LINUX.ORG.RU

Firefox 70

 , ,


4

3

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about:logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других браузеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920x1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиатуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики дополнений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

Ответ на: комментарий от fornlr

Да, я всё правильно написал.

А чем вы предпочитаете раздавать записи камеры? Что вы используете в локалке в качестве файлопомойки? Или какие-нибудь торренты на медиацентре с чего смотрите? Мне, вот, хватает мелкого одноплатника на ARM-е, которого не видно и не слышно.

А вот FTP уже только совсем странные люди используют.

HTTPS ещё более странные люди используют.

И вообще, все люди в мире в чём-то странные. Других, как бы, и нет...

anonymous ()
Ответ на: комментарий от anonymous

Но им же пользуются!

Пару человек с тобой вместе.

Попробовал в Safari. Наверно первый раз пользуюсь FTP за много лет - ну говорит «Открыть в файловом менеджере?». И это правильно.

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

Попробовал в Safari. Наверно первый раз пользуюсь FTP за много лет - ну говорит «Открыть в файловом менеджере?». И это правильно.

А когда ты в этом файловом менеджере нажимаешь на .txt файл — он что говорит?

anonymous ()
Ответ на: комментарий от anonymous

Попробовал в Safari. Наверно первый раз пользуюсь FTP за много лет - ну говорит «Открыть в файловом менеджере?». И это правильно.

Кстати, а что он делает при попытке открыть ссылку на SHA512SUMS из предыдущего поста? Или при клике на *.ogg/*.ogv на ftp-шке?

anonymous ()
Ответ на: комментарий от mandala

не безопасен, … добавлял в исключения

Фактически, это обман. Сайт с сертификатом, который ты сам проверил, более опаснен, чем с непонятно кем из сотен сотрудников сотен непонятных контор?

DonkeyHot ★★★★★ ()
Ответ на: комментарий от saahriktu

И? Формат не работает без кодировки. Кодирвку запруфано выкинули, точно так же выкинут и протокол, и никто кроме луддитов не заметит.

anonymous ()
Ответ на: комментарий от mandala

HTTPS вносит в жручесть минимум. Можешь сам проверить на статичной html-страничке и сравнить с тяжелым современным сайтом (например, youtube), если для тебя это не очевидно.

Ну проверил. http://www.httpvshttps.com/

anonymous ()
Ответ на: комментарий от anonymous

Ну пока еще FTP не выбросили совсем, теперь просто придется открывать через диалог.

mandala ★★★★ ()
Ответ на: комментарий от rebforce

Это частные случаи. И если там есть у таких ресурсов простые пользователи, то администратор им должен выдать инструкции, если заранее сам не настроил.

mandala ★★★★ ()
Ответ на: комментарий от DonkeyHot

По умолчанию выдается диалог предупреждения. Если ты сам проверил, согласился, то это твои проблемы, а не обман.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Как в той цитате из бездны: «я и есть, мать вашу, системный администратор!!!111»

Инструкции, уюкции… На кой на мой NAS в домашней локалке настраивать грёбаный https, особенно если учесть, что я могу ходить на него с таких девайсов, на которых сертификаты и версии SSL/TLS обновить крайне сложно или невозможно в принципе? Как и на самом NAS в общем случае.

Жизнь — она, знаешь ли, из частных случаев и состоит. И огульные заявления о том, что «plain HTTP === опасность», как раз и являются тем самым введением пользователей в заблуждение, против которого мозилловцы на словах борятся.

Когда они пришли за WebSQL, я молчал. Когда они пришли за SVG-шрифтами, я молчал. Когда они пришли за B2G/OWA, я молчал. Когда они пришли за XULRunner, я молчал. Когда они пришли за <keygen>, я молчал. Когда придут за plain HTTP, говорить уже будет нечем.

rebforce ()
Последнее исправление: rebforce (всего исправлений: 3)
Ответ на: комментарий от rebforce

На кой тебе ходить на NAS за файликами из браузера по http? Странное желание, ей богу, есть еще дюжина способов. твои хотелки удовлетворять ни кто не обязан. Если так горит, то именно для браузера ни кто не мешает сделать полноценный веб-сервер, оставив доступ по другим протоколам.

mandala ★★★★ ()

Здравствуйте.

Прошу объяснить следующее: Если при выполнении тестов WebGL Conformance Tests обнаружены ошибки, то кому писать? Производителю видеокарты или тут идёт завязка на реализацию в браузере?

anonymous ()
Ответ на: комментарий от anonymous

Другие реализации как? Т.е. грубо говоря, как в хроме?

mandala ★★★★ ()
Ответ на: комментарий от anonymous

Ну проверил. http://www.httpvshttps.com/

А, да! Это один из шикарных разводов от мозиллы. Подготовка юзеров к выпиливанию http.

Они выпилили http pipelining, оставив его только для https, и, внезапно, оказалось что https быстрее.

В seamonkey его ещё не выпилили и там https такой же как в firefox, а http примерно вдвое быстрее чем https. Забавно, правда?

У кого Pale Moon, как у него с этим дела?

anonymous ()

Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.

Но зачем? Неужели кто-то печатает https:// + www вручную?

Ghostwolf ★★★★ ()
Ответ на: комментарий от mandala

Ох, как же вы все задрали…

Ну может с теорией заговора я и перегибаю палку, но ситуацию это не меняет. Http раньше был быстрее, а теперь стал медленнее.

Пройдёт пару лет, и мозилла скажет «мы хотим выпилить http, потому что он нешифрованный и медленный, вот тесты...» При этом они не скажут, что http был быстрее, пока не выпилили pipelining.

Если это не развод, то что?

anonymous ()
Ответ на: комментарий от Ghostwolf

Я печатаю. Редко, но бывает. И часто опечатываюсь, кстати. Может моя телеметрия внесла вклад в это решение.

mandala ★★★★ ()
Ответ на: комментарий от anonymous

Не http стал медленне, а что-то другое влияет. Проверяй в локалке или вообще на локалхосте, тогда увидишь.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Не http стал медленне, а что-то другое влияет.

в страй опере пишет, что не поддерживает http 2.0 и, вообще, не показывает страницу https. Там https идёт поверх http 2.0, а http отдаётся по 1.1. В 31 фурифоксе отдаётся за одинаковое время - видимо, он умеет сказать, что хочет 1.1. Это разница между http 1.1 и 2.0 на отдаче множества мелких файлов, а не разница между http и https. Читерство чистой воды.

https://ru.wikipedia.org/wiki/HTTP/2

Мультиплексирования множества запросов в одном соединении TCP

anonymous ()
Ответ на: комментарий от mandala

Не http стал медленне, а что-то другое влияет

Выше ссылка была же — из firefox-а выпилили http pipelining! Вот это и влияет.

Можешь у себя проверить тот же http://www.httpvshttps.com/ в Firefox 52 (в about:config включить network.http.pipelining) или в Seamonkey 2.49 (там эта опция в гуе есть: https://i.imgur.com/CjmKvc7.png) — будет быстрее, чем в текущей версии firefox.

anonymous ()
Ответ на: комментарий от anonymous

Хм… Займусь, но не сегодня. Сейчас у меня сильно будет влиять сеть, а как я говорю – локально, мне пока влом банально.

mandala ★★★★ ()

Подчеркивание в ссылках стало «разорванным», раньше такого не было. Помню, в Хромом такую же штуку ввели c десяток версий назад, и меня это бесило (мешало чисто в рабочих нюансах). Вроде ж было нормально с этим всегда, никто не жаловался. Тю.

Gonzo ★★★★★ ()

Я удали firefox, после того как он не осилил видео на facebook, установил chrome, все прекрасно работает и без тормозов.

am007 ()
Ответ на: комментарий от fornlr

Накидать

Простите, прошло уже несколько дней как я просил вас накидать в разные корзины. Позвольте повторить мою просьбу.

Camel ★★★★★ ()
Ответ на: комментарий от am007

С фб у меня другая проблема - копипаст в форму ответа начисто ломает комментарии. И так уже много много релизов.

wxw ★★★★★ ()
Ответ на: комментарий от mandala

На кой тебе ходить на NAS за файликами из браузера по http?

А на кой мне настраивать что-то ещё, если по HTTP я могу ходить хоть с ПК, хоть с мобил вплоть до Nokia 9300i (где сертификаты уже протухли), хоть с Nintendo DS Lite?

Если что, я хочу всего лишь донести ту простую мысль, что есть сетапы, в которых эти говнозамочки просто излишни. Их отображение для plain-HTTP хотя бы в about:config где-то можно отключить?

rebforce ()

А у меня в about:config нету настройки ui.systemUsesDarkTheme

Firefox 70.0 (64-bit), Ubuntu 16.04

anonymous ()

Единственный браузер уже много лет.

hhhhacker ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.