LINUX.ORG.RU

Firefox 70

 , lockwise,


4

3

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about:logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других браузеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920x1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиатуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики дополнений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

★★★★★

Проверено: a1batross ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от rebforce

А что плохого?Если какой не будь Иванушка дурачёк наговнокодил.То пусть сделает как надо. Жёстко, но правильно.

anonymous
()
Ответ на: комментарий от anonymous

Надёжнее «майнить тонны криптовалюты» если встраивать соответствующий код прямо в страницы популярных ресурсов, которые доступны по https.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

конкретно про форматы TXT

Эти форматы состоят из текста, который закодирован кодировкой, которую выкинули, манявровый.

anonymous
()
Ответ на: комментарий от rebforce

Когда сказать нечего.Но очень хочется.

anonymous
()
Ответ на: комментарий от anonymous

кодировкой, которую выкинули

Никто не выкидывал кодировки. И даже UTF-8 - это тоже кодировка. Одна из множества кодировок. А во внутренностях той же винды, например, UTF-16. А в cmd.exe можно запросто выставить KOI8-R. Как и в линуксовой ядерной консоли.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Это реальность за пределами твоего уютного консольного мирка.

anonymous
()
Ответ на: комментарий от rebforce

При невалидном/самоподписанном сертификате у тебя сайт просто не откроется. Никогда не встречался?

Aceler ★★★★★
()
Ответ на: комментарий от anonymous

Отличная теория. Только она с треском рассыпается когда массив данных с 16-битным цветом напрямую запихивается в кадровый буфер с 32-битным цветом с прозрачностью.

А ведь ещё кто то должен геометрию изображения проверить и сопоставить с выделенным под него прямоугольником.

kirill_rrr ★★★★★
()
Ответ на: комментарий от Aceler

Откроется, если явно подтвердить и/или добавить в исключения. И там будет такой же перечёркнутый замок.

А канделябром тому, кто это придумал, надо дать за введение в заблуждение. Возле сайта с plain-HTTP вообще не должно быть никаких замков, чтобы пользователь смог этот момент отличить от ситуации, когда сайт на самоподписанном сертификате добавлен в исключения.

Никогда не встречался?

Негодую как раз именно потому, что встречался с этим очень часто.

rebforce
()
Ответ на: комментарий от rebforce

Если тебе важно почему сайт не безопасен, то ткни кнопку и посмотри почему. Раз памяти нету, что добавлял в исключения. Большинство пользователей просто уходит встретив предупреждение о небезопасном https-соединении, так что им не важно почему небезопасно, им важен сам факт опасности.

mandala ★★★★★
()

Приложение Lockwise не работает на шестом ведроиде?

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от mandala

На твоих скриншотах как раз и нет ситуации неправильного сертификата.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

А, тьфу, да. При не корректном сертификате добавленным в исключения, да – желтый треугольник с [!].

mandala ★★★★★
()
Ответ на: комментарий от mandala

«луддиты» - это просто стигма, ну как «ватники» или «либеройды». А реальная ситуация такая:

Я буду говорить только про IT, причем только про фронт. Так вот, там ситуация такая, что никакого реального прогресса нет. Зато есть ситуация, при которой сайты жрут кучу ресурсов, а браузеры, способыне корректно с ними работать, стали такими сложными что о современных независимых можно забыть.

И если люди хотят, как здесь многие, менее жрущего веба и, что гораздо важнее, нормальной конкуренции на рынке браузеров (это когда их минимум 5 _с разными движками_, и при этом все 5 - вполне пригодны для повседневных юзкейсов 90% пользователей) — так вот, если люди этого хотят, то самый простой шаг к этому — это начать писать более простые сайты и забыть про всякие хттпС и прочее говно, которое выгодно, по большому счету, чтобы просто держать стадо под контролем, под видом заботы о его безопасности.

anonymous
()
Ответ на: комментарий от anonymous

это когда их минимум 5 с разными движками, и при этом все 5 - вполне пригодны для повседневных юзкейсов 90% пользователей

С какого потолка это утверждение?

чтобы просто держать стадо под контролем

Теория заговора.

люди хотят, как здесь многие, менее жрущего веба

HTTPS вносит в жручесть минимум. Можешь сам проверить на статичной html-страничке и сравнить с тяжелым современным сайтом (например, youtube), если для тебя это не очевидно.

это начать писать более простые сайты

Как всё просто то, а мы не знали.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Да, что значит простые? Более тупые? Отказаться от всех возможностей современного веба в угоду снижения потребления ресурсов?

mandala ★★★★★
()
Ответ на: комментарий от mandala

«С такого». Потому что меньше 5 - это вообще ни о чем. Там конкуренции просто быть не может. Ну окей, 5 красивое число. Но давай хотя бы 4.

Не теория заговора, а немного троллинг. Но, по факту, хотя заговора нет, работает оно именно так. Прогресс повышает порог входа, а чем выше порог входа, тем меньше игроков. Чем их меньше, тем сильнее выкручивание рук потребителям и недобросовестней конкуренция между собой.

HTTPS вносит в жручесть минимум.

Ну это да. Мне просто хотелось побуянить.

Как всё просто то, а мы не знали.

Организовать движуху среди разработчиков за «простой веб», типа той, которая которая есть вокруг GPL/open-source или, прости Господи, SJW – это попроще, чем пытаться всем классом аналог Гугл Хрома зхапилить.

anonymous
()
Ответ на: комментарий от anonymous

Или аналог Файр Фокса. Один хрен. Для сообщества или небольших команд — это неподъемные проекты.

anonymous
()
Ответ на: комментарий от anonymous

«С такого». Потому что меньше 5 - это вообще ни о чем. Там конкуренции просто быть не может. Ну окей, 5 красивое число. Но давай хотя бы 4.

Т.е. это просто твое мнение, не более. Спасибо за пояснение. От себя добавлю что достаточно лишь двух, но с полностью независимой экосистемой: как с технической стороны, так и с организационной. Сегодня такого и близко нет, всё крутится вокруг гугла.

Организовать движуху среди разработчиков за «простой веб»

Нет достаточно сильного запроса от сообщества, чтобы это вылилось в какое-то организованное движение. А сами сайты такие есть и их много. Как старые, хранящие традиции, так и новые.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

И можно конечно ржать над «леддитами», позиция удобная, вот только лет через 15 вы современный веб будете вспоминать как 70 летняя бабка — свои 16.

anonymous
()
Ответ на: комментарий от kirill_rrr

Ничего никуда «напрямую не запихивается» (если формат не совпадает, конечно). Для преобразования пиксельных форматов и прочего есть отдельные библиотеки, специально этим всем занимающиеся.

anonymous
()
Ответ на: комментарий от saahriktu

Заирусованного майнерами, винлокерами и прочим вантузятника ответ.

anonymous
()
Ответ на: комментарий от saahriktu

Никто не выкидывал кодировки.

Наглая ложь. Пример:

Amazon Kindle Direct Publishing supports text in the 'Latin-1' (ISO-8859-1) format and all characters in that character set.

Не вижу упоминания koi8 (да и юникода, кстати).

anonymous
()
Ответ на: комментарий от anonymous

Эта цитата вообще ни о чём. Тем более, что пытаться делать выводы исключительно по Amazon Kindle Direct Publishing - это Fallacia fictae universalitatis.

saahriktu ★★★★★
()
Ответ на: комментарий от mandala

А как быть с ситуацией «сайт безопасен, потому что я так сказал»? Если сайт находится в контролируемом мной интранете (домашнем, удалённом через VPN — пох), ну или не контролируемом, но обеспечивающем безопасность end2end-передачи данных на уровень-два ниже прикладного (Tor, I2P etc). Поскольку как в первом, так и во втором случае MITM-ы исключены, на кой вообще глаза этим замочком мозолить?

rebforce
()
Ответ на: комментарий от saahriktu

Ещё как о чём, ведь луддит заявлял:

Это как если бы, например, создатели популярных читалок книг сговорились бы и вместе перестали бы поддерживать, ...

Ну вот, по факту «создатели популярных читалок книг перестали поддерживать». Ты сам себя окунул в лужу и барахтаешься в ней, пытая изобразить, что ты сухой и чистый.

anonymous
()
Ответ на: комментарий от kirill_rrr

Не, мы вернулись к тому, что ты заявлял, что какие-то мифические библиотеки именно для поддержки bmp можно выкинуть.

забаним устаревшие изображения .bmp и .gif, можно пару древних бибблиотек выкинуть

anonymous
()
Ответ на: комментарий от anonymous

Ну вот, по факту «создатели популярных читалок книг перестали поддерживать».

TXT и FB2? Я говорил конкретно про эти форматы. Про кодировки Вы сами начали рассуждать.

saahriktu ★★★★★
()
Ответ на: комментарий от te111011010

Какой смысл в этой геолокации?

В том, что геолокация по ip считается через базу данных MapMind, например, а операционка может отдать сама координаты более точно, сверяясь с базой данных эппла/микрософта/гугла, например, или спросив у девайса рядом.

База данных вендоров основана на расположении wifi сетей вокруг, поэтому указывают позицию в городе достаточно точно.

alexmaru
()
Ответ на: комментарий от anonymous
rrr@raspberrypi:~$ aptitude search bmp              
...
p   libghc-bmp-dev                              - Read and write BMP image files                        
v   libghc-bmp-dev-1.2.3.4-bc66e                -                                                       
p   libghc-bmp-doc                              - Read and write BMP image files; documentation         
p   libghc-bmp-prof                             - Read and write BMP image files; profiling libraries   
v   libghc-bmp-prof-1.2.3.4-bc66e               -                                                       
...
v   libnsbmp-dev                                -                                                       
p   libnsbmp0                                   - NetSurf BMP decoder                                   
p   libnsbmp0-dbg                               - NetSurf BMP decoder - Debug files                     
p   libnsbmp0-dev                               - NetSurf BMP decoder - Development files               
...                                                    
p   sfftobmp                                    - SFF (Structured Fax File) Converter   

Не, конкретно в файерфоксе они наверняка не используются. Там нверняка своя реализация есть.

kirill_rrr ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Файлы через интернет давно уже не тянут через ftp. Зато он остаётся востребованым в разных узкоспециальных локальных задачах. Непонятно почему взялись за выпил совместимости на фоне вполне экспоненциального роста количества ненужного мусора в браузерах. Причём этот мусор вполне может быть более опасным и тяжёлым, чем поддержка ftp.

Разговоры про безопастность это полная ерунда. Достаточно крупного и яркого уведомления об отсутствии шифрования. Обязательное подтверждение действия может быть даже избыточным. А вот мешать пользователю из каких то непонятных политических соображений это ненормально.

То же самое с http. Предупредить надо, а обязывать всех и каждого всё зашифровать - бред. Вдвойне бред - на фоне распостранения систем, способных на лету перешифровывать трафик.

kirill_rrr ★★★★★
()
Ответ на: комментарий от Kuzz

А я давно понял что браузеры скатываются в УГ. Но большинство все таки ещё умеет rss. И пользователей у него тоже немало.

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Ответ на: комментарий от anonymous

Не бывают, но в каких кодировках открываются TXT в читабельном виде - в этом контексте абсолютно всё равно. Главное, чтобы сами форматы поддерживались.

Поскольку я сравнивал выпиливание поддержки HTTP и FTP с выпиливанием TXT и FB2. А в каких кодировках конкретные файлы данных форматов для этого сравнения не имеет никакого значения. Хоть в юникоде. Если вообще нельзя открыть TXT и FB2, то нельзя открыть и TXT и FB2 в юникоде.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Нет никакой разницы, не поддерживается кодировка, или txt вообще - для его открытия нужны оба условия.

anonymous
()
Ответ на: комментарий от anonymous

Вариант отсутствия в списке нужной кодировки в этом сравнении никто не рассматривает.

Просто потому, что с выпиливанием того же HTTP станет невозможно ходить через него на сайты вообще в любых кодировках (а сайты как и TXT, внезапно, тоже в кодировках). Независимо от того поддерживаются они в браузере или нет.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

никто не рассматривает

Отучаемся говорить за всех...

Без кодировки тхт не работает, такое сравнение бессмысленно, а ты не особо задумывался, когда им ляпнул.

anonymous
()
Ответ на: комментарий от anonymous

Сайты тоже не работают без кодировок. Но выпиливают конкретные протоколы, а не кодировки. А сетевые протоколы можно сравнить с форматами файлов.

saahriktu ★★★★★
()
Ответ на: комментарий от fornlr

А вот FTP уже только совсем странные люди используют.

Наоборот, его используют те, кто знает зачем он нужен.

FTP — это лучший способ раздавать файлы с роутера в локалке, это самый быстрый протокол передачи больших файлов, с наименьшей нагрузкой на сервер.

Скорость FTP ограничена только скоростью сети и диска. У меня, например, раздаваемые по FTP видео можно смотреть онлайн, без отдельного сохранения на диск. Никакой другой протокол мне такой скорости не даёт. Ну, кроме NFS, но завести его на винде мне так и не удалось.

Попробуй раздать видеозаписи камеры гиг по 10 с RPi или роутера по гигабитной сети.
Для теста, текущий каталог можно раздать так:

touch /tmp/empty.conf
vsftpd -olisten=YES -olisten_port=2121 -oanonymous_enable=YES -oanon_world_readable_only=NO -orun_as_launching_user=YES -oanon_root=$PWD /tmp/empty.conf
(можно всё то же самое записать в empty.conf, но так нагляднее)

И затем посмотри скорость загрузки c ftp://127.0.0.1:2121/, и нагрузку на процессор роутера.

А потом проделай то же самое для https...

Кстати, как расшарить текущий каталог по https?

anonymous
()
Ответ на: комментарий от mandala

Ранее открывал сразу поддерживаемые форматы (картинки, пдф-ки).

Видео, музыку, субтитры, текстовые файлы типа readme.txt... Можно было сразу, одним кликом, без отдельного сохранения и открытия посмотреть параметры командной строки в конфиге isolinux.cfg, или контрольные суммы SHA512SUMS. Видимо, это было слишком просто и неудобно...

Загружать на сервер, создавать/удалять директории/файлы и т.п. браузер один хрен не умеет

Загружать умеет. Просто пункт меню выпилили во время очередных «улучшений» Firefox. В seamonkey он до сих пор есть и работает: File / Upload file (Файл / Выгрузить файл).

не говоря уже о тонких настройках (даже порт прибит гвоздями)

Постоянно использую отдельный порт ftp://192.168.0.1:2121/, никаких проблем, всё работает. 🙂 Пока что...

anonymous
()
Ответ на: комментарий от anonymous

FTP — это лучший способ раздавать файлы с роутера в локалке. Попробуй раздать видеозаписи камеры гиг по 10 с RPi.

Да, я всё правильно написал.

А вот FTP уже только совсем странные люди используют

fornlr ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Каждый новый релиз — не список новых возможностей, а список выпиленных фич и перерисованных иконок. Прямо грустно как-то...

Готовятся к прекращению поддержки FTP. Шифрования он не умеет [...] поэтому его можно и выкинуть.

Всегда была непонятна мотивация подобных решений... В нашем браузере кривое FTP и им мало пользуются. Значит мы должны улучшить FTP, доделать FTPS, чтобы привлечь больше юзеров?

Вместо этого у нас:
— Давай выпилим FTP, всё равно им никто не пользуется.
— Но им же пользуются!
— Так давай выпилим, чтобы не пользовались!

Сначала выпилили аддоны, чтобы другие не могли улучшить поддержку FTP (см. FireFTP). А затем и сам FTP выпилят.

PS: А вообще, я догадываюсь, откуда эта мания выпиливания...
— Мы переписываем всё на Rust, и переписывать поддержку FTP мне влом, давайте его просто дропнем, а для оправдания скажем, что он несекурный.
— Но это же не правда, дело не в протоколе, это у нас нет поддержки FTPS.
— Да не важно, юзеры тупые, проглотят. А умные покричат и смирятся. Всё равно выбора у них нет.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.