В 2012 году Mozilla начала разработку Shumway, открытой реализации Flash, с целью интегрировать её в Firefox и дать пользователям доступ к flash-содержимому без использования проприетарного плагина Adobe Flash.

В конце 2013 года Shumway появился в ночных сборках Firefox, а в прошлом году стал использоваться для отображения веб-сайта Amazon. В сентябре 2015 года разработка замедлилась и поползли слухи о том, что Mozilla больше не считает Shumway приоритетным направлением. Соответствующий тикет в багтрекере был перемещен в раздел «Graveyard», что означает постепенное сворачивание работ в этом направлении.

Один из инженеров Mozilla подтвердил слухи: «Shumway остаётся на GitHub, но не будет частью Firefox. Наши ресурсы ограничены, в настоящее время есть более важные задачи, чем разработка костылей для Flash.»

HTML5 постепенно отвоёвывает место у Flash. Google уже объявила, об отказе от flash-рекламы с 2017 года, что наверняка повлияло на решение свернуть разработку Shumway, поскольку планировалось сперва задействовать его именно для отображения рекламы. К тому же, на 2016 год запланировано прекращение поддержки NPAPI-плагинов в Firefox, а это означало необходимость спешного доведения Shumway до готовности. Mozilla выбрала иной путь: свернуть разработку и сделать для NPAPI-плагина Flash исключение — сохранить его поддержку в обозримом будущем.

>>> Подробности

Компания Mozilla признает, что патчи, накладываемые в Debian на Iceweasel/Firefox соответствуют высокому качеству оригинального продукта, а многие из команды мейнтейнеров пакетов Mozilla долгое время тесно работают с компанией, поэтому Mozilla полностью доверяет их решениям.

Дистрибутивы, производные от Debian также могут использовать брендинг Firefox, пока качество их пакетов соответствует таковому в Debian.

Для этого логотип Firefox был выпущен под лицензией, удовлетворяющей условиям Debian.

Для упрощения поддержки в текущем релизе пакет все еще будет называться Iceweasel, а уже в следующем (Stretch) будет Firefox.

P.S. Также начался аналогичный процесс для Icedove/Thunderbird.

>>> Подробности

Доступен выпуск Firefox 44.

• Запрет на установку неподписанных дополнений отложен на два выпуска. Mozilla передумала выпускать специальные версии браузера, где будет разрешена установка таких дополнений. Вместо этого, поддержка неподписанных дополнений сохранится в ESR-версиях (версиях с длительным сроком поддержки). Кроме того, появится поддержка временной установки неподписанных дополнений (которые будут автоматически удаляться после завершения работы).
• Новое оформление страниц с сообщениями об ошибках сертификатов и недоверенных соединениях.
• Задействование системного декодера H.264 (если он доступен). В системах, не поддерживающих MP4/H.264, включена поддержка видео WebM/VP9.
• Поддержка алгоритма сжатия Brotli: заголовки Accept-Encoding и Content-Encoding поддерживают значение «br» (366559, 1211916).
• Удалена поддержка заголовков HTTP/2, содержащих разрывы строк ('\n'). Они не разрешены спецификацией HTTP/2, в отличие от HTTP/1 (1197847).
• В версиях для Linux и OS X добавлена возможность выполнения отрисовки через WebGL в отдельном потоке, не мешающем работе основного потока обработки контента. Запуск WebGL в отдельном потоке производится при помощи нового API OffscreenCanvas, добавленного в систему Web Worker-ов, предоставляющую средства для фонового выполнения длительных JavaScript-операций. Для включения, необходимо установить опцию gfx.offscreencanvas.enabled в значение «true» (709490). API включает интерфейс OffscreenCanvas и методы HTMLCanvasElement.transferControlToOffscreen(), WebGLRenderingContext.commit().
• В движке включены по умолчанию Service worker-ы (предостережение для параноиков).
• Windows-сборки подписаны сертификатами с использованием SHA-256, поскольку Microsoft более не считает надёжными сертификаты с SHA-1.

( читать дальше... )

>>> Подробности для разработчиков

Доступен выпуск Firefox 43.

• В API добавлена поддержка распознавания возможности воспроизведения видео в формате m4v.
• Добавлены подсказки от поисковой системы при вводе поискового запроса в адресной строке. До этого такие подсказки выводились лишь в панели поиска.
• Пользователь может выбрать расширенный список блокировки для защиты от отслеживания в приватном режиме.
• Проверка целостности ресурсов (скриптов и CSS) позволяет сверять загружаемые ресурсы с эталонными хешами (992096).
• Фреймы со сторонних сайтов больше не могут получить доступ к localStorage и sessionStorage, если пользователь отключил приём кук со сторонних сайтов (536509).
• Механизм отчёта о здоровье браузера теперь собирает данные теми же способами, что и телеметрия.
• Прекращена поддержка NPAPI-плагинов, не способных работать в многопроцессном режиме.
• Автоматическое отображение экранной клавиатуры при переходе к полю ввода (только в Windows 8 и выше при наличии сенсорного экрана).
• Исправления ошибок безопасности.

( читать дальше... )

>>> Подробности для разработчиков

Как заявил Ари Яаски (ВП по мобильным устройствам): «Мы гордимся теми возможностями, которые FirefoxOS сделала доступными на Веб платформе, и мы продолжим экспериментировать с мобильными устройствами ... К сожалению, мы не смогли предложить наилучший вариант для пользователей, и поэтому мы прекращаем поддержку телефонов на базе Firefox OS.»

>>> Подробности

Даррен Херман, вице-президент Mozilla по контентным сервисам, объявил о намерении отказаться от рекламного содержимого, присутствующего на главной странице Firefox.

Ненавязчивая реклама появлялась в пустых миниатюрах на главной странице браузера у новых пользователей (или после очистки истории браузера). Как только в браузере появлялась история посещённых сайтов, эти миниатюры постепенно заполнялись сайтами из истории и для рекламы мест не оставалось.

Большинство пользователей ни разу так и не увидело эту рекламу, а Mozilla не раз заявляла, что подбор рекламы осуществляется на стороне пользователя, а рекламодателям передаётся лишь обезличенная статистика. Но сообщество негативно отреагировало на нововведение, вероятно, из соображений «они говорят, что борются за приватность, а сами показывают рекламу». Свою роль сыграло и неплохое финансовое положение компании, которая сводит концы с концами даже после расторжения договора о партнёрстве с Google, и не сильно нуждается в получении доходов от рекламы.

Теперь Mozilla сфокусируется на «методах обнаружения контента», а эксперимент с рекламой будет свёрнут в течение нескольких месяцев.

>>> Подробности

Доступен выпуск Firefox 42.

• Включена защита от отслеживания с помощью блокировки элементов, отслеживающих перемещения пользователя. Используются чёрные списки проекта disconnect.me.
• Менеджер сохранённых паролей:
  • Улучшена эвристика при сохранении логинов и паролей.
  • Возможность редактирования сохранённых логинов, а также возможность копирования сохранённых логинов и паролей.
  • Импорт паролей из IE и Chrome.
• WebRTC:
  • Поддержка IPv6.
  • Добавлена настройка media.peerconnection.ice.relay_only, предотвращающая ситуацию, в которой любой веб-сайт мог определить реальный IP-адрес пользователя, используемый до трансляции адресов, VPN или прокси.
  • Хуки для расширений (наподобие Statutory) позволяющие разрешать и запрещать вызовы/ответы.
  • Улучшены управление и мониторинг списка устройств, используемых в getUserMedia.
• В заголовок вкладки с сайтом, воспроизводящим звук, добавлен индикатор, позволяющий в одно нажатие приглушить его.
• Снижено потребление памяти при работе с интерактивными сайтами, осуществляющими частое изменение стилей. Особенно это заметят пользователи Adblock Plus, который приводит к ситуации, в которой для каждой страницы создаётся своя копия стилей.
• Включена поддержка Media Source Extensions (MSE) на всех сайтах (1185611).
• Просмотр исходного кода веб-страниц во вкладке вместо открытия отдельного окна.
• Изменены значки, свидетельствующие о защищённости соединения с сайтом.
• Если ссылка содержит Internationalized Domain Name (доменное имя, состоящее из символов национальных алфавитов), то перенаправление по ней приведёт к сообщению «Сервер не найден». Ошибка будет исправлена в следующих выпусках.
• Firefox 41 и более ранние выпуски некорректно обрабатывали неопределённые или неправильные поля pseudo-header в ответах HTTP/2. Отныне браузер принимает лишь pseudo-header :status, как того и требует спецификация. Заголовки, содержащие произвольные поля, отныне расцениваются, как ошибочные.
• Подготовлены официальные 64-разрядные сборки для Windows. Они не предлагаются на странице с загрузками, а доступны лишь по прямым ссылкам. В них отключена поддержка NPAPI-плагинов (кроме Flash).

( читать дальше... )

Примечания к выпуску

>>> Подробности

Сегодня была анонсирована программа поддержи разработки свободных проектов — Mozilla Open Source Support (MOSS). Она предназначена для помощи разработчикам полезных и интересных open-source проектов. Изначально на гранты выделен $1 млн.

Финансирование может получить любой открытый проект, каким-либо образом связанный с деятельностью Mozilla или используемый в разработке её продуктов, например: angular.js, Apache Server, Bugzilla, Clang/LLVM, Debian, Docker, git, GCC, Linux, OpenSSL, Python, MySQL, Django и многие другие.

Для начала планируется выделить 10 грантов, от $10 тыс. до $250 тыс.

>>> Запись в блоге Mozilla

Опубликован план развития Firefox, согласно которому поддержка NPAPI-плагинов будет прекращена в конце 2016 года. Основной причиной отказа от плагинов называн тот факт, что «для пользователей плагины являются источником проблем с производительностью, падений и дыр в безопасности». Исключение будет сделано лишь для Flash-плагина, поскольку, по словам Mozilla, «для большинства пользователей он является привычным элементом Web-пространства». Впрочем, в более отдалённой перспективе не исключён отказ и от Flash.

Mozilla сотрудничает с разработчиками движка Unity, чтобы обеспечить воспроизведение основанного на Unity контента средствами WebGL. Разработчики Unity уже объявили о постепенном отказе от поддержки своего плагина, который будет окончательно объявлен устаревшим в марте 2016 года, одновременно с выходом Unity 5.4.

Контакт налажен и с корпорацией Oracle, которая тоже собирается отказаться от своего плагина в пользу Java Web Start.

Firefox является последним среди основных браузеров, пока ещё сохраняющим поддержку NPAPI, которая уже прекращена в Chrome 45 и в Microsoft Edge.

>>> Подробности

Доступно корректирующее обновление web-браузера Firefox 41.0.1, в котором представлена серия исправлений не связанных с безопасностью ошибок:

• Устранено падение, проявляющееся при использовании панели Yandex и дополнения Adblock Plus;
• Решена проблема, из-за которой изменение свойств новой закладки выполняется для последней закладки в текущем блоке;
• Решена проблема с работой вызова mozilla::layers::CompositorD3D11::GetTextureFactoryIdentifier(), приводящая к сбою при запуске;
• Устранено зависание при использовании Flash-плагина.
• Устранено падение, возникающее из-за проблемы в mozilla::gl::GLBlitHelper::BlitImageToTexture.

>>> Подробности

Объявлено о выпуске Firefox 41.

( Основные изменения )

>>> Подробности

Вышло корректирующее обновление Firefox 40.0.3

• Из-за обнаруженных проблем отключена асинхронная инициализация плагинов, добавленная в версии 40.0 (1198590)
• Исправлен сегфолт, связанный с GStreamer (GNU/Linux) (1145230)
• Исправлено падение при запуске, связанное с DisplayLink (Windows) (1195844)
• Исправлена регрессия, возникавшая в случаях, когда некоторые японские шрифты использовались в поле <input> (1194055)
• На некоторых сайтах ломались комбинированные списки, при выборе их элемента с помощью мыши (1194733)
• В поисковые плагины забыли добавить маркеры партнёров (1195683)
• Исправления, связанные с безопасностью

Mozilla уведомила разработчиков о грядущем переходе на новый API дополнений — WebExtensions.

Преимущества нового API:

• Совместимость с Chrome и Opera (возможно, с Microsoft Edge). Для портирования дополнений между браузерами потребуется лишь минимальное изменение кода и переупаковка.
• WebExtensions полностью совместим с многопроцессным режимом работы браузера и новым движком Servo. Многопроцессный режим (каждая вкладка = отдельный процесс) будет включён в ближайших выпусках Firefox. Разработчикам дополнений придётся в любом случае адаптировать свои дополнения к новому режиму работы, так что это отличная возможность заодно перейти на новый API. На данный момент около половины всех дополнений несовместимы с многопроцессным режимом (а многие давно заброшены разработчиками). Чтобы облегчить переходный период, в течении полугода будет работать специальная прослойка, позволяющая старым дополнениям корректно работать (и препятствующая работе тех дополнений, которые совершенно несовместимы с новым режимом и роняют браузер)
• Упрощается и ускоряется проверка дополнений, размещаемых в каталоге Mozilla. Новый API намного проще и универсальнее, чем старые разрозненные методы разработки. Это означает, что дополнения будут реже ломаться при изменениях в браузере, а разрабатывать их станет проще.
• Старые дополнения обречены в любом случае, поскольку разработчики твёрдо намерены в течение 1-2 лет отказаться от поддержки XUL и XPCOM.

Один из инженеров Firefox, работающий над многопроцессностью и сборкой мусора, поспешил успокоить пользователей и разработчиков. По его словам, у Mozilla масса идей относительно обеспечения совместимости популярных расширений (NoScript, Vimperator, Tab Mix Plus, Classic Theme Restorer) с новым API. Переход на новый API и отказ от старых технологий - процесс небыстрый. Mozilla будет рада получать отзывы и идеи через специально созданную страницу webextensions.uservoice.com.

Giorgio Maone, создатель дополнения NoScript, подтвердил, что Mozilla уже консультирует его и авторов других дополнений относительно того, как лучше реализовать ту функциональность, которая пока ещё не поддерживается в WebExtensions.

>>> Подробности

Доступен Firefox 40.

Основные изменения:

( читать дальше... )

>>> Подробности

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla

Глава Firefox Community Support Марк Шмидт, в своём твиттере объявил о том, что теперь Mozilla Firefox блокирует все версии Flash по умолчанию. Позже стало известно что Firefox будет блокировать Flash, пока инженеры Adobe не исправят все известные эксплойты Flash. До этого момента все желающие скачать соответствующий плагин увидят сообщение, что «Flash Player Plugin 18.0.0.203 (click-to-play) был заблокирован для вашей защиты». Скачать его из Mozilla Addons пока что будет невозможно.

Картинка, которую Шмидт использовал в своём твите, это — отсылка к общественному движению Occupy Flash. Манифест движения гласит:

«Flash Player мёртв. Его время ушло. Он полон ошибок. Он постоянно падает. Ему нужны постоянные обновления безопасности. Он не работает на большинстве мобильных устройств. Он — ископаемое, вышедшее из эпохи закрытых стандартов одностороннего корпоративного контроля интернет-технологий. Сайты, работающие на Flash, представляют собой противоречивые (и часто неудобные) явления для быстро растущего количества пользователей, кто не использует браузер на настольном компьютере.»

Инженеры Google Chrome не остались в стороне и ограничили воспроизведение Flash-контента в своём браузере. Бета-версия Chrome отныне будет выборочно блокировать «ненужную» flash-анимацию на веб-странице, стараясь не затрагивать «главный» контент, такой как видеоролики.

Глава службы безопасности Facebook Алекс Стамос был так же красноречив и просто посоветовал Adobe убить Flash.

Adobe в свою очередь выпустила обновление безопасности, которое устранило уязвимость, позволяющую удалённо исполнять код в различных браузерах и обходить режим песочницы Flash. Проблема затрагивала практически все платформы — Windows, Linux, OS X.

Доступен Firefox 39:

• Возможность делиться ссылками на чаты Hello в социальных сетях
• В Linux и OS X хэши всех загружаемых файлов отправляются в Google для сверки с вредоносными (отключается через browser.safebrowsing.downloads.enabled и browser.safebrowsing.downloads.remote.enabled); в список проверяемых добавлены форматы файлов OS X (1138721)
• Различные цвета кожи у смайлов (Unicode 8.0)
• Прекращена поддержка SSL 3.0 (1106470)
• Отключена поддержка RC4 (за исключением сайтов из белого списка, которые без неё не работают)
• Веб-сокеты могут соединяться с локальным хостом даже в оффлайн-режиме (967792)
• Улучшена производительность при переключении с IPv6 на IPv4
• Закрыт древний баг: неудавшиеся загрузки больше не помечаются, как успешные (237623)
• Индикатор безопасности веб-страниц теперь игнорирует загрузки, вызванные предыдущими страницами
• Исправлена ошибка, из-за которой могло не открываться окно чата Hello
• Поддержка шрифтов WOFF2 (1084026)
• Исправлена регрессия, приводившая к исчезновению Flash-контента
• Библиотеки NSS обновлены до версии 3.19.2
• Исправлены уязвимости
• Плавная анимация и скроллинг в OS X; ускорена отрисовка пунктирных линий (1123019)

( Полный список изменений )

>>> Подробности

Из ночных сборок Mozilla Firefox убрали настройку browser.newtab.url, отвечающую за URL новых вкладок. В качестве официальной причины называется то, что эта настройка плохо поддерживается и используется для перехвата поисковых запросов. Предлагается использовать дополнения для установки произвольной страницы новой вкладки.

>>> Подробности

Доступен внеплановый выпуск Mozilla Firefox 38.0.5, содержащий новые функции. Они не успели войти в Firefox 38, но разработчики хотели бы дать пользователям эти возможности уже сейчас:

• Интеграция с сервисом Pocket, который позволяет хранить в нём ссылки, чтобы просмотреть их позднее, например, с мобильного или любого другого устройства, на котором установлен клиент Pocket. Разработчики выбирали между портированием из Android-версии собственного аналогичного функционала под названием Reading List и интеграцией с уже существующим проприетарным сервисом Pocket. Победил последний вариант, что вызвало недоумение у части сообщества (поскольку уже существует дополнение, делающее практически то же самое, а интеграция с проприетарным сервисом воспринимается, как реклама оного);
• Из Android-версии браузера портирован «Режим для чтения» — новый режим просмотра страниц, в котором страница очищается от всего, что не относится к основному тексту страницы (меню, баннеры, управляющие элементы);
• Во встроенный видеочат Hello добавлена возможность организовать совместный доступ к активной вкладке;
• Исправлена проблема с отрисовкой при переключении вкладок, возникавшая в результате состояния гонки;
• Исправлены проблемы с производительностью, возникавшие при использовании стандартного драйвера VGA в Windows 7.

>>> Подробности

Стало доступно корректирующее обновление web-браузера Firefox 38.0.1, в котором устранены четыре не связанные с безопасностью проблемы:

• Устранён сбой при обработке больших анимированных изображений, в результате которого могла наблюдаться остановка загрузки остальных изображений.
• Устранён крах, проявляющийся при запуске Firefox на системах с графическими картами NVIDIA Optimus первого поколения.
• Исправлена ошибка, приводящая к некорректному импорту cookie из Google Chrome.
• Обеспечено корректное декодирование видеопотоков WebRTC H264 от клиентов CiscoSpark.

Кроме того, можно упомянуть об устранении в Firefox 38 четырнадцати уязвимостей. Они публикуются с запозданием и не были публично доступны в момент релиза Firefox 38. Шести уязвимостям присвоен статус критических проблем, среди которых переполнение буфера при обработке специально оформленных данных XML, SVG и CSS, а также возможность записи за границы выделенной памяти в Asm.js.

>>> Подробности