Состоялся релиз web-браузера Firefox 74, а также мобильной версии Firefox 68.6 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 75, релиз которой намечен на 7 апреля (проект перешёл на 4-недельный цикл разработки). Для бета-ветки Firefox 75 началось формирование сборокдля Linux в формате Flatpak.

Основные новшества:

• В сборках для Linux задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  
• Режим DNS поверх HTTPS (DoH, DNS over HTTPS) включён по умолчанию для пользователей из США. В качестве DNS-провайдера по умолчанию предлагается CloudFlare (mozilla.cloudflare-dns.com занесён в списки блокировки Роскомнадзора), а в качестве опции доступен NextDNS. Изменить провайдера или включить DoH в странах, отличных от США, можно в настройках сетевого соединения. Подробнее о DoH в Firefox можно прочитать в отдельном анонсе.
  

• Отключена поддержка протоколов TLS 1.0 и TLS 1.1. Для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжается осуществляться с использованием устаревших версий TLS. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering Task Force). Причиной отказа от поддержки TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). При попытке использования TLS 1.0 и TLS 1.1 начиная с Firefox 74 будет выводиться ошибка. Вернуть возможность работы с устаревшими версиями TLS можно через настройку security.tls.version.enable-deprecated = true или при помощи кнопки в предупреждении при первом заходе на любой сайт со старым протоколом.
  

• В примечании к выпуску рекомендовано дополнение Facebook Container, которое автоматически блокирует размещаемые на сторонних сайтах виджеты Facebook, применяемые для аутентификации, отправки комментариев и лайков. Параметры идентификации Facebook изолируются в отдельном контейнере, затрудняя отождествление пользователя с посещаемыми сайтами. Возможность работы с основным сайтом Facebook сохраняется, но производится его изоляция от остальных сайтов.

  Для более гибкой изоляции произвольных сайтов предлагается дополнение Multi-Account Containers с реализацией концепции контекстных контейнеров. Контейнеры предоставляют возможность изоляции различных типов контента без создания отдельных профилей, что позволяет отделить между собой информацию отдельных групп страниц. Например, можно создать отдельные, изолированные друг от друга, области для персонального общения, работы, покупок и банковских операций или организовать одновременное использование разных аккаунтов пользователя на одном сайте. В каждом контейнере используются отдельные хранилища для Cookies, Local Storage API, indexedDB, кэша и содержимого OriginAttributes.
  

• В about:config добавлена настройка "browser.tabs.allowTabDetach", позволяющая запретить отсоединение вкладок в новые окна. Случайное отсоединение вкладки является одной из самых раздражающих недоработок Firefox, устранения которой добивались 9 лет. Браузер позволяет мышью перетащить вкладку в новое окно, но при определённом стечении обстоятельств вкладка отсоединяется в отдельное окно и в процессе работы при неосторожном движении мыши во время клика на вкладку.
  
• Прекращена поддержки дополнений, устанавливаемых обходным путём и не привязанных к пользовательским профилям. Изменение касается только установки дополнений в общие каталоги (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемые всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, для непрошенной подстановки вместе со сторонними приложениями, для интеграции вредоносных дополнений или для обособленной поставки дополнения со своим инсталлятором. В Firefox 73 ранее принудительно установленные дополнения были автоматически перенесены из общего каталога в индивидуальные профили пользователей и теперь могут быть удалены через штатный менеджер дополнений.
  
• Во входящем в состав браузера системном дополнении Lockwise, предлагающем интерфейс "about:logins" для управления сохранёнными паролями, появилась поддержка сортировки в обратном порядке (от Z к A).
  
• В WebRTC повышена защита от утечки сведений о внутреннем IP-адресе во время голосовых и видеовызовов при помощи механизма "mDNS ICE", скрывающем локальный адрес за динамически генерируемым случайным идентификатором, определяемым через Multicast DNS.
  
• Изменено расположение переключателя режима просмотра "картинка в картинке", который перекрывал кнопку перехода к следующему изображению в интерфейсе пакетной загрузки фотографий в Instagram.
  
• В JavaScript добавлен оператор "?.", предназначенный для единовременной проверки всей цепочки свойств или вызовов. Например, указав "db?.user?.name?.length" теперь можно обратиться к значению "db.user.name.length" без предварительных проверок. Если какой-то элемент обработан как null или undefined на выходе будет выдано значение "undefined".
  
• Прекращена поддержка на сайтах и в дополнениях метода Object.toSource() и глобальной функции uneval().
  
• Добавлено новое событие languagechange_even и связанное с ним свойство onlanguagechange, которые позволяют вызвать обработчик при смене пользователем языка интерфейса.
  
• Включена обработка HTTP-заголовка Cross-Origin-Resource-Policy, позволяющего серверу запретить вставку отдаваемых ресурсов (например, изображений) в контексте других доменов (cross-origin и cross-site);
  
• Включён по умолчанию HTTP-заголовок Feature-Policy, позволяющий управлять поведением API и включением определённых возможностей (например, можно включить синхронный режим работы XMLHttpRequest или отключить Geolocation API). Для назначения прав для блоков iframe предлагается использовать атрибут "allow", через который можно выборочно разрешить запросы доступа к камере, микрофону, местоположению и т.п.

  В случае разрешения сайтом через атрибут "allow" работы с ресурсом для определённого iframe, и поступлении запроса из iframe на получения полномочий для работы с этим ресурсом, браузер теперь выводит диалог предоставления полномочий в контексте основной страницы и делегирует подтверждённые пользователем права в iframe (вместо отдельного подтверждения для iframe и основной страницы). Но, если основная страница не имеет полномочий на ресурс, запрошенный через атрибут allow, доступ для iframe к ресурсу сразу блокируется, без вывода диалога пользователю.
  

• Включена по умолчанию поддержка CSS-свойства 'text-underline-position', определяющее позицию подчёркивания текста (например, при вертикальном отображении текста можно организовать подчёркивание слева или справа, а при горизонтальном не только снизу, но и сверху). Дополнительно в управляющих стилем подчёркивания CSS-свойствах text-underline-offset и text-decoration-thickness добавлена поддержка использования значений в процентах.
  
• В CSS-свойстве outline-style, определяющем стиль линии вокруг элементов, по умолчанию разрешено использование значения "auto" (ранее было отключено из-за проблем в GNOME).
  
• В отладчик JavaScript добавлена возможность отладки вложенных Web Worker-ов, выполнение которых может быть приостановлено и пошагово отлажено с применением точек останова.
  

• Для Windows и macOS реализована возможность импорта профилей из браузера Microsoft Edge на базе движка Chromium.

Кроме новшеств и исправления ошибок в Firefox 74 устранено 20 уязвимостей, из которых 10 (собраны под CVE-2020-6814 и CVE-2020-6815) помечены как потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Напомним, что проблемы с памятью, такие как переполнения буферов и обращение к уже освобождённым областям памяти, с недавних пор помечаются как опасные, но не критические.

Загрузить:

    Русская версия:

        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

    Английская версия:
        Windows (64 бит)
        Windows MSI (64 бит)
        Windows (ARM 64 бит)
        Windows (32 бит)
        Windows MSI (32 бит)
        Mac OS X
        Linux (64 бит)
        Linux (32 бит)

Другие языки

Что нового в Firefox 74 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

Не понимаю: на кой штатный и уже ставшим за десятилетия привычный способ хранения убирать в плагин.
Оно защищённее что-ли?
Или это в порядке унификации с мобильным , где скоро всё что можно в отдельные приложения запихают?

Странно, что на форуме до сих пор не обсуждают Multi-Account Containers и эту технологию изоляции сайтов и вообще страниц друг от друга. По-крайней мере, нет такой отдельной активной темы. А вопросы есть. У других браузеров вроде нет такой крутой фишки.

dreamkz
Создайте тему и озвучьте вопросы, тогда и может обсуждение завяжется.
Я использую контейнеры, в составе дополнения Cookie AutoDelete, лишь для входа в другие АК. Контейнеры оказались удобнее,  для каких то разовых посещений, чем открывать в другом браузере.

oleg.sgh, спасибо, что поддержали! Создал и озвучил Multi-Account Containers

Coroner, у меня ещё такой вопрос к этой странице about:logins : почему-то когда нужно посмотреть или скопировать пароль, то браузер требует повторно ввести мастер-пароль. А вот чтобы удалить пароль в about:logins никакого пароля не требуется. То есть, стоит однажды отлучиться на минутку от компа, и кто-нибудь (даже кот) намеренно или случайно грохнет твои сохранялки.

dreamkz
Старое окно паролей
about:config - signon.management.overrideURI - удалить значение about:logins?filter=%DOMAIN%

oleg.sgh, пардон, что туплю, но не заметил разницы в функционале. Пароли так же легко удаляются.

dreamkz
Разница в виде. А по сути, ни разу у меня не требовался мастер пароль...может потому, что его не использую.

Ущерб несравним. К тому же если человек захочет намеренно грохнуть пароли и имеет доступ к компьютеру — то он может просто нужный файл удалить. Или всю папку профиля.
Или всю винду.

Но выглядит действительно нелогично, ведь несложно было бы защитить и удаление мастер-паролем. Ведь случайно действительно можно нанести вред. И никто посторонний для этого не нужен — я не далее как неделю назад самолично нечаянно стёр один пароль, причём больше он нигде не хранился, так как предполагалось, что он мне не понадобится более. А вот жеж... Пришлось голову ломать.

browser.tabs.allowTabDetach ставлю false (по умолчанию - true и перенос мышкой работает). из основного окна не переносится мышкой. переношу через контекстное меню в новое окно. оттуда спокойно переношу курсором в основное. так и работает эта настройка? почему не запрещает это действие во всех окнах?

Какая-то 74-я версия тормознутая. По сравнению с нею 73-я (а сейчас ещё и ESR 68.6.0) просто летают. Как будто через прокси работает, все ссылки открываются с заметной задержкой. Никто такого не наблюдает?

У меня всё осталось как было. Никаких задержек.

Да нет так же работает.Может с настройками пошаманить, кэш куки почистить, или дополнения какие у вас стоят, попробуйте без них запустить.

Да уже всё вроде попробовал. При переходе с 73-й на 74-ю словно на ESR 52.9 вернулся...

Не.
Она и правда тормознутая и тормознутость заключается в том, в моём случае допустим, что при переходе на некоторые сайты (COMSS допустим или Rutor) значки, картинки все, гифки за частую - туго подгружаются.
Вот просто для сравнения, я установил потом ESR 68.6.0 и просто летаю по тем же ресурсам т.к с этой версией, с тем же пулом дополнений и расширение, что и в финалке стояли, у меня нет проблем ни с гифками, ни с иконками, ни с картинками, вообще нет проблем.
Кеш, журнал посещений и загрудок с журналом форм и поиска чистится автоматом.
Перед всеми маневрами, делал принципиально новый профиль, все дополнения и расширения ставил по новой.

И есть подозрение, что вся эта бяка идёт от блокировки содержимого который впаян в сам .

А мне показалась, что 74-я по сравнению с 73-й так просто летает...

А может правда только в том, что у тебя она тормознутая? А ни одного подозрения, ни одной мысли нигде не промелькнуло, что просто какое-то расширение стало несовместимое с новой версией . Отключи для начала все расширения и походи по своим "некоторым сайтам", а потом доложишь.

А мне не показалось ,я в этом убедился, что 74-ая быстрее 73-ей . Страницы открываются в мговенье как будто я открываю папки в проводнике на своём пк.

Ну и также зависит скорость не только от расширений ,а и от того кто и как настраивал в своём браузере about:config

voqabuhe
Я просто прокси юзаю

для проблем с youtube есть отдельная тема (сообщения удалены)

ПРИКООООООООООООООЛ!
п.с а тут работает и сообщение отображается.

что за фигня-пустые посты просто без сообщения отображаются? еще несколько дней вообще не заходило на сайт

Тех.работы были... и ещё идут.
п.с когда цитируешь - пост белый. Когда просто пишешь - пост отображается (по крайней мере в этом разделе, в этой теме).

Поговорку знаешь «Один переезд равен двум пожарам»? Вот это оно и есть.

имхО 69-я очень быстрая была, начиная с 70-й версии как-то FF подтупливать начал. разницу между 73 и 74 не заметил...

Imbanessy
Чистый профиль - без проблемный во всех отношениях.
Как только ты ставишь дополнение, врубаешь прокси или аналог, ты сразу минусует общее кпд продукта.
Один блокировщик (скрытие) рекламы тебе производительность понижает как будто ты в слоумо.
Простому смертному это на глаз не особо заметно, но если присмотреться, ты сидишь и балдеешь, как так можно вообще работать.

да у меня не установлено ничего, кроме доступа к рутрекеру
кстати, ты был прав насчет блокировки содержимого. отключил это в настройках (убрал все галочки) - и как-то Firefox быстрее шевелиться стал. может так и небезопасно конечно, но я не поп-звезда и не миллионер, чтоб боятся каких-то отслеживаний в интернете.
да и от Javascript-вирусов это фича не защитит, я думаю.

Imbanessy
Ещё можно, если пользуетесь, отключить автоматическую очистку кеша в браузере, через встроенный функционал в "Приватности и защите" и установить дополнение для этих целей.

ibb1386

дисковый кэш у меня лет 5 как отключен, используется только оперативная память.

Научи в ПМ - буду благодарен
п.с ОЗУ 16 гигов есть - висит мёртвым грузом \\ хотя не надо, у меня кеш и профиль на SSD. Шило на мыло получается поменяю

about:config - browser.cache.disk.enable - false

74.0.1 вышел

Может кто знает как убрать в 74 версии это новое окно при первом запуске "Добро пожаловать в....

Totem
Сделать всё так, как на скрине...

скрытый текст

А про миниатюры ты ничего не слышал?

думаю в about:config это отключается, ищу пока.

Ну и.. А ссылка где?

browser.startup.homepage_override.mstone

sandro79

Здесь: https://www.mozilla.org/en-US/firefox/7 … easenotes/
Исправлены две критические уязвимости, используемые хакерами.

Ждём багов, которые обычно бывают после авральных исправлений.

все-таки нашел, чтобы это окно больше никогда не активировалось при запуске.
user_pref("browser.newtabpage.activity-stream.asrouter.providers.onboarding", "");