LINUX.ORG.RU

Firefox 70

 , lockwise,


4

3

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about:logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других браузеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920x1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиатуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики дополнений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

★★★★★

Проверено: a1batross ()
Последнее исправление: Deleted (всего исправлений: 1)

Отличный релиз. Ещё вчера обновился.

th3m3 ★★★★★
()

Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.

Какой смысл в этой геолокации? Она же на основании IP-адреса определяется. А сайту и так известен IP-адрес, если пользователь целенаправленно его не скрыл.

te111011010
()

Это, конечно же, хорошо, что за 10 лет осилили поменять криптографию в менеджере паролей, но как-то слишком медленно -_-

sT331h0rs3 ★★★★★
()

Кто подскажет? Webrender на оффтопик7+Radeon rx570 еще не завезли? У меня не включается. Хотя на Деб10+gf9800gtx включается.

Deleted
()
Ответ на: комментарий от te111011010

Нет, там далеко не только IP. Плюс это не сам сайт определяет по IP, а геолокация идёт через сторонний сервис, а сайту передаётся результат.

Если вы согласитесь, Firefox собирает информацию о ближайших беспроводных точках доступа и IP-адресе вашего компьютера и отправляет его поставщику услуг геолокации по умолчанию, службам геолокации Google для получения данных вашего местоположения. Затем эти данные местоположения передаются запрашивающему веб-сайту.

В итоге, получается довольно точное местоположение, вплоть до улицы и дома.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 2)

Long live!

Представлен новый менеджер паролей — Lockwise

Перекодирование в SHA-256 автоматом при апгрейде?

WebRender [...] nVIDIA (только с драйвером Nouveau)

Низачот.

Включён новый интерпретатор байт-кода JavaScript.

АСЬ?!

dimgel ★★★★★
()
Ответ на: комментарий от Deleted

Только дескопы на Windows 10 с видеокартами Nvidia, AMD и Intel (у последних только, если разрешение не выше 1920x1020).

В 71 включат ноутбукам на Windows 10 с Nvidia и разрешением не выше 1920x1020.

Если оффтопик типа Windows 7 - включайте самостоятельно.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: комментарий от MozillaFirefox

Спасибо. Я вот и пытаюсь самостоятельно, все равно d3d11 на 7ке.

Deleted
()
Ответ на: комментарий от MozillaFirefox

М-да... Похоже правильно тут кто-то не так давно писал, что браузеры выродились как идея. Вконец обмонструозившись. Впрочем, в данном конкретном случае ситуацию возможно слегка улучшит WebAssembly. (Слегка, т.к. готовить на сервере jit-скомпилированные бинарники для разных архитектур в любом случае будет нельзя, как минимум из соображений безопасности.)

dimgel ★★★★★
()

Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.

Ну ё-моё...

Miguel ★★★★★
()

Короче, как я понял, половина фич - это для мамкиных Сноуденов, у которых агенты ФБР под кроватью прячутся.

anonymous
()
Ответ на: комментарий от anonymous

Если у вас паранойя, это не значит что за вами не следят.

Единственное что непонятно, это насколько хорошо всё это будет работать само по себе, по дефолту для хомячков. Потому как даже нарочно всё это не запомнить, и при необходимости не вспомнить.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Никому не вперлась твоя приватность. И в том смысле, что люди об этом не думают. И в том, что всё это вообще неактуальная проблема. Неактуальная по дум причинам: во-первых, никому вы нафиг не сдались. Во-вторых, сейчас во многих странах внедряются сситемы распознавания лиц/голоса/походки. И на любого из вас _уже сейчас уже в России_ есть досье: где был, с кем спал, что ел. А вы, на тонущем Титанике, спорите о том чья кошка цветы уронила.

anonymous
()

быкдроп-фильтр завезли, нраицца. Ждем, когда из под флага выведут

TooPar
()
Ответ на: комментарий от anonymous

Никому не вперлась твоя приватность. И в том смысле, что люди об этом не думают. И в том, что всё это вообще неактуальная проблема. Неактуальная по дум причинам: во-первых, никому вы нафиг не сдались. Во-вторых, сейчас во многих странах внедряются сситемы распознавания лиц/голоса/походки. И на любого из вас _уже сейчас уже в России_ есть досье: где был, с кем спал, что ел. А вы, на тонущем Титанике, спорите о том чья кошка цветы уронила.

вот такие как ты облегчат доступ к своим личным данным, а малая часть примет слабые незначительные меры предосторожности и любители следить махнут рукой на ту малую часть что приняли меры - ведь большая часть планктона висит на их анальных зондах и их удовлетворяет.

anonymous
()

Господин мозилафаерфокс, скажите, пожалуйста, что с выпускали на Андроид? Сейчас вышла версия 68.2. Нас теперь только минорными обновлениями кормить будут?

anonymous
()

Кретины. Под андроид был норм браузер с аддонами. Выкатили вместо него какой-то невнятный огрызок

Deleted
()
Ответ на: комментарий от anonymous

На андроид обновления всегда запаздывают, смирись, в первый раз, что ли? Или ставь бетку и не парься.

Virtuos86 ★★★★★
()
Ответ на: комментарий от anonymous

Старая версия мобильного FF будет получать только минимальные обновления. Вместо неё разрабатывается принципиально новая версия под названием Firefox Preview, которая пока ещё в бете и не поддерживает расширения. Жди.

Aceler ★★★★★
()
Ответ на: комментарий от anonymous

Это всё понятно и печально. Хотя насчёт «с кем спал» я бы поспорил. :) Тем не менее, давать лишние поводы для злоупотреблений твоими личными данными — как-то лишне.

Кроме того, есть например такие вещи как интернет-банки, их трафик тоже мечтается от злоумышленников как-то защищать. А вас послушать, так выходит, что сгорел сарай — гори и хата. :)

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Непонятны аргументы за и против этого решения.

Готовятся к прекращению поддержки FTP. Шифрования он не умеет (нужно шифрование - придётся использовать FTPS, но FTPS Firefox не умеет, поэтому те, кто юзает FTPS, от выкидывания FTP не пострадают), а его доля неуклонно снижается, поэтому его можно и выкинуть.

Защищённые соединения это не прихоть, это насущная необходимость. Без них получается то, о чём я писал на Хабре - в публичный доступ вываливаются телефоны, логины, координаты, черти что, причём по всей этой инфе можно четко определить источник трафика вплоть до конкретного села на Кавказе.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: комментарий от Aceler

новая версия под названием Firefox Preview, которая пока ещё в бете и не поддерживает расширения

А чего так? Без аддонов сразу разрабатывается?

With ★☆☆
()
Ответ на: комментарий от Boogerman

Дропнули. Поддержка прошлой ветки ESR всегда идёт внахлест с новой на протяжении 2 выпусков. Поэтому считаем: вышел ESR 68 (одновременно с Firefox 68), затем ESR 68.1 (одновременно с Firefox 69) - два выпуска новой ветки ESR состоялись, старая ветка 60.x всё.

MozillaFirefox ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Пока нет данных даже о том, когда поддержку user.js отключат по умолчанию (как сделали с userChrome.css), а вы о полном выпиливании...

user.js всё ещё популярен в корпоративной среде, поскольку групповыми политиками любую из сотен настроек не настроишь.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 1)
Ответ на: комментарий от With

На сколько мне известно, аддоны там будут. Просто ещё не реализовали в полном объёме, вот и не включают.

Aceler ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Без них получается то, о чём я писал на Хабре - в публичный доступ вываливаются телефоны, логины, координаты, черти что, причём по всей этой инфе можно четко определить источник трафика вплоть до конкретного села на Кавказе.

Т.е. если я скачал ISO-образ убунты с ftp, то все узнали мои номера телефонов, логины и координаты? Как страшно жить!

Aceler ★★★★★
()
Ответ на: комментарий от Deleted

Firefox на андройде никуда не делся. Firefox Preview ещё _не_готов_. О чём ты плачешь - не ясно.

anonymous
()

Обновился, норм. Хуже не стало, во всяком случае.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Shadow

Не зря, ведь протокол создан именно для загрузки файлов.

kirill_rrr ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Готовятся к прекращению поддержки FTP.

Т.е. собираются послать всех, кто использует ftp в локалках уровня офис-на-3-компа или смартфон-пк? Я бы рад перейти на самбу, но андроид так ещё не умеет.

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 1)

Сложно в данное время найти человека который не использует социальные сети, и это является хорошим средством выявления потенциально опасной личности.

Вот сейчас обидно было.

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

Где в новости такая цитата?

anonymous
()

А помните что было ещё 5 лет назад? Некоторые пользовались хромом и IE! Удивительно вспоминать.

perl5_guy ★★★★★
()
Последнее исправление: perl5_guy (всего исправлений: 1)

он научился не тормозить в гугл доксах?

nightsinger
()
Ответ на: комментарий от MozillaFirefox

FTP. Шифрования он не умеет

Я бы сказал, он это делает лучше httpей

Без них получается то, о чём я писал на Хабре

Оно этому никак не помогает – данные не менее охотно утекают из мест хранения.

DonkeyHot ★★★★★
()
Ответ на: комментарий от anonymous

Да. А через год старый добрый мобильный файрфокс дропнут.

Polugnom ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.