Mozilla Firefox

[Friend 1 247]

Выпуск Firefox Lite 2.0, компактного браузера для Android :

 

Опубликован выпуск web-браузера Firefox Lite 2.0, который позиционируется как легковесный вариант Firefox Focus, адаптированный для работы на системах с ограниченными ресурсами и на низкоскоростных каналах связи. Проект развивается командой разработчиков Mozilla из Тайваня и нацелен прежде всего на поставку в Индии, Индонезии, Таиланде, Филиппинах, Китае и развивающихся странах.

Ключевым отличием Firefox Lite от Firefox Focus является использование встроенного в Android движка WebView вместо Gecko, что позволяет уменьшить размер APK-пакета с 38 до 4.9 МБ, а также даёт возможность использовать браузер на маломощных смартфонах на базе платформы Android Go. Как и в Firefox Focus, в Firefox Lite встроен блокировщик нежелательного контента, вырезающий рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Применение блокировщика позволяет существенно уменьшить размер загружаемых данных и сократить время загрузки страниц в среднем на 20%.

Firefox Lite поддерживает такие возможности, как закладки на избранные сайты, просмотр истории посещений, вкладки для одновременной работы с несколькими страницами, менеджер загрузок, быстрый поиск текста на страницах, режим приватного просмотра (не сохраняются Cookie, история и данные в кеше). Среди расширенных возможностей:

• Режим Turbo для ускорения загрузки за счёт вырезания рекламы и стороннего контента (включён по умолчанию);
• Режим блокировки изображений (показ только текста);
• Кнопка очистки кэша для увеличения свободной памяти;
• Возможность создания скриншота всей страницы, а не только видимой части;
• Поддержка изменения цветовой гаммы интерфейса.

В новой версии полностью переработано оформление браузера. На стартовой странице число закреплённых ссылок на сайты увеличено с 8 до 15 (пиктограммы разделены на два экрана, переключаемых скользящим жестом). Ссылки могут добавляться и удаляться по усмотрению пользователя. В центральной части стартовой страницы отдельно выделены две секции, при переходе в которые отображается подборка новостей и игр.

В нижнюю часть стартовой страницы, рядом со строкой поиска появилась кнопка "шопинг", при нажатии на которую выводится специализированный интерфейс для поиска товаров и сравнения цен в разных интернет-магазинах, без захода на их сайты. Поддерживается поиск товаров в Google, Amazon, eBay и Aliexpress. Возможно получение купонов на скидки непосредственно через браузер, но данная возможность пока ограничена только для пользователей из Индии и Индонезии.

 

 

[Umnik 1 280]

С вебвью тоже не так всё просто. В Android 7 и новее качестве движка подсовывается Chrome, если он установлен. То есть приложение может использовать веб вью, а реально используется блинк. Такие вот хитрые вещи. В итоге Фаерфокс Лайт — это блинк с фичами Мозиллы.

[Friend 1 247]

@Umnik, что-то они слишком много "клепают" мобильных версий браузеров.

[Umnik 1 280]

Так это не основная команда.

[Friend 1 247]

Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей:

 

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.

За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF - 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.

Для базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.

По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:

• Autograph (сервис цифровых подписей),
• Lando (сервис автоматического размещения кода из Phabricator в репозиториях),
• Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений),
• Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).

Из новых базовых сайтов отмечены:

• Firefox Monitor (monitor.firefox.com),
• Платформа локализации (l10n.mozilla.org),
• Сервис Payment Subscription (обвязка над платёжной системой Stripe),
• Firefox Private Network (дополнение с прокси для защиты трафика),
• Ship It (система трансляции запросов на формирование релизов),
• Speak To Me (система распознавания речи, лежащая в основе Speech Recognition API).

Дополнительно можно отметить намерение активировать в намеченном на 7 января релизе Firefox 72 методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения. В Firefox 72 подобные запросы будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш).

Из грядущих изменений в Firefox 72 также выделяется использование цвета фона текущей страницы для полосы прокрутки и удаление возможности привязки открытых ключей (PKP, Public Key Pinning), позволяющей при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).

 

Разработчики из Mozilla добавили опцию для управления доступом к about : config :

 

Джеймс Уилкокс (James Wilcox) из компании Mozilla предложил изменение с реализацией параметра general.aboutConfig.enable и настройки GeckoRuntimeSettings aboutConfigEnabled, позволяющих управлять доступом к странице about:config в GeckoView (вариант движка Firefox для платформы Android). Настройка даст возможность создателям встраиваемых браузеров для мобильных устройств, использующих движок на базе GeckoView, при необходимости по умолчанию отключать доступ к about:config, а пользователям возвращать возможность его использования.

Возможность отключения доступа к about:config добавлена в кодовую базу выпуска Firefox 71, релиз которого намечен на 3 декабря. Рассматривается вопрос отключения по умолчанию about:config в некоторых вариантах мобильного браузера Fenix (Firefox Preview), продолжающего развитие Firefox для Android. Тем не менее, для управления доступом к about:config в Fenix добавлена настройка aboutConfigEnabled, позволяющая при необходимости вернуть about:config.

В качестве причины желания ограничить доступ к about:config упоминается ситуация, когда в Fennec (старый Firefox для Android) неаккуратным изменением about:config можно было легко перевести браузер в неработоспособное состояние. По мнению инициатора изменения, пользователям не следует давать доступ к небезопасным методам изменения параметров движка Gecko. В качестве вариантов также предлагалось заблокировать опасные настройки через введение белого списка доступных для изменения параметров или добавить новую секцию "about:features" для управления включением экспериментальных возможностей.

 

 

Изменено 25 ноября, 2019 пользователем Friend

[Friend 1 247]

В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя :

 

В ночных сборках Firefox, которые лягут в основу намеченного на 7 января выпуска Firefox 72, по умолчанию включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Защита от скрытого отслеживания включена в применяемом по умолчанию стандартном режиме блокировки нежелательного контента и осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации.

Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

 

 

[Friend 1 247]

Релиз Firefox 71 :

 

Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки).

Основные новшества:

• Предложен новый интерфейс страницы "about:config", который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно реализована поддержка поиска через штатный механизм, который применяется и для поиска на обычных страницах с пошаговым перебором совпадений.

  Для каждой настройки добавлена кнопка, позволяющая инвертировать переменные с булевыми значениями (true/false) или редактировать строковые и числовые переменные. Для изменённых пользователем значений добавлена кнопка для возвращения изменений к значению по умолчанию.

  

  После открытия about:config по умолчанию элементы не показываются и видна только строка поиска, а для просмотра всего списка нужно нажать кнопку "Show all". В настройки добавлена опция "general.aboutConfig.enable", позволяющая вернуть доступ к странице about:config, если он опционально был отключён на этапе сборки;

  
• Задействован по умолчанию новый интерфейс просмотра TLS-сертификатов, доступный через служебную страницу "about:certificate" и меню "Tools > Page Info > Security > View Certificate". Реализация интерфейса просмотра сертификатов полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum. Если раньше для просмотра сертификатов открывалось отдельное окно, то теперь информация отображается во вкладке в форме, напоминающей дополнение Certainly Something.
• Модернизировано оформление адресной строки. Наиболее заметным изменением стал уход от отображения списка рекомендаций на всю ширину экрана в пользу явно обозначенного выпадающего окна. Предложенные изменения продолжают развитие новой реализации адресной строки Quantum Bar, появившейся в Firefox 68 и отличающейся полным переписыванием кода с заменой XUL/XBL на стандартный Web API. На первом этапе оформление Quantum Bar полностью повторяло старую адресную строку и изменения сводились лишь к внутренней переработке. Теперь началась работа по усовершенствованию внешнего вида. Изменения пока отключены по умолчанию и требуют активации через настройку "browser.urlbar.megabar" в about:config.
• Добавлена поддержка запуска браузера в режиме интернет-киоска, который активируется при указании в командной строке опции "--kiosk" и приводит к возможности работы только в полноэкранном режиме. Показ управляющих элементов интерфейса, всплывающих окон, контекстных меню и индикаторов состояния загрузки страницы (отображения ссылок и текущего URL) блокируется. Ввод с клавиатуры сильно ограничивается, например, отключается обработка клавиш Alt и Ctrl, что не позволяет выйти из браузера, переключиться на другое приложение или открыть другой сайт. Режим можно использовать для организации работы различных автономных терминалов, рекламных стендов, демонстрационных панелей и прочих систем, ограниченных работой с одним сайтом/web-приложением.
• Во входящем в состав браузера системном дополнении Lockwise (ранее дополнение поставлялось как Lockbox), предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилось распознавание поддоменов при автозаполнении форм ввода пароля. Вывод предупреждений Firefox Monitor о компрометации учётных записей реализован и для пользователей с экранными ридерами.
• В сборках для Windows, Linux и macOS задействован нативный декодировщик MP3.
• В расширенный режим защиты от отслеживания перемещений добавлен вывод уведомлений о блокировке кода для майнинга криптовалют. В панели, показываемой при клике на пиктограмму с изображений щита в адресной строке, обеспечен показ счётчика заблокированных трекеров.
• Для пользователей Windows включена по умолчанию возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift). В системах отличных от Windows поддержка режима может быть включена в about:config при помощи опции "media.videocontrols.picture-in-picture.enabled".
  
   
• Реализована поддержка вложенной многослойной компоновки элементов страницы (CSS Grid Level 2), которая заметно улучшает гибкость построения макетов страниц, выровненных по сетке, за счёт предоставления возможности определения дочерних элементов, привязанных к родительским ячейкам (размещение отдельного grid внутри ячейки). Вложенные сетки определяются через использования значения "subgrid" в свойствах "grid-template-columns" и "grid-template-rows". Поддержка вложенных grid также добавлена в режим инспектирования DevTools Grid Inspector.
• В CSS добавлено свойство column-span, позволяющее элементу охватывать все столбцы.
• В CSS-свойстве clip-path добавлена возможность определения ограничивающей видимость области, заданной при помощи функции path() в формате контура SVG.
• Добавлена возможность учёта коэффициента соотношения сторон, определённого через свойство aspect-ratio, для HTML-атрибутов "height" и "width" в теге img.
• В JavaScript добавлен метод Promise.allSettled(), который возвращает только уже выполненные или отклонённые promise, не учитывая promise, ожидающие выполнения (позволяет дождаться результата выполнения до запуска другого кода).
• Реализован класс MathMLElement (ранее предоставлялся только класс Element), определяющий элементы в нотации MathML. Также добавлено соответствующее DOM-дерево MathML с которым можно использовать mathmlEl.style и глобальные обработчики событий.
• В DOM добавлен конструктор StaticRange() для создания объекта StaticRange, представляющего часть содержимого DOM.
• Добавлен API Media Session, предоставляющий средства для настройки блока с информацией о воспроизведении мультимедийного контента в области уведомлений. Через данный API web-приложение может не только вывести уведомление о начале воспроизведения новой композиции, но и организовать управление из области уведомлений или через интерфейс хранителя экрана, например, разместить кнопки приостановки, перемещения по потоку или переходу к следующей композиции.
• В API для разработчиков дополнений улучшена обработка сбоев при загрузке данных. Во всплывающих окнах, открываемых дополнениями через вызов windows.create, обеспечен показ названия дополнения вместо URL дополнения ("moz-extension://").
• В WebGL добавлена поддержка расширения OVR_multiview2, позволяющее одним вызовом выполнять отрисовку сразу в несколько областей просмотра (например, полезно для стереовывода в WebXR);
  
   
• В интерфейсе инспектирования сетевой активности реализована возможность анализа стадий обработки сетевого запроса с раздельным отображением времени резолвинга в DNS, установки соединения, отправки данных и получения ответа. Информация предоставляется через новую вкладку Timing в правой боковой панели.
• В интерфейсе отслеживания сетевой активности по умолчанию включён режим инспектирования соединений WebSocket с возможностью приостановки активных соединений.
• В Network Monitor добавлена поддержка полнотекствого поиска в телах запросов/ответов, cookie и заголовках, а также реализована возможность блокировки загрузки определённых URL через добавления фильтров с необходимыми масками.
• В web-консоли реализован многострочный режим редактирования, позволяющий вводить разбитые на несколько строк конструкции JavaScript с их выполнением не при нажатии Enter, а через клик на кнопку Run. Режим оформлен в виде боковой панели, отображаемой после нажатия на пиктограмму "split pane" в правой части поля ввода или через клавиатурную комбинацию Ctrl+B.
• В отладчике JavaScript обеспечен предпросмотр значений переменных по месту их использования в коде, реализовано ведение лога событий и добавлена возможность отключения всплывающего блока с точками останова (devtools.debugger.features.overlay в about:config).
• Для Android подготовлено корректирующее обновление Firefox 68.2. Напомним, что формирование новых значительных релизов Firefox для Android прекращено. Для замены Firefox для Android под кодовым именем Fenix (распространяется как Firefox Preview) развивается новый браузер для мобильных устройств, использующий движок GeckoView и набор библиотек Mozilla Android Components. Снижение числа критических уязвимостей обусловлено тем, что проблемы с памятью, такие как переполнения буферов и обращение у уже освобождённым областям памяти, теперь помечаются как опасные, но не критические. В новом выпуске устранено 13 подобных проблем, которые потенциально могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Кроме новшеств и исправления ошибок в Firefox 71 устранено 26 уязвимостей, из которых 17 (собраны под CVE-2019-17013 и CVE-2019-17012) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Примечательно, что проблемы с памятью, такие как переполнения буферов и обращение у уже освобождённым областям памяти, теперь помечаются как опасные, но не критические.

 

 

[Friend 1 247]

Доступен браузер Firefox Preview 3.0 для Android:

 

Компания Mozilla опубликовала третий значительный выпуск экспериментального браузера Firefox Preview, развиваемого под кодовым именем Fenix. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Первый стабильный выпуск ожидается в первой половине 2020 года. После стабилизации проекта и реализации всей задуманной функциональности браузер заменит собой редакцию Firefox для Android, выпуск новых релизов которой прекращён, начиная с Firefox 69.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

В новом выпуске:

• Добавлены расширенные средства для защиты от отслеживания перемещений, позволяющие по аналогии с настольной версией Firefox блокировать рекламу с кодом для отслеживания перемещений, счётчики web-аналитики, виджеты социальных сетей, скрытые методы идентификации пользователя и код для майнинга криптовалют. По умолчанию активен режим жёсткой блокировки (Strict). По оценке разработчиков включение блокировки приводит к ускорению загрузки страниц в среднем на 20%. При касании к пиктограмме с изображением щита отрывается окно с информацией о заблокированных элементах c возможностью детального просмотра списка блокировки для текущего сайта.
• По умолчанию активирована опция для открытия внешних ссылок (переходы по ссылке из сторонних приложений) в приватном режиме.
• Добавлена опция для автоматической очистки истории открытия страниц при выходе из браузера.
• Добавлена возможность выбора типов информации, которая будет синхронизироваться между устройствами. Из информации для синхронизации пока предложены только закладки и история открытия страниц.
• Добавлены настройки поведения автоматического и фонового воспроизведения видео и звука.
• Реализован интерфейс для просмотра и управления загрузками. Состояние загрузки отображается через виджет в области уведомлений, через который также можно приостановить, продолжить или отменить загрузку. После завершения загрузки всплывает диалог, через который можно открыть загруженный файл.
• Вместо панели Quick Action предложена новая реализация браузерного меню.
• Добавлена возможность добавления новых движков для обращения к поисковым системам.
• Предложена опция для перемещения навигационной панели в нижнюю или верхнюю часть экрана.
• Добавлена настройка для установки глобального уровня масштабирования, применяемого для всех сайтов.

Основные особенности Firefox Preview:

• Высокая производительность. Заявлено, что Firefox Preview до двух раз быстрее классического Firefox для Android, что достигается благодаря применению на этапе компиляции оптимизаций на основе результатов профилирования кода (PGO - Profile-guided optimization) и за счёт включения JIT-компилятора IonMonkey для 64-разрядных систем ARM. Кроме ARM сборки GeckoView также теперь формируются и для систем x86_64.
• Включение по умолчанию защиты от отслеживания перемещений и различной паразитной активности.
• Универсальное меню, через которое можно получить доступ к настройкам, библиотеке (избранные страницы, история, загрузки, недавно закрытые вкладки), выбору режима отображения сайта (показ десктоп-версии сайта), поиску текста на странице, переходу в приватный режим, открытию новой вкладки и навигации между страницами.
• Многофункциональная адресная строка, в которой имеется универсальная кнопка для быстрого выполнения операций, таких как отправка ссылки на другое устройство и добавление сайта в список избранных страниц. При нажатии на адресной строке запускается полноэкранный режим подсказки, предлагающий релевантные варианты ввода на основе истории посещений и рекомендаций от поисковых систем.
• Применение вместо вкладок концепции коллекций, позволяющих сохранять, группировать и обмениваться избранными сайтами. После закрытия браузера остающиеся открытыми вкладки автоматически группируются в коллекцию, которую затем можно просмотреть и восстановить.
• На стартовой странице выводится адресная строка, совмещённая с функцией глобального поиска, и показывается список открытых вкладок или, если страницы не открыты, отображается список сеансов, в которых сгруппированы ранее открытые сайты в привязке к сеансам работы с браузером.
• Присутствует функция отправки вкладки или коллекции на другое устройство.

 

 

[Umnik 1 280]

Я уже использую его как основной, но есть две проблемы, которые пока не позволяют удалить 68ую Лису: нет режима чтения и нельзя открывать ссылки во внешних приложениях. С первым всё понятно, а про второе знают не все. Если открыть в Лисе ссылку, которую может обработать какое-то приложение на телефоне, то в панели появится иконка Андроида. Если на неё нажать, то ссылка будет проброшена в это приложение. Это очень нужно, когда читаешь статью на сайте и тебе дают ссылку на Маркет, например. Т.к. ссылка имеет схему https://, а не market://, то её откроет этот же браузер.

[Friend 1 247]

В Firefox 73 появится режим браузера одного сайта. Усиление защиты аккаунтов разработчиков дополнений :

 

После добавления в Firefox 71 поддержки работы в режиме интернет-киоска, разработчики Mozilla добавили в ночные сборки Firefox, на базе которых будет сформирован релиз Firefox 73, возможность открытия ссылок с использованием концепции "Site Specific Browser" (SSB). Новый режим ограничивает открытие в окне только ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера), а также скрывает меню, адресную строку и прочие элементы интерфейса браузера.

В отличие от ранее добавленного режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. При помощи новой возможности можно организовать работу с web-приложением как с обычной настольной программой. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений, и кнопка "Launch Site Specific Browser", размещённая в меню действий со страницей (открывается через многоточие справа от адресной строки).

Дополнительно можно упомянуть решение ввести в практику обязательное применение двухфакторной аутентификации для учётных записей разработчиков дополнений. При подключении к addons.mozilla.org будет дополнительно запрашиваться код верификации, генерируемый отдельным приложением (FreeOTP, Authy, Google Authenticator, Duo Mobile, andOTP или KeepassXC). Изменение планируется ввести в начале 2020 года. Ожидается, что принудительное использование двухфакторной аутентификации поможет предотвратить неавторизированный доступ в случае утечки параметров учётной записи разработчика и защитить от захвата злоумышленниками контроля за дополнениями.

 

 

[Friend 1 247]

В Firefox 72 появится возможность удаления данных телеметрии с серверов Mozilla :

 

В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) компания Mozilla предложит в выпуске Firefox 72, намеченном на 7 января, возможность инициировать удаление с серверов Mozilla данных, полученных в процессе сбора телеметрии и привязанных к конкретному экземпляру браузера.

Закон CCPA предоставляет право знать, какие именно персональные данные собираются и кому эти данные передаются, требует предоставить доступ к этим данным, а также дать возможность изменения, удаления и запрета продажи уже собранных персональных данных. Предоставляемая законом CCPA защита персональных данных распространяется только на жителей Калифорнии, но в Mozilla решили предоставить средства удаления данных телеметрии всем пользователям, независимо от места проживания.

Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии. Из данных, которые оседают на серверах Mozilla в процессе сбора телеметрии отмечается информация о производительности, безопасности Firefox и общих параметрах, таких как число открытых вкладок и длительность сеанса (сведения об открываемых сайтах и поисковых запросах не передаются). Полные сведения о собираемых данных можно посмотреть на странице "about:telemetry".

 

 

[Friend 1 247]

Релиз Firefox 72 :

 

Состоялся релиз web-браузера Firefox 72, а также мобильной версии Firefox 68.4 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.4.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 73, релиз которой намечен на 11 февраля (проект перешёл на 4-недельный цикл разработки).

Основные новшества:

• В применяемом по умолчанию стандартном режиме блокировки нежелательного контента включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"), которая осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
• Активированы методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий (Notification.requestPermission(), PushManager.subscribe() и MediaDevices.getDisplayMedia()). Запросы подтверждения полномочий теперь не будут прерывать работу с браузером, а лишь станут приводить к выводу индикатора в адресной строке после того, как зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш). Многие сайты злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Анализ телеметрии показал, что 97% подобных запросов отклоняются, в том числе в 19% случаях пользователь сразу закрывает страницу не нажимая кнопку согласия или отклонения.
• Добавлена экспериментальная поддержка протокола HTTP/3 (для активации в about:config нужно установить опцию "network.http.http3.enabled"). Поддержка HTTP/3 в Firefox основана на neqo, написанной на языке Rust реализации клиента и сервера протокола QUIC (HTTP/3 стандартизирует использование протокола QUIC в качестве транспорта для HTTP/2).
• В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) добавлена возможность удаления данных телеметрии с серверов Mozilla. Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии. Из данных, которые оседают на серверах Mozilla в процессе сбора телеметрии отмечается информация о производительности, безопасности Firefox и общих параметрах, таких как число открытых вкладок и длительность сеанса (сведения об открываемых сайтах и поисковых запросах не передаются). Полные сведения о собираемых данных можно посмотреть на странице "about:telemetry".
• Для Linux и macOS добавлена возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift).
• При отображении полосы прокрутки задействован цвета фона текущей страницы.
• Удалена возможность привязки открытых ключей (PKP, Public Key Pinning), позволяющая при помощи HTTP-заголовка Public-Key-Pins явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome) и возможность заблокировать собственный сайт из-за привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома).
• В состав приняты патчи, позволяющие в OpenBSD задействовать системные вызовы unveil() и pledge() для дополнительной изоляции файловой системы и процессов.
• В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), помимо ранее предлагавшегося по умолчанию DNS-сервера CloudFlare ("https://1.1.1.1/dns-query")добавлена поддержка сервиса NextDNS. Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.
• Удалена поддержка блокировки изображений с отдельных доменов. В качестве причины удаления указывается невостребованность функции среди пользователей и неудобный интерфейс для блокировки.
• В сборках для Windows реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload).
  
   
• Активирована по умолчанию поддержка CSS Shadow Parts, включая атрибут "part" и псевдоэлемент "::part", позволяющие выборочно отображать заданные элементы из Shadow DOM.
  <custom-element>
  <p part="example">A paragraph</p>
  </custom-element>
  
  ... в CSS для выбора элементов в привязке к атрибуту part:
  
  custom-element::part(example) {
  border: solid 1px black;
  border-radius: 5px;
  padding: 5px;
  }
   
• Добавлена поддержка спецификации CSS Motion Path, позволяющей определять траекторию движения объектов анимации при помощи CSS без использования кода на JavaScript и без блокирования процесса отрисовки и ввода во время показа анимации. Для управления анимацией представлены CSS-свойства offset, offset-path, offset-anchor, offset-distance и offset-rotate.
• Включены по умолчанию отдельные CSS-свойства трансформации scale, rotate и translate, не привязанные к свойству transform (т.е. в CSS теперь можно указать "scale: 2;" вместо "transform: scale(2);").
• В JavaScript реализован логический оператор объединения "??", который возвращает правый операнд, если левый операнд имеет значение NULL или undefined, и наоборот. Например, "const foo = bar ?? 'default string'" если bar равен null вернёт стоку или значение bar в противном случае, в том числе когда bar равен 0 и ' ', в отличие от оператора "||".
• Добавлен API FormDataEvent и событие FormData, которые дают возможность использовать обработчики на JavaScript для добавления данных в форму на этапе её отправки без необходимости сохранять данные в скрытых элементах input.
• API Geolocation обновлён для соответствия новой спецификации, например, переименованы Coordinates в GeolocationCoordinates, Position в GeolocationPosition и PositionError в GeolocationPositionError.
  
   
• В отладчик JavaScript добавлена поддержка условных точек останова (watchpoint), срабатывающих при изменении или чтении определённых свойств объектов.
• Ускорен запуск отладчика JavaScript в условиях открытия очень большого числа вкладок (в первую очередь приоритет теперь отдаётся видимым вкладкам).
• В Responsive Design Mode реализована симуляция различных значений meta viewport. В режиме инспектирования страниц добавлен симулятор значений "prefers-color-scheme".
• В web-консоли в многострочном режиме интерпретации JavaScript добавлена поддержка сохранения и открытия файлов при помощи комбинаций Ctrl + O и Ctrl + S.
• Добавлена настройка javascript.options.asyncstack для визуального разделения асинхронных сообщений в web-консоли. При активации настройки для console.trace() и console.error() выводится полный стек вызова асинхронных операций, позволяющий разобраться в планировании запуска таймеров, событий, promise, генераторов и т.п.
• В режиме инспектирования WebSocket реализован разбор и наглядное отображение метаданных формата SignalR, применяемого в сообщениях ASP.NET Core, Также добавлены счётчики, показывающие суммарных размер отданных и загруженных данных.
• В инструменте для мониторинга сетевой активности во вкладке Timings раздельно отображены данные о времени помещения в очередь для загрузки, начале загрузки и завершении загрузки каждого ресурса.
• Из инструментов для web-разработчиков исключено окружение Scratchpad, предназначенное для экспериментов в кодом JavaScript (на смену Scratchpad в прошлом выпуске пришёл многострочный режим работы web-консоли).

Кроме новшеств и исправления ошибок в Firefox 72 устранено 20 уязвимостей, из которых 11 (собраны под CVE-2019-17025 и CVE-2019-17024) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические. Особого внимания также заслуживает проблема CVE-2019-17017 в коде XPCVariant.cpp, которая также потенциально может привести к исполнению кода.

 

[Sapfira 609]

Уже 72.0.1 вышла.

Исправили какую-то уязвимость.

[Friend 1 247]

Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости :

Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов. Следы совершении атак с использование 0-day уязвимости были обнаружены китайским производителям антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном коде, скомпилированном JIT-движком IonMonkey. Подробности пока не раскрываются, но для анализа доступен код патча.

 

[Friend 1 247]

Mozilla тестирует систему голосового управления Firefox Voice :

 

Компания Mozilla начала тестирование дополнения Firefox Voice с реализацией экспериментальной системы голосовой навигации, позволяющей использовать речевые команды для выполнения типовых действий в браузере. В настоящее время поддерживается обработка команд только на английском языке. Для активации требуется нажать на индикатор в адресной строке и выдать голосовую команду (в фоне микрофон отключён).

От типовых систем голосового управления предложенное дополнение отличается тем, что оно сосредоточено не на замене мыши и клавиатуры при манипуляциях с интерфейсом, а позиционируется как вспомогательный инструмент для обработки вопросов на естественном языке, выполняющий роль голосового помощника. Например, пользователь может передавать такие команды, как "какая сейчас погода", "найди вкладку с Gmail", "отключи звук", "сохрани как PDF", "увеличь масштаб", "открой сайт mozilla".

После установки дополнения, пользователю предлагается предоставить право сбора и анализа голосовых шаблонов, с их передачей на серверы Mozilla для увеличения точности работы сервиса (данные собирают анонимно, и не передаются третьим лицам). При этом отправка телеметрии с голосовыми данными опциональна и от неё можно отказаться.

По данным издания soeren-hentzschel.at обработка команд производится с задействованием службы распознавания речи Google (Google Cloud Speech Service), но в коде дополнения определены серверы Mozilla (настройки могут быть переопределены при сборке). В файле, определяющем политику конфиденциальности, упомянута возможность отправки голосовых данных как в Mozilla, так и в Google Cloud Speech.

 

 

Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов :

 

Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов - CRLite. CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Код для генерации БД и серверные компоненты написаны на Python и Go. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350мс). Организация локальной проверки по спискам CRL (Certificate Revocation List) затруднена большим размером данных - в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается.

Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности. Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%).

Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими - для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки. Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата.

CRLite позволяет свести полные сведения о всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента. Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах и эта БД будет доступна при любых условиях.

CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. Обычно для полного покрытия всех данных достаточно создания 7-10 слоёв. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP.

 

 

Изменено 13 января, 2020 пользователем Friend