17 сентября вышел очередной стабильный релиз Rust 1.3 — языка программирования общего назначения, разрабатываемого Mozilla совместно с сообществом. Данный релиз в целом сохраняет обратную совместимость с Rust 1.0, вышедшим в мае этого года.

Основные изменения:

( читать дальше... )

>>> Подробности (rust-lang.org)

Вышло корректирующее обновление Firefox 40.0.3

• Из-за обнаруженных проблем отключена асинхронная инициализация плагинов, добавленная в версии 40.0 (1198590)
• Исправлен сегфолт, связанный с GStreamer (GNU/Linux) (1145230)
• Исправлено падение при запуске, связанное с DisplayLink (Windows) (1195844)
• Исправлена регрессия, возникавшая в случаях, когда некоторые японские шрифты использовались в поле <input> (1194055)
• На некоторых сайтах ломались комбинированные списки, при выборе их элемента с помощью мыши (1194733)
• В поисковые плагины забыли добавить маркеры партнёров (1195683)
• Исправления, связанные с безопасностью

Mozilla уведомила разработчиков о грядущем переходе на новый API дополнений — WebExtensions.

Преимущества нового API:

• Совместимость с Chrome и Opera (возможно, с Microsoft Edge). Для портирования дополнений между браузерами потребуется лишь минимальное изменение кода и переупаковка.
• WebExtensions полностью совместим с многопроцессным режимом работы браузера и новым движком Servo. Многопроцессный режим (каждая вкладка = отдельный процесс) будет включён в ближайших выпусках Firefox. Разработчикам дополнений придётся в любом случае адаптировать свои дополнения к новому режиму работы, так что это отличная возможность заодно перейти на новый API. На данный момент около половины всех дополнений несовместимы с многопроцессным режимом (а многие давно заброшены разработчиками). Чтобы облегчить переходный период, в течении полугода будет работать специальная прослойка, позволяющая старым дополнениям корректно работать (и препятствующая работе тех дополнений, которые совершенно несовместимы с новым режимом и роняют браузер)
• Упрощается и ускоряется проверка дополнений, размещаемых в каталоге Mozilla. Новый API намного проще и универсальнее, чем старые разрозненные методы разработки. Это означает, что дополнения будут реже ломаться при изменениях в браузере, а разрабатывать их станет проще.
• Старые дополнения обречены в любом случае, поскольку разработчики твёрдо намерены в течение 1-2 лет отказаться от поддержки XUL и XPCOM.

Один из инженеров Firefox, работающий над многопроцессностью и сборкой мусора, поспешил успокоить пользователей и разработчиков. По его словам, у Mozilla масса идей относительно обеспечения совместимости популярных расширений (NoScript, Vimperator, Tab Mix Plus, Classic Theme Restorer) с новым API. Переход на новый API и отказ от старых технологий - процесс небыстрый. Mozilla будет рада получать отзывы и идеи через специально созданную страницу webextensions.uservoice.com.

Giorgio Maone, создатель дополнения NoScript, подтвердил, что Mozilla уже консультирует его и авторов других дополнений относительно того, как лучше реализовать ту функциональность, которая пока ещё не поддерживается в WebExtensions.

>>> Подробности (mozilla.org)

Доступен Firefox 40.

Основные изменения:

( читать дальше... )

>>> Подробности (mozilla.org)

7 августа вышел очередной стабильный релиз Rust 1.2 — языка программирования общего назначения, разрабатываемого Mozilla совместно с сообществом. Данный релиз сохраняет полную обратную совместимость с Rust 1.0, вышедшим в мае этого года.

Основные изменения:

( читать дальше... )

>>> Подробности (rust-lang.org)

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla (mozilla.org)

Специалистами ООО «ЛИССИ-Софт» подготовлены новые дистрибутивы браузера Mozilla Firefox 38 и почтового клиента Thunderbird 38 для платформ Linux, Android и Windows с поддержкой российской криптографии (ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.11-2001/2012 и ГОСТ 29147-89). Поддержка российской криптографии осуществляется путем подключения СКЗИ с интерфейсом PKCS#11.

UPD: разыскивается исходный код решения, который требуется предоставлять по лицензии. Так же, ООО «ЛИССИ-Софт» не может использовать торговые марки и элементы оформления Mozilla Foundation без разрешения.

>>> Подробности (lissi.ru)

Доступен Firefox 39:

• Возможность делиться ссылками на чаты Hello в социальных сетях
• В Linux и OS X хэши всех загружаемых файлов отправляются в Google для сверки с вредоносными (отключается через browser.safebrowsing.downloads.enabled и browser.safebrowsing.downloads.remote.enabled); в список проверяемых добавлены форматы файлов OS X (1138721)
• Различные цвета кожи у смайлов (Unicode 8.0)
• Прекращена поддержка SSL 3.0 (1106470)
• Отключена поддержка RC4 (за исключением сайтов из белого списка, которые без неё не работают)
• Веб-сокеты могут соединяться с локальным хостом даже в оффлайн-режиме (967792)
• Улучшена производительность при переключении с IPv6 на IPv4
• Закрыт древний баг: неудавшиеся загрузки больше не помечаются, как успешные (237623)
• Индикатор безопасности веб-страниц теперь игнорирует загрузки, вызванные предыдущими страницами
• Исправлена ошибка, из-за которой могло не открываться окно чата Hello
• Поддержка шрифтов WOFF2 (1084026)
• Исправлена регрессия, приводившая к исчезновению Flash-контента
• Библиотеки NSS обновлены до версии 3.19.2
• Исправлены уязвимости
• Плавная анимация и скроллинг в OS X; ускорена отрисовка пунктирных линий (1123019)

( Полный список изменений )

>>> Подробности (mozilla.org)

Из ночных сборок Mozilla Firefox убрали настройку browser.newtab.url, отвечающую за URL новых вкладок. В качестве официальной причины называется то, что эта настройка плохо поддерживается и используется для перехвата поисковых запросов. Предлагается использовать дополнения для установки произвольной страницы новой вкладки.

>>> Подробности (ghacks.net)

25 июня вышел очередной стабильный релиз Rust 1.1 — языка программирования общего назначения, разрабатываемого Mozilla совместно с сообществом. Данный релиз сохраняет полную обратную совместимость с Rust 1.0, вышедшим 6 недель назад.

Основные изменения:

( читать дальше... )

>>> Подробности (rust-lang.org)

11 июня состоялся выпуск Thunderbird 38.0.1 (выпуска 38 не было). Thunderbird — это свободный почтовый клиент от Mozilla. В этой версии:

Новые функции:

• Поддержка OAuth2 для Gmail.
• Календарь Lightning добавлен в стандартную поставку.
• Фильтр отправленных и архивированных сообщений.
• Поиск по нескольким адресным книгам.
• Поддержка Yahoo Messenger.
• Поддержка кириллических доменов в RSS.
• Показ скрытых колонок в панели папок.
• Возможность хранить историю в режиме «файл на сообщение».
• Добавлена ссылка «узнать больше» на странице поддержки в диалоге подписки.
• Добавлена линия, показывающая последнее прочитанное сообщение в чате.
• Редактор для Twitter-а показывает количество оставшихся символов.

Изменения:

• Отказ от использования SHA-1 для подписи сообщений.
• Удалены редко используемые кодировки.
• Отключена поддержка CONDSTORE для IMAP.
• Запросы OpenSearch теперь открываются в браузере по умолчанию.
• Использование SSL для XMPP и IRC по умолчанию.

А также множество исправлений ошибок.

>>> Подробности (mozilla.org)

Доступен внеплановый выпуск Mozilla Firefox 38.0.5, содержащий новые функции. Они не успели войти в Firefox 38, но разработчики хотели бы дать пользователям эти возможности уже сейчас:

• Интеграция с сервисом Pocket, который позволяет хранить в нём ссылки, чтобы просмотреть их позднее, например, с мобильного или любого другого устройства, на котором установлен клиент Pocket. Разработчики выбирали между портированием из Android-версии собственного аналогичного функционала под названием Reading List и интеграцией с уже существующим проприетарным сервисом Pocket. Победил последний вариант, что вызвало недоумение у части сообщества (поскольку уже существует дополнение, делающее практически то же самое, а интеграция с проприетарным сервисом воспринимается, как реклама оного);
• Из Android-версии браузера портирован «Режим для чтения» — новый режим просмотра страниц, в котором страница очищается от всего, что не относится к основному тексту страницы (меню, баннеры, управляющие элементы);
• Во встроенный видеочат Hello добавлена возможность организовать совместный доступ к активной вкладке;
• Исправлена проблема с отрисовкой при переключении вкладок, возникавшая в результате состояния гонки;
• Исправлены проблемы с производительностью, возникавшие при использовании стандартного драйвера VGA в Windows 7.

>>> Подробности (mozilla.org)

Стало доступно корректирующее обновление web-браузера Firefox 38.0.1, в котором устранены четыре не связанные с безопасностью проблемы:

• Устранён сбой при обработке больших анимированных изображений, в результате которого могла наблюдаться остановка загрузки остальных изображений.
• Устранён крах, проявляющийся при запуске Firefox на системах с графическими картами NVIDIA Optimus первого поколения.
• Исправлена ошибка, приводящая к некорректному импорту cookie из Google Chrome.
• Обеспечено корректное декодирование видеопотоков WebRTC H264 от клиентов CiscoSpark.

Кроме того, можно упомянуть об устранении в Firefox 38 четырнадцати уязвимостей. Они публикуются с запозданием и не были публично доступны в момент релиза Firefox 38. Шести уязвимостям присвоен статус критических проблем, среди которых переполнение буфера при обработке специально оформленных данных XML, SVG и CSS, а также возможность записи за границы выделенной памяти в Asm.js.

>>> Подробности (mozilla.org)

15 мая 2015 года, в соответствии с планом, вышел публичный релиз Rust 1.0 - языка программирования общего назначения, разрабатываемого Mozilla совместно с сообществом. Язык ориентирован на разработку безопасных и эффективных приложений, имеет развитую систему типов, оптимизирующий кодогенератор на основе llvm и предоставляет расширенные гарантии потокобезопасности и безопасного доступа к памяти без использования сборщика мусора. В частности, Mozilla использует Rust для разработки браузерного движка следующего поколения servo.

( читать дальше... )

>>> Подробности (rust-lang.org)

Поступила в продажу новая серия «умных» телевизоров Panasonic VIERA Smart TV (доступны несколько различных моделей: CR850, CR730, CX800, CX750, CX700 и CX680), работающая под управлением Firefox OS — свободной операционной системы от Mozilla, до этого момента поставлявшейся со смартфонами, планшетами и миникомпьютерами.

Сообщается, что во время работы над серией Panasonic тесно сотрудничал с Mozilla в этом направлении, и также внёс свой вклад в разработку нового интерфейса для Firefox OS, оптимизированного для использования в телевизорах.

>>> Подробности (mozilla.org)

Доступен Firefox 38 (ESR-версия выйдет позже):

• Настройки открываются во вкладке
• В полях логина/пароля больше не поддерживается autocomplete=off (1025703)
• Браузер заранее устанавливает соединения со страницами, на которые, по его предположению, перейдёт пользователь (опция network.predictor.enabled)
• В WebRTC добавлена поддержка мультипоточности, повторного согласования соединения и требование совершенной прямой секретности
• Mac OS X: поддержка Media Source Extensions (MSE) (только на YouTube)
• Windows: поддержка Encrypted Media Extensions (EME) для воспроизведения зашифрованного контента HTML5. DRM-модуль Adobe Primetime Content Decryption Module автоматически загружается и устанавливается при первом запуске.

( читать дальше... )

>>> Подробности (mozilla.org)

Mozilla планирует убрать поддержку бинарных компонентов XPCOM в дополнениях к своим продуктам.

Несмотря на то, что отказ от бинарных компонентов приурочен к выпуску Firefox 40, он затронет все приложения на движке Gecko, включая Mozilla Thunderbird. В своем блоге Mozilla объясняет, что это повысит стабильность приложений, особенно Firefox. Практически никто из разработчиков дополнений уже не использует XPCOM, а для тех, кому эта функциональность ещё нужна, в SDK добавлен обходной путь.

( читать дальше... )

>>> Подробности (ghacks.net)

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности (ghacks.net)

3 апреля 2015 года, в полном соответствии с планом, вышла бета-версия Rust 1.0. Язык и большая часть стандартной библиотеки окончательно стабилизированы, до финального релиза возможны только минимальные изменения в API.

Некоторые изменения со времени альфа-версии, вышедшей 9 января:

( читать дальше... )

Окончательный релиз Rust 1.0 запланирован на 16 мая, разработчики потратят оставшиеся до релиза 6 недель на тестирование, исправление ошибок и обновление документации.

>>> Подробности (rust-lang.org)

Доступна финальная версия Mozilla Firefox 37:

• Система Heartbeat, предлагающая случайному пользователю дать 5-балльную оценку новой версии браузера (отключается обнулением значения настройки browser.selfsupport.url)
• Поиск Яндекс по умолчанию в турецкой локализации
• Поиск Bing переведён на HTTPS
• OneCRL — централизованный отзыв сертификатов (список отозванных сертификатов будет периодически подгружаться с сервера)
• Шифрование трафика без подтверждения сервера (требуется поддержка HTTP/2 AltSvc)
• Отключён откат на небезопасные версии TLS
• Подробные сообщения о не связанных с сертификатами ошибках SSL
• TLS False Start требует набор шифров AEAD
• Удалена поддержка DSA
• Прекращена поддержка сертификатов для доменов вида example.com. (с точкой на конце), foo*.example.com и *foo.example.com (поддерживается лишь *.example.com)

( читать дальше... )

>>> Подробности (mozilla.org)