Доступен выпуск Firefox 47.

( читать дальше... )

>>> Подробности (mozilla.org)

Mozilla запустила программу Test Pilot, позволяющую пользователям попробовать и оценить экспериментальные возможности, которые в будущем могут появиться в Firefox.

Для участия требуется учётная запись Firefox (Firefox Account) и установка специального дополнения, позволяющего в любой момент включать и выключать тестируемые возможности.

Доступные улучшения:

• Activity Stream в будущем призван заменить содержимое новых вкладок. Он предлагает часто посещаемые страницы и закладки, представленные хронологически в виде временной шкалы.
• Tab Center размещает вкладки вертикально сбоку экрана. Панель автоматически сужается при уходе курсора, превращая вкладки в пиктограммы, и расширяется при наведении, показывая заголовки вкладок.
• Универсальный поиск объединяет адресную и поисковую строки. В поисковых подсказках отдельно выделяются сайты, ранее посещённые пользователем. Рекомендованные результаты включают в себя подробные сведения о сайте, например, основные новости с главной страницы сайта.

>>> Подробности (mozilla.org)

Доступен выпуск Firefox 46.

• Переход на GTK3 по умолчанию, что открывает дорогу к нормальной работе с Wayland и лучшему отображению на HiDPI-мониторах. Поддержка GTK2 пока полностью сохранена.
• Усилена безопасность компилятора JavaScript Just In Time (JIT). Применена технология W^X («Write XOR Execute», изобретена в OpenBSD), гарантирующая, что код, созданный JIT, не будет исполнен, пока не запрещена запись. Скорость работы JS-движка снизилась на 1-4%.
• Pocket, вслед за Hello, стал системным дополнением (не отображается в списке обычных дополнений) и вынесен в отдельный файл (/usr/lib/firefox/browser/features/firefox@getpocket.com.xpi). В следующей версии планируется сделать доступным отключение системных дополнений в интерфейсе браузера.
• Если системные кодеки H.264 и AAC недоступны, для воспроизведения этих форматов будет использоваться CDM-модуль (модуль для расшифровки DRM-содержимого, отсутствующий в Linux-версии).
• Автоматическая замена старого кода <embed> на страницах, встраивающих видео с YouTube, на новый <iframe>, что позволяет просматривать видео средствами HTML5. Функция пока не до конца протестирована и отключена по умолчанию, для использования нужно включить настройку plugins.rewrite_youtube_embeds.

( читать дальше... )

>>> Подробности (mozilla.org)

Марк Майо, являющийся вице-президентом Mozilla и главным менеджером Firefox, представил новый браузер Tofino. Неожиданно, в новом браузере вместо движка Gecko используется платформа Electron, созданная GitHub для редактора Atom и основанная на браузерном движке Chromium. Утверждается что данное решения является временным и полный отказ от Gecko не планируется. Tofino позиционируется не как проект по созданию конечного продукта, а как серия экспериментов по изучению принципиально новых методов взаимодействия с пользователем. По мнению разработчиков в современных реалиях идея панели вкладок исчерпала себя и требуется какое-то новое решение, которое можно будет использовать и на ПК и на мобильных устройствах. Таким образом проект отказывается от жёсткой привязки к браузерному движку и сосредотачивает усилия на создании принципиально новых интерфейсов взаимодействия с пользователем.

>>> Подробности (на английском языке) (theregister.co.uk)

Доступен выпуск Firefox 45.

• Переход на GTK3 отложен в очередной раз. Поддержка совместимого с Chrome API WebExtensions (разработка кроссбраузерных дополнений) тоже отложена.
• Чат Hello вынесен в отдельное дополнение, поставляемое с браузером. В следующем выпуске та же участь постигнет Pocket.
• Удалена функция группировки вкладок (Panorama). Сотой доле процента пользователей (по данным, полученным с помощью телеметрии), которым эта функция необходима, предлагается воспользоваться дополнениями.
• Возможность предоставить другому пользователю доступ к открытой вкладке браузера.
• Кнопка для отображения синхронизированных вкладок.
• При поиске в адресной строке синхронизированные вкладки будут показаны в выпадающей области.
• Добавлена настройка network.dns.blockDotOnion, блокирующая запросы к DNS-серверам при обращении браузера к сайтам в доменной зоне .onion. Скрытые сервисы Tor всё равно работают без DNS, а эта настройка предотвратит раскрытие DNS-серверу информации о том, что пользователь щёлкнул по .onion-ссылке.
• Добавлен режим временной установки неподписанных дополнений (установка из XPI-файла, после перезапуска браузера дополнение автоматически удаляется).
• Исправлено некорректное перенаправление по ссылкам, ведущим на IDN-домены (Unicode-format Internationalized Domain Name).
• Веб-содержимому запрещено использовать протокол jar:, который позволял напрямую обращаться к конкретному файлу внутри ZIP-архива. Остальные браузеры уже давно не поддерживают этот протокол; его поддержку можно включить, отключив настройку network.jar.block-remote-files (1215235).
• Исправлена регрессия, введённая в Firefox 41: воспроизведение звука порой заикалось из-за ошибок округления времени воспроизведения (1222866).
• Локализация на язык гуарани [gn].

( читать дальше... )

>>> Подробности (mozilla.org)

В 2012 году Mozilla начала разработку Shumway, открытой реализации Flash, с целью интегрировать её в Firefox и дать пользователям доступ к flash-содержимому без использования проприетарного плагина Adobe Flash.

В конце 2013 года Shumway появился в ночных сборках Firefox, а в прошлом году стал использоваться для отображения веб-сайта Amazon. В сентябре 2015 года разработка замедлилась и поползли слухи о том, что Mozilla больше не считает Shumway приоритетным направлением. Соответствующий тикет в багтрекере был перемещен в раздел «Graveyard», что означает постепенное сворачивание работ в этом направлении.

Один из инженеров Mozilla подтвердил слухи: «Shumway остаётся на GitHub, но не будет частью Firefox. Наши ресурсы ограничены, в настоящее время есть более важные задачи, чем разработка костылей для Flash.»

HTML5 постепенно отвоёвывает место у Flash. Google уже объявила, об отказе от flash-рекламы с 2017 года, что наверняка повлияло на решение свернуть разработку Shumway, поскольку планировалось сперва задействовать его именно для отображения рекламы. К тому же, на 2016 год запланировано прекращение поддержки NPAPI-плагинов в Firefox, а это означало необходимость спешного доведения Shumway до готовности. Mozilla выбрала иной путь: свернуть разработку и сделать для NPAPI-плагина Flash исключение — сохранить его поддержку в обозримом будущем.

>>> Подробности (ghacks.net)

Компания Mozilla признает, что патчи, накладываемые в Debian на Iceweasel/Firefox соответствуют высокому качеству оригинального продукта, а многие из команды мейнтейнеров пакетов Mozilla долгое время тесно работают с компанией, поэтому Mozilla полностью доверяет их решениям.

Дистрибутивы, производные от Debian также могут использовать брендинг Firefox, пока качество их пакетов соответствует таковому в Debian.

Для этого логотип Firefox был выпущен под лицензией, удовлетворяющей условиям Debian.

Для упрощения поддержки в текущем релизе пакет все еще будет называться Iceweasel, а уже в следующем (Stretch) будет Firefox.

P.S. Также начался аналогичный процесс для Icedove/Thunderbird.

>>> Подробности (debian.org)

Доступен выпуск Firefox 44.

• Запрет на установку неподписанных дополнений отложен на два выпуска. Mozilla передумала выпускать специальные версии браузера, где будет разрешена установка таких дополнений. Вместо этого, поддержка неподписанных дополнений сохранится в ESR-версиях (версиях с длительным сроком поддержки). Кроме того, появится поддержка временной установки неподписанных дополнений (которые будут автоматически удаляться после завершения работы).
• Новое оформление страниц с сообщениями об ошибках сертификатов и недоверенных соединениях.
• Задействование системного декодера H.264 (если он доступен). В системах, не поддерживающих MP4/H.264, включена поддержка видео WebM/VP9.
• Поддержка алгоритма сжатия Brotli: заголовки Accept-Encoding и Content-Encoding поддерживают значение «br» (366559, 1211916).
• Удалена поддержка заголовков HTTP/2, содержащих разрывы строк ('\n'). Они не разрешены спецификацией HTTP/2, в отличие от HTTP/1 (1197847).
• В версиях для Linux и OS X добавлена возможность выполнения отрисовки через WebGL в отдельном потоке, не мешающем работе основного потока обработки контента. Запуск WebGL в отдельном потоке производится при помощи нового API OffscreenCanvas, добавленного в систему Web Worker-ов, предоставляющую средства для фонового выполнения длительных JavaScript-операций. Для включения, необходимо установить опцию gfx.offscreencanvas.enabled в значение «true» (709490). API включает интерфейс OffscreenCanvas и методы HTMLCanvasElement.transferControlToOffscreen(), WebGLRenderingContext.commit().
• В движке включены по умолчанию Service worker-ы (предостережение для параноиков).
• Windows-сборки подписаны сертификатами с использованием SHA-256, поскольку Microsoft более не считает надёжными сертификаты с SHA-1.

( читать дальше... )

>>> Подробности для разработчиков (mozilla.org)

Доступен выпуск Firefox 43.

• В API добавлена поддержка распознавания возможности воспроизведения видео в формате m4v.
• Добавлены подсказки от поисковой системы при вводе поискового запроса в адресной строке. До этого такие подсказки выводились лишь в панели поиска.
• Пользователь может выбрать расширенный список блокировки для защиты от отслеживания в приватном режиме.
• Проверка целостности ресурсов (скриптов и CSS) позволяет сверять загружаемые ресурсы с эталонными хешами (992096).
• Фреймы со сторонних сайтов больше не могут получить доступ к localStorage и sessionStorage, если пользователь отключил приём кук со сторонних сайтов (536509).
• Механизм отчёта о здоровье браузера теперь собирает данные теми же способами, что и телеметрия.
• Прекращена поддержка NPAPI-плагинов, не способных работать в многопроцессном режиме.
• Автоматическое отображение экранной клавиатуры при переходе к полю ввода (только в Windows 8 и выше при наличии сенсорного экрана).
• Исправления ошибок безопасности.

( читать дальше... )

>>> Подробности для разработчиков (mozilla.org)

Как заявил Ари Яаски (ВП по мобильным устройствам): «Мы гордимся теми возможностями, которые FirefoxOS сделала доступными на Веб платформе, и мы продолжим экспериментировать с мобильными устройствами ... К сожалению, мы не смогли предложить наилучший вариант для пользователей, и поэтому мы прекращаем поддержку телефонов на базе Firefox OS.»

>>> Подробности (techcrunch.com)

Даррен Херман, вице-президент Mozilla по контентным сервисам, объявил о намерении отказаться от рекламного содержимого, присутствующего на главной странице Firefox.

Ненавязчивая реклама появлялась в пустых миниатюрах на главной странице браузера у новых пользователей (или после очистки истории браузера). Как только в браузере появлялась история посещённых сайтов, эти миниатюры постепенно заполнялись сайтами из истории и для рекламы мест не оставалось.

Большинство пользователей ни разу так и не увидело эту рекламу, а Mozilla не раз заявляла, что подбор рекламы осуществляется на стороне пользователя, а рекламодателям передаётся лишь обезличенная статистика. Но сообщество негативно отреагировало на нововведение, вероятно, из соображений «они говорят, что борются за приватность, а сами показывают рекламу». Свою роль сыграло и неплохое финансовое положение компании, которая сводит концы с концами даже после расторжения договора о партнёрстве с Google, и не сильно нуждается в получении доходов от рекламы.

Теперь Mozilla сфокусируется на «методах обнаружения контента», а эксперимент с рекламой будет свёрнут в течение нескольких месяцев.

>>> Подробности (ghacks.net)

Доступен выпуск Firefox 42.

• Включена защита от отслеживания с помощью блокировки элементов, отслеживающих перемещения пользователя. Используются чёрные списки проекта disconnect.me.
• Менеджер сохранённых паролей:
  • Улучшена эвристика при сохранении логинов и паролей.
  • Возможность редактирования сохранённых логинов, а также возможность копирования сохранённых логинов и паролей.
  • Импорт паролей из IE и Chrome.
• WebRTC:
  • Поддержка IPv6.
  • Добавлена настройка media.peerconnection.ice.relay_only, предотвращающая ситуацию, в которой любой веб-сайт мог определить реальный IP-адрес пользователя, используемый до трансляции адресов, VPN или прокси.
  • Хуки для расширений (наподобие Statutory) позволяющие разрешать и запрещать вызовы/ответы.
  • Улучшены управление и мониторинг списка устройств, используемых в getUserMedia.
• В заголовок вкладки с сайтом, воспроизводящим звук, добавлен индикатор, позволяющий в одно нажатие приглушить его.
• Снижено потребление памяти при работе с интерактивными сайтами, осуществляющими частое изменение стилей. Особенно это заметят пользователи Adblock Plus, который приводит к ситуации, в которой для каждой страницы создаётся своя копия стилей.
• Включена поддержка Media Source Extensions (MSE) на всех сайтах (1185611).
• Просмотр исходного кода веб-страниц во вкладке вместо открытия отдельного окна.
• Изменены значки, свидетельствующие о защищённости соединения с сайтом.
• Если ссылка содержит Internationalized Domain Name (доменное имя, состоящее из символов национальных алфавитов), то перенаправление по ней приведёт к сообщению «Сервер не найден». Ошибка будет исправлена в следующих выпусках.
• Firefox 41 и более ранние выпуски некорректно обрабатывали неопределённые или неправильные поля pseudo-header в ответах HTTP/2. Отныне браузер принимает лишь pseudo-header :status, как того и требует спецификация. Заголовки, содержащие произвольные поля, отныне расцениваются, как ошибочные.
• Подготовлены официальные 64-разрядные сборки для Windows. Они не предлагаются на странице с загрузками, а доступны лишь по прямым ссылкам. В них отключена поддержка NPAPI-плагинов (кроме Flash).

( читать дальше... )

Примечания к выпуску

>>> Подробности (mozilla.org)

Сегодня была анонсирована программа поддержи разработки свободных проектов — Mozilla Open Source Support (MOSS). Она предназначена для помощи разработчикам полезных и интересных open-source проектов. Изначально на гранты выделен $1 млн.

Финансирование может получить любой открытый проект, каким-либо образом связанный с деятельностью Mozilla или используемый в разработке её продуктов, например: angular.js, Apache Server, Bugzilla, Clang/LLVM, Debian, Docker, git, GCC, Linux, OpenSSL, Python, MySQL, Django и многие другие.

Для начала планируется выделить 10 грантов, от $10 тыс. до $250 тыс.

>>> Запись в блоге Mozilla (mozilla.org)

Опубликован план развития Firefox, согласно которому поддержка NPAPI-плагинов будет прекращена в конце 2016 года. Основной причиной отказа от плагинов называн тот факт, что «для пользователей плагины являются источником проблем с производительностью, падений и дыр в безопасности». Исключение будет сделано лишь для Flash-плагина, поскольку, по словам Mozilla, «для большинства пользователей он является привычным элементом Web-пространства». Впрочем, в более отдалённой перспективе не исключён отказ и от Flash.

Mozilla сотрудничает с разработчиками движка Unity, чтобы обеспечить воспроизведение основанного на Unity контента средствами WebGL. Разработчики Unity уже объявили о постепенном отказе от поддержки своего плагина, который будет окончательно объявлен устаревшим в марте 2016 года, одновременно с выходом Unity 5.4.

Контакт налажен и с корпорацией Oracle, которая тоже собирается отказаться от своего плагина в пользу Java Web Start.

Firefox является последним среди основных браузеров, пока ещё сохраняющим поддержку NPAPI, которая уже прекращена в Chrome 45 и в Microsoft Edge.

>>> Подробности (mozilla.org)

Доступно корректирующее обновление web-браузера Firefox 41.0.1, в котором представлена серия исправлений не связанных с безопасностью ошибок:

• Устранено падение, проявляющееся при использовании панели Yandex и дополнения Adblock Plus;
• Решена проблема, из-за которой изменение свойств новой закладки выполняется для последней закладки в текущем блоке;
• Решена проблема с работой вызова mozilla::layers::CompositorD3D11::GetTextureFactoryIdentifier(), приводящая к сбою при запуске;
• Устранено зависание при использовании Flash-плагина.
• Устранено падение, возникающее из-за проблемы в mozilla::gl::GLBlitHelper::BlitImageToTexture.

>>> Подробности (mozilla.org)

Объявлено о выпуске Firefox 41.

( Основные изменения )

>>> Подробности (mozilla.org)

Вышло корректирующее обновление Firefox 40.0.3

• Из-за обнаруженных проблем отключена асинхронная инициализация плагинов, добавленная в версии 40.0 (1198590)
• Исправлен сегфолт, связанный с GStreamer (GNU/Linux) (1145230)
• Исправлено падение при запуске, связанное с DisplayLink (Windows) (1195844)
• Исправлена регрессия, возникавшая в случаях, когда некоторые японские шрифты использовались в поле <input> (1194055)
• На некоторых сайтах ломались комбинированные списки, при выборе их элемента с помощью мыши (1194733)
• В поисковые плагины забыли добавить маркеры партнёров (1195683)
• Исправления, связанные с безопасностью

Mozilla уведомила разработчиков о грядущем переходе на новый API дополнений — WebExtensions.

Преимущества нового API:

• Совместимость с Chrome и Opera (возможно, с Microsoft Edge). Для портирования дополнений между браузерами потребуется лишь минимальное изменение кода и переупаковка.
• WebExtensions полностью совместим с многопроцессным режимом работы браузера и новым движком Servo. Многопроцессный режим (каждая вкладка = отдельный процесс) будет включён в ближайших выпусках Firefox. Разработчикам дополнений придётся в любом случае адаптировать свои дополнения к новому режиму работы, так что это отличная возможность заодно перейти на новый API. На данный момент около половины всех дополнений несовместимы с многопроцессным режимом (а многие давно заброшены разработчиками). Чтобы облегчить переходный период, в течении полугода будет работать специальная прослойка, позволяющая старым дополнениям корректно работать (и препятствующая работе тех дополнений, которые совершенно несовместимы с новым режимом и роняют браузер)
• Упрощается и ускоряется проверка дополнений, размещаемых в каталоге Mozilla. Новый API намного проще и универсальнее, чем старые разрозненные методы разработки. Это означает, что дополнения будут реже ломаться при изменениях в браузере, а разрабатывать их станет проще.
• Старые дополнения обречены в любом случае, поскольку разработчики твёрдо намерены в течение 1-2 лет отказаться от поддержки XUL и XPCOM.

Один из инженеров Firefox, работающий над многопроцессностью и сборкой мусора, поспешил успокоить пользователей и разработчиков. По его словам, у Mozilla масса идей относительно обеспечения совместимости популярных расширений (NoScript, Vimperator, Tab Mix Plus, Classic Theme Restorer) с новым API. Переход на новый API и отказ от старых технологий - процесс небыстрый. Mozilla будет рада получать отзывы и идеи через специально созданную страницу webextensions.uservoice.com.

Giorgio Maone, создатель дополнения NoScript, подтвердил, что Mozilla уже консультирует его и авторов других дополнений относительно того, как лучше реализовать ту функциональность, которая пока ещё не поддерживается в WebExtensions.

>>> Подробности (mozilla.org)

Доступен Firefox 40.

Основные изменения:

( читать дальше... )

>>> Подробности (mozilla.org)

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla (mozilla.org)