Suicide
19.04.2021, 21:45
Состоялся (https://www.mozilla.org/en-US/firefox/88.0/releasenotes/) релиз web-браузера Firefox 88 (https://www.mozilla.org/en-US/firefox/88.0/releasenotes/). Кроме того, сформировано обновление ветки (https://www.mozilla.org/en-US/firefox/organizations/all/) с длительным сроком поддержки 78.10.0 (https://www.mozilla.org/en-US/firefox/78.10.0/releasenotes/). На стадию бета-тестирования (https://firefox.com/channel) в ближайшее время будет переведена (https://www.mozilla.org/en-US/firefox/89.0beta/releasenotes/) ветка Firefox 89, релиз которой намечен на 1 июня.
Основные (https://www.mozilla.org/en-US/firefox/88.0/releasenotes/) новшества (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/88):
В просмотрщике PDF добавлена поддержка интегрированных в PDF-файлы форм ввода, в которых для обеспечения интерактивного взаимодействия с пользователем используется JavaScript.
Введено ограничение на интенсивность показа запроса полномочий для доступа к микрофону и камере. Подобные запросы не будут показываться, если в течение последних 50 секунд пользователь уже предоставлял доступ к тому же устройству, для того же сайта и той же вкладки.
Вызов инструмента для создания скриншотов удалён из меню "Page Actions", показываемого при нажатии на многоточие в адресной строке. Для создания скриншотов рекомендуется вызывать соответствующий инструмент для контекстного меню, показываемого при клике правой кнопкой мыши или разместить ярлык в панели через интерфейс настройки внешнего вида.https://www.opennet.ru/opennews/pics_base/0_1618842807.png (https://www.opennet.ru/opennews/pics_base/0_1618842799.png)
Добавлена поддержка масштабирования щипком на тачпадах в Linux с графическими окружениями на базе протокола Wayland.
В системе вывода на печать выполнена локализация единиц измерения, используемых для задания полей.
При запуске Firefox в окружениях Xfce и KDE активировано использование движка композитинга WebRender (https://wiki.mozilla.org/Platform/GFX/WebRender_Where#Linux). В Firеfox 89 ожидается (https://bugzilla.mozilla.org/show_bug.cgi?id=1702301) включение WebRender для всех остальных пользователей Linux, включая все версии Mesa и системы с драйверами NVIDIA (ранее webRender был включён только для GNOME при наличии драйверов Intel и AMD). WebRender написан на языке Rust и позволяет добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Для принудительного включения в about:config следует активировать настройку "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
Началось поэтапное включение (https://www.opennet.ru/opennews/art.shtml?num=54979) протоколов HTTP/3 и QUIC. Вначале поддержка HTTP/3 будет активирована лишь для небольшого процента пользователей и, если не возникнет непредвиденных проблем, будет доведена до всех к концу мая. Для использования HTTP/3 требуется поддержка на стороне клиента и сервера одной и той же версии чернового стандарта QUIC и HTTP/3, которая указывается в заголовке Alt-Svc (Firefox поддерживает черновики спецификации с 27 по 32).
Отключена (https://www.opennet.ru/opennews/art.shtml?num=54976) по умолчанию поддержка протокола FTP. Настройка network.ftp.enabled по умолчанию установлена в значение false, а параметр для расширений browserSettings.ftpProtocolEnabled переведён в режим только для чтения. В следующем выпуске будет удалён весь код, связанный с FTP. В качестве причины называется снижение рисков атак на старый, имеющий историю выявления уязвимостей и имеющий проблемы с сопровождением код с реализацией поддержки FTP. Также упоминается избавление от протоколов, не поддерживающих шифрование, которые незащищены от модификации и перехвата транзитного трафика при совершении MITM-атак.
Для блокирования (https://blog.mozilla.org/security/2021/04/19/firefox-88-combats-window-name-privacy-abuses/) возможных межсайтовых утечек обеспечена изоляция значения свойства "window.name" первичным сайтом, с которого открыта страница.
В JavaScript для результата выполнения регулярных выражений добавлено свойство "indices (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/RegExp/exec)", которое содержит массив c начальными и конечными позициями групп совпадений. Свойство заполняется только при выполнении регулярного выражения с флагом "/d".
Code:
let re = /quick\s(brown).+?(jumps)/igd;
let result = re.exec('The Quick Brown Fox Jumps Over The Lazy Dog');
// result.indices[0] === Array [ 4, 25 ]
// result.indices[1] === Array [ 10, 15 ]
// result.indices[2] === Array [ 20, 25 ]
В Intl.DisplayNames() и Intl.ListFormat() ужесточена проверка того, что опции, передаваемые в конструктор, являются объектами. При попытке передачи строк или других примитивов будет генерироваться исключения.
Для DOM предоставлен новый статический метод AbortSignal.abort() (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal/abort), возвращающий AbortSignal (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal), для которой уже выставлен параметр aborted (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal/aborted).
В CSS реализованы (https://developer.mozilla.org/en-US/docs/Web/CSS/:user-invalid) новые псевдо-классы ":user-valid" и ":user-invalid", определяющие состояние проверки элемента формы, для которого после взаимодействия пользователя с формой была выполнена проверка корректности указанных значений. Ключевым отличием ":user-valid" и ":user-invalid" от псевдо-классов ":valid" и ":invalid" является то, что проверка начинается только после того, как пользователь перешёл на другой элемент (например, переключился табуляцией на другое поле).
CSS-функция image-set() (https://developer.mozilla.org/en-US/docs/Web/CSS/image-set()), позволяющая выбрать изображение из набора вариантов с разным разрешением, наиболее подходящее для текущих параметров экрана и пропускной способности сетевого подключения, теперь может использоваться (https://hacks.mozilla.org/2021/04/never-too-late-for-firefox-88/) в CSS-свойствах "content" и "cursor".
Code:
h2::before {
content: image-set(
url("small-icon.jpg") 1x,
url("large-icon.jpg") 2x);
}
В CSS-свойстве outline (https://developer.mozilla.org/en-US/docs/Web/CSS/outline) обеспечено соответствие контуру, установленному при помощи свойства border-radius (https://developer.mozilla.org/en-US/docs/Web/CSS/border-radius).
Для macOS моноширинный шрифт по умолчанию изменён на Menlo.
В инструментах для web-разработчиков в панели инспектирования сети появилась новая кнопка для переключения между показом HTTP-ответов в формате JSON и в неизменном виде, в котором ответы переданы по сети.
https://www.opennet.ru/opennews/pics_base/0_1618840168.png (https://www.mozilla.org/media/img/firefox/releasenotes/note-images/network_panel_json_toggle.9bc1e09b1452.png)
Включение по умолчанию поддержки формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1, отложено до следующего выпуска. В версии Firefox 89 также планируется предложить обновлённый интерфейс пользователя и интегрировать (https://bugzilla.mozilla.org/show_bug.cgi?id=1697251) в адресную строку калькулятор (включается через suggest.calculator в about:config)
Кроме новшеств и исправления ошибок в Firefox 88 устранено 17 уязвимостей (https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/), из которых 9 помечены (https://www.mozilla.org/en-US/security/advisories/mfsa2021-07/) как опасные. 5 уязвимостей (собраны под CVE-2021-29947) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
19.04.2021
https://www.opennet.ru/opennews/art.shtml?num=54989
Основные (https://www.mozilla.org/en-US/firefox/88.0/releasenotes/) новшества (https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/88):
В просмотрщике PDF добавлена поддержка интегрированных в PDF-файлы форм ввода, в которых для обеспечения интерактивного взаимодействия с пользователем используется JavaScript.
Введено ограничение на интенсивность показа запроса полномочий для доступа к микрофону и камере. Подобные запросы не будут показываться, если в течение последних 50 секунд пользователь уже предоставлял доступ к тому же устройству, для того же сайта и той же вкладки.
Вызов инструмента для создания скриншотов удалён из меню "Page Actions", показываемого при нажатии на многоточие в адресной строке. Для создания скриншотов рекомендуется вызывать соответствующий инструмент для контекстного меню, показываемого при клике правой кнопкой мыши или разместить ярлык в панели через интерфейс настройки внешнего вида.https://www.opennet.ru/opennews/pics_base/0_1618842807.png (https://www.opennet.ru/opennews/pics_base/0_1618842799.png)
Добавлена поддержка масштабирования щипком на тачпадах в Linux с графическими окружениями на базе протокола Wayland.
В системе вывода на печать выполнена локализация единиц измерения, используемых для задания полей.
При запуске Firefox в окружениях Xfce и KDE активировано использование движка композитинга WebRender (https://wiki.mozilla.org/Platform/GFX/WebRender_Where#Linux). В Firеfox 89 ожидается (https://bugzilla.mozilla.org/show_bug.cgi?id=1702301) включение WebRender для всех остальных пользователей Linux, включая все версии Mesa и системы с драйверами NVIDIA (ранее webRender был включён только для GNOME при наличии драйверов Intel и AMD). WebRender написан на языке Rust и позволяет добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Для принудительного включения в about:config следует активировать настройку "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
Началось поэтапное включение (https://www.opennet.ru/opennews/art.shtml?num=54979) протоколов HTTP/3 и QUIC. Вначале поддержка HTTP/3 будет активирована лишь для небольшого процента пользователей и, если не возникнет непредвиденных проблем, будет доведена до всех к концу мая. Для использования HTTP/3 требуется поддержка на стороне клиента и сервера одной и той же версии чернового стандарта QUIC и HTTP/3, которая указывается в заголовке Alt-Svc (Firefox поддерживает черновики спецификации с 27 по 32).
Отключена (https://www.opennet.ru/opennews/art.shtml?num=54976) по умолчанию поддержка протокола FTP. Настройка network.ftp.enabled по умолчанию установлена в значение false, а параметр для расширений browserSettings.ftpProtocolEnabled переведён в режим только для чтения. В следующем выпуске будет удалён весь код, связанный с FTP. В качестве причины называется снижение рисков атак на старый, имеющий историю выявления уязвимостей и имеющий проблемы с сопровождением код с реализацией поддержки FTP. Также упоминается избавление от протоколов, не поддерживающих шифрование, которые незащищены от модификации и перехвата транзитного трафика при совершении MITM-атак.
Для блокирования (https://blog.mozilla.org/security/2021/04/19/firefox-88-combats-window-name-privacy-abuses/) возможных межсайтовых утечек обеспечена изоляция значения свойства "window.name" первичным сайтом, с которого открыта страница.
В JavaScript для результата выполнения регулярных выражений добавлено свойство "indices (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/RegExp/exec)", которое содержит массив c начальными и конечными позициями групп совпадений. Свойство заполняется только при выполнении регулярного выражения с флагом "/d".
Code:
let re = /quick\s(brown).+?(jumps)/igd;
let result = re.exec('The Quick Brown Fox Jumps Over The Lazy Dog');
// result.indices[0] === Array [ 4, 25 ]
// result.indices[1] === Array [ 10, 15 ]
// result.indices[2] === Array [ 20, 25 ]
В Intl.DisplayNames() и Intl.ListFormat() ужесточена проверка того, что опции, передаваемые в конструктор, являются объектами. При попытке передачи строк или других примитивов будет генерироваться исключения.
Для DOM предоставлен новый статический метод AbortSignal.abort() (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal/abort), возвращающий AbortSignal (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal), для которой уже выставлен параметр aborted (https://developer.mozilla.org/en-US/docs/Web/API/AbortSignal/aborted).
В CSS реализованы (https://developer.mozilla.org/en-US/docs/Web/CSS/:user-invalid) новые псевдо-классы ":user-valid" и ":user-invalid", определяющие состояние проверки элемента формы, для которого после взаимодействия пользователя с формой была выполнена проверка корректности указанных значений. Ключевым отличием ":user-valid" и ":user-invalid" от псевдо-классов ":valid" и ":invalid" является то, что проверка начинается только после того, как пользователь перешёл на другой элемент (например, переключился табуляцией на другое поле).
CSS-функция image-set() (https://developer.mozilla.org/en-US/docs/Web/CSS/image-set()), позволяющая выбрать изображение из набора вариантов с разным разрешением, наиболее подходящее для текущих параметров экрана и пропускной способности сетевого подключения, теперь может использоваться (https://hacks.mozilla.org/2021/04/never-too-late-for-firefox-88/) в CSS-свойствах "content" и "cursor".
Code:
h2::before {
content: image-set(
url("small-icon.jpg") 1x,
url("large-icon.jpg") 2x);
}
В CSS-свойстве outline (https://developer.mozilla.org/en-US/docs/Web/CSS/outline) обеспечено соответствие контуру, установленному при помощи свойства border-radius (https://developer.mozilla.org/en-US/docs/Web/CSS/border-radius).
Для macOS моноширинный шрифт по умолчанию изменён на Menlo.
В инструментах для web-разработчиков в панели инспектирования сети появилась новая кнопка для переключения между показом HTTP-ответов в формате JSON и в неизменном виде, в котором ответы переданы по сети.
https://www.opennet.ru/opennews/pics_base/0_1618840168.png (https://www.mozilla.org/media/img/firefox/releasenotes/note-images/network_panel_json_toggle.9bc1e09b1452.png)
Включение по умолчанию поддержки формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1, отложено до следующего выпуска. В версии Firefox 89 также планируется предложить обновлённый интерфейс пользователя и интегрировать (https://bugzilla.mozilla.org/show_bug.cgi?id=1697251) в адресную строку калькулятор (включается через suggest.calculator в about:config)
Кроме новшеств и исправления ошибок в Firefox 88 устранено 17 уязвимостей (https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/), из которых 9 помечены (https://www.mozilla.org/en-US/security/advisories/mfsa2021-07/) как опасные. 5 уязвимостей (собраны под CVE-2021-29947) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
19.04.2021
https://www.opennet.ru/opennews/art.shtml?num=54989