LINUX.ORG.RU

Firefox 70

 , lockwise,


4

3

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about:logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других браузеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920x1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиатуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики дополнений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

★★★★★

Проверено: a1batross ()
Последнее исправление: Deleted (всего исправлений: 1)

Ответ на: комментарий от kirill_rrr

RSS-клиент выкинули из SeaMonkey пару лет назад, кстати. BMP и GIF я бы выкинул, да. И жипег! Из браузера бы выкинул, само по себе пусть живет.

mandala ★★★★★
()
Ответ на: комментарий от Shadow

Так же как и сечйас: ftp в браузере позволяет авторизироваться, по дереву директорий ходить и видеть файлы, в том числе скачивать их. Ранее открывал сразу поддерживаемые форматы (картинки, пдф-ки). Загружать на сервер, создавать/удалять директории/файлы и т.п. браузер один хрен не умеет, не говоря уже о тонких настройках (даже порт прибит гвоздями), которые есть в нормальном клиенте. Ну и FTPS не умеет вообще.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от Shadow

Т.е. ситуация такая – в лисе поддержка фтп минимальна. Есть два пути: либо сделать нормальный встроенный клиент фтп или выкинуть вообще. Выбрали второе.

Я уже писал тут: пользуюсь фтп, но пользуюсь нормальными клиентами для этого.

mandala ★★★★★
()
Ответ на: комментарий от kirill_rrr

Какие ещё «операции»? Это очень простой формат - заголовок и тупо массив пикселей, выкидывать практически нечего.

anonymous
()
Ответ на: комментарий от kirill_rrr

инструментами разработчика в браузерах пользуются ещё более странные люди

ну нет, конечно.

fornlr ★★★★★
()
Ответ на: комментарий от anonymous

Кто то должен прочитать заголовок, порубить массив на строки и пиксели, пересчитать их в цвета и передать их в нужную область окна.

kirill_rrr ★★★★★
()
Ответ на: Инжой йо блоб от Camel

выбирайте сначала ПО, потом железо на котором оно может работать

Когда я последний раз собирал новую машину, то именно так и поступил: сначала посмотрел системные требования Witcher 3, :-D а потом прошерстил характеристики и нвидии, и амуде; амуде сосало со свистом как из горячего парового котла. Когда следующий раз буду собирать новую машину, поступлю также, и надеюсь navi (или что там будет после него) окажется достойным вариантом.

dimgel ★★★★★
()
Ответ на: комментарий от Deleted

Будь мужиком, включи сам, WebRender на Nvidia-блобе работает прекрасно

Хм. Сенькс за инфу.

dimgel ★★★★★
()
Ответ на: комментарий от kirill_rrr

порубить массив на строки и пиксели

Это так не работает.

пересчитать их в цвета и передать их в нужную область окна

Это уже не задача загрузчика bmp.

anonymous
()
Ответ на: комментарий от mandala

поддержка фтп минимальна

Но хотя бы есть вообще. Вот что делать юзеру, если он наткнулся на ссылку, которая ведёт на файл на FTP'шнике? Пока ещё можно скачать из браузера. А как совсем выпилят, то каждую такую ссылку юзер должен будет руками копировать в командную строку какому-нибудь curl'у. Ну т.е. как сейчас в Firefox'е с gopher'ом. Ясное дело, что копировать будет далеко не каждый человек. Т.е. популярность таких ссылок будет ещё меньше. Только потому, что кому-то помешал дополнительный сетевой протокол в браузере.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

А как совсем выпилят, то каждую такую ссылку юзер должен будет руками копировать в командную строку какому-нибудь curl'у.

Когда выпилят из основных браузеров, то некоторая часть людей, держащих FTP, перейдёт на раздачу по HTTP(S). А оставшийся мизер - да, придётся скармливать курлу.

Но вообще, если нет веской причины использовать именно FTP, стоит задуматься, для кого эти файлы выкладываются. Если для других - разумно думать об удобстве этих самых других. А если чисто для себя - то и проблемы нет, уж сам-то владелец найдёт, чем скачать.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 1)
Ответ на: комментарий от saahriktu

Вот что делать юзеру, если он наткнулся на

Вы попытались перейти по ссылке, возможно содержащей небезопасное программное обеспечение.

Вернуться обратно? [ДА]

[Дополнительно]

anonymous
()
Ответ на: комментарий от MozillaFirefox

Если для других - разумно думать об удобстве этих самых других.

Так даже по состоянию на сегодняшний день HTTP и FTP пока ещё продолжают работать в браузерах. Выпиливание протоколов будет попозже. Выпиливание годных протоколов, которые должны продолжать жить. А это выпиливание похоже на искусственную попытку уничтожить существующие и годные сетевые протоколы. Это как если бы, например, создатели популярных читалок книг сговорились бы и вместе перестали бы поддерживать, например, TXT и FB2 в пользу каких-нибудь других форматов, которые поддерживают шифрование и DRM.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Читалки небось-то koi8 не поддерживают. Очередной раз ты сел в лужу в своей же маня-аналогии.

anonymous
()
Ответ на: комментарий от anonymous

А где я писал конкретно про KOI8? Я написал про TXT и FB2. Кодировки - это отдельный вопрос. Не все читалки тот же TXT вообще поддерживают. Даже в UTF-8.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

А где я писал конкретно про KOI8?

А почему бы про него не написать? Отличная кодировка, нет?

anonymous
()
Ответ на: комментарий от anonymous

Отличная (кстати, KOI8 - это семейство кодировок, куда входят в т.ч. KOI8-R, KOI8-U, KOI8-T,... и т.д.). Но я привёл пример конкретно с форматами файлов.

saahriktu ★★★★★
()
Последнее исправление: saahriktu (всего исправлений: 1)
Ответ на: комментарий от ZERG

umatrix + ublock origin + HTTPS everywhere | Smart HTTPS

У меня аналогичный комплект из трех штук, только для форсирования https я использую HTTPS Already – минимализм хоть тут.

mandala ★★★★★
()
Ответ на: комментарий от saahriktu

Вот что делать юзеру, если он наткнулся на ссылку, которая ведёт на файл на FTP'шнике?

Совершенно то же, что юзеру, пытающемуся перейти по протоколу mailto: или tg:, нет?
«Для открытия этой ссылки требуется приложение»

wxw ★★★★★
()
Ответ на: комментарий от Deleted

Спойлер: Хром, в среднем, на треть быстрее.

Угу. Но умеет меньше. К примеру, esni в хромом нет — все, он не нужен.

Общий принцип — возможности важнее производительности.

anonymous
()
Ответ на: комментарий от saahriktu

Да и хрен с ним. Будет мотивация этим ресурсам перейти на https.

anonymous
()
Ответ на: комментарий от saahriktu

Называть протоколы без шифрования в век шпионажа и сетевых атак годными можешь только ты.

anonymous
()
Ответ на: комментарий от dimgel

На винфак

Вы пришли похвастать своим железом для Windows и Witcher3 в тему про Firefox на linux.org.ru. Вам не кажется, что ваш аргумент сосёт со свистом как амуде из парового котла?

Camel ★★★★★
()
Ответ на: комментарий от MozillaFirefox

если в подъезде нассано

Построить в нём туннель – то ещё решение:)

DonkeyHot ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Оставят только для частных сетей или их тоже под нож, ибо нефиг?

Radjah ★★★★★
()
Ответ на: комментарий от kirill_rrr

Ну, кстати, RSS можно и выкинуть, в браузере оно не особо удобно.

Aceler ★★★★★
()
Ответ на: комментарий от anonymous

Почему бы не выделить поддержку BMP в libbmp, а потом торжественно от неё избавиться? Ну так, в порядке стремления к светлому будущему.

Aceler ★★★★★
()
Ответ на: комментарий от saahriktu

А я привёл пример как ты конкретно облажался с твоим примером, ведь поддержку koi8 из читалок выкинули...

anonymous
()

Кстати, тут пишут, что в новом FF для Android поддержка дополнений появится в первом квартале 2020 года

Deleted
()

Кто в курсе приватные вкладки починили или нет?

anonymous
()
Ответ на: комментарий от With

А чего так? Без аддонов сразу разрабатывается?

Сначала реализуются базовые фичи, дополнения потом. Они будут.

MozillaFirefox ★★★★★
() автор топика
Ответ на: комментарий от MozillaFirefox

как сделали с userChrome.css

Так оно всё? Печально, хотя и ожидаемо. А как-то иначе теперь можно скрыть пункты из контекстного меню или сделать переключение вкладок колесом мыши?

anonymous
()
Ответ на: комментарий от anonymous

Перечитал ещё раз, и понял, что отключили только по умолчанию.

anonymous
()
Ответ на: комментарий от anonymous

с твоим примером

Мой пример был конкретно про форматы TXT и FB2.

поддержку koi8 из читалок выкинули

Не из всех. Тот же less как поддерживал KOI8-R так и поддерживает. А ещё есть True hackers' reader.

saahriktu ★★★★★
()
Ответ на: комментарий от anonymous

шпионажа

Честным людям скрывать нечего. Особенно при доступе к статичным страницам и тарболам. А против https для страниц с формами никто не возражает.

сетевых атак

Порты закрывать надо. Если они открыты, то никакой https не поможет.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Честным людям скрывать нечего. Особенно при доступе к статичным страницам и тарболам

Ага, пока тебе левый тарбол через митм не отдадут.

anonymous
()
Ответ на: комментарий от Aceler

Качал ISO-образ убунты с FTP, а получил образ с сюрпризом внутри, например.

anonymous
()

Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок

То есть отсутствие HTTPS приравняли к невалидному/самоподписанному сертификату? Вот за такое, конечно, в приличных домах бьют канделябром по лицу.

rebforce
()
Ответ на: комментарий от saahriktu

Кому нужны твои серверы, когда можно майнить тонны крптовалюты на ничего не подозревающих хомяках?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.