Mozilla Firefox

[Friend]

Обновление Firefox 125.0.2. Проблема с появлением вкладки с адресом 0.0.0.1

Спойлер

Доступен корректирующий выпуск Firefox 125.0.2, в котором отключена представленная в ветке Firefox 125 функция блокировки загрузки файлов с URL, не заслуживающих доверия. В некоторых ситуациях указанная функциональность приводила к загрузке других файлов, вместо запрошенных (например, при включённой настройке "dom.block_download_insecure" попытка загрузки CSV-файла приводила к загрузке файла с HTML-текстом станицы). Режим блокировки опасных загрузок планируют доработать и повторно активировать в одном из следующих выпусков.

В примечании к выпуску также отмечена ещё одна неординарная проблема, которую планируют устранить в следующем обновлении Firefox 125.0.3, намеченном на 30 апреля. Суть проблемы в том, что после обновления до Firefox 125 у некоторых пользователей периодически самопроизвольно стали открываться новые вкладки с URL "https://0.0.0.1" в адресной строке. Эффект проявлялся только на платформе Windows. Разбор ситуации показал, что вкладки возникают при попытке запуска ещё одной копии Firefox из командной строки, когда Firefox уже запущен. Пользователям, которые столкнулись с данной проблемой, если они сами не запускали новых копий Firefox, рекомендуется проверить свои системы антивирусным ПО, так как подобная активность может быть следствием работы вредоносных программ.

Появление вкладки с адресом "https://0.0.0.1" вызвано ошибкой в обработчике "Application Launch Prefetcher". В ветке Firefox 125 при запуске дополнительного процесса используется метод nsWinRemoteClient::SendCommandLine с добавлением опции "/prefetch:1" к командной строке, которая во время разбора параметров преобразуется в "-prefetch 1". В дальнейшем параметр "-prefetch" игнорируется, а оставшаяся единица воспринимается как URL для открытия (эквивалент запуска "firefox.exe 1"), что и приводит к попытке открытия сайта "https://0.0.0.1".

 

[clenup]

Цитата

Firefox 125.0.3: Исправлены проблемы с пустыми вкладками, повреждениями текста и другие ошибки

 

Firefox 125.0.3: Что нового

Полный список изменений:

• Исправлена ошибка, при которой иногда появлялась лишняя пустая вкладка с адресом 0.0.0.1 при попытке запустить Firefox, когда экземпляр браузера уже запущен.
• Исправлена проблема, которая могла привести к неправильному выбору шрифта в некоторых случаях для пользователей с японской локалью.
• Исправлено повреждение текста при перетаскивании текста, содержащего символы Unicode, в системах Linux.
• Исправлена ошибка при проверке arguments.length (и не использования arguments в противном случае) внутри генератора или асинхронной функции.
• Исправлена проблема, которая могла привести к несогласованной обработке фокуса элементов при открытии.

Недавние улучшения безопасности для загрузок с недоверенных URL-адресов до сих пор отключены в Firefox 125.0.3. Mozilla откатила их после того, как пользователи сообщили о проблемах с загрузкой файлов в определенных ситуациях.

 

[Friend]

Mozilla подтвердила проблему с reCAPTCHA в Firefox. Доступно временное решение

Спойлер

Организация Mozilla признала проблему с reCAPTCHA в браузере Firefox 2 мая 2024 года. Пользователи Firefox, столкнувшиеся с этой проблемой, могут исправить ее с помощью временного решения

Затронутые пользователи Firefox видят вращающуюся анимацию, когда пытаются решить капчу и не могут получить доступ к сайту или сервису. Однако, доступен обходной путь.

Проблема затрагивает все основные версии Firefox для Windows, поддерживаемые Mozilla, а также более старые версии. Сюда входят Firefox 125, текущая стабильная версия Firefox, разрабатываемые версии 126 и 127, а также Firefox ESR 115.

Mozilla заявляет, что проблема не вызвана изменениями, внесенными в Firefox. Вместо этого организация считает, что виноват Google, и в подтверждение этого приводит следующие аргументы:

• Проблема затрагивает как новые, так и старые установки Firefox. Это касается Firefox ESR, Firefox Stable, а также выпусков Firefox, выпущенных в прошлом году и больше не поддерживаемых.
• Изменение user agent в Firefox для Linux или Chrome для Windows заставляет капчи снова работать.
• Изменение user agent Chrome на Firefox для Windows также нарушает проверку капч в Chrome

Временное решение

Пользователи Firefox, столкнувшиеся с этой проблемой, могут исправить ее следующим способом:

• Введите about:config в адресной строке Firefox. Подтвердите, что принимаете риск.
• Найдите параметр general.useragent.override.
• Переключитесь на Строка и нажмите иконку добавления
• Скопируйте и вставьте в поле следующую строку:

Mozilla/5.0 (X11; Linux x86_64; rv:125.0) Gecko/20100101 Firefox/125.0

• Нажмите на значок с галочкой рядом со строкой, чтобы сохранить изменения.

Firefox теперь идентифицируется как Firefox для Linux. Вы также можете использовать другой user agent, например, для Chrome для Windows.

Примечание: вы можете удалить запись, как только проблема будет устранена.

Проблема является довольно серьезной, учитывая, что Mozilla винит в ней Google. Google, являясь также одним из главных конкурентов Mozilla, также контролирует крупные популярные интернет-сервисы, включая Поиск, Gmail или YouTube.

Даже непреднамеренные изменения могут иметь серьезные последствия для Firefox и других конкурирующих браузеров, особенно если они не используют Chromium в качестве кодовой базы.

Дополнительная информация о проблеме доступна в баг-трекере Bugzilla.

[Friend]

Интересная статья на Хабр:  Firefox остаётся самым быстрым браузером

Кто-то использует Firefox c дополнениями на Android?
Число дополнений для Android-версии Firefox превысило 1000

Спойлер

Компания Mozilla сообщила о преодолении рубежа в 1000 дополнений, доступных для Android-версии Firefox в каталоге AMO (addons.mozilla.org). В декабре 2023 года, после введения в строй инфраструктуры дополнений для Android-версии Firefox, в каталоге насчитывалось 489 дополнений. Менее чем за пять месяцев число дополнений, портированных для Android-версии Firefox, удвоилось.

Разработчики дополнений, уже поставляемых для настольной версии Firefox, могут адаптировать свои продукты для работы в мобильной версии, переведя дополнение с модели постоянного фонового выполнения (extension.getBackgroundPage) на режим обработки событий (browser.runtime.onMessage.addListener), а также задействовав методы адаптивной компоновки элементов интерфейса.

[Umnik]

3 hours ago, Friend said:

Кто-то использует Firefox c дополнениями на Android?

Я

[Friend]

05.05.2024 в 13:37, Umnik сказал:

Я

Много дополнений используется в мобильной версии?
Почитал комментарии к одной статье, там пишут хватило бы 3-10 дополнений.

[Umnik]

3 minutes ago, Friend said:

Много дополнений используется в мобильной версии?

Нет. Буквально пару - поиск картинок и управление прокси

[Friend]

А как же блокировка рекламы?

[Umnik]

Мне не нужна. Я не использую её нигде вообще.

[Friend]

 В Firefox предложена дополнительная защита от отслеживания с использованием редиректов

Спойлер

В ночные сборки Firefox, на базе которых 11 июня будет сформирован выпуск Firefox 127, добавлен новый механизм защиты от отслеживания перемещений пользователей - "Bounce Tracking Protection", расширяющий возможности по блокированию отслеживания посетителей с использованием редиректов на другие страницы.

Суть метода отслеживания в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.

[Friend]

Релиз Firefox 126

Спойлер

Состоялся релиз web-браузера Firefox 126 и сформировано обновление ветки с длительным сроком поддержки - 115.11.0. На стадию бета-тестирования переведена ветка Firefox 127, релиз которой намечен на 11 июня.

Основные новшества в Firefox 126:

• В контекстное меню добавлена операция "Copy Link Without Site Tracking", позволяющая скопировать URL выбранной ссылки в буфер обмена, предварительно вырезав из него параметры запроса, которые используются для отслеживания переходов между сайтами. Например, при копировании ссылки будут удалены параметры mc_eid и fbclid, применяемые при переходе со страниц Facebook. Всего осуществляется вырезание более 300 параметров, применяемых для отслеживания, среди которых параметры, используемые в крупнейших интернет-магазинах.
• Добавлена поддержка кодирования контента при помощи алгоритма сжатия Zstandard (zstd), помимо ранее поддерживаемых алгоритмов gzip, brotli и deflate. При отправке запросов Firefox теперь выставляет в HTTP-заголовке "Content-encoding" значение "gzip, deflate, br, zstd". Из крупных сайтов, поддерживающих отдачу сжатых данных в формате zstd, отмечается Facebook.
• Добавлена экспериментальная возможность автоматизированного машинного перевода фрагментов текста, выделенных на странице (ранее поддерживался только перевод страницы целиком). Функция перевода вызывается через контекстное меню, показываемое при нажатии правой кнопки мыши на выделенном блоке текста. Для активации перевода фрагментов в about:config добавлена настройка browser.translations.select.enable.
• Реализована передача дополнительной телеметрии с агрегированными счётчиками поисковых запросов разных категорий. Категории охватываются 20 обобщённых типов контента, например, спорт, бизнес и путешествия. Утверждается, что собираемая информация необходима для разработки новых возможностей поиска. Данные сохраняются без привязки к отдельным пользователям. Для удаления информации об IP-адресе пользователя применяется технология OHTTP (Oblivious-HTTP), обеспечивающая перенаправление зашифрованных HTTP-сообщений через дополнительные промежуточные узлы, так что конечный сервер получает запрос не от IP пользователя, а от IP транзитного узла.
• Временно отключена добавленная в Firefox 125 возможность быстрого перехода по ссылке, сохранённой в буфере обмена (если во время нажатия на адресную строку в буфере обмена находится URL, автоматически данный URL показывался в качестве начальной рекомендации для перехода). В качестве причины отключения упоминаются проблемы с производительностью.
• В сборках для macOS на компьютерах Mac с CPU M3 включено аппаратное ускорение декодирования видео в формате AV1.
• Добавлен метод URL.parse(), возвращающий объект URL, представляющий ссылку, указанную в параметрах. В отличие от конструктора URL() новый метод в случае проблем с разбором возвращает null, вместо генерации исключения.
• Включена поддержка CSS-свойства zoom, позволяющего уменьшать или увеличивать масштаб отдельных элементов. Для определения применённого к элементу уровня масштаба предложено свойство Element.currentCSSZoom, доступное только для чтения.
• Добавлена возможность отражения состояния собственных HTML-элементов (custom element) в CSS через псевдо-класс ":state()". Функциональность реализована по аналогии с возможностью штатных HTML-элементов менять своё состояние в зависимости от взаимодействия с пользователем.
• Добавлено свойство Selection.direction, определяющее направление выделения.
• Добавлена поддержка API Screen Wake Lock, позволяющего web-приложению, например, мультимедийному проигрывателю, блокировать вызов хранителя экрана после длительной неактивности пользователя.
• В API IndexedDB добавлен метод IDBFactory.databases для перебора имеющихся БД (возвращает массив объектов, содержащих имя и версию доступных БД).
• В API Selection добавлена экспериментальная поддержка выделения, пересекающего границы теневого DOM. Включается через dom.shadowdom.selection_across_boundary.enabled в about:config.
• В CSS добавлена экспериментальная функция shape(), позволяющая формировать фигуры с использованием CSS-свойств clip-path и offset-path. Включается через layout.css.basic-shape-shape.enabled в about:config.
• Работа редактора стилей в инструментах web-разработчиков ускорена на 15-20%.
• В инструментах для web-разработчиков добавлена настройка "Show split console" для включения/выключения режима, отображающего web-консоль одновременно с другими панелями.
• В версии для Android решены проблемы с отображением панели с адресной строкой на устройствах со складными экранами. Для унификации с настольной версией настройки "Add-ons" переименованы в "Extensions".

Кроме новшеств и исправления ошибок в Firefox 126 устранена 21 уязвимость. Две уязвимости помечены как опасные. Первая опасная уязвимость (CVE-2024-4764) приводит к обращению к уже освобождённой области памяти при обработке нескольких WebRTC-потоков со звуком. Вторая опасная уязвимость (CVE-2024-4367) позволяет добиться выполнения JavaScript-кода при обработке во встроенном PDF-просмотрщике специально оформленных шрифтов. Ещё 9 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

 

[Friend]

Обновление Firefox 126.0.1. Преобразования в компании Mozilla

Спойлер

Доступен корректирующий выпуск Firefox 126.0.1, в котором исправлено несколько проблем:

• Решены проблемы с нарушением работы механизма drag&drop на платформе Linux. После обновления до Firefox 126 в некоторых конфигурациях перестало работать перемещение мышью вкладок, выделенного текста, изображений, ссылок и прочих объектов.
• Устранена утечка памяти, приводящая к высокому потреблению памяти процессом, обеспечивающим взаимодействие с GPU, в системах с некоторыми вариантами GPU AMD, такими как AMD Radeon RX 7900 XTX и AMD Ryzen 7840HS.
• Исправлена ошибка, из-за которой невозможно было прочитать тэгированные PDF-документы в экранном ридере.
• В сборках для платформы macOS на системах с неанглоязычными локалями в Firefox 126 возникли проблемы с отображением локализованного текста в диалоге отправки сообщений об аварийных завершениях.

Дополнительно можно отметить объявление о реорганизации управления в компании Mozilla, нацеленной на упрощение и ускорение разработки и масштабирование новых продуктов на разных стадиях их создания. Новые продукты и новые идеи, развиваемые различными командами (например, Fakespot, PXI, Mozilla Social и Innovation Ecosystems) переведены непосредственно под руководство старшего вице-президента по новым продуктам (Адама Фишмана), подчиняющегося непосредственно руководителю (CEO) компании Mozilla Corporation. Также упоминается отделение процессов, связанных с разработкой Firefox, что позволит уделять больше внимания работе по расширению возможностей браузера и ускорить разработку улучшений, делающих продукт более удобным, таких как недавно представленные возможности по вертикальному размещению вкладок, группировке вкладок и быстрому переключению между профилями.

На должность исполнительного директора некоммерческой организации Mozilla Foundation утверждена Набиха Сайед (Nabiha Syed), ранее руководившая новостным изданием The Markup. Набиха отмечена изданием Forbes как один из лучших юристов моложе 30 лет, специализирующихся на отстаивании свободы слова, и является обладателем премии NAACP за защиту гражданских прав в цифровом пространстве.

 

[Friend]

Компания Mozilla начала блокировать доступ из РФ к дополнениям для обхода блокировок

Спойлер

Пользователи Firefox столкнулись с невозможностью загрузить из каталога addons.mozilla.org (AMO) дополнения, позволяющие обойти блокировки Роскомнадзора. На страницах четырёх популярных дополнений, обеспечивавших обход блокировок, при попытке открытия из РФ теперь показывается страница с информацией о запрете доступа к странице из региона пользователя. Разработчик одного из заблокированных дополнений попросил представителей Mozilla назвать причину блокировки, при том, что формально дополнение не нарушает никаких правил каталога AMO. Представители Mozilla пока не указали причин блокировки, но, вероятно, они сделали это после получения требований от Роскомнадзора.

При этом блокировки дополнений, нарушающих законы отдельных стран, не новы, например, в 2022 году Mozilla заблокировала доступ к дополнениям uBlock Origin, AdGuard, AdNauseam и AdBlock из Китая, что было сделано после возникновения угрозы блокировки всего каталога addons.mozilla.org в Китае. Примечательно, что подобные блокировки явно расходятся с принципами, определёнными в манифесте Mozilla, а также идут вразрез с общей политикой компании, в соответствии с которой два года назад сервисы Yandex и Mail.ru были удалены из списка доступных поисковых систем с указанием в качестве мотива преобладания в поисковой выдаче материалов, отражающих предвзятую точку зрения.

Заблокированные для РФ дополнения не могут быть названы в новости из-за действующего с 1 марта запрета на популяризацию средств обхода блокировок. Первое дополнение нацелено на общий обход ограничений, действующих в России, Украине, Беларуси, Казахстане, Кыргызстане, Узбекистане и других странах. Второе дополнение специально рассчитано на обход блокировок из Единого реестра запрещённых сайтов РФ, при этом не проксируя остальные ресурсы. Третье дополнение обеспечивает работу VPN-сервиса, не осуществляющего блокировку по спискам Роскомнадзора для пользователей из РФ. Четвёртое дополнение выборочно включает использование прокси для сайтов, заблокированных Роскомнадзором.

[Friend]

Релиз Firefox 127

Спойлер

Состоялся релиз web-браузера Firefox 127 и сформировано обновление ветки с длительным сроком поддержки - 115.12.0. На стадию бета-тестирования переведена ветка Firefox 128, релиз которой намечен на 9 июля.

Основные новшества в Firefox 127:

• В меню "V" со списком всех открытых вкладок и в контекстное меню вкладки добавлена кнопка для закрытия всех дублирующихся вкладок в текущем окне.
• Включена автоматическая замена протокола HTTP на HTTPS для ресурсов в тегах <img>, <audio> и <video>, если эти теги используются на странице, открытой по HTTPS. Если загружаемые ресурсы недоступны по HTTPS, то они теперь не будут показаны со страниц, открытых по HTTPS.
• Добавлена поддержка упреждающего определения IP-адресов хостов, не дожидаясь перехода пользователя по ссылке или запроса указанного на странице ресурса. Домены, которые нужно заранее отрезолвить в DNS, следует перечислить через элемент "link" с атрибутом 'rel="dns-prefetch"'.
• С целью сокращения информации, которая может использоваться для косвенной идентификации пользователей, для 32-разрядных систем x86 в заголовке User-Agent, а также в JavaScript API navigator.platform и navigator.oscpu, теперь будет указываться архитектура x86_64.
• В инструменте для сохранения снимков экрана появилась поддержка создания скриншотов для файлов в формате SVG и XML, а также для служебных страниц " about:". Добавлена возможность управления созданием скриншотов с использованием клавиатурных комбинаций, реализована совместимость в темами оформления и режимом отображения с повышенной контрастностью (HCM, High Contrast Mode). Повышена производительность сохранения больших областей экрана.
• В about:config добавлены настройки toolkit.scrollbox.pagescroll.maxOverlapPercent и toolkit.scrollbox.pagescroll.maxOverlapLines, позволяющие изменить сдвиг страницы при прокрутке, указываемый в процентах и строках.
• На платформе Windows реализована возможность автоматического запуска Firefox после загрузки компьютера. Благодаря предварительной загрузке пользователю не нужно ждать при первом запуске приложения - браузер будет готов к работе мгновенно. Режим включается в секции настроек General/Startup или через уведомление, показываемое по аналогии с приглашением задействовать Firefox в качестве бразуера по умолчанию.
• На платформах macOS и Windows реализована дополнительная защита доступа при использовании функции автозаполнения сохранённых паролей или при просмотре информации о паролях в менеджере паролей. Подобные операции с менеджером паролей потребуют подтверждения аутентификации в системе (например, ввод системного пароля, проверка отпечатка пальца, аутентификация по голосу или лицу).
• На платформе macOS по умолчанию включена навигация по элементам ввода клавишей табуляция, вместо использования специфичного для macOS режима клавиатурной навигации, не соответствующего поведению для других платформ (в настройках можно вернуть старый режим).
• В текстах для которых используется формат WebVTT (Web Video Text Tracks Format), добавлена поддержка символов, допустимых в разметке HTML. WebVTT применяется для организации вывода текста в определённые моменты времени, например, для показа субтитров.
• В API Clipboard включён по умолчанию интерфейс ClipboardItem и поддержка методов navigator.clipboard.read() и navigator.clipboard.write(), позволяющих web-приложению читать и записывать данные в буфер обмена. При попытке чтения данных из буфера обмена, записанных не текущим web-приложением, перед выполнением операции пользователю будет показан запрос на подтверждение действия.
• Реализована экспериментальная поддержка выставления симметричного межбуквенного интервала через CSS-свойство letter-spacing. В новом режиме интервал выставляется не между текущим и следующим символом, а делится на две части, которые применяются до и после символа. Режим включается через настройку layout.css.letter-spacing.model в about:config.
• В атрибуте "href" тега "<base>", используемого для задания базового пути для относительных ссылок, запрещено использование схем "data:" и "javascript:".
• В градиентах, созданных при помощи CSS-функций conic-gradient(), linear-gradient(), radial-gradient(), repeating-conic-gradient(), repeating-linear-gradient() и repeating-radial-gradient(), разрешено использовать тип "<color-interpolation-method>".
• В объект Set, определяющий коллекцию значений, добавлены методы с реализацией типовых операций работы с множествами: Set.prototype.intersection(), Set.prototype.union(), Set.prototype.difference(), Set.prototype.symmetricDifference(), Set.prototype.isSubsetOf(), Set.prototype.isSupersetOf() и Set.prototype.isDisjointFrom().
• Запрещена установка дополнений, XPI-файлы которых подписаны с использованием небезопасных алгоритмов (настройка PREF_XPI_WEAK_SIGNATURES_ALLOWED по умолчанию выставлена в значение false).
• В WebRTC включена поддержка протокола DTLS 1.3, основанного на TLS 1.3.
• В версии для платформы Android:
  • Добавлена поддержка перевода содержимого с одного языка на другой. Как и в настольной версии Firefox для перевода задействована встроенная в приложение система перевода, которая выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам.
  • В меню "..." добавлен новый элемент "Пароли".
  • Разрешено использование клавиши Enter на боковой цифровой панели стационарных клавиатур для подтверждения введённого в адресной строке URL.
  • Включены дополнительные оптимизации на этапе компиляции, позволившие увеличить отзывчивость интерфейса, сократить время запуска и продлить автономную работу устройства.
  • Секция со списком недавно сохранённых страниц перенесена в раздел закладок. Элементы списка теперь не исчезают после устаревания.

Кроме новшеств и исправления ошибок в Firefox 127 устранены 22 уязвимости. 11 уязвимостей помечены как опасные, из которых 9 вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

[Friend]

11.06.2024 в 15:54, Friend сказал:

Компания Mozilla начала блокировать доступ из РФ к дополнениям для обхода блокировок

Быстро переобулись:
Mozilla восстановила доступ к дополнениям, заблокированным по требованию Роскомнадзора

Спойлер

Компания Mozilla пересмотрела своё решение в отношении дополнений к Firefox, ранее заблокированных в каталоге addons.mozilla.org (AMO) для пользователей из РФ. Блокировка была выполнена по требованию Роскомнадзора и затронула 4 популярные дополнения, позволяющие использовать VPN или прокси для получения доступа к ресурсам, занесённым в единый реестр запрещённых сайтов РФ.

Утверждается, что блокировка была временной мерой, принятой до окончательной оценки нормативно-правовой обстановки в РФ и рисков для сообщества и сотрудников Mozilla. По сути пришлось выбирать между выполнением требования соблюдения местного законодательства, которое идёт вразрез с определёнными в манифесте Mozilla принципами, и перспективой блокировки сервисов Mozilla в РФ за невыполнение требований и способствование получению доступа к запрещённому контенту. В итоге, компания Mozilla решила, что первоочерёдными являются принципы, в соответствии с которыми интернет рассматривается как глобальный публичный ресурс, открытый и доступный для всех, независимо от местоположения пользователя.