Сегодня обсуждается уже полная «блокировка» сертификатов от подконтрольных Symantec центров: в Chrome ориентировочно с выпуска 66 (запланирован на 17 апреля 2018) предлагается отвергать сертификаты выпущенные ранее 1 июня 2016 и с 70 — полностью все; в Firefox несколько ранее — с декабря 2017 года, также поэтапно с полным отказом ориентировочно в выпусках 63 (16 октября 2018) или 64 (27 ноября 2018).
Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.
Mozilla объявила о выпуске для Android браузера Firefox Focus, ранее поставлявшегося только для iOS. В нём используется движок Webkit вместо традиционного для Firefox Gecko.
Браузер ориентирован на предоставление пользователю полного контроля над своими данными и содержит встроенные инструменты для блокировки нежелательного контента: рекламы, внешнего JavaScript-кода, виджетов социальных сетей. В новой версии присутствует счётчик заблокированной рекламы и кнопка отключения блокировщика для сайтов, не работает корректно.
Браузер отправляет данные об активности вызова приложения, используемых настройках, частоте открытия страниц из адресной строки и частоте отправки поисковых запросов (информация о том, какие именно сайты открываются, не передаётся) на сервер Adjust GmbH. Отправку можно отключить в настройках.
Буквально на днях в браузерах Firefox Nightly дополнения, не поддерживающие мультипроцессность и WebExtensions, начали отключаться в принудительном порядке лишь только с возможностью удаления через меню.
Пока что это можно приостановить, изменив в about:config значение extensions.allow-non-mpc-extensions на true.
Примечательно, что аддоны отключаются даже в том случае, если пользователь отключил в настройках мультипроцессность (e10s).
В общем-то, релизы будут формироваться как и раньше — через каждые 6-8 недель, но благодаря отказу от ветки Aurora, цикл станет заметно короче. Изменения станут заметны пользователям не через 12 недель, а через те самые 6-8.
Firefox 54 уже переведен из Aurora на этап бета-теста, Firefox 55 в данный момент в состоянии ночных сборок, однако уже 15-го июня перейдет на стадию бета-тестирования.
Здесь можно лицезреть принципиально новую таблицу веток разработки Firefox.
В рамках проекта Photon Mozilla начала разрабатывать новый дизайн браузера Firefox. В команду разработчиков вовлечены 12 инженеров и 7 дизайнеров компании Mozilla.
Новый дизайн планируется представить в ноябрьском выпуске Firefox. В этом релизе также будут реализованы полный переход на WebExtensions, отказ от XUL и переход на новый движок Quantum.
Удалена поддержка NPAPI-плагинов (Silverlight, Java, Unity, Gnome Shell Integration, Google Hangouts). Исключение сделано лишь для Flash. Поддержка плагинов сохранена (но отключена по умолчанию, для включения необходимо воспользоваться настройкой plugin.load_flash_only = false) в Firefox 52 ESR, который будет получать обновления безопасности до марта 2018 года. Кроме того, Firefox 52 и 52 ESR станут последними выпусками, поддерживающими процессоры без SSE2 (Pentium 3, Athlon XP, VIA C3), операционные системы Windows XP/Vista и 32-разрядные версии Mac OS X. Пользователи этих операционных систем будут автоматически пересажены на ESR-выпуск, чтобы не остаться без обновлений безопасности.
Если на http-странице содержится форма ввода пароля, то предупреждение о небезопасном вводе будет показано прямо возле соответствующего поля ввода, а автозаполнение будет отключено.
Добавлена возможность отправки открытой вкладки с одного устройства на другое через синхронизацию.
Улучшен интерфейс загрузок:
При неудаче выводится уведомление на панель инструментов.
Быстрый доступ к недавним загрузкам расширен с трёх до пяти элементов.
Включена поддержка чернового варианта спецификации TLS 1.3 (1310516).
Удалена поддержка Battery Status API (1313580). Предполагалось, что веб-приложения и сайты смогут при низком уровне заряда аккумулятора устройства отдавать облегчённую версию контента или экстренно сохранять данные. На практике этой возможностью пользуются лишь для отслеживания пользователей (уровень заряда служит одним из параметров, позволяющих точно идентифицировать клиента), а некоторые сервисы могут повышать расценки для пользователей, чей телефон вот-вот разрядится.
Движок обзавёлся поддержкой WebAssembly (эффективного низкоуровневого языка программирования, выполняющегося в браузере).
Совместный доступ к экрану теперь поддерживает предварительный просмотр и больше не требует присутствия домена в белом списке.
Прекращена поддержка SHA-1 сертификатов, выпущенных публичными удостоверяющими центрами. Кроме того, в Firefox 52 ESR отключена поддержка сервисных воркеров и пуш-уведомлений. Эти компоненты будут подвергнуты существенным изменениям, которые невозможно было бы портировать в ESR-выпуск, получающий лишь обновления безопасности.
Включено автоматическое обнаружение captive portal. При обнаружении сети, использующей эту технологию, браузер выдаст предупреждение и откроет страницу входа в новой вкладке.
На платформе Windows улучшена совместимость со сторонними раскладками клавиатуры, не входящими в стандартную поставку Windows. Также, без объяснения причин удалена поддержка DRM-модуля Adobe Primetime CDM.
Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.
Компания Mozilla подтвердила наличие уязвимости в коде Firefox.
До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.
16 июля 2016 года Президент России подписал «Поручение об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Документ предписывает «Обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями».
При электронном взаимодействии между собой граждане и организации используют браузеры, для доступа к порталам госуслуг, и почтовые клиенты. Для защиты трафика между порталом и браузером он должен шифроваться, почтовые клиенты должны уметь как подписывать, так и шифровать почтовые сообщения. И если мы говорим о Российской Федерации, то это должны быть российские криптоалгоритмы (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015).
В настоящее время широкое распространение получили браузер Mozilla Firefox и почтовый клиент Mozilla Thunderbird, дистрибутивы которых входят во все отечественные операционные системы семейства Linux. Вместе с тем одним из сдерживающих моментов их широкого распространения, особенно в органах государственной и исполнительной власти, является отсутствие возможности использования российской криптографии в этих продуктах, в частности, в протоколе https, а также использование ЭП и шифрования в почтовом клиенте.
Появление на рынке токенов семейства PKCS#11, реализующих российскую криптографию, сделало возможным провести встраивание поддержки механизмов российской криптографии в браузер Mozilla Firefox и Mozilla Thunderbird.
Вместе с тем Mozilla накладывает ограничения на использование своих логотипов и товарных знаков в модифицированных версиях своих продуктов. Исходя из этого, модифицированным версиям разработчики дали свои названия и логотипы, например:
браузер Redfox , т.е. доработанный с целю поддержки российской криптографии браузер Firefox;
почтовый клиент RedfoxMail, т.е. доработанный с целю поддержки российской криптографии почтовый клиент Thunderbird;
интегрированный пакет Redfox2in1, т.е. доработанный с целю поддержки российской криптографии пакет SeaMonkey.
Браузеры обеспечивает поддержку российских шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и TLS_GOSTR341112_256_WITH_28147_CNT_IMIT для протоколов TLS 1.0, TLS 1.1 и TLS 1.2.
Почтовые клиенты обеспечивают формирование подписи под почтовыми сообщениями как по алгоритму ГОСТ Р 34.10-2001, так и по алгоритму ГОСТ Р 34.10-2012 с длиной ключа 256 и 512 бит. Шифрование почтовых сообщений ведется с применением алгоритма ГОСТ 28147-89:
Разработчики Firefox начнут избавляться от Adobe Flash с релиза 48, запланированного на 2-е августа. В этом релизе будет включен по умолчанию Firefox plugin blocklist. Сначала блок-лист будет небольшим, по большей части, содержащим SWF-файлы сервисов, которые Mozilla распознала как supercookie и цифровые отпечатки. Одна из целей введения этого блок-листа — сократить количество падений Flash-плагина путем уменьшения количества содержимого на Adobe Flash.
К середине 2017 года, Mozilla планирует начать блокировать весь Flash-контент по умолчанию. У пользователя останется возможность запустить содержимое Adobe Flash с помощью клика (click-to-play), но скрытые элементы и реклама будут заблокированы аналогично тому, как это уже реализовано в Chrome.
Mozilla пока не заявляет о полной безусловной блокировке Flash, но стоит отметить, что в Firefox 52 (март 2017) запланировано полное отключение поддержки NPAPI-плагинов (Java, Silverlight и т.п.), кроме Flash. Для него сделано исключение.
Также в следующем марте выйдет релиз с расширенной поддержкой Firefox ESR. В нем сохранится поддержка NPAPI плагинов. Это позволит пользователям, которым нужно дополнительное время перехода на альтернативы Flash, продолжать использовать такие плагины минимум до начала 2018 года.
Asa Dotzler объявил о том, что многопроцессный режим наконец-то отлажен, достаточно стабилен, производителен, и постепенно будет включён в релизных версиях браузера. К сожалению, не все разработчики популярных дополнений адаптировались к многопроцессности, поэтому первыми её получат лишь те пользователи, которые не устанавливают дополнения.
Начиная с выпуска Firefox 48, многопроцессный режим будет включён у 1% пользователей, не имеющих установленных дополнений. Если всё пройдёт без эксцессов, то уже в Firefox 49 многопроцессность получат все пользователи (всё при том же условии, что они не устанавливали дополнения).
В бета-версиях многопроцессный режим будет включён у всех пользователей, без ограничений.
В настоящий момент, обработка всех страниц и интерфейса браузера происходит на одном ядре процессора. Несмотря на то, что сетевые операции, декодирование изображений, видео и звука вынесены за пределы основного цикла, работа с DOM, выполнение скриптов и парсинг HTML остаются однопоточными.
Многопроцессный режим подразумевает вынос обработки контента в отдельный процесс, независимый от процесса, в котором осуществляет работа интерфейса браузера. В отличие от Chromium, где господствует философия «каждая вкладка в отдельном процессе», в Firefox все вкладки будут обрабатываться в одном процессе. Но, не исключено, что в будущем каждая вкладка получит свой собственный процесс.
Mozilla запустила программу Test Pilot, позволяющую пользователям попробовать и оценить экспериментальные возможности, которые в будущем могут появиться в Firefox.
Для участия требуется учётная запись Firefox (Firefox Account) и установка специального дополнения, позволяющего в любой момент включать и выключать тестируемые возможности.
Доступные улучшения:
Activity Stream в будущем призван заменить содержимое новых вкладок. Он предлагает часто посещаемые страницы и закладки, представленные хронологически в виде временной шкалы.
Tab Center размещает вкладки вертикально сбоку экрана. Панель автоматически сужается при уходе курсора, превращая вкладки в пиктограммы, и расширяется при наведении, показывая заголовки вкладок.
Универсальный поиск объединяет адресную и поисковую строки. В поисковых подсказках отдельно выделяются сайты, ранее посещённые пользователем. Рекомендованные результаты включают в себя подробные сведения о сайте, например, основные новости с главной страницы сайта.
Переход на GTK3 по умолчанию, что открывает дорогу к нормальной работе с Wayland и лучшему отображению на HiDPI-мониторах. Поддержка GTK2 пока полностью сохранена.
Усилена безопасность компилятора JavaScript Just In Time (JIT). Применена технология W^X («Write XOR Execute», изобретена в OpenBSD), гарантирующая, что код, созданный JIT, не будет исполнен, пока не запрещена запись. Скорость работы JS-движка снизилась на 1-4%.
Pocket, вслед за Hello, стал системным дополнением (не отображается в списке обычных дополнений) и вынесен в отдельный файл (/usr/lib/firefox/browser/features/firefox@getpocket.com.xpi). В следующей версии планируется сделать доступным отключение системных дополнений в интерфейсе браузера.
Если системные кодеки H.264 и AAC недоступны, для воспроизведения этих форматов будет использоваться CDM-модуль (модуль для расшифровки DRM-содержимого, отсутствующий в Linux-версии).
Автоматическая замена старого кода <embed> на страницах, встраивающих видео с YouTube, на новый <iframe>, что позволяет просматривать видео средствами HTML5. Функция пока не до конца протестирована и отключена по умолчанию, для использования нужно включить настройку plugins.rewrite_youtube_embeds.
