Firefox 70

good-penguin.png

Доступен выпуск Firefox 70.


Основные изменения:

  • Представлен новый менеджер паролей — Lockwise:
    • 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
    • Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
    • Появилась новая страница about: logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других брауеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
    • Lockwise предлагает генерировать стойкие пароли для форм с атрибутом autocomplete="new-password", а также уведомляет (signon.management.page.breach-alerts.enabled = true), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true), который раньше был отдельным системным дополнением.
  • Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу about:protections.
  • Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (layout.css.text-decoration-skip-ink.enabled = true)
  • Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
    • Если установлено защищённое соединение, вместо зелёного отображается серый значок (security.secure_connection_icon_color_gray = true). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса.
    • Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (security.insecure_connection_icon.enabled = true, security.insecure_connection_icon.pbmode.enabled = true).
  • Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (security.identityblock.show_extended_validation = false). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей.
  • Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
  • Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (browser.fixup.typo.scheme = true): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file.
  • Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
  • Реорганизовано меню управления аккаунтом Firefox.
  • Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо ui.systemUsesDarkTheme = true).
  • Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
  • На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (browser.messaging-system.whatsNewPanel.enabled = true).
  • WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
  • Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
  • HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
  • Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (permissions.fullscreen.allowed = false). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение.
  • Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
  • Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
  • macOS:
    • В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
    • Появилась возможность импортировать пароли из Chrome.
  • WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920×1200).
  • Инструменты разработчика:
    • В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиаутуру, а также симулятор дальтоника.
    • Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
    • Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
    • Разработчики допонений получили возможность инспектировать содержимое browser.storage.local.
    • Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).

>>> Примечания к выпуску для разработчиков

>>> Все закрытые в этом выпуске баги

>>> Подробности

©  Linux.org.ru