Доступен корректирующий выпуск браузера Firefox 51.0.1.

Основные изменения:

• Устранена проблема с активацией в многопроцессном режиме дополнений, несовместимых с ним (многие дополнения ругались на несовместимость с версией 51).
• Устранена также ошибка, из-за которой определение местоположения через API Geolocation не работало на платформе Windows.

>>> Подробности

Доступен выпуск Firefox 51.

( читать дальше... )

>>> Подробности

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Доступен выпуск Firefox 50.

( список изменений )

>>> Подробности

Доступен выпуск Firefox 49.

( читать дальше... )

>>> Подробности

16 июля 2016 года Президент России подписал «Поручение об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования». Документ предписывает «Обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями». При электронном взаимодействии между собой граждане и организации используют браузеры, для доступа к порталам госуслуг, и почтовые клиенты. Для защиты трафика между порталом и браузером он должен шифроваться, почтовые клиенты должны уметь как подписывать, так и шифровать почтовые сообщения. И если мы говорим о Российской Федерации, то это должны быть российские криптоалгоритмы (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015).

В настоящее время широкое распространение получили браузер Mozilla Firefox и почтовый клиент Mozilla Thunderbird, дистрибутивы которых входят во все отечественные операционные системы семейства Linux. Вместе с тем одним из сдерживающих моментов их широкого распространения, особенно в органах государственной и исполнительной власти, является отсутствие возможности использования российской криптографии в этих продуктах, в частности, в протоколе https, а также использование ЭП и шифрования в почтовом клиенте.

Появление на рынке токенов семейства PKCS#11, реализующих российскую криптографию, сделало возможным провести встраивание поддержки механизмов российской криптографии в браузер Mozilla Firefox и Mozilla Thunderbird.

Вместе с тем Mozilla накладывает ограничения на использование своих логотипов и товарных знаков в модифицированных версиях своих продуктов. Исходя из этого, модифицированным версиям разработчики дали свои названия и логотипы, например:

• браузер Redfox , т.е. доработанный с целю поддержки российской криптографии браузер Firefox;
• почтовый клиент RedfoxMail, т.е. доработанный с целю поддержки российской криптографии почтовый клиент Thunderbird;
• интегрированный пакет Redfox2in1, т.е. доработанный с целю поддержки российской криптографии пакет SeaMonkey.

Браузеры обеспечивает поддержку российских шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и TLS_GOSTR341112_256_WITH_28147_CNT_IMIT для протоколов TLS 1.0, TLS 1.1 и TLS 1.2.

Почтовые клиенты обеспечивают формирование подписи под почтовыми сообщениями как по алгоритму ГОСТ Р 34.10-2001, так и по алгоритму ГОСТ Р 34.10-2012 с длиной ключа 256 и 512 бит. Шифрование почтовых сообщений ведется с применением алгоритма ГОСТ 28147-89:

>>> Redfox – браузер с поддержкой российской криптографии

Доступен выпуск Firefox 48.

( читать дальше... )

>>> Подробности

Разработчики Firefox начнут избавляться от Adobe Flash с релиза 48, запланированного на 2-е августа. В этом релизе будет включен по умолчанию Firefox plugin blocklist. Сначала блок-лист будет небольшим, по большей части, содержащим SWF-файлы сервисов, которые Mozilla распознала как supercookie и цифровые отпечатки. Одна из целей введения этого блок-листа — сократить количество падений Flash-плагина путем уменьшения количества содержимого на Adobe Flash.

К середине 2017 года, Mozilla планирует начать блокировать весь Flash-контент по умолчанию. У пользователя останется возможность запустить содержимое Adobe Flash с помощью клика (click-to-play), но скрытые элементы и реклама будут заблокированы аналогично тому, как это уже реализовано в Chrome.

Mozilla пока не заявляет о полной безусловной блокировке Flash, но стоит отметить, что в Firefox 52 (март 2017) запланировано полное отключение поддержки NPAPI-плагинов (Java, Silverlight и т.п.), кроме Flash. Для него сделано исключение.

Также в следующем марте выйдет релиз с расширенной поддержкой Firefox ESR. В нем сохранится поддержка NPAPI плагинов. Это позволит пользователям, которым нужно дополнительное время перехода на альтернативы Flash, продолжать использовать такие плагины минимум до начала 2018 года.

>>> Подробности

Asa Dotzler объявил о том, что многопроцессный режим наконец-то отлажен, достаточно стабилен, производителен, и постепенно будет включён в релизных версиях браузера. К сожалению, не все разработчики популярных дополнений адаптировались к многопроцессности, поэтому первыми её получат лишь те пользователи, которые не устанавливают дополнения.

Начиная с выпуска Firefox 48, многопроцессный режим будет включён у 1% пользователей, не имеющих установленных дополнений. Если всё пройдёт без эксцессов, то уже в Firefox 49 многопроцессность получат все пользователи (всё при том же условии, что они не устанавливали дополнения).

В бета-версиях многопроцессный режим будет включён у всех пользователей, без ограничений.

В настоящий момент, обработка всех страниц и интерфейса браузера происходит на одном ядре процессора. Несмотря на то, что сетевые операции, декодирование изображений, видео и звука вынесены за пределы основного цикла, работа с DOM, выполнение скриптов и парсинг HTML остаются однопоточными.

Многопроцессный режим подразумевает вынос обработки контента в отдельный процесс, независимый от процесса, в котором осуществляет работа интерфейса браузера. В отличие от Chromium, где господствует философия «каждая вкладка в отдельном процессе», в Firefox все вкладки будут обрабатываться в одном процессе. Но, не исключено, что в будущем каждая вкладка получит свой собственный процесс.

>>> Подробности

Доступен выпуск Firefox 47.

( читать дальше... )

>>> Подробности

Mozilla запустила программу Test Pilot, позволяющую пользователям попробовать и оценить экспериментальные возможности, которые в будущем могут появиться в Firefox.

Для участия требуется учётная запись Firefox (Firefox Account) и установка специального дополнения, позволяющего в любой момент включать и выключать тестируемые возможности.

Доступные улучшения:

• Activity Stream в будущем призван заменить содержимое новых вкладок. Он предлагает часто посещаемые страницы и закладки, представленные хронологически в виде временной шкалы.
• Tab Center размещает вкладки вертикально сбоку экрана. Панель автоматически сужается при уходе курсора, превращая вкладки в пиктограммы, и расширяется при наведении, показывая заголовки вкладок.
• Универсальный поиск объединяет адресную и поисковую строки. В поисковых подсказках отдельно выделяются сайты, ранее посещённые пользователем. Рекомендованные результаты включают в себя подробные сведения о сайте, например, основные новости с главной страницы сайта.

>>> Подробности

Доступен выпуск Firefox 46.

• Переход на GTK3 по умолчанию, что открывает дорогу к нормальной работе с Wayland и лучшему отображению на HiDPI-мониторах. Поддержка GTK2 пока полностью сохранена.
• Усилена безопасность компилятора JavaScript Just In Time (JIT). Применена технология W^X («Write XOR Execute», изобретена в OpenBSD), гарантирующая, что код, созданный JIT, не будет исполнен, пока не запрещена запись. Скорость работы JS-движка снизилась на 1-4%.
• Pocket, вслед за Hello, стал системным дополнением (не отображается в списке обычных дополнений) и вынесен в отдельный файл (/usr/lib/firefox/browser/features/firefox@getpocket.com.xpi). В следующей версии планируется сделать доступным отключение системных дополнений в интерфейсе браузера.
• Если системные кодеки H.264 и AAC недоступны, для воспроизведения этих форматов будет использоваться CDM-модуль (модуль для расшифровки DRM-содержимого, отсутствующий в Linux-версии).
• Автоматическая замена старого кода <embed> на страницах, встраивающих видео с YouTube, на новый <iframe>, что позволяет просматривать видео средствами HTML5. Функция пока не до конца протестирована и отключена по умолчанию, для использования нужно включить настройку plugins.rewrite_youtube_embeds.

( читать дальше... )

>>> Подробности

Марк Майо, являющийся вице-президентом Mozilla и главным менеджером Firefox, представил новый браузер Tofino. Неожиданно, в новом браузере вместо движка Gecko используется платформа Electron, созданная GitHub для редактора Atom и основанная на браузерном движке Chromium. Утверждается что данное решения является временным и полный отказ от Gecko не планируется. Tofino позиционируется не как проект по созданию конечного продукта, а как серия экспериментов по изучению принципиально новых методов взаимодействия с пользователем. По мнению разработчиков в современных реалиях идея панели вкладок исчерпала себя и требуется какое-то новое решение, которое можно будет использовать и на ПК и на мобильных устройствах. Таким образом проект отказывается от жёсткой привязки к браузерному движку и сосредотачивает усилия на создании принципиально новых интерфейсов взаимодействия с пользователем.

>>> Подробности (на английском языке)

Доступен выпуск Firefox 45.

• Переход на GTK3 отложен в очередной раз. Поддержка совместимого с Chrome API WebExtensions (разработка кроссбраузерных дополнений) тоже отложена.
• Чат Hello вынесен в отдельное дополнение, поставляемое с браузером. В следующем выпуске та же участь постигнет Pocket.
• Удалена функция группировки вкладок (Panorama). Сотой доле процента пользователей (по данным, полученным с помощью телеметрии), которым эта функция необходима, предлагается воспользоваться дополнениями.
• Возможность предоставить другому пользователю доступ к открытой вкладке браузера.
• Кнопка для отображения синхронизированных вкладок.
• При поиске в адресной строке синхронизированные вкладки будут показаны в выпадающей области.
• Добавлена настройка network.dns.blockDotOnion, блокирующая запросы к DNS-серверам при обращении браузера к сайтам в доменной зоне .onion. Скрытые сервисы Tor всё равно работают без DNS, а эта настройка предотвратит раскрытие DNS-серверу информации о том, что пользователь щёлкнул по .onion-ссылке.
• Добавлен режим временной установки неподписанных дополнений (установка из XPI-файла, после перезапуска браузера дополнение автоматически удаляется).
• Исправлено некорректное перенаправление по ссылкам, ведущим на IDN-домены (Unicode-format Internationalized Domain Name).
• Веб-содержимому запрещено использовать протокол jar:, который позволял напрямую обращаться к конкретному файлу внутри ZIP-архива. Остальные браузеры уже давно не поддерживают этот протокол; его поддержку можно включить, отключив настройку network.jar.block-remote-files (1215235).
• Исправлена регрессия, введённая в Firefox 41: воспроизведение звука порой заикалось из-за ошибок округления времени воспроизведения (1222866).
• Локализация на язык гуарани [gn].

( читать дальше... )

>>> Подробности

В 2012 году Mozilla начала разработку Shumway, открытой реализации Flash, с целью интегрировать её в Firefox и дать пользователям доступ к flash-содержимому без использования проприетарного плагина Adobe Flash.

В конце 2013 года Shumway появился в ночных сборках Firefox, а в прошлом году стал использоваться для отображения веб-сайта Amazon. В сентябре 2015 года разработка замедлилась и поползли слухи о том, что Mozilla больше не считает Shumway приоритетным направлением. Соответствующий тикет в багтрекере был перемещен в раздел «Graveyard», что означает постепенное сворачивание работ в этом направлении.

Один из инженеров Mozilla подтвердил слухи: «Shumway остаётся на GitHub, но не будет частью Firefox. Наши ресурсы ограничены, в настоящее время есть более важные задачи, чем разработка костылей для Flash.»

HTML5 постепенно отвоёвывает место у Flash. Google уже объявила, об отказе от flash-рекламы с 2017 года, что наверняка повлияло на решение свернуть разработку Shumway, поскольку планировалось сперва задействовать его именно для отображения рекламы. К тому же, на 2016 год запланировано прекращение поддержки NPAPI-плагинов в Firefox, а это означало необходимость спешного доведения Shumway до готовности. Mozilla выбрала иной путь: свернуть разработку и сделать для NPAPI-плагина Flash исключение — сохранить его поддержку в обозримом будущем.

>>> Подробности

Компания Mozilla признает, что патчи, накладываемые в Debian на Iceweasel/Firefox соответствуют высокому качеству оригинального продукта, а многие из команды мейнтейнеров пакетов Mozilla долгое время тесно работают с компанией, поэтому Mozilla полностью доверяет их решениям.

Дистрибутивы, производные от Debian также могут использовать брендинг Firefox, пока качество их пакетов соответствует таковому в Debian.

Для этого логотип Firefox был выпущен под лицензией, удовлетворяющей условиям Debian.

Для упрощения поддержки в текущем релизе пакет все еще будет называться Iceweasel, а уже в следующем (Stretch) будет Firefox.

P.S. Также начался аналогичный процесс для Icedove/Thunderbird.

>>> Подробности

Доступен выпуск Firefox 44.

• Запрет на установку неподписанных дополнений отложен на два выпуска. Mozilla передумала выпускать специальные версии браузера, где будет разрешена установка таких дополнений. Вместо этого, поддержка неподписанных дополнений сохранится в ESR-версиях (версиях с длительным сроком поддержки). Кроме того, появится поддержка временной установки неподписанных дополнений (которые будут автоматически удаляться после завершения работы).
• Новое оформление страниц с сообщениями об ошибках сертификатов и недоверенных соединениях.
• Задействование системного декодера H.264 (если он доступен). В системах, не поддерживающих MP4/H.264, включена поддержка видео WebM/VP9.
• Поддержка алгоритма сжатия Brotli: заголовки Accept-Encoding и Content-Encoding поддерживают значение «br» (366559, 1211916).
• Удалена поддержка заголовков HTTP/2, содержащих разрывы строк ('\n'). Они не разрешены спецификацией HTTP/2, в отличие от HTTP/1 (1197847).
• В версиях для Linux и OS X добавлена возможность выполнения отрисовки через WebGL в отдельном потоке, не мешающем работе основного потока обработки контента. Запуск WebGL в отдельном потоке производится при помощи нового API OffscreenCanvas, добавленного в систему Web Worker-ов, предоставляющую средства для фонового выполнения длительных JavaScript-операций. Для включения, необходимо установить опцию gfx.offscreencanvas.enabled в значение «true» (709490). API включает интерфейс OffscreenCanvas и методы HTMLCanvasElement.transferControlToOffscreen(), WebGLRenderingContext.commit().
• В движке включены по умолчанию Service worker-ы (предостережение для параноиков).
• Windows-сборки подписаны сертификатами с использованием SHA-256, поскольку Microsoft более не считает надёжными сертификаты с SHA-1.

( читать дальше... )

>>> Подробности для разработчиков

Доступен выпуск Firefox 43.

• В API добавлена поддержка распознавания возможности воспроизведения видео в формате m4v.
• Добавлены подсказки от поисковой системы при вводе поискового запроса в адресной строке. До этого такие подсказки выводились лишь в панели поиска.
• Пользователь может выбрать расширенный список блокировки для защиты от отслеживания в приватном режиме.
• Проверка целостности ресурсов (скриптов и CSS) позволяет сверять загружаемые ресурсы с эталонными хешами (992096).
• Фреймы со сторонних сайтов больше не могут получить доступ к localStorage и sessionStorage, если пользователь отключил приём кук со сторонних сайтов (536509).
• Механизм отчёта о здоровье браузера теперь собирает данные теми же способами, что и телеметрия.
• Прекращена поддержка NPAPI-плагинов, не способных работать в многопроцессном режиме.
• Автоматическое отображение экранной клавиатуры при переходе к полю ввода (только в Windows 8 и выше при наличии сенсорного экрана).
• Исправления ошибок безопасности.

( читать дальше... )

>>> Подробности для разработчиков

Как заявил Ари Яаски (ВП по мобильным устройствам): «Мы гордимся теми возможностями, которые FirefoxOS сделала доступными на Веб платформе, и мы продолжим экспериментировать с мобильными устройствами ... К сожалению, мы не смогли предложить наилучший вариант для пользователей, и поэтому мы прекращаем поддержку телефонов на базе Firefox OS.»

>>> Подробности

Даррен Херман, вице-президент Mozilla по контентным сервисам, объявил о намерении отказаться от рекламного содержимого, присутствующего на главной странице Firefox.

Ненавязчивая реклама появлялась в пустых миниатюрах на главной странице браузера у новых пользователей (или после очистки истории браузера). Как только в браузере появлялась история посещённых сайтов, эти миниатюры постепенно заполнялись сайтами из истории и для рекламы мест не оставалось.

Большинство пользователей ни разу так и не увидело эту рекламу, а Mozilla не раз заявляла, что подбор рекламы осуществляется на стороне пользователя, а рекламодателям передаётся лишь обезличенная статистика. Но сообщество негативно отреагировало на нововведение, вероятно, из соображений «они говорят, что борются за приватность, а сами показывают рекламу». Свою роль сыграло и неплохое финансовое положение компании, которая сводит концы с концами даже после расторжения договора о партнёрстве с Google, и не сильно нуждается в получении доходов от рекламы.

Теперь Mozilla сфокусируется на «методах обнаружения контента», а эксперимент с рекламой будет свёрнут в течение нескольких месяцев.

>>> Подробности