Firefox 70
Доступен выпуск Firefox 70.
Основные изменения:
- Представлен новый менеджер паролей — Lockwise:
- 10 лет назад о слабой защищённости менеджера паролей сообщил Джастин Дольске. В 2018 году Владимир Палант (разработчик Adblock Plus) снова поднял эту проблему, обнаружив, что менеджер паролей до сих пор использует однократное хэширование SHA-1. Это позволяет за несколько минут сбрутить пароль среднестатистического пользователя на современных графических ускорителях.
- Lockwise использует стойкие алгоритмы SHA-256 и AES-256-GCM.
- Появилась новая страница about: logins (стиль для userContent.css, позволяющий вместить на экран больше информации), где можно создать новые записи импортировать пароли из других брауеров, а также загрузить приложения для Android и iOS. Пароли синхронизируются через аккаунт Firefox.
- Lockwise предлагает генерировать стойкие пароли для форм с атрибутом
autocomplete="new-password"
, а также уведомляет (signon.management.page.breach-alerts.enabled = true
), если сохранённый для сайта пароль старше, чем произошла утечка данных с этого сайта (то есть, если есть вероятность, что пользователя затронула утечка). Для этого в него интегрирован Firefox Monitor (extensions.fxmonitor.enabled = true
), который раньше был отдельным системным дополнением.
- Стандартные настройки защиты от отслеживания отныне включают защиту от трекеров социальных сетей (кнопки Like, виджеты с сообщениями Twitter). Если на странице имеется заблокированное содержимое, значок в адресной строке становится цветным. Изменениям подверглась и панель, вызываемая при нажатии на него: теперь там отображаются разрешённые трекеры (блокировка которых может привести к поломке сайтов или отдельных функций), а также ссылка на страницу
about:protections
. - Линии, подчёркивающие текст (тег подчеркивания или ссылка), отныне не пересекают символы, а прерываются (
layout.css.text-decoration-skip-ink.enabled = true
) - Поскольку в 2019 году шифрование стало нормой (информация, переданная по незащищённым каналам оказывается доступной всем желающим, например, из-за некорректно настроенного оборудования СОРМ), изменён подход к отображению статуса защищённости соединения:
- Если установлено защищённое соединение, вместо зелёного отображается серый значок (
security.secure_connection_icon_color_gray = true
). Это поможет неопытным пользователям, которые воспринимают зелёный цвет как сигнал, что сайт является доверенным, в то время как зелёный означает лишь, что соединение зашифровано, но не гарантирует подлинность ресурса. - Если установлено незащищённое соединение (HTTP или FTP), отображается перечёркнутый значок (
security.insecure_connection_icon.enabled = true
,security.insecure_connection_icon.pbmode.enabled = true
).
- Если установлено защищённое соединение, вместо зелёного отображается серый значок (
- Информация о EV-сертификатах (сертификатах с расширенной проверкой) перенесена из адресной строки в панель сведений о сайте (
security.identityblock.show_extended_validation = false
). Исследования показывают, что отображение этих данных в адресной строке практически никак не помогает пользователям — они не обращают внимания на её отсутствие. Кроме того исследователь Ян Кэрролл показал, как легко получить EV-сертификат на имя «Stripe, Inc» (популярная платёжная система) всего лишь зарегистрировав в другом штате компанию с таким же названием. Чтобы обнаружить разницу, в любом случае необходимо просмотреть подробные сведения о сайте — информации из адресной строки недостаточно. Другой исследователь, Джеймс Бертон, получил сертификат на имя зарегистрированной им компании «Identity Verified», что тоже легко вводит в заблуждение пользователей. - Firefox будет показывать значок в адресной строке, если сайт использует геолокацию.
- Адресная строка автоматически корректирует распространённые опечатки в протоколе URL (
browser.fixup.typo.scheme = true
): ttp → http, ttps → http, tps → https, ps → https, ile → file, le → file. - Кнопки поисковиков в адресной строке отцентрированы, добавлена возможность сразу перейти к их настройке.
- Реорганизовано меню управления аккаунтом Firefox.
- Служебные страницы браузера научились использовать тёмную тему (если в системе включена тёмная тема либо
ui.systemUsesDarkTheme = true
). - Обновлены логотип и название браузера («Firefox Browser» вместо «Firefox Quantum»).
- На панель инструментов добавлен значок (а в главное меню — пункт), нажатие на который выводит сведения об основных новшествах этого выпуска (
browser.messaging-system.whatsNewPanel.enabled = true
). - WebRender включён по умолчанию на Linux-системах с видеокартами всех основных производителей: AMD, nVIDIA (только с драйвером Nouveau), Intel. Требуется, как минимум, Mesa 18.2.
- Включён новый интерпретатор байт-кода JavaScript. В отдельных случаях ускорение загрузки страниц достигает 8%.
- HTTP-кеш разделён по источнику верхнего уровня, чтобы предотвратить широко используемый различными сервисами способ определить, залогинен ли пользователь на определённых сайтах.
- Запросы разрешений со стороны сайта (например, на показ уведомлений или доступ к микрофону) будут принудительно выводить браузер из полноэкранного режима (
permissions.fullscreen.allowed = false
). Эти меры направлены на борьбу с некоторыми сайтами, которые блокируют пользователя в полноэкранном режиме и вынуждают его дать разрешения или установить вредоносное дополнение. - Вслед за Chrome размер заголовка Referer ограничен 4 килобайтами, чего достаточно для 99.90% сайтов.
- Запрещено открытие в браузере любых файлов по протоколу FTP. Вместо открытия файла будет осуществляться его загрузка.
- macOS:
- В три раза снижено энергопотребление, которое заметно возросло после первого выпуска Quantum. Кроме того, загрузка страниц ускорилась на величину до 22%, а затраты ресурсов на воспроизведение видео в ряде случаев сократились на 37%.
- Появилась возможность импортировать пароли из Chrome.
- WebRender включён по умолчанию на устройствах под управлением Windows со встроенной графикой Intel и низким разрешением экрана (до 1920×1200).
- Инструменты разработчика:
- В панель инспектора доступности добавлен показ доступности элементов страницы для людей, использующих только клавиаутуру, а также симулятор дальтоника.
- Инспектор подсвечивает определения CSS, которые не влияют на выбранный элемент, а также объясняет причины этого и даёт советы по исправлению.
- Отладчик может устанавливать точки останова для мутаций DOM. Они срабатывают, когда узел или его атрибуты изменяются или удаляются из DOM.
- Разработчики допонений получили возможность инспектировать содержимое browser.storage.local.
- Инспектор сети научился искать элементы запросов и ответов (заголовки, куки, тело).
>>> Примечания к выпуску для разработчиков
>>> Все закрытые в этом выпуске баги
>>> Подробности