже была запрещена загрузка ресурсов по протоколу FTP из страниц, открытых по HTTP/HTTPS, а в Firefox 70 была прекращена отрисовка содержимого файлов, загружаемых через ftp (например, при открытии через ftp перестали отображаться изображения, README и html-файлы, а сразу стал показываться диалог загрузки файла на диск). В Chrome также принят план избавления от FTP - в Chrome 80 начался процесс постепенного отключения поддержи FTP по умолчанию (для определённого процента пользователей), а на Chrome 82 намечено полное удаление кода, обеспечивающего работу FTP-клиента. По оценке Google FTP уже почти не используется - доля пользователей FTP составляет около 0.1%.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52569

March 19, 2020 06:30 AM

March 13, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.6.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.6.0.

  • Новое: При запуске нового профиля Thunderbird теперь отображает всплывающее окно
  • Изменено: Для Thunderbird теперь имеются частичные обновления, что уменьшает размер загрузки обновлений
  • Исправлено: В некоторых обстоятельствах поиск в теле сообщений приводил к ложным негативам, если HTML-тело сообщения использовало кодирование "quoted-printable"
  • Исправлено: «Получить новые сообщения для всех учетных записей» не работало для учетных записей IMAP использующих аутентификацию OAuth2
  • Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

    • Английская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-win.png Windows (32 бит)
        ico-tux.png Linux (32 бит)

  • Другие языки

Примечания к выпуску

March 13, 2020 03:36 PM

March 12, 2020

OpenNet.ru : mozilla

Mozilla поможет в актуализации платформы KaiOS (форк Firefox OS)

Mozilla и KaiOS Technologies объявили о сотрудничестве, нацеленном на обновление применяемого в мобильной платформе KaiOS браузерного движка. KaiOS продолжает разработку мобильной платформы Firefox OS и в настоящее время используется примерно на 120 млн устройствах, продаваемых более чем в 100 странах. Проблема в том, что в KaiOS продолжает применяться устаревший браузерный движок, соответствующий Firefox 48, на котором остановилось развитие B2G/Firefox OS в 2016 году. Данный движок устарел, не поддерживает многие актуальные web-технологии и не обеспечивает должной безопасности.

Целью сотрудничества с Mozilla является перевод KaiOS на новый движок Gecko и поддержание его в актуальном виде, в том числе обеспечив регулярную публикацию исправлений с устранением уязвимостей. Работа также подразумевает проведение оптимизации производительности платформы и связанных с ней сервисов и приложений. Все изменения и улучшения будут публиковаться под свободной лицензий MPL (Mozilla Public License).

Обновление браузерного движка позволит повысить безопасность мобильной платформы KaiOS и реализовать такие возможности, как поддержка WebAssembly, TLS 1.3, PWA (Progressive Web App), WebGL 2.0, средства для асинхронного выполнения JavaScript, новые свойства CSS, расширенный API для взаимодействия с оборудованием, поддержка изображений WebP и видео AV1.

В качестве основы KaiOS использованы наработки проекта B2G (Boot to Gecko), в рамках которого энтузиасты безуспешно попытались продолжить разработку Firefox OS, создав форк движка Gecko, после того как в 2016 году из основного репозитория Mozilla и движка Gecko были удалены компоненты B2G. В KaiOS применяется системное окружение Gonk, включающее ядро Linux из AOSP (Android Open Source Project), HAL-прослойку для использования драйверов от платформы Android и минимальный набор штатных утилит и библиотек Linux, необходимых для работы браузерного движка Gecko.

Пользовательский интерфейс платформы сформирован из набора web-приложений Gaia. В состав включены такие программы, как web-браузер, калькулятор, календарь-планировщик, приложение для работы с web-камерой, адресная книга, интерфейс для осуществления телефонных звонков, клиент электронной почты, система поиска, музыкальный плеер, программа для просмотра видео, интерфейс для SMS/MMS, конфигуратор, менеджер фотографий, рабочий стол и менеджер приложений с поддержкой нескольких режимов отображения элементов (cards и grid).

Приложения для KaiOS формируются с использованием стека HTML5 и расширенного программного интерфейса Web API, который позволяет организовать доступ приложений к аппаратному обеспечению, телефонии, адресной книге и другим системным функциям. Вместо предоставления доступа к реальной файловой системе, программы ограничены внутри виртуальной ФС, построенной с использованием IndexedDB API и изолированной от основной системы.

По сравнению с оригинальным Firefox OS в KaiOS проведена дополнительная оптимизация платформы, переработан интерфейс для использования на устройствах без сенсорного экрана, снижено потребление памяти (для работы платформы достаточно 256 Мб ОЗУ), обеспечено более длительное время автономной работы, добавлена поддержка 4G LTE, GPS, Wi-Fi, запущен собственный сервис доставки OTA-обновлений (over-the-air). Проектом поддерживается каталог приложений KaiStore, в котором размещено более 400 приложений, включая Google Assistant, WhatsApp, YouTube, Facebook и Google Maps.

В 2018 году компания Google инвестировала в KaiOS Technologies 22 млн долларов и обеспечила интеграцию платформы KaiOS с сервисами Google Assistant, Google Maps, YouTube и Google Search. Энтузиастами развивается модификация GerdaOS, предлагающая альтернативную прошивку для поставляемых с KaiOS телефонов Nokia 8110 4G. GerdaOS не включает предустановленных программ, отслеживающих действия пользователя (программы Google, KaiStore, FOTA updater, игры Gameloft), добавляет список блокирования рекламы на основе блокировки хостов через /etc/hosts и устанавливает в качестве поисковой системы по умолчанию DuckDuckGo.

Для установки программ вместо KaiStore в GerdaOS предлагается использовать включённые в поставку файловый менеджер и установщик пакетов GerdaPkg, позволяющий установить программу из локального ZIP-архива. Из функциональных изменений выделяется менеджер задач для одновременной работы с несколькими приложениями, поддержка создания скриншотов, возможность root-доступа через утилиту adb, интерфейс для манипуляций с IMEI и обход вводимой сотовыми операторами блокировки работы в режиме точки доступа (через TTL).

Источник: http://www.opennet.ru/opennews/art.shtml?num=52526

March 12, 2020 06:11 AM

March 10, 2020

Mozilla Россия : Новости

Вышел Firefox 74.0

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборокдля Linux в формате Flatpak.

Основные новшества:

  • В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.

    0_1581435648.png

  • Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжается осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки в предупреждении при первом заходе на любой сайт со старым протоколом.

    secure-connection-failed.png

  • В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

    Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.

  • В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
  • Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
  • Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
  • В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
  • Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.
  • В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
  • Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
  • Добавлено новое событие languagechange_even и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
  • Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy, позволяющего серверу запретить вставку отдаваемых ресурсов (например, изображений) в контексте других доменов (cross-origin и cross-site);
  • Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно включить синхронный режим работы XMLHttpRequest или отключить Geolocation API). Для назначения прав для блоков iframe предлагается использовать атрибут "allow", через который можно выборочно разрешить запросы доступа к камере, микрофону, местоположению и т.п.

    В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.

  • Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
  • В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
  • В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.

    debugger-nested-worker.png

  • Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.

Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Загрузить:

    Русская версия:

        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)


    Английская версия:
        ico-win.png Windows (64 бит)
        ico-win.png Windows MSI (64 бит)
        ico-win.png Windows (ARM 64 бит)
        ico-win.png Windows (32 бит)
        ico-win.png Windows MSI (32 бит)
        ico-osx-uni.png Mac OS X
        ico-tux.png Linux (64 бит)
        ico-tux.png Linux (32 бит)

Другие языки

Что нового в Firefox 74 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

March 10, 2020 04:44 PM

OpenNet.ru : mozilla

Релиз Firefox 74

Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-5-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборок для Linux в формате Flatpak.

Основные новшества:

  • В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  • Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.
  • Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжает осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки на странице с ошибкой, выводимой при заходе на сайт со старым протоколом.
  • В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

    Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.

  • В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
  • Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
  • Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
  • В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
  • Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.


  • В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
  • Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
  • Добавлено новое событие languagechange и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
  • Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy (CORP), позволяющего сайтам запретить вставку ресурсов (например, изображений и скриптов), загружаемых с других доменов (cross-origin и cross-site). Заголовок может принимать два значения: "same-origin" (разрешает только запросы ресурсов с той же схемой, именем хоста и номером порта) и "same-site" (разрешает только запросы с того же сайта).
         Cross-Origin-Resource-Policy: same-site  
  • Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно отключить доступ к Geolocation API, камере, микрофону, переходу на полный экран, автовоспроизведению, encrypted-media, анимации, Payment API, синхронному режиму работы XMLHttpRequest и т.п.). Для блоков iframe отдельно предложен атрибут "allow", который может применяться в коде страницы для назначения прав для определённых блоков iframe.
         ‹iframe src="https://example.com" allow="fullscreen"›‹/iframe›        Feature-Policy: microphone 'none'; geolocation 'none'  

    В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.

  • Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
  • В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
  • В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.
  • В интерфейсе для инспектирования web-страниц обеспечено отображение предупреждений для CSS-свойств, зависящих от позиционируемых элементов z-index, top, left, bottom и right.
  • Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.

Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52513

March 10, 2020 03:27 PM

Доступен Firefox Preview 4.0 для Android

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.0, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее)

В выпуске Firefox Preview 4.0:

  • Добавлена начальная возможность подключения дополнений на базе API WebExtension. В меню появился пункт "Add-ons Manager", в котором показаны доступные для установки дополнения. В текущем виде в списке совместимых с Firefox Preview дополнений пока присутствует только uBlock Origin.
  • На стартовой странице обеспечен показ избранных сайтов (Top Sites), подборка которых формируется на основе истории посещений. По умолчанию после первого запуска предлагаются Pocket, Wikipedia и YouTube.
  • Добавлен интерфейс для управления учётными записями с поддержкой автозаполнения полей входа и синхронизации сохранённых паролей.
  • В настройки добавлена возможность выбора языка интерфейса.
  • При ошибке защищённого доступа предоставлена кнопка для открытия сайта несмотря на проблемы с сертификатом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52514

March 10, 2020 10:55 AM

March 05, 2020

OpenNet.ru : mozilla

В ночных сборках Firefox появилась возможность установки сайтов как приложений

В ночные сборки Firefox, на основе которых будет сформирован выпуск Firefox 75, добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта.

Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52483

March 05, 2020 06:56 AM

March 04, 2020

OpenNet.ru : mozilla

В Firefox для Wayland обеспечено аппаратное ускорение WebGL и видео

В ночных сборках Firefox, на основе которых 7 апреля будет сформирован релиз Firefox 75, реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. Ускорение на базе gfx в X11 было обеспечено в Chrome, но ценой поддержания огромного списка исключений и обходных манёвров для избежания проблем (см. chrome://gpu/). В Firefox аппаратное ускорение WebGL для Linux никогда не было включено по умолчанию, так как компания Mozilla не имела ресурсов для разбора каждого проблемного драйвера и видеокарты.

При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF для отрисовки в текстуры и организации совместного использования разными процессами буферов с этими текстурами, размещёнными в видеопамяти. Изначально новый бэкенд развивался с оглядкой на предоставление качественной поддержки gfx-ускорения. Кроме аппаратного ускорения WebGL бэкенд также дал возможность реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (дополнение: следом появилась и поддержка ускорения для VP9 и других форматов кодирования видео, которая будет включена в Firefox 76).

В сборках Firefox на базе Wayland удалось подготовить унифицированное рабочее GL-окружение, не привязанное к конкретным композитным серверам, таким как GNOME Mutter или KDE Kwin. Поддержка ускорения с использованием бэкенда на базе DMABUF реализована для двух доступных в Firefox механизмов отрисовки - WebRender (новый, использующий GPU для отрисовки web-страниц) и GL compositor (классический). В обоих случаях при использовании нового бэкенда текстуры создаются в GPU и могут использоваться напрямую без копирования между процессами браузера, отвечающими за композитинг и взаимодействие с GPU. Кадры WebGL могут отрисовываться сразу в память GPU, которая может отражаться во фреймбуфер EGL, обрабатываться в основном процессе и отрисовываться как текстура при сведении элементов web-страницы.

Для включения ускорения WebGL и видео следует запустить Firefox с переменной окружения "MOZ_ENABLE_WAYLAND=1" и в about:config установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled", после чего проверить включилось ли ускорение на странице about:support. Для работы требуется наличие библиотеки libva версии 2.6.0+ (протестировано в Fedora 31 c GPU Intel UHD 630).

Из грядущих изменений в Firefox 75 также можно отметить:

  • Включение для пользователей из Великобритании (ранее реклама показывалась только пользователям из США) отображения оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента (блоки явно помечены как реклама и отключаемы в настройках).
  • В менеджере паролей (about:logins), если не установлен мастер-пароль, реализована начальная поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей.
  • Добавлена возможность активации интерфейса профилирования страниц без установки дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
  • Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
  • Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52471

March 04, 2020 05:46 AM

February 29, 2020

Mozilla Россия : Новости

Вышел SeaMonkey 2.53.1

Форум: Новости
Автор: banbot

Спустя полгода с момента прошлого выпуска опубликован релиз набора интернет-приложений SeaMonkey 2.53.1, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят).

Основные изменения:

  • Используемый в SeaMonkey браузерный движок обновлён до Firefox 60.3 (в прошлом выпуске использовался Firefox 52) с портированием связанных с безопасностью исправлений и некоторых улучшений из Firefox 72.
  • Встроенный почтовый клиент синхронизирован с Thunderbird 60.
  • Менеджер закладок переименован в Библиотеку (Library) и теперь также предоставляет инструменты для просмотра истории посещений.
  • Реализация менеджера загрузок переведена на новый API, но сохранила старый внешний вид.
  • В панель CSS Layout добавлена секция для инспектирования контейнеров CSS Grid.
  • По умолчанию активирована версия TLS 1.3.

Загрузить:

    Русская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)

    Английская версия:
        ico-win.png Windows (64-bit)
        ico-win.png Windows (32-bit)
        ico-osx-uni.png Mac OS X (64-bit)
        ico-tux.png Linux (64-bit)
        ico-tux.png Linux (32-bit)

  Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 29, 2020 03:31 PM

February 28, 2020

OpenNet.ru : mozilla

Выпуск интегрированного набора интернет-приложений SeaMonkey 2.53

Спустя полгода с момента прошлого выпуска опубликован релиз набора интернет-приложений SeaMonkey 2.53.1, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят).

Основные изменения:

  • Используемый в SeaMonkey браузерный движок обновлён до Firefox 60.3 (в прошлом выпуске использовался Firefox 52) с портированием связанных с безопасностью исправлений и некоторых улучшений из Firefox 72.
  • Встроенный почтовый клиент синхронизирован с Thunderbird 60.
  • Менеджер закладок переименован в Библиотеку (Library) и теперь также предоставляет инструменты для просмотра истории посещений.
  • Реализация менеджера загрузок переведена на новый API, но сохранила старый внешний вид.
  • В панель CSS Layout добавлена секция для инспектирования контейнеров CSS Grid.
  • По умолчанию активирована версия TLS 1.3.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52450

February 28, 2020 04:46 AM

February 26, 2020

OpenNet.ru : mozilla

Mozilla начинает внедрение технологии изоляции библиотек RLBox

Исследователи из Стендфордского университета, Калифорнийского университета в Сан-Диего и Техасского университета в Остине разработали инструментарий RLBox, который может применяться как дополнительный уровень изоляции для блокирования уязвимостей в библиотеках функций. RLBox нацелен на решение проблемы с безопасностью незаслуживающих доверия сторонних библиотек, которые не подконтрольны разработчикам, но уязвимости в которых могут скомпрометировать основной проект.

Компания Mozilla планирует задействовать RLBox в Linux-сборках Firefox 74 и macOS-сборках Firefox 75 для изоляции выполнения библиотеки Graphite, отвечающей за отрисовку шрифтов. При этом RLBox не специфичен для Firefox и может применяться для изоляции любых библиотек в произвольных проектах. Наработки RLBox распространяются под лицензией MIT. В настоящее время RLBox поддерживает работу на платформах Linux и macOS, поддержка Windows ожидается позднее.

Механизм работы RLBox сводится к компиляции C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю (например, библиотека для обработки строк не сможет открыть сетевой сокет или файл). Преобразование кода C/C++ в WebAssembly осуществляется при помощи wasi-sdk.

Для непосредственного выполнения WebAssembly-модуль компилируется в машинный код при помощи компилятора Lucet и выполняется в отдельном "нанопроцессе", изолированном от остальной памяти приложения. Компилятор Lucet основан на том же коде, что и JIT-движок Cranelift, применяемый в Firefox для выполнения WebAssembly.

Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.

Для разработчиков предоставлен высокоуровневый API, который позволяет вызывать функции библиотеки в режиме изоляции. WebAssembly-обработчики почти не требуют дополнительных ресурсов и взаимодействие с ними не сильно медленнее вызова обычных функций (функции библиотеки выполняется в форме нативного кода, а накладные расходы возникают лишь при копировании и проверке данных в процессе взаимодействия с изолированным окружением). Функции изолированной библиотеки не могут быть вызваны напрямую и для обращения к ним необходимо применять прослойку invoke_sandbox_function().

В свою очередь, если из библиотеки необходимо вызвать внешние функции, данные функции должны быть явно определены при помощи метода register_callback (по умолчанию RLBox предоставляет доступ к функциям стандартной библиотеки). Для обеспечения безопасной работы с памятью (memory safety) изоляции выполнения кода недостаточно и требуется также обеспечить проверку возвращаемых потоков данных.

Сформированные в изолированном окружении значения помечаются как незаслуживающие доверия, ограничиваются при помощи tainted-меток и для "очистки" требуют верификации и копирования в память приложения. Без очистки, попытка использования tainted-данных в контексте, требующем обычных данных (и наоборот) приводит к генерации ошибок на этапе компиляции. Небольшие аргументы функций, возвращаемые значения и структуры передаются через копирование между памятью процесса и памятью изолированного окружения. Для больших наборов данных память выделяется в изолированном окружении, а основному процессу возвращается прямой указатель "sandbox-reference".

Источник: http://www.opennet.ru/opennews/art.shtml?num=52440

February 26, 2020 11:43 AM

В Firefox 75 будут убраны https:// и www из выпадающего блока адресной строки

В ночных сборках Firefox, которые лягут в основу выпуска Firefox 75, запланированного на 7 апреля, обновлено оформление адресной строки. Наиболее заметным изменением стало прекращение отображения протокола https:// и поддомена "www" в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// продолжит показываться в результатах без изменений. Не изменится также отображение URL в адресной строке.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52435

February 26, 2020 06:00 AM

February 25, 2020

OpenNet.ru : mozilla

DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США

Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.

Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 5 полностью отключает DoH; 0 - применяется предлагаемый в браузере режим по умолчанию; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52427

February 25, 2020 02:50 PM

February 24, 2020

OpenNet.ru : mozilla

Google выпустил для Firefox систему аудита web-страниц Lighthouse

Компания Google опубликовала дополнение для Firefox с реализацией инструмента Lighthouse. Lighthouse входит в состав штатных инструментов для web-разработчиков, входящих в состав Chrome (вкладка "Audits"), и даёт возможность на основе собранных метрик проанализировать производительность и качество web-страниц или web-приложений. Код распространяется под лицензией Apache 2.0. Firefox-дополнение подготовлено основной командой разработчиков Lighthouse и использует при построении отчётов API PageSpeed Insights.

Дополнение позволяет определить узкие места в производительности web-приложений, проанализировать скорость загрузки компонентов и потребление ресурсов, выявить излишне ресурсоёмкие операции на JavaScript, определить проблемы в конфигурации http-сервера, оценить оптимальность оформления для индексации поисковыми системами (SEO), изучить актуальность применения web-технологий и пригодность web-приложения для людей с ограниченными возможностями. Поддерживается симуляция применения в системе более слабого CPU и низкой пропускной способности сети.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52421

February 24, 2020 07:19 AM

February 18, 2020

OpenNet.ru : mozilla

Доступен Mozilla WebThings Gateway 0.11, шлюз для умного дома и IoT-устройств

Компания Mozilla опубликовала новый выпуск продукта WebThings Gateway 0.11, который в сочетании с библиотеками WebThings Framework образует платформу WebThings для обеспечения доступа к различным категориям потребительских устройств и использования универсального Web Things API для организации взаимодействия с ними. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js и распространяется под лицензией MPL 2.0. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi. Также доступны пакеты для OpenWrt, Fedora, Arch, Ubuntu, Raspbian и Debian, а на базе OpenWrt развивается готовый дистрибутив с интегрированной поддержкой Things Gateway, предоставляющий унифицированный интерфейс для настройки умного дома и беспроводной точки доступа.

В новом выпуске:

  • Проведена локализация интерфейса для не англоязычных пользователей. Добавлены переводы для 24 языков, включая русский;
  • Расширено число платформ, для которых распространяются установочные пакеты. Помимо образов для Raspberry Pi и Docker сформированы пакеты для Debian 10, Raspbian, Ubuntu 18.04/19.04/19.10 и Fedora 30/31. В репозитории AUR размещены пакеты для Arch Linux;
  • Стабилизирована система журналирования событий, собирающая статистику о работе всех IoT-устройств и датчиков в домашней сети и позволяющая оценить их активность в форме наглядных графиков. Например, можно узнать сколько раз открывались и закрывались двери во время своего отсутствия, как изменялась температура в доме, сколько потребляли энергии устройства, подключенные к умным розеткам, когда срабатывал детектор движения и т.п. Графики могут строится в разрезе часов, дней и недель и прокручиваться по шкале времени;
  • Экспериментальная функциональность голосового ассистента, позволяющая распознавать и выполнять голосовые команды (например, "включи свет на кухне"), признана несостоятельной и удалена. В следующем выпуске также будет удалён API, связанный с голосовым управлением. Вместо встроенного голосового помощника предлагается использовать дополнения с похожей функциональностью, которые можно найти в разделе Settings ➡ Add-ons;
  • В сборке для Raspberry Pi появилась опция для отключения автоматической доставки OTA-обновлений;
  • Для дополнений предоставлена возможность доступа к настройкам языка и локализации;
  • Добавлена возможность доступа к web-интерфейсу из других систем в локальной сети без шифрования (с использованием "http://", а не "https://");
  • Повышена надёжность и стабильность PWA-приложения (Progressive Web App), позволяющего организовать работу с web-приложением, как с обособленной программой.

Напомним, что WebThings Gateway представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности каждой платформы и не требующую использования специфичных для каждого производителя приложений. Для взаимодействия шлюза с IoT-платформами можно использовать протоколы ZigBee и ZWave, WiFi или прямое подключение через GPIO. Шлюз можно установить на плату Raspberry Pi и получить систему управления умным домом, объединяющую все имеющиеся в доме IoT-устройства и предоставляющую средства для мониторинга и управления ими через Web-интерфейс.

Платформа также позволяет создавать дополнительные web-приложения, которые могут взаимодействовать с устройствами через Web Thing API. Таким образом, вместо установки своего мобильного приложения для каждого типа IoT-устройств, можно использовать единый унифицированный web-интерфейс. Для установки WebThings Gateway достаточно загрузить предоставленную прошивку на SD-карту, открыть в браузере хост "gateway.local", настроить подключение к WiFi, ZigBee или ZWave, найти имеющиеся IoT-устройства, настроить параметры для доступа извне и добавить самые востребованные устройства на домашний экран.

Шлюз поддерживает такие функции, как определение устройств в локальной сети, выбор web-адреса для соединения с устройствами из интернета, создание учётных записей для доступа к web-интерфейсу шлюза, подключение к шлюзу устройств, поддерживающих проприетарные протоколы ZigBee и Z-Wave, удалённое включение и выключение устройств из web-приложения, удалённый мониторинг за состоянием дома и видеонаблюдение.

WebThings Framework предоставляет набор заменяемых компонентов для создания IoT-устройств, которые могут напрямую взаимодействовать c использованием Web Things API. Подобные устройства могут автоматически определяться шлюзами на базе WebThings Gateway или клиентским ПО (используется mDNS) для последующего мониторинга и управления через Web. Реализации серверов для Web Things API подготовлены в форме библиотек на Python, Java, Rust, Arduino и MicroPython.



Источник: http://www.opennet.ru/opennews/art.shtml?num=52393

February 18, 2020 07:55 PM

Mozilla Россия : Новости

Вышел Firefox 73.0.1

Форум: Новости
Автор: banbot

Опубликовано корректирующее обновление Firefox 73.0.1, в котором предложено 5 исправлений:

  • Решена проблема с крахами браузера в некоторых Linux-дистрибутивах при воспроизведении зашифрованного мультимедийного контента;
  • Исправлена ошибка, приводившая к преждевременному завершению работы при выходе из режима предпросмотра перед выводом на печать;
  • Устранены проблемы с подсоединением к сайту RBC Royal Bank;
  • Исправлены крахи на системах Windows, возникающие при использовании на компьютере сторонних приложений для обеспечения безопасности, таких как 0patch и G DATA;
  • Устранена невозможность загрузки страниц на системах с Windows 10, при работе в режиме совместимости c Windows 7 или при наличии настроек для защиты от эксплуатации уязвимостей.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 18, 2020 04:59 PM

OpenNet.ru : mozilla

Обновление Firefox 73.0.1

Опубликовано корректирующее обновление Firefox 73.0.1, в котором предложено 5 исправлений:
  • Решена проблема с крахами браузера в некоторых Linux-дистрибутивах при воспроизведении зашифрованного мультимедийного контента;
  • Исправлена ошибка, приводившая к преждевременному завершению работы при выходе из режима предпросмотра перед выводом на печать;
  • Устранены проблемы с подсоединением к сайту RBC Royal Bank;
  • Исправлены крахи на системах Windows, возникающие при использовании на компьютере сторонних приложений для обеспечения безопасности, таких как 0patch и G DATA;
  • Устранена невозможность загрузки страниц на системах с Windows 10, при работе в режиме совместимости c Windows 7 или при наличии настроек для защиты от эксплуатации уязвимостей.


Источник: http://www.opennet.ru/opennews/art.shtml?num=52392

February 18, 2020 04:53 PM

February 13, 2020

OpenNet.ru : mozilla

В Firefox появится режим отложенной загрузки изображений

В ночные сборки Firefox, на основе которых 7 апреля будет сформирован выпуск Firefox 75, добавлена возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" будет добавлен атрибут "loading", который может принимать значение "lazy".

Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. По умолчанию данный режим отключён в Firefox, и для его активации следует в about:config установить параметр "dom.image-lazy-loading.enabled=true". Ранее аналогичная возможность была реализована в браузере Chrome 76.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52366

February 13, 2020 04:57 PM

February 12, 2020

Mozilla Россия : Новости

Вышел Thunderbird 68.5.0

Форум: Новости
Автор: banbot

Доступен корректирующий выпуск почтового клиента Thunderbird 68.5.0.

  • Новое: Добавлена поддержка расширения Client Identity в службах IMAP/SMTP
  • Новое: Добавлена поддержка аутентификации OAuth 2.0 для учетных записей POP3
  • Исправлено: Во время настройки учетной записи строка состояния становилась пустой
  • Исправлено: Календарь: Для категорий по умолчанию не удавалось удалить цвет
  • Исправлено: Календарь: Предотвращение загрузки компонента календаря несколько раз
  • Исправлено: Календарь: Панель "Сегодня" не сохраняла ширину между сессиями
  • Исправлено: Уязвимости в системе безопасности

Загрузить:

    • Русская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    • Английская версия:
        ico-win.png Windows (32-bit)
        ico-win.png Windows (64-bit)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

  • Другие языки

Примечания к выпуску

February 12, 2020 08:47 AM

February 11, 2020

Mozilla Россия : Новости

Вышел Firefox 73

Форум: Новости
Автор: banbot

Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

  • В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS) добавлена поддержка сервиса NextDNS, помимо ранее предлагавшегося DNS-сервера CloudFlare ("https://1.1.1.1/dns-query"). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

    0_1581435648.png

  • Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/]или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошеной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 подобные дополнения продолжат работать, но будут перенесены из общего каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений.
  • Реализована возможность установки глобального базового уровня масштабирования, применяемого ко всем страницам, а не привязываемого к отдельным сайтам. Изменить общий масштаб можно в настройках (about:preferences) в секции "Language and Appearance". В настойках также появилась опция, позволяющая применять масштабирование только для текста, не касаясь изображений.

    0_1581435540.png

  • Диалог с предложением сохранения логинов теперь выводится только если было изменено значение логина в поле ввода;
  • На Windows-ноутбуках с драйверами NVIDIA новее выпуска 432 и разрешением экрана меньше 1920x1200 включена система композитинга WebRender. Cистема композитинга WebRender написана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы;
  • Добавлена возможность использования концепции "Site Specific Browser" (SSB) для работы с web-приложением как с обычной настольной программой. В режиме SSB скрываются меню, адресная строка и прочие элементы интерфейса браузера, а в текущем окне допускается только открытие ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера). В отличие от уже имеющегося режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений. Режим также можно вызвать кнопкой "Launch Site Specific Browser", размещённой в меню действий со страницей (многоточие справа от адресной строки). По умолчанию режим неактивен и требует включения через указание "browser.ssb.enabled = true" в about:config.

    0_1581441611.png

  • В режиме высококонтрастного отображения, предназначенного для людей с ослабленным зрением или нарушенным восприятием цветов, появилась поддержка фоновых изображений. Для сохранения читаемости и обеспечения должного уровня контраста видимый текст отделяется отдельным фоном, в котором используется цвет активной темы оформления;
  • Повышено качество звука при повышении или понижении скорости воспроизведения;
  • Улучшено автоопределение старых текстовых кодировок на страницах, на которых явно не указана информация о кодировке;
  • В строке поиска в web-консоли появилась возможность фильтрации по отсутствующему ключу через указание символа "-" перед маской или регулярным выражением. Например, поисковый запрос "-img" выведет все элементы, в которых отсутствует строка "img", а "-/(cool|rad)/" покажет элементы, не соответствующие регулярному выражению "/(cool|rad)/".
  • Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки.
  • В SVG добавлена поддержка свойств letter-spacing и word-spacing.
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Свойства innerWidth и innerHeight объектов Window теперь всегда возвращает фактическую заданную ширину и высоту области (Viewport Layout), а не размер видимой части (Visual Viewport).
  • Проведена оптимизация производительности инструментов для web-разработчиков. Снижена нагрузка при сборе статистики для панели мониторинга сетевой активности. В отладчике JavaScript и web-консоли ускорена загрузка больших скриптов с привязкой к их изначальным исходным текстам (source-mapped).
  • В web-консоли проблемы с выходом за пределы области текущего домена (CORS, Cross-Origin Resource Sharing) теперь отображаются как ошибки, а не предупреждения. Для автодополнения в консоли стали доступны переменные, определяемые в выражениях.
  • В инструментах для web-разработчиках в разделе инспектирования сети обеспечено декодирование сообщений (JSON, MsgPack и CBOR) в формате WAMP (WebSocket Web Application Messaging Protocol), передаваемых через соединение WebSocket.

    wamp-ws-inspector.png

Кроме новшеств и исправления ошибок в Firefox 73 устранено 15 уязвимостей, из которых из которых 11 (собраны под CVE-2020-6800 и CVE-2020-6801) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Загрузить:

    Русская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

    Английская версия:
        ico-win.png Windows (32-bit) (установка через Интернет)
        ico-win.png Windows (32-bit) (установка в автономном режиме)
        ico-win.png Windows (64-bit) (установка в автономном режиме)
        ico-win.png Windows (ARM 64-bit) (установка в автономном режиме)
        ico-osx-uni.png Mac OS X (32-bit/64-bit)
        ico-tux.png Linux (32-bit)
        ico-tux.png Linux (64-bit)

Другие языки

Что нового в Firefox 73 для разработчиков
Примечания к выпуску для Firefox 73.0 для Windows, Mac and Linux

Новость взята с сайта opennet.ru

February 11, 2020 05:38 PM

OpenNet.ru : mozilla

Релиз Firefox 73

Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

  • В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS) добавлена поддержка сервиса NextDNS, помимо ранее предлагавшегося DNS-сервера CloudFlare ("https://1.1.1.1/dns-query"). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.
  • Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 подобные дополнения продолжат работать, но будут перенесены из общего каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений.
  • Реализована возможность установки глобального базового уровня масштабирования, применяемого ко всем страницам, а не привязываемого к отдельным сайтам. Изменить общий масштаб можно в настройках (about:preferences) в секции "Language and Appearance". В настройках также появилась опция, позволяющая применять масштабирование только для текста, не касаясь изображений.
  • Диалог с предложением сохранения логинов теперь выводится только если было изменено значение логина в поле ввода.
  • На Windows-ноутбуках с драйверами NVIDIA новее выпуска 432 и разрешением экрана меньше 1920x1200 включена система композитинга [[https://wiki.mozilla.org/Platform/GFX/WebRender_Where]]. Cистема композитинга WebRender написана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы.
  • Добавлена возможность использования концепции "Site Specific Browser" (SSB) для работы с web-приложением как с обычной настольной программой. В режиме SSB скрываются меню, адресная строка и прочие элементы интерфейса браузера, а в текущем окне допускается только открытие ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера). В отличие от уже имеющегося режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений. Режим также можно вызвать кнопкой "Launch Site Specific Browser", размещённой в меню действий со страницей (многоточие справа от адресной строки). По умолчанию режим неактивен и требует включения через указание "browser.ssb.enabled = true" в about:config.
  • В режиме высококонтрастного отображения, предназначенного для людей с ослабленным зрением или нарушенным восприятием цветов, появилась поддержка фоновых изображений. Для сохранения читаемости и обеспечения должного уровня контраста видимый текст отделяется отдельным фоном, в котором используется цвет активной темы оформления.
  • Повышено качество звука при повышении или понижении скорости воспроизведения;
  • Улучшено автоопределение старых текстовых кодировок на страницах, на которых явно не указана информация о кодировке.
  • В строке поиска в web-консоли появилась возможность фильтрации по отсутствующему ключу через указание символа "-" перед маской или регулярным выражением. Например, поисковый запрос "-img" выведет все элементы, в которых отсутствует строка "img", а "-/(cool|rad)/" покажет элементы, не соответствующие регулярному выражению "/(cool|rad)/".
  • Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки.
  • В SVG добавлена поддержка свойств letter-spacing и word-spacing.
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Свойства innerWidth и innerHeight объектов Window теперь всегда возвращает фактическую заданную ширину и высоту области (Viewport Layout), а не размер видимой части (Visual Viewport).
  • Проведена оптимизация производительности инструментов для web-разработчиков. Снижена нагрузка при сборе статистики для панели мониторинга сетевой активности. В отладчике JavaScript и web-консоли ускорена загрузка больших скриптов с привязкой к их изначальным исходным текстам (source-mapped).
  • В web-консоли проблемы с выходом за пределы области текущего домена (CORS, Cross-Origin Resource Sharing) теперь отображаются как ошибки, а не предупреждения. Для автодополнения в консоли стали доступны переменные, определяемые в выражениях.
  • В инструментах для web-разработчиков в разделе инспектирования сети обеспечено декодирование сообщений (JSON, MsgPack и CBOR) в формате WAMP (WebSocket Web Application Messaging Protocol), передаваемых через соединение WebSocket.

Кроме новшеств и исправления ошибок в Firefox 73 устранено 15 уязвимостей, из которых 11 (собраны под CVE-2020-6800 и CVE-2020-6801) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52347

February 11, 2020 03:32 PM

February 05, 2020

OpenNet.ru : mozilla

В мобильный браузер Firefox Preview добавлена поддержка дополнений

Разработчики Mozilla добавили поддержку дополнений в кодовую базу мобильного браузера Firefox Preview (Fenix), который развивается для замены редакции Firefox для платформы Android. Новый браузер основан на движке GeckoView и наборе библиотек Mozilla Android Components.

Возможность подключения дополнений на базе API WebExtension доступна для тестирования в ночных сборках Firefox Preview. В меню появился пункт "Add-ons Manager", в котором показаны доступные для установки дополнения. В текущем виде в списке совместимых с Firefox Preview дополнений пока присутствует только uBlock Origin. Поддержка других дополнений ожидается позднее.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52314

February 05, 2020 07:09 PM

Планета Mozilla

planet

Подписки

Ленты: Atom, RSS 2.0, RSS 1.0
Списки: FOAF, OPML

Участвуют


Справка

Последнее обновление

June 05, 2020 01:00 PM
Время в UTC.