Suicide
06.05.2020, 19:43
Состоялся релиз web-браузера Firefox 76 (https://www.mozilla.org/en-US/firefox/76.0/releasenotes/), а также мобильной версии (https://www.mozilla.org/en-US/mobile/68.8.0/releasenotes/) Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки (https://www.mozilla.org/en-US/firefox/organizations/all/) с длительным сроком поддержки 68.8.0 (https://www.mozilla.org/en-US/firefox/68.8.0/releasenotes/). В ближайшее время на стадию бета-тестирования (https://firefox.com/channel) перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.
Основные (https://www.mozilla.org/en-US/firefox/76.0/releasenotes/) новшества (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/76):
Расширены (https://blog.mozilla.org/firefox/trust-firefox-with-your-passwords/) возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.https://www.opennet.ru/opennews/pics_base/0_1588696932.png
Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккаунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com (https://haveibeenpwned.com/), включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки (https://www.opennet.ru/opennews/art.shtml?num=48121) является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).
https://www.opennet.ru/opennews/pics_base/0_1588696912.png
Расширено число сайтов для которых применяется функция автоматической генерации (https://support.mozilla.org/en-US/kb/how-generate-secure-password-firefox) надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.
https://www.opennet.ru/opennews/pics_base/0_1571763616.png (https://www.opennet.ru/opennews/pics_base/0_1571763611.png)
В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована (https://bugzilla.mozilla.org/show_bug.cgi?id=1194529) поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.
Добавлен (https://bugzilla.mozilla.org/show_bug.cgi?id=1620242) режим (https://bugzilla.mozilla.org/show_bug.cgi?id=1613063) работы "HTTPS Only (https://www.opennet.ru/opennews/art.shtml?num=52597)", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется (https://hg.mozilla.org/mozilla-central/rev/f6d98a73d50a) на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращения по https к введённому в адресной строке адресу завершится таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http:// (https://antichat.live/). В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке (https://support.mozilla.org/kb/about-picture-picture-firefox)" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
В окружениях на базе Wayland при помощи нового WebGL-бэкенда (https://www.opennet.ru/opennews/art.shtml?num=52471) реализована (https://bugzilla.mozilla.org/show_bug.cgi?id=1619258) возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender (https://github.com/servo/webrender), написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
Добавлена поддержка объекта AudioWorklet (https://developer.mozilla.org/en-US/docs/Web/API/BaseAudioContext/audioWorklet), который позволяет использовать интерфейсы AudioWorkletProcessor (https://developer.mozilla.org/en-US/docs/Web/API/AudioWorkletProcessor) и AudioWorkletNode (https://developer.mozilla.org/en-US/docs/Web/API/AudioWorkletNode), работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
В CSS добавлены (https://developer.mozilla.org/en-US/docs/Web/CSS/color_value#System_Colors) ключевые слова (https://drafts.csswg.org/css-color-4/#css-system-colors), определяющие системные значения цветов (CSS Color Module Level 4).
В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
Включена блокировка неизвестных протоколов в методах, подобных "location.href" или .
При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптимизировать свои сайты для Firefox для Android без мобильного устройства.
В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable (https://guides.rubyonrails.org/action_cable_overview.html), который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.https://www.opennet.ru/opennews/pics_base/0_1588709332.png (https://2r4s9p1yi1fa2jd7j43zph8r-wpengine.netdna-ssl.com/files/2020/05/websocket-message-formatting.png)
В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.https://www.opennet.ru/opennews/pics_base/0_1588704839.png
В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).
Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости (https://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox76), из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.
05.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52883
Основные (https://www.mozilla.org/en-US/firefox/76.0/releasenotes/) новшества (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/76):
Расширены (https://blog.mozilla.org/firefox/trust-firefox-with-your-passwords/) возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс "about:logins" для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.https://www.opennet.ru/opennews/pics_base/0_1588696932.png
Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккаунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com (https://haveibeenpwned.com/), включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки (https://www.opennet.ru/opennews/art.shtml?num=48121) является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).
https://www.opennet.ru/opennews/pics_base/0_1588696912.png
Расширено число сайтов для которых применяется функция автоматической генерации (https://support.mozilla.org/en-US/kb/how-generate-secure-password-firefox) надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей с атрибутом "autocomplete = new-password". Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.
https://www.opennet.ru/opennews/pics_base/0_1571763616.png (https://www.opennet.ru/opennews/pics_base/0_1571763611.png)
В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована (https://bugzilla.mozilla.org/show_bug.cgi?id=1194529) поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.
Добавлен (https://bugzilla.mozilla.org/show_bug.cgi?id=1620242) режим (https://bugzilla.mozilla.org/show_bug.cgi?id=1613063) работы "HTTPS Only (https://www.opennet.ru/opennews/art.shtml?num=52597)", который отключён по умолчанию. При активации режима при помощи параметра "dom.security.https_only_mode" в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц ("http://" заменяется (https://hg.mozilla.org/mozilla-central/rev/f6d98a73d50a) на "https://"). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращения по https к введённому в адресной строке адресу завершится таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http:// (https://antichat.live/). В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
Добавлена возможность быстрого переключения между просмотром видео в режиме "картинка в картинке (https://support.mozilla.org/kb/about-picture-picture-firefox)" (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим "картинка в картинке".
Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
В окружениях на базе Wayland при помощи нового WebGL-бэкенда (https://www.opennet.ru/opennews/art.shtml?num=52471) реализована (https://bugzilla.mozilla.org/show_bug.cgi?id=1619258) возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920x1200 по умолчанию активирована система композитинга WebRender (https://github.com/servo/webrender), написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
Добавлена поддержка объекта AudioWorklet (https://developer.mozilla.org/en-US/docs/Web/API/BaseAudioContext/audioWorklet), который позволяет использовать интерфейсы AudioWorkletProcessor (https://developer.mozilla.org/en-US/docs/Web/API/AudioWorkletProcessor) и AudioWorkletNode (https://developer.mozilla.org/en-US/docs/Web/API/AudioWorkletNode), работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
В CSS добавлены (https://developer.mozilla.org/en-US/docs/Web/CSS/color_value#System_Colors) ключевые слова (https://drafts.csswg.org/css-color-4/#css-system-colors), определяющие системные значения цветов (CSS Color Module Level 4).
В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций "numberingSystem" и "calendar". Например: "Intl.NumberFormat('en-US', { numberingSystem: 'latn' })" или "Intl.DateTimeFormat('th', { calendar: 'gregory' })".
Включена блокировка неизвестных протоколов в методах, подобных "location.href" или .
При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптимизировать свои сайты для Firefox для Android без мобильного устройства.
В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable (https://guides.rubyonrails.org/action_cable_overview.html), который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.https://www.opennet.ru/opennews/pics_base/0_1588709332.png (https://2r4s9p1yi1fa2jd7j43zph8r-wpengine.netdna-ssl.com/files/2020/05/websocket-message-formatting.png)
В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню "blackbox" предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.https://www.opennet.ru/opennews/pics_base/0_1588704839.png
В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).
Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости (https://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox76), из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.
05.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52883