Перейти к содержанию

Kaspersky User

Рекомендуемые сообщения

Mozilla представила новые возможности по продвижению дополнений к Firefox

Спойлер

Компания Mozilla представила новые возможности по продвижению дополнений в каталоге AMO (addons.mozilla.org). В пилотном режиме с конца сентября до конца ноября будет расширена программа ручной проверки и рецензирования дополнений.

Так как у Mozilla нет ресурсов вручную проверить все дополнения, запущена программа Promoted Add-ons, дающая возможность провести подобную проверку вне очереди на платной основе. Во время действия пилотного режима проверка и продвижение будут производиться бесплатно для избранного числа наиболее интересных дополнений, оформивших заявку. Цены платного сервиса будут названы в ближайшие несколько месяцев.

Предложено два уровня платной проверки:

  • Возможность разместить специальную метку, указывающую на то, что дополнение было проверено сотрудниками Mozilla и полностью соответствует требованиям каталога в отношении безопасности и конфиденциальности. Метка отображается как в каталоге AMO, так и в менеджере дополнений Firefox (about:addons).
    0_1599812147.png
  • Размещение дополнения в новой секции "Sponsored extensions" на главной странице сайта addons.mozilla.org.
    0_1599812577.jpg

 

Ссылка на комментарий
Поделиться на другие сайты

Mozilla сворачивает сервисы Firefox Send и Firefox Notes

Спойлер

Компания Mozilla приняла решение закрыть сервисы Firefox Send и Firefox Notes. Firefox Send официально прекратил свою работу начиная с сегодняшнего дня (на деле доступ был закрыт ещё в июле), а Firefox Notes будет выведен из строя 1 ноября. Высвободившиеся ресурсы планируется направить на развитие сервисов Mozilla VPN, Firefox Monitor и Firefox Private Network.

Работа сервиса Firefox Send была приостановлена в начале июля из-за его вовлечения в распространение вредоносного ПО, хранение компонентов, используемых при проведении различных атак, и передачу данных, перехваченных в результате работы вредоносных программ или компрометации пользовательских систем. Работу планировалось восстановить после реализации возможности отправки жалоб на размещение проблемного содержимого и создания службы оперативного реагирования, но, в конечном счёте, было решено полностью закрыть сервис.

Напомним, что Firefox Send позволял загрузить в хранилище на серверах Mozilla файл, размером до 1 Гб в анонимном режиме и 2.5 Гб при создании зарегистрированной учётной записи. На стороне браузера файл шифровался и передавался на сервер уже в зашифрованном виде. После загрузки файла пользователю предоставлялась ссылка, которая генерировалась на стороне клиента и включала идентификатор и ключ для расшифровки. При помощи предоставленной ссылки получатель мог загрузить файл и расшифровать на своей стороне. Отправитель имел возможность определить число загрузок, после исчерпания которых файл удалялся из хранилища Mozilla, а также время жизни файла (от одного часа до 7 дней).

Firefox Notes развивался как эксперимент по созданию новых методов синхронизации зашифрованных данных. Пользователям предлагалось мобильное приложение для Android и дополнение для настольного браузера, которые позволяли создавать заметки, одновременно с просмотром web-страниц, и работать с единой базой заметок с разных устройств. В ноябре Android-приложение и обслуживающие сервис серверы будут выведены из эксплуатации. Браузерное дополнение останется доступным для существующих пользователей сервиса и будет включать опцию для экспорта всех заметок в формат HTML. Для новых установок дополнение станет недоступно.
 

   

 

Уязвимость в Firefox для Android, позволяющая управлять браузером через общий Wi-Fi

Спойлер

В Firefox для Android выявлена серьёзная уязвимость в реализации протокола SSDP, применяемого для обнаружения сетевых сервисов в локальной сети. Уязвимость позволяет атакующему, находящемуся в той же локальной или беспроводной сети, ответить на проверочные запросы Firefox сообщением UPnP XML "LOCATION" с intent-командами, при помощи которых можно открыть в браузере произвольный URI или вызвать обработчики других приложений.

Проблема проявляется вплоть до выпуска Firefox для Android 68.11.0 и устранена в версии Firefox для Android 79, т.е. старые классические выпуски Firefox для Android уязвимы и для блокирования проблемы требуется переход на новую редакцию браузера (Fenix), в которой используется движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components. Версии Firefox для настольных систем проблема не затрагивает.

Для тестирования уязвимости подготовлен рабочий прототип эксплоита. Атака осуществляется без каких-либо действий со стороны пользователя, достаточно чтобы на мобильном устройстве был запущен уязвимый браузер Firefox для Android и чтобы жертва находилась в одной подсети с SSDP-сервером атакующего.

Firefox для Android периодически в широковещательном режиме (multicast UDP) отправляет SSDP-сообщения для определения присутствующих в локальной сети устройств вещания, таких как мультимедийные плееры и умные телевизоры. Все устройства в локальной сети получают данные сообщения и имеют возможность направить ответ. В штатном режиме устройство возвращает ссылку на местоположение XML-файла с информацией об устройстве, поддерживающем UPnP. При проведении атаки вместо ссылки на XML можно передать URI с intent-командами для Android.

При помощи intent-команд можно перенаправить пользователя на фишинг-сайты или передать ссылку на xpi-файл (браузер выдаст предложение установить дополнение). Так как ответы атакующего ничем не ограничены он может попытаться взять измором и наводнить браузер предложениями об установке или вредоносными сайтами в надежде, что пользователь ошибётся и кликнет на установке вредоносного пакета. Помимо открытия произвольных ссылок в самом браузере intent-команды могут использоваться для обработки контента и в других Android-приложениях, например, можно открыть шаблон письма в почтовом клиенте (URI mailto:) или запустить интерфейс для совершения звонка (URI tel:).
 

Скачать видео
 
   

 

Ссылка на комментарий
Поделиться на другие сайты

Релиз Firefox 81

Спойлер

Состоялся релиз web-браузера Firefox 81. Кроме того, сформировано обновление ветки с длительным сроком поддержки 78.3.0. Формирование обновлений Firefox 68.x прекращено, пользователям данной ветки будет предложено автоматическое обновление до выпуска 78.3. На стадию бета-тестирования перешла ветка Firefox 82, релиз которой намечен на 20 октября.

Основные новшества:

  • Предложен новый интерфейс предпросмотра перед выводом на печать, который примечателен открытием в текущей вкладке с заменой имеющегося содержимого (старый интерфейс предпросмотра приводил к открытию нового окна), т.е. работает по аналогии с режимом читателя. Инструменты для настройки формата страницы и параметров вывода на печать перенесены из верхней части в правую панель, в которой также появились дополнительные опции, такие как управление включением печати заголовков и фона, а также возможность выбора принтера. Для включения или отключения нового интерфейса можно использовать настройку print.tab_modal.enabled.
    0_1600783602.png
  • Модернизирован интерфейс встроенного просмотрщика PDF-документов (заменены пиктограммы, использован светлый фон для панели с инструментами). Добавлена поддержка механизма AcroForm для заполнения форм ввода и сохранения результирующего PDF с введёнными пользователем данными.
    0_1600783780.png
  • Предоставлена возможность приостановки воспроизведения звука и видео в Firefox при помощи специальных мультимедийных кнопок на клавиатуре или звуковой гарнитуре без кликов мышью. Управление воспроизведением также может осуществляться через отправку команд при помощи протокола MPRIS и срабатывает даже если экран заблокирован или активна другая программа.
  • В дополнение к базовой, светлой и тёмной темам оформления добавлена новая тема Alpenglow с цветными кнопками, меню и окнами.
    0_1600782996.png
  • Пользователям из США и Канады предоставлена возможность сохранения, управления и автозаполнения информации о кредитных картах, используемых при совершении покупок в интернет-магазинах. В других странах возможность будет активирована позднее. Для принудительного включения в about:config можно использовать настройки dom.payments.defaults.saveCreditCard, extensions.formautofill.creditCards и services.sync.engine.creditcards.
  • Для пользователей из Австрии, Бельгии и Швейцарии, использующих версию с немецкой локализацией, на странице новой вкладки добавлена секция со статьями, рекомендованными сервисом Pocket (ранее подобные рекомендации были предложены для пользователей из США, Германиии и Великобритании). Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  • Для мобильных устройств с GPU Adreno 5xx, за исключением Adreno 505 и 506, включён движок композитинга WebRender, который написан на языке Rust и позволяет добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры.
  • Предложены новые пиктограммы для режима просмотра видео Картинка в Картинке (Picture-in-Picture).
  • Обеспечено автоматическое включение панели закладок с наиболее важными сайтами после импорта внешних закладок в Firefox.
  • Добавлена возможность просмотра в Firefox ранее загруженных файлов xml, svg и webp.
  • Решена проблема со сбросом языка по умолчанию на английский после обновления браузеров с установленным языковым пакетом.
  • В атрибуте sandbox элемента <iframe> добавлена поддержка флага "allow-downloads" для блокирования автоматических загрузок, инициируемых из iframe.
  • Добавлена поддержка нестандартных HTTP-заголовков Content-Disposition с именами файлов с пробелами, не заключёнными в кавычки.
  • Для людей, имеющих проблемы со зрением, улучшена поддержка экранных ридеров и управление воспроизведением содержимого в HTML5-тегах audio/video.
  • В JavaScript-отладчике реализовано корректное определения файлов на языке TypeScript и выделение данных файлов из общего списка.
  • В отладчике предоставлена возможность остановки на первой операции в новом скрипте, что может оказаться полезным для отладки побочные эффектов при выполнении скрипта или срабатывании таймеров.
  • Обеспечен разбор и построение дерева JSON-ответов, в которых используются символы для защиты от XSSI (Cross-Site Script Inclusion), такие как ")]}'".
  • В инструментах для web-разработчиков повышена точность режима симуляции просмотра страницы людьми с отклонениями цветовосприятия, такими как дальтонизм.

Кроме новшеств и исправления ошибок в Firefox 81 устранено 10 уязвимостей, из которых 7 помечены как опасные. 6 уязвимостей (собраны под CVE-2020-15673 и CVE-2020-15674) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Обновление Firefox 81.0.1. Включение поддержки OpenH264 в пакете с Firefox для Fedora

Спойлер

Опубликован корректирующий выпуск Firefox 81.0.1, в котором исправлены следующие проблемы:

  • Устранено пропадание содержимого обучающих курсов на базе платформы BlackBoard.
  • Исправлена проблема с некорректным масштабирование Flash-контента на системах macOS с экранами HiDPI.
  • Решены проблемы с выводом на печать.
  • Решена проблема с установкой настроек в Windows через GPO (Group Policy Object).
  • Убран показ кнопок управления режимом "картинка в картинке" для элементов, содержащих только звук.
  • Исправлена проблема, приводившая к проблемам с отзывчивостью при наличии дополнений, потребляющих много памяти, таких как Disconnect.
  • Устранён крах при использовании WebGL, проявляющийся при просмотре Google Maps.
  • Устранён крах при использовании client.openWindow.
  • Устранён крах, проявляющийся при открытии вкладок при включении настройки browser.taskbar.previews.enable.

Дополнительно можно отметить задействование в предлагаемом в Fedora Linux пакете с Firefox видеокодека OpenH264 для декодирования видео и аудиокодека fdk-aac-free для декодировния звука в формате AAC. Подключение кодеков произведено при помощи API GMP (Gecko Media Plugin), позволившего запустить кодек в изолированном sandbox-окружении по аналогии с тем, как выполняется DRM-плагин Widevine CDM.

Поддержка OpenH264 даёт возможность обойтись без привлечения пакета ffmpeg, который в Fedora не входит в штатную поставку и устанавливается отдельно из стороннего репозитория RPM Fusion. При этом, OpenH264 применяется как запасной вариант, используемый только если в системе не установлен пакет ffmpeg и поддержка запрошенного формата видео отсутствует во встроенной в Firefox библиотеке ffvpx.

Также сообщается об активации по умолчанию в пакете с Firefox 81 для Fedora поддержки аппаратного ускорения декодирования видео при помощи VA-API (Video Acceleration API) в сеансах на базе технологии WebRTC, используемой в web-приложениях для проведения видеоконференций. Кроме того, возможность применения ускорения через VA-API предоставлена в окружениях на базе сервера X11, а не только в окружениях на базе Wayland.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Обновление Firefox 81.0.2

Спойлер

Опубликован корректирующий выпуск Firefox 81.0.2, в котором исправлена несовместимость с Twitter, об обходном устранении которой уже сообщалось на прошлой неделе. Проблема проявляется отображением ошибки о возникновении сбоя сетевого протокола при попытке открытия Twitter и без правки кода браузера решается удалением связанного с сайтом обработчика на странице "about:serviceworkers".

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Релиз Firefox 82

Спойлер

Состоялся релиз web-браузера Firefox 82. Кроме того, сформировано обновление ветки с длительным сроком поддержки 78.4.0. На стадию бета-тестирования перешла ветка Firefox 83, релиз которой намечен на 17 ноября.

Основные новшества:

  • Внесены улучшения, нацеленные на повышение удобства просмотра видео. Например, в режиме Picture-In-Picture изменено размещение и оформление кнопок управления воспроизведением, которые стали более заметными. Для пользователей macOS предложена клавиатурная комбинация (Option + Command + Shift + правая скобка) для вызова окна Picture-In-Picture, работающая ещё до начала воспроизведения видео. В Windows для аппаратного декодирования видео задействован механизм DirectComposition, позволяющий снизить нагрузку на CPU и продлить время автономной работы.
    0_1603209368.png
  • Для всех пользователей Windows 10, имеющих необходимое оборудование, по умолчанию активирован движок композитинга WebRender, написанный на языке Rust и позволяющий добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры.

    Для Linux в списке блокировки для WebRender остаются проприетарные драйверы NVIDIA, а также драйверы Intel при использовании экранных разрешений 3440x1440 и выше. На платформе Android движок WebRender включён для устройств с GPU Adreno 5xx (Google Pixel, Google Pixel 2/XL, Oneplus 5), Adreno 6xx (Google Pixel 3, Google Pixel 4, Oneplus 6), а также смартфонов Pixel 2 и Pixel 3.

    Пользователи бинарных драйверов NVIDIA в Linux, которые вручную включили WebRender (gfx.webrender.all=true в about:config) и не пользуются композитингом, могут столкнуться с регрессией, которая выражается в том, что верхняя половина экрана превращается в закрашенный прямоугольник. Решить проблему можно, либо включив композитинг, либо экспортировав любую из следующих переменных окружения: MOZ_GTK_TITLEBAR_DECORATION=system (к сожалению, она включает заголовок окна) или MOZ_X11_EGL=1 (эта опция выключает поддержку WebGL 2). Также можно отключить на время WebRender.

  • Проведена работа по ускорению загрузки страниц и сокращению времени запуска браузера. Сайты с разбивкой на основе элементов flexbox стали загружаться на 20% быстрее, а восстановление сеансов после перезапуска требует на 17% меньше времени. На платформе Windows примерно на 10% ускорено открытие новых окон.
  • Добавлена возможность ознакомления с новыми статьями при сохранении страницы в сервис Pocket через кнопку на панели - во всплывающем диалоге теперь показывается подборка статей с добавляемого сайта, которые выбраны другими пользователями Pocket.
  • В экранном ридере, который используется людьми с проблемами со зрением, обеспечено корректное разделение абзацев, улучшена работа при автозаполнении номеров кредитных карт и добавлено отображение ошибок при некорректном заполнении параметров в диалоге вывода на печать.
  • Расширен набор настроек, синхронизируемых между устройствами. Например, добавлена синхронизация параметров прокрутки, а также настроек экранной клавиатуры и режима picture-in-picture.
  • В собираемую на платформе Linux телеметрию (about:support) добавлен учет сведений о протоколе оконной подсистемы (Wayland, Wayland/DRM, XWayland или X11).

     
  • Включён по умолчанию API Media Session, предоставляющий средства для настройки блока с информацией о воспроизведении мультимедийного контента в области уведомлений. Через данный API web-приложение может настроить оформление информации в области уведомлений, например, разместить кнопки приостановки, перемещения по потоку или переходу к следующей композиции. Также при помощи API Media Session можно добавить обработчики для мультимедийных кнопок, срабатывающие в области уведомлений или при активном хранителе экрана.
  • В атрибуте sandbox элемента <iframe> добавлена поддержка флага "allow-downloads" для блокирования автоматических загрузок, инициируемых из iframe.
  • В CSS добавлен псевдо-элемент "::file-selector-button", через который можно настроить кнопку выбора файлов внутри элемента <input type="file">.
  • Указание некорректного селектора в псевдо-классах :is() и :where() теперь не приводит к прекращению отрисовки всего списка.
  • Директива inline в заголовке Content-Disposition теперь игнорируется, если в элементе <a> задан атрибут "download".
  • Прекращена поддержка вложенных и рекурсивных вызовов метода Document.execCommand(), которые теперь возвращают значение "false".
  • Element.setPointerCapture() теперь генерирует исключение NotFoundError при передаче некорректного идентификатора указателя.
  • Свойство window.name теперь сбрасывается в пустое значение при загрузки во вкладке страницы с другим доменом и восстанавливается при нажатии кнопки "назад" и восстановлении старой страницы.
  • В инструментах для web-разработчиков в панели инспектирования сети добавлено отображение серверных событий (Server-sent event), которые позволяют в любое время отследить данные, отправляемые сервером через механизм Server-sent. Панель сообщений (Message) в инструментах инспектирования сети объединена с панелью ответов сервера (Response), что позволяет просматривать сообщения, передаваемые через WebSockets и server-sent event, непосредственно рядом со списком ответов сервера.
    0_1603215890.png
  • В версии для платформы Android:
    • Добавлен просмотр загрузок;
    • Улучшен поиск;
    • Обеспечен вывод наиболее часто открываемых сайтов;
    • В блоке New Tab обеспечен показ недавно закрытых вкладок;
    • Реализовано автоматическое закрытие вкладок;
    • Добавлена поддержка переноса паролей для пользователей с master-паролем (теперь Primary Password);
    • Реализована возможность переключения вкладок через жест с горизонтальным сдвигом на адресной строке;
    • Включён режим зашиты от отслеживания перемещений через редиректы;
    • Включена автоматическая очистка сторонних Cookie.
  • Тестировавшиеся в бета-версии Firefox 82 не блокирующий другие вкладки новый диалог web-аутентификации, интерфейс добавления собственных поисковых движков и служебная страница about:processes отложены до следующего выпуска. В Firefox 83 также ожидается добавление в настройки опции для включения режима "HTTPS Only" (автоматическое перенаправление с HTTP на HTTPS), реализация контекстного меню для вывода на печать выделенного фрагмента, активация WebRender для GPU Intel Gen12 и задействование нового JIT-компилятора WarpBuilder, обеспечивающего ускорение от 5 до 20%.

Кроме новшеств и исправления ошибок в Firefox 82 устранено 15 уязвимостей, из которых 12 помечены как опасные. 10 уязвимостей (собраны под CVE-2020-15683 и CVE-2020-15684) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Обновление Firefox 82.0.2. Реализация программной отрисовки для WebRender

Спойлер

Опубликован корректирующий выпуск Firefox 82.0.1, в котором устранена проблема в установщике для платформы Windows, приводившая к выводу запроса на перезагрузку для завершения установки на некоторых системах. В новой версии также возвращена возможность выбора размера страницы для печати, превышающего 100 дюймов, и налажена печать PDF при установке нулевых полей. Решена проблема с выполнением команды WebDriver:ClickElement во фреймворке Marionette. Устранён крах из-за ошибки в mozilla::dom::CloneOrUndefined.

Дополнительно можно отметить начало внутреннего тестирования реализации программной отрисовки для системы композитинга WebRender, написанной на языке Rust. Программный рендеринг позволит использовать WebRender на системах со старыми видеокартами или проблемными графическими драйверами, для которых возникают проблемы со стабильностью или вообще невозможен вынос на сторону GPU операции отрисовки содержимого страницы (WebRender использует шейдеры для выполнения операций сводной отрисовки элементов страницы). После завершения внутреннего тестирования новый бэкенд будет добавлен в ночные сборки и станет доступен для активации через настройку gfx.webrender.software в about:config (требуется также включение gfx.webrender.all). Бэкенд программной отрисовки планируют включить по умолчанию в 2021 году.

Дополнение: следом опубликован выпуск Firefox 82.0.2, в котором решена проблема с дублированием сообщений WebSocket.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Обновление Firefox 82.0.3 и Thunderbird 78.4.2 с устранением уязвимости

Спойлер

Опубликованы корректирующие выпуски Firefox 82.0.3, Firefox 78.4.1 и Thunderbird 78.4.2, в которых устранена критическая уязвимость (CVE-2020-26950). Доступ к подробной информации о характере уязвимости пока ограничен, сообщает лишь, что проблема связана с неверным использованием кода операции MCallGetProperty и может привести к обращению к уже освобождённой области памяти (use-after-free), пригодному для создания рабочего эксплоита.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Релиз Firefox 83

Спойлер

Состоялся релиз web-браузера Firefox 83. Кроме того, сформировано обновление ветки с длительным сроком поддержки 78.5.0. На стадию бета-тестирования перешла ветка Firefox 84, релиз которой намечен на 15 декабря.

Основные новшества:

  • По умолчанию включён новый JIT-компилятор, развивавшийся под кодовым именем Warp, который позволил заметно упростить архитектуру JIT, повысить отзывчивость, сократить время загрузки страницы и снизить потребление памяти. Проведённые тесты демонстрируют ускорение загрузки до 15%, повышение отзывчивости до 12% и снижение потребления памяти до 8%. Скорость прохождения теста Speedometer увеличилась на 10%. Тестирование на реальных сайтах показало сокращение времени загрузки Google Docs на 20%. Показатель SpeedIndex при открытии раздела Android в Reddit улучшился на 13%. Pdfpaint стал работать быстрее на 18%.

    Производительность JavaScript-движка увеличена в основном за счёт сокращения внутренней информации о типах, отслеживаемой внутри движка, и применению техники кэширования промежуточного кода (CacheIR), ранее предложенной в "baseline" интерпретаторе байткода, который занимает промежуточную нишу между обычным интерпретатором и предварительным JIT-компилятором. Warp также позволил избавиться от дополнительных накладных расходов для кода Baseline/C++, исключил лишние перекомпиляции, вынес формирование промежуточного кода MIR (Middle-level IR) из основного потока в отдельный поток, снизил потребление памяти за счёт прекращения хранения данных о типах и группах объектов (ObjectGroups).

  • В разделе настроек "Конфиденциальность и безопасность" предложен режим "HTTPS Only", при включении которого все выполняемые без шифрования запросы автоматически перенаправляются на защищённые варианты страниц ("http://" заменяется на "https://"). Предусмотрена возможность включения данного режима для всех окон или только для окон, открываемых в режиме приватного просмотра. По умолчанию режим перенаправления на HTTPS находится в отключённом состоянии. Для отдельного сайта режим можно включить через меню, показываемое при клике на изображении щита в адресной строке.

    Если при включённом режиме проброс на https:// завершается таймаутом, пользователю показывается страница с ошибкой, на которой присутствует кнопка для выполнения запроса по http://. В случае сбоев при загрузке по "https://" cубресурсов, загружаемых при обработке страницы, подобные сбои игнорируются, но в web-консоль выводятся предупреждения, которые можно посмотреть через инструменты для web-разработчика.

    0_1605623812.png
  • Активирован новый диалог web-аутентификации, не блокирующий другие вкладки. Форма ввода параметров аутентификации теперь привязана к конкретной вкладке и не блокирует весь интерфейс.
  • Добавлена поддержка масштабирования страниц щипком. Функция пока доступна только для Windows-систем с сенсорными экранами и тачпадами, а также для систем с тачпадами на базе macOS.
  • Добавлены горячие клавиши для быстрой перемотки видео, отображаемого в режиме "картинка в картинке". Для перемотки вперёд и назад с шагом в 15 секунд теперь достаточно нажать соответствующие клавиши управления курсором.
  • Улучшен интерфейс, отображаемый при включении совместного доступа к экрану в процессе проведения видеоконференции в Firefox. В интерфейсе теперь более явно обозначено, к каким устройствам и экранам предоставлен совместный доступ.
  • В адресной строке появилась возможность быстрого переключения на другую поисковую систему - список пиктограмм доступных поисковых систем теперь отображается в нижней части окна ещё до начала набора запроса (ранее список появлялся только после ввода первой буквы запроса). При клике на поисковой системе из списка, данная система становится активной и показывается перед полем ввода. Для того чтобы сразу начать поиск, как было раньше, нужно кликнуть на пиктограмме с нажатой клавишей Shift. Пользователю также предоставлена возможность определения произвольных псевдонимов для обращения к поисковым системам.

    Кроме того, доступна функция "Tab-to-search", позволяющая через нажатие клавиши Tab в адресной строке перейти в режим поиска с выбором активной поисковой системы на основе набранных символов, если автодополнением предложена одна из установленных поисковых систем. Например, набрав "ya" будет предложено "yandex.ru", после чего можно нажать Tab и будет включён режим набора запроса в Yandex.

    0_1605625713.png
    0_1605625732.png

    Переработан интерфейс встроенного просмотрщика PDF-документов (заменены пиктограммы, использован светлый фон для панели с инструментами). Добавлена поддержка механизма AcroForm для заполнения форм ввода и сохранения результирующего PDF с введёнными пользователем данными.

    0_1605626164.png
  • Для пользователей из Индии в англоязычной сборке на странице новой вкладки добавлена секция со статьями, рекомендованными сервисом Pocket (ранее подобные рекомендации были предложены для пользователей из США, Германии, Австрии, Бельгии и Швейцарии и Великобритании). Связанная с подбором контента персонализация выполняется на стороне клиента и без передачи сведений о пользователе третьим лицам (в браузер загружается весь список рекомендованных ссылок на текущий день, который ранжируется на стороне пользователя, отталкиваясь от данных истории посещений). Для отключения рекомендованного Pocket контента предусмотрена настройка в конфигураторе (Firefox Home Content/Recommended by Pocket) и опция "browser.newtabpage.activity-stream.feeds.topsites" в about:config.
  • Добавлено контекстное меню для вывода на печать выделенного фрагмента.
  • Для устройств Apple, поставляемых с macOS Big Sur и оснащённых новыми CPU Apple, предоставлена возможность использования Firefox, применяя бинарный транслятор Rosetta 2. В следующих версиях планируется предоставить родные сборки для CPU Apple M1. В версии для macOS также обеспечено восстановление сеансов с минимизацией окон, позволяющей снизить потребление энергии.
  • Для пользователей Windows 7/8/8.1 и macOS 10.12-10.15 активирован движок композитинга WebRender, написанный на языке Rust и позволяющий добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Таким образом, WebRender теперь включён для всех версий Windows и macOS (кроме 10.16 Beta).

    Для Linux в списке блокировки для WebRender остаются проприетарные драйверы NVIDIA, а также драйверы Intel при использовании экранных разрешений 3440x1440 и выше. На платформе Android движок WebRender включён для устройств с GPU Adreno 5xx (Google Pixel, Google Pixel 2/XL, Oneplus 5), Adreno 6xx (Google Pixel 3, Google Pixel 4, Oneplus 6), а также смартфонов Pixel 2 и Pixel 3.

    Пользователи бинарных драйверов NVIDIA в Linux, которые вручную включили WebRender (gfx.webrender.all=true в about:config) и не пользуются композитингом, могут столкнуться с регрессией, которая выражается в том, что верхняя половина экрана превращается в закрашенный прямоугольник. Решить проблему можно, либо включив композитинг, либо экспортировав любую из следующих переменных окружения: MOZ_GTK_TITLEBAR_DECORATION=system (к сожалению, она включает заголовок окна) или MOZ_X11_EGL=1 (эта опция выключает поддержку WebGL 2). Также можно отключить на время WebRender.

  • Добавлена CSS-функция conic-gradient() для создания конусообразных градиентов, в которых изменение цвета производится вокруг центра, а не от центра к краю, что позволяет создавать эффекты в виде колеса меняющихся оттенков.
  • В инструментах для web-разработчиков в интерфейсе инспектирования страниц предоставлена метка "scroll" для отладки прокручиваемых переполнений содержимого. При клике на значок на странице подсвечиваются элементы, приводящие к переполнению.
    0_1605627786.png
  • В версии для платформы Android расширено число поддерживаемых дополнений. В число дополнений, которые можно использовать в Firefox для Android, включены FoxyProxy, Bitwarden, AdGuard AdBlocker, Tomato Clock, LeechBlock NG, Web Archives и Ghostery.

Дополнительно можно отметить начало тестирования бета-версии Firefox 84, в которой на платформе Linux по умолчанию задействован движок композитинга WebRender для X11 и GNOME. Также реализована упреждающая загрузка сертификатов промежуточных удостоверяющих центров с использованием инфраструктуры Remote Settings, что позволит снизить число сообщений об ошибках при просмотре некорректно настроенных сайтов.

Кроме новшеств и исправления ошибок в Firefox 83 устранена 31 уязвимость, из которых 14 помечены как опасные. 12 уязвимостей (собраны под CVE-2020-26969 и CVE-2020-26968) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

Релиз Firefox 84

Спойлер

Состоялся релиз web-браузера Firefox 84. Кроме того, сформировано обновление ветки с длительным сроком поддержки 78.6.0. На стадию бета-тестирования в ближайшие часы перейдёт ветка Firefox 85, релиз которой намечен на 26 января.

Основные новшества:

  • На платформе Linux для GNOME и X11 по умолчанию задействован движок композитинга WebRender, написанный на языке Rust и позволяющий добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. В списке блокировки для WebRender остаются проприетарные драйверы NVIDIA, а также драйверы Intel при использовании экранных разрешений 3440x1440 и выше. Для принудительного включения в about:config следует активировать настройку "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.

    На платформе Android движок WebRender включён для устройств с GPU Mali-G, помимо ранее поддерживаемых Adreno 5xx (Google Pixel, Google Pixel 2/XL, Oneplus 5), Adreno 6xx (Google Pixel 3, Google Pixel 4, Oneplus 6), а также смартфонов Pixel 2 и Pixel 3. Для Windows поддержка WebRender включена для 5 и 6 поколений GPU Intel, для macOS для выпуска Big Sur.

    0_1608042346.png
  • Для Linux задействованы более современные методы выделения разделяемой памяти, что привело к увеличению производительности и улучшило совместимость с Docker.
  • При просмотре мультимедийного контента, например, роликов на YouTube, в индикаторе управления воспроизведением и регулирования громкости в GNOME и MATE теперь показывается эскиз воспроизводимого контента и кнопки управления воспроизведением.
    0_1608043539.png
  • C использованием инфраструктуры Remote Settings реализована упреждающая загрузка сертификатов промежуточных удостоверяющих центров, что позволило снизить число сообщений об ошибках при просмотре некорректно настроенных сайтов. В новом выпуске также доведена до рабочего вида поддержка механизма CRLite, который позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Для включения локальной проверки сертификатов в about:config следует выставить параметры security.remote_settings.crlite_filters.enabled=true и security.pki.crlite_mode=2.
  • В менеджере дополнений (about:addons) реализована возможность предоставления и отзыва необязательных дополнительных прав, необходимых для реализации в дополнении расширенной функциональности, включаемой через отдельные настройки. Ранее подобные расширенные права запрашивались динамически при включении расширенных функций и не отражались в интерфейсе about:addons. Например, дополнение Simple Tab Groups имеет дополнительную функцию создания закладок, которая по умолчанию отключена, а при включении требует полномочий для доступа к закладкам.
    0_1608043029.png
  • Добавлена возможность изменения масштаба всплывающих окон и панелей дополнений через вращение колеса мыши при нажатой клавише Ctrl.
  • Обращение к localhost (URL http://localhost/, http://dev.localhost/ и т.п.) больше не помечается как смешанный контент и загрузка ресурсов с localhost не влияет на метку безопасного соединения.

     
  • Реализован API PerformancePaintTiming (Paint Timing), позволяющий отследить время различных стадий отрисовки страницы. При помощи данного API можно выявить узкие места загрузки страницы и проблемные моменты, например, ситуации когда посетителю уже видна ссылка или форма ввода, но из-за того, что JavaScript ещё не загрузился, их обработчики недоступны.
  • Отключена поддержка технологии Application Cache (AppCache), применявшейся для организации работы web-приложения в offline-режиме. В качестве причины называется желание избавиться от одного из векторов для совершения атак, связанных с межсайтовым скриптингом. Вместо AppCache рекомендуется использовать API Service Worker.
  • В конструктор Intl.DateTimeFormat добавлено свойство fractionalSecondDigits для настройки формата отображения долей секунды.
  • В методе Navigator.registerProtocolHandler() прекращена поддержка параметра title (допустимы только параметры scheme и url).
  • В CSS-псевдокласс :not() добавлена поддержка сложных селекторов. Например: ":not(:disabled, :hover) { outline: 1px solid red;}".
  • В инструментах для web-разработчиков в режиме инспектирования средств для людей с ограниченными возможностями обеспечена индикация последовательности переходов по элементам страницы и ссылкам при нажатии клавиши "табуляция", что позволяет оценить удобство работы со страницей только с использованием клавиатуры.
    0_1608040772.png
  • В панели инспектирования сети добавлена обработка неожиданных крахов панели, обеспечен вывод дополнительных отладочных данных, включая трассировку стека и добавлена кнопка для быстрой отправки разработчикам уведомления о проблемах.
    0_1608042068.png
  • Добавлена поддержка систем Apple на базе ARM-чипа M1, на котором основаны новые модели MacBook Air, Mac Mini и MacBook Pro. Тем не менее, при работе на новых системах наблюдаются проблемы при просмотре видео с сервисов Netflix, Hulu, Disney+ и Amazon Video Prime, для устранения которых требуется установка транслятора Rosetta.
  • В версии для Android добавлена кнопка для удаления загруженных файлов, улучшена точность прокрутки и реализован режим Grid view для просмотра открытых вкладок "бок о бок".
    0_1608041690.png0_1608041705.png

Кроме новшеств и исправления ошибок в Firefox 84 устранена 31 уязвимость, из которых 19 помечены как опасные. 7 уязвимостей (собраны под CVE-2020-35113 и CVE-2020-35114) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Также отмечается критическая уязвимость CVE-2020-16042, которая через манипуляцию с типом BigInt позволяет прочитать содержимое неинициализированной памяти.

Также можно отметить, что Firefox 84 станет последним релизом с поддержкой плагина Adobe Flash. Компания Adobe намерена прекратить сопровождение технологии Flash в конце декабря 2020 года. Начиная с выпуска Firеfox 69 возможность запуска плагина Adobe Flash отключена по умолчанию, но была оставлена опция для индивидуального включения Flash для конкретных сайтов. Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration и NPAPI-плагинов с поддержкой мультимедийных кодеков была прекращена ещё в Firefox 52, выпущенном в 2016 году.

 

Ссылка на комментарий
Поделиться на другие сайты

Надо сказать, что включение вебрендера у меня на Linux охладило проц на Ютубных роликах на моём Арч Линуксе. Раньше не включал, потому что видео разваливалось на куски, а сейчас этой проблемы уже нет. И проц нагревается до 60 градусов вместо 70, что заметная разница.

Ссылка на комментарий
Поделиться на другие сайты

20 минут назад, Umnik сказал:

И проц нагревается до 60 градусов вместо 70, что заметная разница.

раз проц стал холоднее, то значит видюха горячее

почему такая температура? Ролики 4К?

Изменено пользователем sputnikk
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.
      Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.
      Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.
      Google Ad Topics и «История ссылок» в Facebook*
      Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.
      Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.
      В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.
      Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.
      Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.
      При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.
      Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.
       
      View the full article
    • Twinlab
      От Twinlab
      Проблема в следующем:
      В Firefox 15.0.1 все плагины от Kaspersky установились некорректно и не поддерживаются, не работает автозаполнение форм. В менеджере паролей - Настройки - Поддерживаемые браузеры, напротив браузера Firefox стоит значение - некорректно, переустановка плагинов не помогает, при чем в остальных браузерах все работает, формы автозаполняются, кто-нибудь решил эту проблему и как?
      Спасибо.
    • ska79
      От ska79
      При попытке войти в аккаунт госуслуг, госуслуги выдают что замечена подозрительная активность и просят ввести доп данные. Настраивал браузер некоторые настройки брал из статьи https://www.securitylab.ru/blog/personal/bezmaly/351054.php
       
    • KL FC Bot
      От KL FC Bot
      Держать рабочую и личную информацию, аккаунты, файлы на физически разных устройствах — один из самых популярных (и эффективных!) советов по информационной безопасности. Многие компании закрепляют его в политике, которую обязательно соблюдать всем сотрудникам. Естественное продолжение этой политики — запрет обмена данными между рабочим и домашним компьютерами через сервисы вроде Dropbox и рекомендация не регистрировать личные аккаунты (например, в интернет-магазинах) на рабочую почту. Зачастую ни сами пользователи, ни администраторы не думают об еще одном месте, в котором дом и работа пересекаются: это настройки веб-браузера.
      Предложения включить синхронизацию браузера Chrome с облачным аккаунтом Google всплывают с первого дня работы, более того, Chrome часто включает ее автоматически после первого же логина в Gmail или Google docs. В Firefox и Edge синхронизация менее назойлива, но тоже существует и тоже предлагается. На первый взгляд, иметь синхронизированные закладки удобно и не опасно, но злоумышленники, разумеется, думают иначе.
      Чем может быть опасна синхронизация браузера
      Во-первых, в облачный профиль пользователя входит довольно много информации. Кроме списка открытых вкладок и закладок, между компьютерами синхронизируются пароли и расширения браузера. Таким образом атакующие, скомпрометировавшие домашний компьютер сотрудника, могут получить доступ к ряду рабочих паролей. Ну а если пользователь установит дома вредоносное расширение, оно автоматически оказывается на рабочем компьютере. Данные атаки не гипотетические. Именно синхронизация паролей в Google Chrome привела к компрометации гиганта ИБ Cisco, а вредоносные расширения, замаскированные под корпоративную защиту, были оптимизированы для воровства токенов аутентификации Oauth.
      Во-вторых, вредоносные расширения могут использоваться для эксфильтрации данных с зараженного компьютера. Поскольку в этой схеме браузер Chrome общается только с легитимной инфраструктурой Google, атака может подолгу не генерировать предупреждений от сетевой защиты.
       
      View the full article
    • san4im
      От san4im
      Доброго времени суток!
      Напишу тут, т.к. похоже  здесь не читают .
      На прошлой неделе заметил, что firefox сильно потребляет ресурсы, особенно проц загружает на 20-50 %. Сейчас начал разбираться и виновником оказался Kaspersky Protection. Отключаешь расширение и сразу проц разгружается.
      Причем эта ситуация проявилась у меня двух разных ПК примерно одновременно. На обоих ПК у меня стоит Total Security, хотя это врятли тут на что-то влияет. На одном винта 10, на втором 11. Firefox последний.
      Банальное переустановка дополнения не дала результатов.
×
×
  • Создать...