Доступен выпуск Firefox 42.

• Включена защита от отслеживания с помощью блокировки элементов, отслеживающих перемещения пользователя. Используются чёрные списки проекта disconnect.me.
• Менеджер сохранённых паролей:
  • Улучшена эвристика при сохранении логинов и паролей.
  • Возможность редактирования сохранённых логинов, а также возможность копирования сохранённых логинов и паролей.
  • Импорт паролей из IE и Chrome.
• WebRTC:
  • Поддержка IPv6.
  • Добавлена настройка media.peerconnection.ice.relay_only, предотвращающая ситуацию, в которой любой веб-сайт мог определить реальный IP-адрес пользователя, используемый до трансляции адресов, VPN или прокси.
  • Хуки для расширений (наподобие Statutory) позволяющие разрешать и запрещать вызовы/ответы.
  • Улучшены управление и мониторинг списка устройств, используемых в getUserMedia.
• В заголовок вкладки с сайтом, воспроизводящим звук, добавлен индикатор, позволяющий в одно нажатие приглушить его.
• Снижено потребление памяти при работе с интерактивными сайтами, осуществляющими частое изменение стилей. Особенно это заметят пользователи Adblock Plus, который приводит к ситуации, в которой для каждой страницы создаётся своя копия стилей.
• Включена поддержка Media Source Extensions (MSE) на всех сайтах (1185611).
• Просмотр исходного кода веб-страниц во вкладке вместо открытия отдельного окна.
• Изменены значки, свидетельствующие о защищённости соединения с сайтом.
• Если ссылка содержит Internationalized Domain Name (доменное имя, состоящее из символов национальных алфавитов), то перенаправление по ней приведёт к сообщению «Сервер не найден». Ошибка будет исправлена в следующих выпусках.
• Firefox 41 и более ранние выпуски некорректно обрабатывали неопределённые или неправильные поля pseudo-header в ответах HTTP/2. Отныне браузер принимает лишь pseudo-header :status, как того и требует спецификация. Заголовки, содержащие произвольные поля, отныне расцениваются, как ошибочные.
• Подготовлены официальные 64-разрядные сборки для Windows. Они не предлагаются на странице с загрузками, а доступны лишь по прямым ссылкам. В них отключена поддержка NPAPI-плагинов (кроме Flash).

( читать дальше... )

Примечания к выпуску

>>> Подробности

Сегодня была анонсирована программа поддержи разработки свободных проектов — Mozilla Open Source Support (MOSS). Она предназначена для помощи разработчикам полезных и интересных open-source проектов. Изначально на гранты выделен $1 млн.

Финансирование может получить любой открытый проект, каким-либо образом связанный с деятельностью Mozilla или используемый в разработке её продуктов, например: angular.js, Apache Server, Bugzilla, Clang/LLVM, Debian, Docker, git, GCC, Linux, OpenSSL, Python, MySQL, Django и многие другие.

Для начала планируется выделить 10 грантов, от $10 тыс. до $250 тыс.

>>> Запись в блоге Mozilla

Опубликован план развития Firefox, согласно которому поддержка NPAPI-плагинов будет прекращена в конце 2016 года. Основной причиной отказа от плагинов называн тот факт, что «для пользователей плагины являются источником проблем с производительностью, падений и дыр в безопасности». Исключение будет сделано лишь для Flash-плагина, поскольку, по словам Mozilla, «для большинства пользователей он является привычным элементом Web-пространства». Впрочем, в более отдалённой перспективе не исключён отказ и от Flash.

Mozilla сотрудничает с разработчиками движка Unity, чтобы обеспечить воспроизведение основанного на Unity контента средствами WebGL. Разработчики Unity уже объявили о постепенном отказе от поддержки своего плагина, который будет окончательно объявлен устаревшим в марте 2016 года, одновременно с выходом Unity 5.4.

Контакт налажен и с корпорацией Oracle, которая тоже собирается отказаться от своего плагина в пользу Java Web Start.

Firefox является последним среди основных браузеров, пока ещё сохраняющим поддержку NPAPI, которая уже прекращена в Chrome 45 и в Microsoft Edge.

>>> Подробности

Доступно корректирующее обновление web-браузера Firefox 41.0.1, в котором представлена серия исправлений не связанных с безопасностью ошибок:

• Устранено падение, проявляющееся при использовании панели Yandex и дополнения Adblock Plus;
• Решена проблема, из-за которой изменение свойств новой закладки выполняется для последней закладки в текущем блоке;
• Решена проблема с работой вызова mozilla::layers::CompositorD3D11::GetTextureFactoryIdentifier(), приводящая к сбою при запуске;
• Устранено зависание при использовании Flash-плагина.
• Устранено падение, возникающее из-за проблемы в mozilla::gl::GLBlitHelper::BlitImageToTexture.

>>> Подробности

Объявлено о выпуске Firefox 41.

( Основные изменения )

>>> Подробности

Вышло корректирующее обновление Firefox 40.0.3

• Из-за обнаруженных проблем отключена асинхронная инициализация плагинов, добавленная в версии 40.0 (1198590)
• Исправлен сегфолт, связанный с GStreamer (GNU/Linux) (1145230)
• Исправлено падение при запуске, связанное с DisplayLink (Windows) (1195844)
• Исправлена регрессия, возникавшая в случаях, когда некоторые японские шрифты использовались в поле <input> (1194055)
• На некоторых сайтах ломались комбинированные списки, при выборе их элемента с помощью мыши (1194733)
• В поисковые плагины забыли добавить маркеры партнёров (1195683)
• Исправления, связанные с безопасностью

Mozilla уведомила разработчиков о грядущем переходе на новый API дополнений — WebExtensions.

Преимущества нового API:

• Совместимость с Chrome и Opera (возможно, с Microsoft Edge). Для портирования дополнений между браузерами потребуется лишь минимальное изменение кода и переупаковка.
• WebExtensions полностью совместим с многопроцессным режимом работы браузера и новым движком Servo. Многопроцессный режим (каждая вкладка = отдельный процесс) будет включён в ближайших выпусках Firefox. Разработчикам дополнений придётся в любом случае адаптировать свои дополнения к новому режиму работы, так что это отличная возможность заодно перейти на новый API. На данный момент около половины всех дополнений несовместимы с многопроцессным режимом (а многие давно заброшены разработчиками). Чтобы облегчить переходный период, в течении полугода будет работать специальная прослойка, позволяющая старым дополнениям корректно работать (и препятствующая работе тех дополнений, которые совершенно несовместимы с новым режимом и роняют браузер)
• Упрощается и ускоряется проверка дополнений, размещаемых в каталоге Mozilla. Новый API намного проще и универсальнее, чем старые разрозненные методы разработки. Это означает, что дополнения будут реже ломаться при изменениях в браузере, а разрабатывать их станет проще.
• Старые дополнения обречены в любом случае, поскольку разработчики твёрдо намерены в течение 1-2 лет отказаться от поддержки XUL и XPCOM.

Один из инженеров Firefox, работающий над многопроцессностью и сборкой мусора, поспешил успокоить пользователей и разработчиков. По его словам, у Mozilla масса идей относительно обеспечения совместимости популярных расширений (NoScript, Vimperator, Tab Mix Plus, Classic Theme Restorer) с новым API. Переход на новый API и отказ от старых технологий - процесс небыстрый. Mozilla будет рада получать отзывы и идеи через специально созданную страницу webextensions.uservoice.com.

Giorgio Maone, создатель дополнения NoScript, подтвердил, что Mozilla уже консультирует его и авторов других дополнений относительно того, как лучше реализовать ту функциональность, которая пока ещё не поддерживается в WebExtensions.

>>> Подробности

Доступен Firefox 40.

Основные изменения:

( читать дальше... )

>>> Подробности

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla

Глава Firefox Community Support Марк Шмидт, в своём твиттере объявил о том, что теперь Mozilla Firefox блокирует все версии Flash по умолчанию. Позже стало известно что Firefox будет блокировать Flash, пока инженеры Adobe не исправят все известные эксплойты Flash. До этого момента все желающие скачать соответствующий плагин увидят сообщение, что «Flash Player Plugin 18.0.0.203 (click-to-play) был заблокирован для вашей защиты». Скачать его из Mozilla Addons пока что будет невозможно.

Картинка, которую Шмидт использовал в своём твите, это — отсылка к общественному движению Occupy Flash. Манифест движения гласит:

«Flash Player мёртв. Его время ушло. Он полон ошибок. Он постоянно падает. Ему нужны постоянные обновления безопасности. Он не работает на большинстве мобильных устройств. Он — ископаемое, вышедшее из эпохи закрытых стандартов одностороннего корпоративного контроля интернет-технологий. Сайты, работающие на Flash, представляют собой противоречивые (и часто неудобные) явления для быстро растущего количества пользователей, кто не использует браузер на настольном компьютере.»

Инженеры Google Chrome не остались в стороне и ограничили воспроизведение Flash-контента в своём браузере. Бета-версия Chrome отныне будет выборочно блокировать «ненужную» flash-анимацию на веб-странице, стараясь не затрагивать «главный» контент, такой как видеоролики.

Глава службы безопасности Facebook Алекс Стамос был так же красноречив и просто посоветовал Adobe убить Flash.

Adobe в свою очередь выпустила обновление безопасности, которое устранило уязвимость, позволяющую удалённо исполнять код в различных браузерах и обходить режим песочницы Flash. Проблема затрагивала практически все платформы — Windows, Linux, OS X.

Доступен Firefox 39:

• Возможность делиться ссылками на чаты Hello в социальных сетях
• В Linux и OS X хэши всех загружаемых файлов отправляются в Google для сверки с вредоносными (отключается через browser.safebrowsing.downloads.enabled и browser.safebrowsing.downloads.remote.enabled); в список проверяемых добавлены форматы файлов OS X (1138721)
• Различные цвета кожи у смайлов (Unicode 8.0)
• Прекращена поддержка SSL 3.0 (1106470)
• Отключена поддержка RC4 (за исключением сайтов из белого списка, которые без неё не работают)
• Веб-сокеты могут соединяться с локальным хостом даже в оффлайн-режиме (967792)
• Улучшена производительность при переключении с IPv6 на IPv4
• Закрыт древний баг: неудавшиеся загрузки больше не помечаются, как успешные (237623)
• Индикатор безопасности веб-страниц теперь игнорирует загрузки, вызванные предыдущими страницами
• Исправлена ошибка, из-за которой могло не открываться окно чата Hello
• Поддержка шрифтов WOFF2 (1084026)
• Исправлена регрессия, приводившая к исчезновению Flash-контента
• Библиотеки NSS обновлены до версии 3.19.2
• Исправлены уязвимости
• Плавная анимация и скроллинг в OS X; ускорена отрисовка пунктирных линий (1123019)

( Полный список изменений )

>>> Подробности

Из ночных сборок Mozilla Firefox убрали настройку browser.newtab.url, отвечающую за URL новых вкладок. В качестве официальной причины называется то, что эта настройка плохо поддерживается и используется для перехвата поисковых запросов. Предлагается использовать дополнения для установки произвольной страницы новой вкладки.

>>> Подробности

Доступен внеплановый выпуск Mozilla Firefox 38.0.5, содержащий новые функции. Они не успели войти в Firefox 38, но разработчики хотели бы дать пользователям эти возможности уже сейчас:

• Интеграция с сервисом Pocket, который позволяет хранить в нём ссылки, чтобы просмотреть их позднее, например, с мобильного или любого другого устройства, на котором установлен клиент Pocket. Разработчики выбирали между портированием из Android-версии собственного аналогичного функционала под названием Reading List и интеграцией с уже существующим проприетарным сервисом Pocket. Победил последний вариант, что вызвало недоумение у части сообщества (поскольку уже существует дополнение, делающее практически то же самое, а интеграция с проприетарным сервисом воспринимается, как реклама оного);
• Из Android-версии браузера портирован «Режим для чтения» — новый режим просмотра страниц, в котором страница очищается от всего, что не относится к основному тексту страницы (меню, баннеры, управляющие элементы);
• Во встроенный видеочат Hello добавлена возможность организовать совместный доступ к активной вкладке;
• Исправлена проблема с отрисовкой при переключении вкладок, возникавшая в результате состояния гонки;
• Исправлены проблемы с производительностью, возникавшие при использовании стандартного драйвера VGA в Windows 7.

>>> Подробности

Стало доступно корректирующее обновление web-браузера Firefox 38.0.1, в котором устранены четыре не связанные с безопасностью проблемы:

• Устранён сбой при обработке больших анимированных изображений, в результате которого могла наблюдаться остановка загрузки остальных изображений.
• Устранён крах, проявляющийся при запуске Firefox на системах с графическими картами NVIDIA Optimus первого поколения.
• Исправлена ошибка, приводящая к некорректному импорту cookie из Google Chrome.
• Обеспечено корректное декодирование видеопотоков WebRTC H264 от клиентов CiscoSpark.

Кроме того, можно упомянуть об устранении в Firefox 38 четырнадцати уязвимостей. Они публикуются с запозданием и не были публично доступны в момент релиза Firefox 38. Шести уязвимостям присвоен статус критических проблем, среди которых переполнение буфера при обработке специально оформленных данных XML, SVG и CSS, а также возможность записи за границы выделенной памяти в Asm.js.

>>> Подробности

Поступила в продажу новая серия «умных» телевизоров Panasonic VIERA Smart TV (доступны несколько различных моделей: CR850, CR730, CX800, CX750, CX700 и CX680), работающая под управлением Firefox OS — свободной операционной системы от Mozilla, до этого момента поставлявшейся со смартфонами, планшетами и миникомпьютерами.

Сообщается, что во время работы над серией Panasonic тесно сотрудничал с Mozilla в этом направлении, и также внёс свой вклад в разработку нового интерфейса для Firefox OS, оптимизированного для использования в телевизорах.

>>> Подробности

Доступен Firefox 38 (ESR-версия выйдет позже):

• Настройки открываются во вкладке
• В полях логина/пароля больше не поддерживается autocomplete=off (1025703)
• Браузер заранее устанавливает соединения со страницами, на которые, по его предположению, перейдёт пользователь (опция network.predictor.enabled)
• В WebRTC добавлена поддержка мультипоточности, повторного согласования соединения и требование совершенной прямой секретности
• Mac OS X: поддержка Media Source Extensions (MSE) (только на YouTube)
• Windows: поддержка Encrypted Media Extensions (EME) для воспроизведения зашифрованного контента HTML5. DRM-модуль Adobe Primetime Content Decryption Module автоматически загружается и устанавливается при первом запуске.

( читать дальше... )

>>> Подробности

Mozilla планирует убрать поддержку бинарных компонентов XPCOM в дополнениях к своим продуктам.

Несмотря на то, что отказ от бинарных компонентов приурочен к выпуску Firefox 40, он затронет все приложения на движке Gecko, включая Mozilla Thunderbird. В своем блоге Mozilla объясняет, что это повысит стабильность приложений, особенно Firefox. Практически никто из разработчиков дополнений уже не использует XPCOM, а для тех, кому эта функциональность ещё нужна, в SDK добавлен обходной путь.

( читать дальше... )

>>> Подробности

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

• Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
• Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

Увидела свет новая версия Tor Browser — удобной и простой модификации Firefox со встроенной системой Tor.

Изменения и улучшения:

В Windows инсталлятор теперь предлагает добавить ярлык Tor Browser в меню Пуск. Пользователи Linux могут использовать новый загрузчик, который умеет запуск из файлового менеджера, рабочего стола или меню приложений. Загрузчик, также, может быть вызван из командной строки.

Упрощено меню Tor (зелёная луковица) и окно настроек. Теперь там отображается текущая цепочка соединений для конкретного сайта (со списком адресов и стран, через которые проходит трафик), и имеется возможность пустить трафик по новому маршруту. Кроме того, браузер следит за активностью пользователя - до тех пор, пока пользователь активно работает с сайтом, соединение с этим сайтом будет осуществляться через одну и ту же цепочку серверов. Таким образом, больше не будет внезапной смены языка на сайтах или разлогинивания, вызванных изменением выходного узла.

Безопасность: представляем новый Security Slider. Это ползунок, доступный через пункт меню «Настройки безопасности», позволяющий наглядно оценить, какие уязвимые функции браузера (воспроизведение видео, оптимизации JS, отображение математических уравнений, функции отрисовки шрифтов, поддержка редко используемых графических форматов) будут отключены при том или ином уровне безопасности.

Инсталлятор для Windows подписан аппаратным ключом, любезно пожертвованным DigiCert. Больше не будет предупреждений о том, что Tor Browser получен из неизвестного источника. Автоматические обновления тоже будут подписаны.

Версия 4.5 включает переписанные на Go транспорты obfs2, obfs3, ScrambleSuit, и новый транспорт obfs4, наиболее эффективно противостоящий DPI и предотвращающий автоматический поиск мостов Tor недоброжелателями. За счёт этого мосты obfs4 пока еще работоспособны на территории Китая, где Великий Китайский Файрволл осуществляет постоянный мониторинг и поиск новых мостов.

Улучшена приватность: запрещена межсайтовая коммуникация. Все запросы с веб-страницы к содержимому, расположенному на других доменах, осуществляются через ту же цепочку серверов, что и к оригинальному сайту. Но, при переходе на другой домен, запросы к тому же содержимому, что и в примере выше, будут производиться уже через другую цепочку.

Улучшена защита от определения разрешения экрана и системной локали, отключены API для получения информации от сенсора и статистике воспроизведения видео.

Поиском по умолчанию назначен Disconnect.

>>> Подробности

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности