Mozilla FireFox

monowar

Активный пользователь
Сообщения
282
Реакции
474
Баллы
73
Как я понял он не руссифицирован , по описанию должен быть шустрым
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
В ночных сборках Firefox отключена поддержка TLS 1.0 и TLS 1.1

2.10.19
В ночных сборках Firefox по умолчанию отключена поддержка протоколов TLS 1.0 и TLS 1.1 (настройка security.tls.version.min выставлена в значение 3, устанавливающее TLS 1.2 как минимальную версию). В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года. В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в марте 2020 года.

Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. В настоящее время комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, развивает черновик спецификации, переводящей протоколы TLS 1.0/1.1 в разряд устаревших.

По данным сервиса SSL Pulse по состоянию на 3 сентября протокол TLS 1.2 поддерживают 95.8% web-сайтов, допускающих установку защищённых соединений, а TLS 1.3 - 17.7%. Соединения по TLS 1.1 допускают 75.5% HTTPS-сайтов, а TLS 1.0 - 65.5%.

1570024956171.png

Главными проблемами TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1).

Поддержка устаревших алгоритмов уже приводила к появлению таких атак, как ROBOT, DROWN, BEAST, Logjam и FREAK. Тем не менее, данные проблемы непосредственно не являлись уязвимостями протокола и закрывались на уровне его реализаций. В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.

OpenNet
 
  • Like
Реакции: akok

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Релиз Firefox 70

23.10.19
Состоялся релиз web-браузера Firefox 70, а также мобильной версии Firefox 68.2 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.2.0 (сопровождение прошлой ESR-ветки 60.x прекращено). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 71, в соответствии с новым циклом разработки релиз которой намечен на 3 декабря.
Основные новшества:
  • В расширенный режим защиты от отслеживания перемещений включена блокировка виджетов социальных сетей, отслеживающих перемещение пользователей на сторонних сайтах (например, кнопки Like от Facebook и вставки сообщений из Twitter). Для форм аутентификации через учётную запись в социальных сетях предусмотрена возможность временного отключения блокировки
  • ;

  • Добавлен сводный отчёт о выполненных блокировках, в котором можно отследить число блокировок по дням недели и типам;


  • В состав включено системное дополнение Lockwise (ранее дополнение поставлялось как Lockbox), которое предлагает новый интерфейс "about:logins" для управления сохранёнными паролями. Дополнение выводит на панель кнопку, через которую можно быстро просматривать учётные записи, сохранённые для текущего сайта, а также выполнять операции поиска и редактирования паролей. Имеется возможность доступа к сохранённым паролям через отдельное мобильное приложение Lockwise, поддерживающее автозаполнение паролей в формах аутентификации любых мобильных приложений;

  • Интегрировано системное дополнение Firefox Monitor, которое обеспечивает вывод предупреждения в случае компрометации учётной записи (проверка по email) или попытке входа на ранее взломанный сайт. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com;

  • Активирован по умолчанию генератор паролей, при заполнении форм регистрации, выводящий подсказку со сгенерированным автоматически надёжным паролем. Всплывающая подсказка автоматически выводится для полей ‹input type="password"› с атрибутом "autocomplete = new-password". Без данного атрибута пароль может быть сгенерирован через контекстное меню
  • ;

  • Вместо кнопки "(i)" в адресной строке размещён индикатор уровня приватности, который позволяет судить об активации режимов блокировки отслеживания перемещений. Индикатор становится серым, когда в настройках включён режим блокирования отслеживания перемещений и на странице не зафиксировано элементов подлежащих блокировке. Индикатор становится синим, когда на странице блокированы те или иные элементы, нарушающие приватность или используемые для отслеживания перемещений. Индикатор перечёркивается, когда пользователь отключил защиту от отслеживания для текущего сайта.

  • Страницы, открытые по HTTP или FTP, стали помечаться значком небезопасного подключения, который также выводится для HTTPS в случае проблем с сертификатами. Цвет символа замка для HTTPS заменён с зелёного на серый (вернуть зелёный цвет можно будет через настройку security.secure_connection_icon_color_gray). Уход от индикаторов обеспечения безопасности в пользу предупреждений о проблемах с безопасностью обусловлен повсеместным распространением HTTPS, который уже воспринимается как данность, а не дополнительная защита.


  • В адресной строке прекращено отображение имени компании при использовании на сайте верифицированного EV-сертификата. Информация удалена так как могла вводить пользователя в заблуждение и использоваться для фишинга (например, была зарегистрирована компания "Identity Verified", имя которой в адресной строке воспринималось как индикатор проверки). Сведения об EV-сертификате можно просмотреть через меню, выпадающее при клике на пиктограмме с изображением замка. Вернуть отображение названия компании из EV-сертификата в адресной строке можно через настройку "security.identityblock.show_extended_validation" в about:config.

  • В JavaScript-движок добавленновый "baseline" интерпретатор байткода, который занимает промежуточную нишу между обычным интерпретатором и предварительным "baseline" JIT-компилятором. Новый интерпретатор значительно быстрее старого интерпретатора и использует общие с "baseline" JIT-компилятором процедуры обработки байткода, кэш и данные профилирования. Дополнительный интерпретатор позволяет ускорить выполнение часто используемых JavaScript-функций, после их отката из оптимизированного JIT (Ion JIT) на стадию компиляции для неоптимизированного "baseline" JIT, например, после того, как функция вызывается с аргументами других типов.
    В сложных web-приложениях компиляция для "baseline" JIT и внесение оптимизаций для Ion JIT занимает много времени и дополнительный быстрый интерпретатор позволяет добиться общего увеличения производительности и незначительного сокращения потребления памяти. В проведённых тестах включение дополнительного интерпретатора, использующего общую статистику и inline-кэш с JIT, привело к снижению времени загрузки страниц на 2-8%, а производительность инструментов для web-разработчиков возросла на 2-10%;


  • В сборках для Linux включено по умолчанию применение системы композитинга WebRender для GPU AMD, Intel и NVIDIA (только для драйвера Nouveau), при использовании в системе пакета Mesa 18.2 или более новой версии. В сборках для Windows, помимо ранее поддерживаемых GPU AMD и NVIDIA, WebRender теперь активирован и для GPU Intel. Cистема композитинга WebRenderнаписана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы.
    При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU. Для принудительного включения WebRender в about:config можно изменить настройки "gfx.webrender.all" и "gfx.webrender.enabled";
  • https://groups.google.com/forum/#!topic/mozilla.dev.platform/sevpJDQwDfg
  • Добавлена поддержка режима строгой изоляции страниц, развиваемого под кодовым именем Fission. В данном режиме страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется своя изолированная песочница (sandbox). Разделение по процессам осуществляется не по вкладкам, а по доменам, что позволяет дополнительно изолировать содержимое внешних скриптов и iframe-блоков. Управление режимом строгой изоляции осуществляется в about:config при помощи опции "fission.autostart" (включение в релизах пока заблокировано);
  • https://www.opennet.ru/opennews/art.shtml?num=50855
  • Обновлёнлоготип, а название изменено с Firefox Quantum на Firefox Browser;

  • https://bugzilla.mozilla.org/show_bug.cgi?id=1560741
  • Запрещён вывод запросов на подтверждение полномочий, инициированных из iframe-блоков, загруженных с другого домена (cross-origin). Изменение позволит блокировать некоторые злоупотребления и перейти к модели, при которой полномочия запрашиваются только из первичного для документа домена, который показывается в адресной строке;
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1560699
  • Прекращена отрисовка содержимого файлов, загружаемых через ftp (например, при открытии через ftp перестанут отображаться изображения, README и html-файлы). При открытии ресурсов по FTP теперь будет сразу вызываться диалог загрузки файла на диск, независимо от типа содержимого;

  • В адресной строке реализован индикатор предоставления доступа к местоположению, который позволит наглядно оценить активность Geolocation API и при необходимости даст возможность отозвать у сайта право по его использованию. До сих пор индикатор отображался только до предоставления полномочий и в случае отклонения запроса, но исчезал при открытии доступа к Geolocation API. Теперь индикатор будет информировать пользователя о наличии подобного доступа;
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1572368
  • Реализован расширенный интерфейс для просмотра TLS-сертификатов, доступный через страницу "about:certificate" (по умолчанию пока используется старый интерфейс, новый включается через security.aboutcertificate.enabled в about:config). Если раньше для просмотра сертификатов открывалось отдельное окно, то теперь информация отображается во вкладке в форме, напоминающей дополнение Certainly Something. Реализация интерфейса просмотра сертификатов полностью переписана с использованием JavaScript и стандартных web-технологий;

  • В меню управления учётной записью добавлена секция для доступа к расширенным сервисам Firefox, таким как Monitor и Send
  • ;

  • В основное меню и на панель добавлен новый значок "подарок", через который можно получить информацию о новых выпусках и их ключевых особенностях;

  • Встроенные страницы Firefox (about:*) адаптированы для отображения с учётом настроек тёмной темы оформления;
  • Улучшена читаемость подчёркнутого или перечёркнутого текста, в том числе ссылок - линии теперь обрываются (обтекают) не пересекая глифы;


  • В темах оформления прекращена поддержка свойств accentcolor, textcolor и headerURL, которые являлись псевдонимами свойств frame, tab_background_text и theme_frame (размещённые в addons.mozilla.org темы обновлены автоматически);

  • Добавлены CSS-свойства text-decoration-thickness, text-underline-offset и text-decoration-skip-ink, позволяющие настроить толщину, отступ и разрывы для линий, используемых для подчёркивания и перечёркивания текста;

  • В CSS-свойстве "display" добавлена возможность указания сразу двух атрибутов, например, "display: block flex" или "display: inline flex";
  • Значения прозрачности в CSS-свойствах opacity и stop-opacity теперь могут задаваться в процентах;

  • В CSS-свойство font-size добавлена поддержка значения xxx-large;

  • В JavaScript реализована возможность наглядного разделения больших чисел при помощи символов подчёркивания, например, "myNumber = 1_000_000_000_000";

  • Добавлен новый ментод Intl.RelativeTimeFormat.formatToParts(), который является вариантом метода Intl.RelativeTimeFormat.format(), возвращающим массив объектов, каждый элемент в котором представляет свою часть отформатированного значения, вместо возврата отформатированной строки целиком;

  • Размер HTTP-заголовка "Referer" ограничен 4 КБ, при превышении данного значения содержимое урезается до имени домена;
  • В инструменты для разработчиков в панель Accessibility добавлены средства для аудита удобства навигации между элементами с использованием клавиатуры, а также симулятор того как страницу видят дальтоники;

  • В инструменте выбора цвета для заданного цвета теперь отображается индикатор контраста, относительно фонового цвета, для оценки восприятия людьми с ослабленным зрением;
  • В режиме инспектирования CSS определения CSS, не влияющие не выбранный элемент, теперь подсвечиваются серым цветом с выводом подсказки, на которой указана причина игнорирования и возможные пути исправления;

  • В отладчик добавлена возможность установки точек останова, срабатывающих при изменении элементов DOM (DOM Mutation Breakpoints) и позволяющих отслеживать моменты, когда скрипт добавляет, удаляет или обновляет содержимое страницы
  • ;

  • Для разработчиков дополнений реализована возможность инспектирования данных в хранилище browser.storage.local;

  • В режим инспектирования сетевой активности добавлена возможность поиска, позволяющая быстро находить элементы запросов и ответов. Поиск охватывает в том числе HTTP-заголовки, Cookie и тело запросов/ответов;

  • Проведена оптимизация кода композитинга страниц на платформе macOS, которая позволила снизить нагрузку на CPU, ускорить загрузку страниц (ускорение до 22%) и сократить использование ресурсов при воспроизведении видео (до 37%). В сборках для maсOS также добавлена поддержка импорта паролей, сохранённых в Chrome;

  • Для Android подготовлено корректирующее обновление Firefox 68.1. Напомним, что формирование новых значительных релизов Firefox для Android прекращено. Для замены Firefox для Android под кодовым именем Fenix (распространяется как Firefox Preview) развивается новый браузер для мобильных устройств, использующий движок GeckoView и набор библиотек Mozilla Android Components. Несколько дней назад опубликован новый экспериментальный выпуск Firefox Preview 2.2, в котором устранено несколько существенных проблем в интерфейсе и методах взаимодействия с пользователем. Из изменений по сравнению с выпуском 2.0 отмечается добавление опции для очистки всех данных при выходе и возможность открытия ссылок по умолчанию в режиме приватного просмотра.
Кроме новшеств и исправления ошибок в Firefox 70 устранено 24 уязвимости, из которых 12 (собраны под одним CVE-2019-11764) помечены как критические и потенциально могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

 

monowar

Активный пользователь
Сообщения
282
Реакции
474
Баллы
73
Да ,что-то мозилловцы взялись за безопасность,наверно самим надоело "подглядывание в попу" всех и вся
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Версия браузера 2.0 для Android

15/11/19
Опубликован выпуск web-браузера Firefox Lite 2.0, который позиционируется как легковесный вариант Firefox Focus, адаптированный для работы на системах с ограниченными ресурсами и на низкоскоростных каналах связи. Проект развивается командой разработчиков Mozilla из Тайваня и нацелен прежде всего на поставку в Индии, Индонезии, Таиланде, Филиппинах, Китае и развивающихся странах.

Ключевым отличием Firefox Lite от Firefox Focus является использование встроенного в Android движка WebView вместо Gecko, что позволяет уменьшить размер APK-пакета с 38 до 4.9 МБ, а также даёт возможность использовать браузер на маломощных смартфонах на базе платформы Android Go. Как и в Firefox Focus, в Firefox Lite встроен блокировщик нежелательного контента, вырезающий рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Применение блокировщика позволяет существенно уменьшить размер загружаемых данных и сократить время загрузки страниц в среднем на 20%.

Firefox Lite поддерживает такие возможности, как закладки на избранные сайты, просмотр истории посещений, вкладки для одновременной работы с несколькими страницами, менеджер загрузок, быстрый поиск текста на страницах, режим приватного просмотра (не сохраняются Cookie, история и данные в кеше). Среди расширенных возможностей:
  • Режим Turbo для ускорения загрузки за счёт вырезания рекламы и стороннего контента (включён по умолчанию);
  • Режим блокировки изображений (показ только текста);
  • Кнопка очистки кэша для увеличения свободной памяти;
  • Возможность создания скриншота всей страницы, а не только видимой части;
  • Поддержка изменения цветовой гаммы интерфейса.



В новой версии полностью переработано оформление браузера. На стартовой странице число закреплённых ссылок на сайты увеличено с 8 до 15 (пиктограммы разделены на два экрана, переключаемых скользящим жестом). Ссылки могут добавляться и удаляться по усмотрению пользователя. В центральной части стартовой страницы отдельно выделены две секции, при переходе в которые отображается подборка новостей и игр.



В нижнюю часть стартовой страницы, рядом со строкой поиска появилась кнопка "шопинг", при нажатии на которую выводится специализированный интерфейс для поиска товаров и сравнения цен в разных интернет-магазинах, без захода на их сайты. Поддерживается поиск товаров в Google, Amazon, eBay и Aliexpress. Возможно получение купонов на скидки непосредственно через браузер, но данная возможность пока ограничена только для пользователей из Индии и Индонезии.



Opennet
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя

26\11\19
В ночных сборках Firefox, которые лягут в основу намеченного на 7 января выпуска Firefox 72, по умолчанию включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Защита от скрытого отслеживания включена в применяемом по умолчанию стандартном режиме блокировки нежелательного контента и осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации.


Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с
CSS, анализ особенностей работы с мышью и клавиатурой.

OpenNet
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Релиз Firefox 71

3/12/19
Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки).
Основные новшества:
  • Модернизировано оформление адресной строки. Наиболее заметным изменением стал уход от отображения списка рекомендаций на всю ширину экрана в пользу явно обозначенного выпадающего окна. Предложенные изменения продолжают развитие новой реализации адресной строки Quantum Bar, появившейся в Firefox 68 и отличающейся полным переписыванием кода с заменой XUL/XBL на стандартный Web API. На первом этапе оформление Quantum Bar полностью повторяло старую адресную строку и изменения сводились лишь к внутренней переработке. Теперь началась работа по усовершенствованию внешнего вида.
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1532703
  • Предложен новый интерфейс страницы "about:config", который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно реализована поддержка поиска через штатный механизм, который применяется и для поиска на обычных страницах с пошаговым перебором совпадений. Вывод теперь можно сортировать по типу, имени и состоянию. Для каждой настройки добавлена кнопка, позволяющая инвертировать переменные с булевыми значениями (true/false) или редактировать строковые и числовые переменные. Для изменённых пользователем значений добавлена кнопка для возвращения изменений к значению по умолчанию. После открытия about:config по умолчанию элементы не показываются и видна только строка поиска, а для просмотра всего списка нужно нажать кнопку "Show all".
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1540065
  • Добавлена опция "general.aboutConfig.enable", позволяющая отключить доступ к странице about:config.
  • https://bugzilla.mozilla.org/show_bug.cgi?id=1553524
  • Задействован по умолчанию новый интерфейс просмотра TLS-сертификатов, доступный через служебную страницу "about:certificate" и меню "Tools > Page Info > Security > View Certificate". Реализация интерфейса просмотра сертификатов полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum. Если раньше для просмотра сертификатов открывалось отдельное окно, то теперь информация отображается во вкладке в форме, напоминающей дополнение Certainly Something.
  • https://bugzilla.mozilla.org/show_bug.cgi?id=158968#a542819215_159069
  • Добавлена поддержка запуска браузера в режиме интернет-киоска, который активируется при указании в командной строке опции "--kiosk" и приводит к возможности работы только в полноэкранном режиме. Показ управляющих элементов интерфейса, всплывающих окон, контекстных меню и индикаторов состояния загрузки страницы (отображения ссылок и текущего URL) блокируется. Ввод с клавиатуры сильно ограничивается, например, отключается обработка клавиш Alt и Ctrl, что не позволяет выйти из браузера, переключиться на другое приложение или открыть другой сайт. Режим можно использовать для организации работы различных автономных терминалов, рекламных стендов, демонстрационных панелей и прочих систем, ограниченных работой с одним сайтом/web-приложением.

  • Во входящем в состав браузера системном дополнении Lockwise (ранее дополнение поставлялось как Lockbox), предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилось распознавание поддоменов при автозаполнении форм ввода пароля. Вывод предупреждений Firefox Monitor о компрометации учётных записей реализован и для пользователей с экранными ридерами.

  • В сборках для Windows, Linux и macOS задействован нативный декодировщик MP3;

  • В расширенный режим защиты от отслеживания перемещений добавлен вывод уведомлений о блокировке кода для майнинга криптовалют. В панели, показываемой при клике на пиктограмму с изображений щита в адресной строке, обеспечен показ счётчика заблокированных трекеров;

  • Для пользователей Windows включена по умолчанию возможность просмотра видео в режиме "картинка в картинке" (Picture-in-Picture), позволяющем отсоединить видео в форме плавающего окна, которое остаётся на виду в процессе навигации в браузере. Для просмотра в данном режиме необходимо нажать на всплывающую подсказку или в контекстном меню, отображаемым при клике на видео правой кнопкой мыши, выбрать "Picture in picture" (в YouTube, который подставляет свой обработчик контекстного меню, следует два раза кликнуть правой кнопкой мыши или кликнуть с нажатой клавишей Shift). В системах отличных от Windows поддержка режима может быть включена в about:config при помощи опции "media.videocontrols.picture-in-picture.enabled".

  • Реализована поддержка вложенной многослойной компоновки элементов страницы (CSS Grid Level 2), которая заметно повышает гибкость построения макетов страниц, выровненных по сетке, за счёт предоставления возможности определения дочерних элементов, привязанных к родительским ячейкам (размещение отдельного grid внутри ячейки). Вложенные сетки определяются через использования в свойствах "grid-template-columns" и "grid-template-rows" значения "subgrid". Поддержка вложенных grid также добавлена в режим инспектирования DevTools Grid Inspector.

  • В CSS добавлено свойство column-span, позволяющее элементу охватывать все столбцы;

  • В CSS-свойстве clip-path добавлена возможность определения ограничивающей видимость области, заданной при помощи значения path() в формате пути SVG;
  • https://developer.mozilla.org/en-US/docs/Web/Media/images/aspect_ratio_mapping
  • Добавлена возможность учёта коэффициента соотношения сторон, определённого через свойство aspect-ratio, для HTML-атрибутов "height" и "width" в теге img;

  • В JavaScript добавлен метод Promise.allSettled(), который возвращает только уже выполненные или отклонённые promise, не учитывая promise, ожидающие выполнения (позволяет дождаться результата выполнения до запуска другого кода);

  • Реализован класс MathMLElement (ранее предоставлялся только класс Element), определяющий элементы в нотации MathML. Также добавлено соответствующее DOM-дерево MathML с которым можно использовать mathmlEl.style и глобальные обработчики событий.
  • В DOM добавлен конструктор StaticRange() для создания объекта StaticRange, представляющего часть содержимого DOM.

  • Добавлен API Media Session, предоставляющий средства для настройки блока с информацией о воспроизведении мультимедийного контента в области уведомлений. Через данный API web-приложение может не только вывести уведомление о начале воспроизведения новой композиции, но и организовать управление из области уведомлений или через интерфейс хранителя экрана, например, разместить кнопки приостановки, перемещения по потоку или переходу к следующей композиции.

  • В API для разработчиков дополнений улучшена обработка сбоев при загрузке данных. Во всплывающих окнах, открываемых дополнениями через вызов windows.create, обеспечен показ названия дополнения вместо URL дополнения ("moz-extension://").

  • В интерфейсе инспектирования сетевой активности реализована возможность анализа стадий обработки сетевого запроса с раздельным отображением времени резолвинга в DNS, установки соединения, отправки данных и получения ответа. Информация предоставляется через новую вкладку Timing в правой боковой панели.
  • В интерфейсе отслеживания сетевой активности по умолчанию включён режим инспектирования соединений WebSocket с возможностью приостановки активных соединений.
  • Кроме того в Network Monitor добавлена поддержка полнотекствого поиска в телах запросов/ответов, cookie и заголовках, а также реализована возможность блокировки загрузки определённых URL через добавления фильтров с необходимыми масками
  • .
  • В web-консоли по умолчанию включён многострочный режим редактирования, позволяющий вводить разбитые на несколько строк конструкции JavaScript с их выполнением не при нажатии Enter, а через клик на кнопку Run. Режим оформлен в виде боковой панели, отображаемой после нажатия на пиктограмму "split pane" в правой части поля ввода или через клавиатурную комбинацию Ctrl+B.
  • В отладчике JavaScript обеспечен предпросмотр значений переменных по месту их использования в коде, ведение лога событий и возможность отключения всплывающего блока с точками останова (devtools.debugger.features.overlay в about:config)
  • .
  • Для Android подготовлено корректирующее обновление Firefox 68.2. Напомним, что формирование новых значительных релизов Firefox для Android прекращено. Для замены Firefox для Android под кодовым именем Fenix (распространяется как Firefox Preview) развивается новый браузер для мобильных устройств, использующий движок GeckoView и набор библиотек Mozilla Android Components.
Кроме новшеств и исправления ошибок в Firefox 71 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

OpenNet
 
  • Like
Реакции: akok

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Доступен браузер Firefox Preview 3.0 для Android

11.12.19
Компания Mozilla опубликовала третий значительный выпуск экспериментального браузера Firefox Preview, развиваемого под кодовым именем Fenix. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Первый стабильный выпуск ожидается в первой половине 2020 года. После стабилизации проекта и реализации всей задуманной функциональности браузер заменит собой редакцию Firefox для Android, выпуск новых релизов которой прекращён, начиная с Firefox 69.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.
В новом выпуске:
  • Добавлены расширенные средства для защиты от отслеживания перемещений, позволяющие по аналогии с настольной версией Firefox блокировать рекламу с кодом для отслеживания перемещений, счётчики web-аналитики, виджеты социальных сетей, скрытые методы идентификации пользователя и код для майнинга криптовалют. По умолчанию активен режим жёсткой блокировки (Strict). По оценке разработчиков включение блокировки приводит к ускорению загрузки страниц в среднем на 20%. При касании к пиктограмме с изображением щита отрывается окно с информацией о заблокированных элементах c возможностью детального просмотра списка блокировки для текущего сайта.

  • По умолчанию активирована опция для открытия внешних ссылок (переходы по ссылке из сторонних приложений) в приватном режиме.
  • Добавлена опция для автоматической очистки истории открытия страниц при выходе из браузера.
  • Добавлена возможность выбора типов информации, которая будет синхронизироваться между устройствами. Из информации для синхронизации пока предложены только закладки и история открытия страниц.
  • Добавлены настройки поведения автоматического и фонового воспроизведения видео и звука.
  • Реализован интерфейс для просмотра и управления загрузками. Состояние загрузки отображается через виджет в области уведомлений, через который также можно приостановить, продолжить или отменить загрузку. После завершения загрузки всплывает диалог, через который можно открыть загруженный файл.
  • Вместо панели Quick Action предложена новая реализация браузерного меню.
  • Добавлена возможность добавления новых движков для обращения к поисковым системам.
  • Предложена опция для перемещения навигационной панели в нижнюю или верхнюю часть экрана.
  • Добавлена настройка для установки глобального уровня масштабирования, применяемого для всех сайтов.



Основные особенности Firefox Preview:
  • Высокая производительность. Заявлено, что Firefox Preview до двух раз быстрее классического Firefox для Android, что достигается благодаря применению на этапе компиляции оптимизаций на основе результатов профилирования кода (PGO - Profile-guided optimization) и за счёт включения JIT-компилятора IonMonkey для 64-разрядных систем ARM. Кроме ARM сборки GeckoView также теперь формируются и для систем x86_64.
  • Включение по умолчанию защиты от отслеживания перемещений и различной паразитной активности.
  • Универсальное меню, через которое можно получить доступ к настройкам, библиотеке (избранные страницы, история, загрузки, недавно закрытые вкладки), выбору режима отображения сайта (показ десктоп-версии сайта), поиску текста на странице, переходу в приватный режим, открытию новой вкладки и навигации между страницами.
  • Многофункциональная адресная строка, в которой имеется универсальная кнопка для быстрого выполнения операций, таких как отправка ссылки на другое устройство и добавление сайта в список избранных страниц. При нажатии на адресной строке запускается полноэкранный режим подсказки, предлагающий релевантные варианты ввода на основе истории посещений и рекомендаций от поисковых систем.
  • Применение вместо вкладок концепции коллекций, позволяющих сохранять, группировать и обмениваться избранными сайтами. После закрытия браузера остающиеся открытыми вкладки автоматически группируются в коллекцию, которую затем можно просмотреть и восстановить.
  • На стартовой странице выводится адресная строка, совмещённая с функцией глобального поиска, и показывается список открытых вкладок или, если страницы не открыты, отображается список сеансов, в которых сгруппированы ранее открытые сайты в привязке к сеансам работы с браузером.
  • Присутствует функция отправки вкладки или коллекции на другое устройство.


OpenNet
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Mozilla перейдёт с IRC на Matrix и добавит в Firefox второго провайдера DNS-over-HTTPS

19.12.19
Компания Mozilla приняла решение перейти на использование децентрализованного сервиса для общения разработчиков, построенного с использованием открытой платформы Matrix. Matrix-сервер решено запустить с использованием хостинг-сервиса Modular.im.на
Matrix признан оптимальным для общения разработчиков Mozilla, так как является открытым проектом, не привязан к централизованным серверам и проприетарным разработкам, использует открытые стандарты, обеспечивает сквозное шифрование, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков.

Ранее для общения в Mozilla применялся IRC, который рассматривался как серьёзный барьер для подключения к обсуждениям новичков. Кроме того, отмечено моральное и техническое устаревание протокола IRC, который в современных реалиях не так удобен, как хотелось бы, часто блокируется на межсетевых экранах и не предоставляет должных инструментов для защиты от спама и нарушений норм общения.

Из связанных c Mozilla событий также можно отметить добавление в Firefox альтернативного провайдера для DNS поверх HTTPS (DoH, DNS over HTTPS). Помимо ранее предлагавшегося по умолчанию DNS-сервера CloudFlare ("https://1.1.1.1/dns-query") в настройки также будет включён сервис NextDNS, который также развивает одноимённый прокси для DoH. Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.



Для отбора провайдеров DoH сформированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.


Примечательно, что один (104.16.248.249) из двух IP-адресов, связанных с предлагаемым в Firefox DoH-сервером mozilla.cloudflare-dns.com, включён в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013.

OpenNet
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Релиз мобильных браузеров Mozilla Lite 2.1 и Mozilla Preview 3.1.0

19.02.20
Состоялся выпуск web-браузера Firefox Lite 2.1, который позиционируется как легковесный вариант Firefox Focus, адаптированный для работы на системах с ограниченными ресурсами и на низкоскоростных каналах связи. Проект развивается командой разработчиков Mozilla из Тайваня и нацелен прежде всего на поставку в Индии, Индонезии, Таиланде, Филиппинах, Китае и развивающихся странах.

Ключевым отличием Firefox Lite от Firefox Focus является использование встроенного в Android движка WebView вместо Gecko, что позволило уменьшить размер APK-пакета с 38 до 5.8 МБ, а также дало возможность использовать браузер на маломощных смартфонах на базе платформы Android Go. Как и в Firefox Focus, в Firefox Lite встроен блокировщик нежелательного контента, вырезающий рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Применение блокировщика позволяет существенно уменьшить размер загружаемых данных и сократить время загрузки страниц в среднем на 20%.

Firefox Lite поддерживает такие возможности, как закладки на избранные сайты, просмотр истории посещений, вкладки для одновременной работы с несколькими страницами, менеджер загрузок, быстрый поиск текста на страницах, режим приватного просмотра (не сохраняются Cookie, история и данные в кеше). Среди расширенных возможностей режим Turbo для ускорения загрузки за счёт вырезания рекламы и стороннего контента (включён по умолчанию), режим блокировки изображений, кнопка очистки кэша для увеличения свободной памяти и поддержка изменения цветовой гаммы интерфейса.



В новой версии на стартовой странице предложен специализированный интерфейс для планирования путешествий, позволяющий быстро найти информацию об интересующем месте, получить подборку материалов о достопримечательностях (выводится статья из Wikipedia и ссылки на фото и видео из Instagram и YouTube) и сразу просмотреть сведения о свободных гостиницах (информация извлекается через сервис booking.com). Возможно составление списка мест, которые хотелось бы посетить, с быстрым переходом на связанные с ними подборки информации.



Кроме того, состоялся выпуск экспериментального браузера Firefox Preview 3.1, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

В новой версии добавлены настройки локали, позволяющие сменить язык интерфейса. По умолчанию отключен доступ к странице about:config, так как неаккуратное изменение низкоуровневых настроек могло привести браузер в неработоспособное состояние.

21 января планируется заменить в ночных сборках Firefox для Android на Firefox Preview. Пользователи ночных сборок будут переведены на Firefox Preview автоматически. Весной Firefox Preview заменит собой бета-ветку Firefox для Android. Полную замену Firefox для Android новым браузером планируют завершить в первой половине нынешнего года. Напомним, что Firefox 68 стал последним выпуском, для которого было сформировано обновление классической редакции Firefox для Android. Начиная с Firefox 69 формирование новых значительных релизов Firefox для Android прекращено, а исправление поставляются только для ESR-ветки Firefox 68.



Дополнительно можно отметить намерение реализовать в Firefox 76 поддержку формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1, который поддерживается начиная с Firefox 55. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR). Включение поддержки AVIF также ожидается в Chrome.

OpenNet
 
  • Like
Реакции: akok

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Mozilla заблокировала 197 приложений Firefox

27.01.20
За последние две недели компания Mozilla удалила из каталога addons.mozilla.org (AMO) 197 дополнений, выполняющих код, загружаемый со сторонних сайтов, передающих конфиденциальные данные на внешние серверы, совершающих вредоносные действия или применяющих методы запутывания исходного кода.

129 удалённых дополнений распространялось компанией 2Ring, специализирующейся на B2B-решениях. Указанные дополнения удалены за загрузку и исполнение кода со внешнего сервера (правила каталога AMO запрещают динамическую загрузку исполняемых частей). По той же причине удалены шесть дополнений от Tamo Junto Caixa и три дополнения c подделками известных продуктов.

В связи с передачей пользовательских данных удалены дополнения Rolimons Plus, RoliTrade, Pdfviewer, WeatherPool, Your Social и ещё одно дополнение без детализации названия. Дополнения EasySearch for Firefox, EasyZipTab, FlixTab, ConvertToPDF и FlixTab Search заблокированы за сбор и передачу сведений о поисковых запросах. 14 дополнений (название не уточняется) заблокированы за применение техник запутывания кода (obfuscation).

Из-за совершения вредоносных действий при отображении сторонних сайтов (например, подстановка рекламы или захват учётных данных) удалено 30 дополнений, названия которых не уточняются. По той же причине удалены дополнения Like4Like.org, Flash Update De, Browser Kompatibilität. Дополнение с фиктивным Youtube Downloader уличено в попытках установки вредоносного ПО на систему пользователя. Дополнение FromDocToPDF загружало и выполняло сторонний код на странице открытия новой вкладки.

OpenNet
 

monowar

Активный пользователь
Сообщения
282
Реакции
474
Баллы
73
Попробовал поставить Mozilla Preview :Dntknw: не встал Android 5 .1
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Попробовал поставить Mozilla Preview :Dntknw: не встал Android 5 .1
Следить за процессом разработки можно на GitHub. Ранее пользователи, которые хотели протестировать новый браузер Firefox Preview для Android, не могли скачать его из Play Маркета. Теперь, с выходом предварительной версии Firefox Preview это стало возможным. Ранняя версия браузера, предназначенная для бета-тестирования и сбора обратной связи, опубликована в магазине приложений Google Play и доступна пользователям, которые подписались на тестирование.
Новый браузер Fenix заменит Firefox для Android

Firefox Preview построен на Android Components и движке GeckoView. Бета-статус продукта означает, что он лишен некоторых функций, которые Mozilla хочет реализовать к финальному релизу. Пользователи могут столкнуться с проблемами и ошибками в предварительной версии, а Mozilla ожидает от них отчетов и отзывов для повышения уровня стабильности продукта.
Новый браузер Fenix заменит Firefox для Android

Финальная версия нового браузера будет поддерживать не все функции текущего Firefox для Android. Например, поддержка расширений должна появиться позже, уже после релиза.
Как установить Firefox Preview для Android
Mozilla планирует выпустить первую стабильную версию в конце июня. Чтобы протестировать предварительную версию браузера, нужно сделать следующее:
  1. Посетите специальную страницу сайта Mozilla: Become a Beta Testing BugHunter
  2. Подключитесь к программе бета-тестирования.
  3. Вступите в группу Firefox Fenix Nightly на сервисе Google Группы: Google Groups
  4. Активируйте получение тестовых сборок мобильного браузера на Google Play^ Sign in - Google Accounts
  5. Скачайте Firefox Preview из Play Маркета: Firefox Preview - Apps on Google Play
Когда Mozilla опубликует финальную версию браузера, первые четыре шаги будут необязательными.
Firefox Preview станет получать автоматические обновления после установки. Степень автоматизации данного процесса зависит от настроек Play Маркета. По умолчанию приложения обновляются автоматически, когда устройство подключено в Wi-Fi.
Вы можете отключить автоматическое обновление или разрешить обновление при подключении к мобильным сетям передачи данных в настройках Google Play.
Скачать Firefox Preview для Android
© Comss.one.
 
Последнее редактирование:
  • Like
Реакции: akok

monowar

Активный пользователь
Сообщения
282
Реакции
474
Баллы
73

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Firefox открыл доступ к собранным данным пользователей

3.02.20
Разработчики Firefox добавили в браузер специальную служебную страницу, позволяющую просмотреть, какие данные телеметрии Mozilla собирает у пользователей интернет-обозревателя.

Чтобы получить доступ к этой информации, вам нужно ввести в адресной строке браузера about:telemetry. Эта страница появилась в Firefox совсем недавно.

Помимо прочего, about:telemetry содержит техническую информацию о настройках браузера и установленных аддонах, а также данные ОС, аппаратной составляющей, сессии и запущенных процессов. Другими словами, это именно те данные, которые нужны Mozilla для исправления багов и статистического отслеживания пользовательской базы.

Данный шаг логически вытекает из всего, что Mozilla делала в последние два года — позволяла пользователям всё больше контролировать использование информации о себе.

1580733150008.png


Anti-malware.ru
 

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Релиз Firefox 73

12.02.20
Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки).

Основные новшества:
  • В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS) добавлена поддержка сервиса NextDNS, помимо ранее предлагавшегося DNS-сервера CloudFlare ("https://1.1.1.1/dns-query"). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.
  • Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю).

  • Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 подобные дополнения продолжат работать, но будут перенесены из общего каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений.

  • Реализована возможность установки глобального базового уровня масштабирования, применяемого ко всем страницам, а не привязываемого к отдельным сайтам. Изменить общий масштаб можно в настройках (about:preferences) в секции "Language and Appearance". В настройках также появилась опция, позволяющая применять масштабирование только для текста, не касаясь изображений.
  • Диалог с предложением сохранения логинов теперь выводится только если было изменено значение логина в поле ввода.
  • На Windows-ноутбуках с драйверами NVIDIA новее выпуска 432 и разрешением экрана меньше 1920x1200 включена система композитинга [[Platform/GFX/WebRender Where - MozillaWiki]]. Cистема композитинга WebRender написана на языке Rust и выносит на сторону GPU операции отрисовки содержимого страницы.
  • Добавлена возможность использования концепции "Site Specific Browser" (SSB) для работы с web-приложением как с обычной настольной программой. В режиме SSB скрываются меню, адресная строка и прочие элементы интерфейса браузера, а в текущем окне допускается только открытие ссылок на страницы текущего сайта (внешние ссылки открываются в отдельном окне браузера).

  • В отличие от уже имеющегося режима киоска, работа осуществляется не в полноэкранном режиме, а в обычном окне, но без специфичных для Firefox элементов интерфейса. Для открытия ссылки в режиме SSB предложен флаг командной строки "--ssb", который можно применять при создании ярлыков для web-приложений. Режим также можно вызвать кнопкой "Launch Site Specific Browser", размещённой в меню действий со страницей (многоточие справа от адресной строки). По умолчанию режим неактивен и требует включения через указание "browser.ssb.enabled = true" в about:config.
  • В режиме высококонтрастного отображения, предназначенного для людей с ослабленным зрением или нарушенным восприятием цветов, появилась поддержка фоновых изображений. Для сохранения читаемости и обеспечения должного уровня контраста видимый текст отделяется отдельным фоном, в котором используется цвет активной темы оформления.
  • Повышено качество звука при повышении или понижении скорости воспроизведения;
  • Улучшено автоопределение старых текстовых кодировок на страницах, на которых явно не указана информация о кодировке.
  • В строке поиска в web-консоли появилась возможность фильтрации по отсутствующему ключу через указание символа "-" перед маской или регулярным выражением. Например, поисковый запрос "-img" выведет все элементы, в которых отсутствует строка "img", а "-/(cool|rad)/" покажет элементы, не соответствующие регулярному выражению "/(cool|rad)/".
  • Добавлены новые CSS-свойства overscroll-behavior-inline и overscroll-behavior-block для управления поведением прокруткой при достижении логической границы области прокрутки.
  • В SVG добавлена поддержка свойств letter-spacing и word-spacing.
  • В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
  • Свойства innerWidth и innerHeight объектов Window теперь всегда возвращает фактическую заданную ширину и высоту области (Viewport Layout), а не размер видимой части (Visual Viewport).
  • Проведена оптимизация производительности инструментов для web-разработчиков. Снижена нагрузка при сборе статистики для панели мониторинга сетевой активности. В отладчике JavaScript и web-консоли ускорена загрузка больших скриптов с привязкой к их изначальным исходным текстам (source-mapped).
  • В web-консоли проблемы с выходом за пределы области текущего домена (CORS, Cross-Origin Resource Sharing) теперь отображаются как ошибки, а не предупреждения. Для автодополнения в консоли стали доступны переменные, определяемые в выражениях.
  • В инструментах для web-разработчиков в разделе инспектирования сети обеспечено декодирование сообщений (JSON, MsgPack и CBOR) в формате WAMP (WebSocket Web Application Messaging Protocol), передаваемых через соединение WebSocket.
Кроме новшеств и исправления ошибок в Firefox 73 устранено 15 уязвимостей, из которых 11 (собраны под CVE-2020-6800 и CVE-2020-6801) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

OpenNet
 
Последнее редактирование:

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
DNS-over-HTTPS включён по умолчанию в Firefox для пользователей США

26.02.20
Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.


Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS.

Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

OpenNet
 
  • Like
Реакции: akok

Candellmans

Команда форума
Сообщения
4,011
Реакции
6,462
Баллы
473
Firefox 75 будет автоматически удалять отслеживающие файлы cookie
5.03.20
image

Фото: Burning Wang/Flickr

Mozilla введет в Firefox 75 функцию для улучшения приватности пользователей. Браузер будет самостоятельно удалять данные тех сайтов, которые используют отслеживающие файлы cookie.

В баг-трекере появилась задача 1599262, которая описывается как очистка данных сайта, когда сайт распознан с помощью старых отслеживающих файлов cookie. Она включает идентификацию сайтов, которые устанавливают отслеживающие файлы cookie, удаление этих файлов и других данных сайта, если с ресурсом не взаимодействовали в течение 30 дней.

Для новой функции будет доступно три параметра:

privacy.purge_trackers.enabled — функция включена (True) или отключена (False).

privacy.purge_trackers.logging.enabled — активность регистрируется (True) или не регистрируется (False).

privacy.purge_trackers.max_purge_count — максимальное количество одновременно удаляемых файлов cookie (по умолчанию 100).

Чтобы предотвратить автоматическое удаление отслеживающих cookie и данных сайтов, нужно установить для параметра privacy.purge_trackers.enabled значение false. Чтобы не регистрировать изменения в журнале, нужно установить для параметра privacy.purge_trackers.logging.enabled значение false. Все эти параметры можно настроить на странице about:config. В настоящее время они имеются только в последних версиях Firefox 75 Nightly.

image

Фото: www.ghacks.net

Пока же в Firefox обеспечивается первая ступень защиты от трекеров, но она использует лишь список известных сайтов. При этом те ресурсы, которых в списке нет, могут устанавливать cookie и другие элементы, чтобы отслеживать пользовательскую активность.

Одна из часто используемых технологий предполагает «собственное отслеживание» или first-party tracking, когда CNAME-перенаправления применяются для обхода встроенных блокировщиков и сторонних расширений для блокировки трекеров. При этом уже после первоначальной фильтрации выполняется перенаправление поддомена сайта.

С этой технологией научилось успешно бороться расширение uBlock Origin для Firefox. В нем организован превентивный поиск перенаправлений и блокировки тех ресурсов, которые расширение оценивает как трекеры или рекламные серверы. В феврале Mozilla перенесла uBlock Origin из Программы рекомендуемых расширений в ночную версию Firefox Preview. Уже сейчас его можно установить и включить блокировку рекламы в следующей версии Firefox для Android.

Кроме того, в феврале разработчики открыли для пользователей Firefox доступ к специальной странице браузера, где можно увидеть, какая именно телеметрия отправляется в компанию Mozilla. Для это необходимо набрать в адресной строке браузера about:telemetry. На странице приводится подробная техническая информация о настройках браузера, установленных надстройках, информации об ОС и оборудовании, подробностях сеанса браузера и запущенных процессах. Эта информация необходима для исправления ошибок и отслеживания статистики пользователей, например, для получения данных о количестве активных пользователей браузере в течение года.

Habr
 
Сверху Снизу