LINUX.ORG.RU

Firefox 70

 , ,


4

3

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about:logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других браузеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920x1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиатуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики дополнений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

Ответ на: комментарий от saahriktu

Http и ftp выпилили из интернетов, а не файрфокса. На какой-нибудь XP зайти уже можно только на главную гугла. В том же соснольном links полностью поддерживается распоследний TLS 1.3 через который он всюду и ходит, если у тебя какие-то маняфантазии на этот счёт.

anonymous ()
Ответ на: комментарий от dimgel

Гораздо удобнее лазать по доверенному фтп с текстотой. С плагиньём аля vimfx получшее всяких ваших рэйнджеров. Таких нынче немного, но таки есть.

pon4ik ★★★★★ ()
Ответ на: комментарий от MozillaFirefox

И в чём смысл этих искусственных ограничений? Мурзилле хочется поиграть в царька-проприетраста при <10% аудитории? Дебилы, бля.

anonymous ()
Ответ на: комментарий от anonymous

И в чём смысл этих искусственных ограничений?

Каких искусственных? Что за бред?

Смысл в том, что новая фича включается сначала на ограниченном числе пользователей с простой конфигурацией. А потом всё больше и больше на расширение.

Иначе просто пользователи багами засыпят и сами будут недовольны «вот же какой глючный браузер».

anonymous ()
Ответ на: комментарий от anonymous

Скорее всего, не хватает ресурсов, чтобы оттестировать сразу на всех платформах. Сначала тестируют и обеспечивают работоспособность на тех , которыми пользуются сами (как доказательство, что вообще работоспособная идея), потом доводят до ума на тех, которых у них нет (ну раз заработало на одной, значит можно довести до ума и на остальных).

Обычные сложности в разработке.

Deleted ()
Ответ на: комментарий от Deleted

Скорее всего, не хватает ресурсов, чтобы оттестировать сразу на всех платформах

Да причём тут тестирование?

Ну вот https://bugzilla.mozilla.org/show_bug.cgi?id=1515412

Even simple animations lead to 100% GPU utilization with 4k display - Intel

Понять, что есть проблема это ещё относительно просто. А как её починить, да чтобы другое не сломать - это сложнее... тем более что всяко есть особенности различных драйверов и на различных платформах, иногда очень плохие особенности.

anonymous ()
Ответ на: комментарий от dimgel

Инжой йо блоб

WebRender [...] AMD, nVIDIA (только с драйвером Nouveau), Intel.

Низачот.

Говорили им, выбирайте сначала ПО, потом железо на котором оно может работать, а не железо, а потом ПО которое на нём будет работать. Дали им Амуде, нет хотим жрать блобы, ответили невидиевские фанбои.

Camel ★★★★★ ()
Ответ на: комментарий от KillTheCat

Мысль чуток о другом. Если человек залогинен в соцсети (а лучше сосетях), то они уже произвели кое-какую верификацию. Это не значит, что человек непременно злодей и хочет «вбить картон в шоп», это просто один из элементов, влияющих на скоринговые баллы.

MozillaFirefox ★★★★★ ()
Ответ на: комментарий от DonkeyHot

Оно этому никак не помогает – данные не менее охотно утекают из мест хранения.

Избежать утечек данных на 100% нереально, но это не повод ничего не делать там, где что-то в этом направлении сделать можно. Например, если в подъезде нассано, то это не повод присесть и подлить туда. В конце концов, на утечки из мест хранения Mozilla повлиять не может. А вот понемногу свернуть поддержку малопопулярных небезопасных протоколов - да. Если кому-то до зарезу нужен FTP, есть FTP-клиенты, куча их (и они заведомо фичастее, чем поддержка FTP в браузере).

MozillaFirefox ★★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: Инжой йо блоб от Camel

Дали им Амуде

Бессмыслица какая-то. Я могу те примерно равномерно накидать в разные корзины 🧺 всякого неочень про GPU от Intel, Nvidia, AMD под линуксами.

Поэтому эти глупости смысла не имеют.

Тем более про WebRender, который до сих пор весьма сырой, а толку от явно не так, что «вау!»

fornlr ★★★★★ ()
Ответ на: комментарий от anonymous

Я про то, что под железо, которое у тебя есть на руках и под которым ты можешь вертеть конфигурацию, как тебе вздумается, реализовать функциональность проще, чем под то, отладка на котором происходит путём багзиллы и сбора логов, если их кто-то вообще предоставляет.

Поэтому и не разворачивают на всех устройствах одновременно. Оттестировали на популярной среди разработчиков связке FullHD + NVidia = выкатили, остальное - позже.

Deleted ()
Ответ на: комментарий от dimgel

Низачот

Будь мужиком, включи сам, WebRender на Nvidia-блобе работает прекрасно

Deleted ()
Ответ на: комментарий от anonymous

Это понятно, но он и есть глючный в некоторых вещах. Например, при воспроизведении видео, т.к. нет аппаратного декодирования.

anonymous ()

Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.

Вот это спорно, даже относительно к моему убогому паролю.

cr0 ()
Ответ на: комментарий от anonymous

Http и ftp выпилили из интернетов

Нет, полным-полно ресурсов в HTTP и FTP. В т.ч. через HTTP продолжает работать мой сайт - http://saahriktu.org .

saahriktu ★★★★★ ()
Ответ на: комментарий от saahriktu

полным-полно ресурсов в HTTP и FTP

Ненужный хлам

В т.ч. через HTTP продолжает работать мой сайт

Вот и доказательство

Deleted ()
Ответ на: комментарий от saahriktu

Здоровым людям http без s не нужно.

anonymous ()
Ответ на: комментарий от saahriktu

Ну да, даже всякий хлам нужен бомжам и шизофреникам, которые тащат мусор к себе домой

Deleted ()
Ответ на: комментарий от fornlr

Набрасывайте

Будьте любезны, накидайте. Я по блобам не специалист, но боюсь ваш наброс будет в духе «у амуде низкая производительность», а «у невидии производительность высокая, теоретически, жаль только драйвера нормального нет, только блоб для секаса». Вероятно я неправ, убедите меня.

Camel ★★★★★ ()
Ответ на: комментарий от Deleted

Для кого-то и компьютер - хлам. Потому, что «На что эта железяка? Я лучше пойду споротом позанимаюсь!». А для кого-то, наоборот, спортивный инвентарь является хламом. Третьи вообще рисуют или крючком вяжут.

Я ж и говорю: разным людям нужно разное.

saahriktu ★★★★★ ()

и до сих пор, чтобы поставить одинаковый масштаб для всех страниц - это нужно ставить отдельный плагин, который работает слегка криво.

anonymous ()
Ответ на: комментарий от anonymous

Здоровым людям http без s не нужно.

Зачем https на тех страницах, где нет никаких форм? Зачем https для статичных страниц и т.п.?

saahriktu ★★★★★ ()
Ответ на: комментарий от saahriktu

Чтобы пров свою рекламу не совал, например

Deleted ()
Ответ на: комментарий от saahriktu

Защита своих посетителей от mitm и встраивания зловредного js, например. С помощью Mitmproxy можно даже скачиваемые пользователем exeшки заражать. Ценишь и уважаешь своих посетителей - используешь https.

evgeny_aa ()
Ответ на: комментарий от evgeny_aa

А это правда, что при https провайдер не видит даже домен посещаемого сайта (и содержимое передачи тоже), или я не так понял?

Qathos ()
Ответ на: комментарий от Deleted

Чтобы пров свою рекламу не совал

Зачем пользоваться интернетом таких провайдеров? Мало ли какие ещё пакеты они могут прислать.

saahriktu ★★★★★ ()
Ответ на: комментарий от evgeny_aa

Ценишь и уважаешь своих посетителей -

выкладываешь исходники в тарболах. Нет конкретных бинарников - нечего заражать. Юзеры сами себе накомпиляют.

saahriktu ★★★★★ ()
Ответ на: комментарий от saahriktu

Нет, не полно. Куда не сунься - хрен с маслом тебе без https. Твой говносайт ни мне, ни кому угодно другому не нужен.

anonymous ()
Ответ на: комментарий от saahriktu

Здоровым людям нужно то, что требует https, что его не требует - маргинальщина, как твой говносайт.

anonymous ()
Ответ на: комментарий от saahriktu

Какая разница зачем? Он требуется на большинстве страниц, со стороны клиента ничего не поделать.

anonymous ()
Ответ на: комментарий от saahriktu

Зачем пользоваться интернетом таких провайдеров? Мало ли какие ещё пакеты они могут прислать.

Я просто напомню, что у огромной части населения нет выбора касательно провайдеров: приходится кушать то, что дают. И за высокую цену при низкой скорости в том числе.

StalinEXE ★★★★★ ()
Ответ на: комментарий от StalinEXE

Это про мелкие города да села, да? Так как в городах покрупнее выбор, всё же, есть.

Marketersandmobile ()
Ответ на: комментарий от saahriktu

Затем, что других нет. В этой стране обязательный DPI.

anonymous ()
Ответ на: комментарий от Marketersandmobile

Это про мелкие города да села, да?

Жители маленьких городов, сёл и удалённых от столицы населённых пунктов от этого не перестают быть людьми и пользователями интернета.

Так как в городах покрупнее выбор, всё же, есть.

В Подмосковье тоже подобное случается. Стоит коррумпированной управляющей компании захватить власть в районе, так тебе и будут доступны лишь определённые сервисы и провайдеры несмотря на то, что буквально через дорогу доступен какой-нибудь ОнЛайм. Пока через дорогу люди пользуются 100 мегабитами за 300 рублей, у тебя 45 мегабит за 600 с постоянными обрывами связи, серым айпишником и 100 килобайтами в секунду на отдачу. И так примерно 5 лет подряд без альтернатив.

И я бы попросил обойтись без всеми любимых шуток про замкадье. Речь о том, что подобное встречается и сегодня. И вовсе необязательно в мухонсрансках.

StalinEXE ★★★★★ ()
Ответ на: комментарий от StalinEXE

В моей области проблем с интернетом нет.

P.S: так я и не хотел никого оскорбить.

Marketersandmobile ()
Ответ на: комментарий от Marketersandmobile

В моей области проблем с интернетом нет.

У меня сейчас тоже нет. Хвала Ктулху.

P.S: так я и не хотел никого оскорбить.

Верю. Так, к слову пришлось.

StalinEXE ★★★★★ ()
Ответ на: комментарий от saahriktu

Нда? А я бы выбрал рекламу, вместо того DPI, что есть.

anonymous ()
Ответ на: комментарий от StalinEXE

у огромной части населения нет выбора касательно провайдеров

Это, конечно, печально. Однако, у многих, кто сейчас сюда пишет, выбор таки есть.

Даже у меня (далеко за МКАДом) выбор не менее чем из 4-х провайдеров: «Осколнэт», «Осколтелеком», «Ростелеком», «Wifire»,...

saahriktu ★★★★★ ()
Ответ на: комментарий от evgeny_aa

Защита своих посетителей от mitm и встраивания зловредного js, например.

поставят китайский файрволл с dpi и обяжут сертификат прова добавить в доверенные, как это происходит для антивирусов, мониторящих траффик на зловреды ... иначе ничего не будет работать. Скорее реальная цель - допуск к вещанию в сети по паспорту. В перспективе выдача сертификатов только по паспортным данным и никак иначе.

anonymous ()
Ответ на: комментарий от anonymous

Здоровым людям нужно то, что требует https, что его не требует - маргинальщина, как твой говносайт.

Людям, вещающим о своём здоровье на каждом углу, нужно хорошое психиатрическое обследование ;)

anonymous ()
Ответ на: комментарий от turtle_bazon

Тебя напрягает, что у тебя замочек перечёркнутый?

в актуальных браузерах сначала отключат ftp, а потом http - ясно же обрисовали перспективу.

anonymous ()
Ответ на: комментарий от anonymous

это не то: данная строка увеличивает весь шрифт, везде, что страниц, интерфейса. Интерфейс сам по себе нормального размера, а с этим параметром так вообще гигантский

anonymous ()
Ответ на: комментарий от saahriktu

Чтобы при попадании в сеть к дерьмовому оператору связи не происходила модификация контента страницы.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.