Состоялся релиз web-браузера Firefox 76, а также мобильной версии Firefox 68.8 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.8.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 77, релиз которой намечен на 2 июня.
- Расширены возможности входящего в состав браузера системного дополнения Lockwise, предлагающего интерфейс «about:logins» для управления сохранёнными паролями. Обеспечен вывод предупреждения для сохранённых учётных записей, связанных с сайтами, на которых ранее фиксировались взломы с утечкой учётных данных. Предупреждение выводится если запись с паролем в Firefox не обновлялась со времени компрометации сайта.
Также добавлен вывод предупреждения о компрометации паролей, используемых на нескольких сайтах. Если один из сохранённых аккаунтов фигурирует в утечке учётных данных и пользователь повторно использует тот же самый пароль на других сайтах, то ему будет рекомендовано поменять пароль. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 9.5 миллиардах учётных записей, похищенных в результате взломов 443 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).
Расширено число сайтов для которых применяется функция автоматической генерации надёжных паролей при заполнении форм регистрации. Ранее подсказка с предложением надёжного пароля выводилась только при наличии полей <input type=»password»> с атрибутом «autocomplete = new-password». Независимо от используемого сайта пароль может быть сгенерирован через контекстное меню.
В Windows и macOS, если в Firefox не установлен мастер-пароль, реализована поддержка вывода диалога аутентификации ОС и ввода системных учётных данных перед просмотром сохранённых паролей. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно. Указанная мера позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль.
- Добавлен режим работы «HTTPS Only«, который отключён по умолчанию. При активации режима при помощи параметра «dom.security.https_only_mode» в about:config все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц («http://» заменяется на «https://»). Замена производится как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Если попытка обращения по https к введённому в адресной строке адресу завершится таймаутом, пользователю будет показана страница с ошибкой, на которой будет присутствовать кнопка для выполнения запроса по http://. В случае сбоев при загрузке по «https://» cубресурсов, загружаемых при обработке страницы, подобные сбои будут игнорироваться, но в web-консоль будут выводиться предупреждения, которые можно посмотреть через инструменты для web-разработчика.
- Добавлена возможность быстрого переключения между просмотром видео в режиме «картинка в картинке» (Picture-in-Picture) и полноэкранным просмотром. Пользователь может свернуть видео в небольшое окно и параллельно заниматься другой работой, в том числе в иных приложениях и на виртуальных рабочих столах. При желании переключить всё внимание на видео достаточно двойного щелчка мыши для перехода к просмотру на полном экране. Повторный двойной щелчок мышью вернёт просмотр в режим «картинка в картинке».
- Проведена работа по повышению наглядности и удобства работы с адресной строкой. При открытии новой вкладки уменьшена тень вокруг поля с адресной строкой. Немного расширена панель закладок для увеличения площади области нажатия на сенсорных экранах.
- В окружениях на базе Wayland при помощи нового WebGL-бэкенда реализована возможность аппаратного ускорения декодирования VP9 и других поддерживаемых в Firefox форматов видео. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder (в прошлом выпуске была реализована только поддержка H.264). Для управления включением ускорения в about:config следует установить параметры «widget.wayland-dmabuf-webgl.enabled» и «widget.wayland-dmabuf-vaapi.enabled».
- В Windows для пользователей ноутбуков с GPU Intel и разрешением экрана не больше 1920×1200 по умолчанию активирована система композитинга WebRender, написанная на языке Rust и выносящая на сторону GPU операции отрисовки содержимого страницы.
- Добавлена поддержка объекта AudioWorklet, который позволяет использовать интерфейсы AudioWorkletProcessor и AudioWorkletNode, работающие вне основного потока исполнения в Firefox. Новый API позволяет обрабатывать звук в режиме реального времени, программно контролируя параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода. Появление AudioWorklet дало возможность подсоединяться к вызовам в Zoom в Firefox без установки отдельных дополнений, а также позволило реализовать в браузере сложные сценарии обработки звука, такие как пространственный звук для систем виртуальной реальности или игр.
- В CSS добавлены ключевые слова, определяющие системные значения цветов (CSS Color Module Level 4).
- В конструкторах Intl.NumberFormat, Intl.DateTimeFormat и Intl.RelativeTimeFormat по умолчанию включена обработка опций «numberingSystem» и «calendar». Например: «Intl.NumberFormat(‘en-US’, { numberingSystem: ‘latn’ })» или «Intl.DateTimeFormat(‘th’, { calendar: ‘gregory’ })».
- Включена блокировка неизвестных протоколов в методах, подобных «location.href» или <meta http-equiv=»refresh»>.
- При тестировании представления сайтов на мобильных устройствах при помощи режима Responsive Design Mode в инструментах для web-разработчиков обеспечена симуляция поведения мобильного устройства при обработке масштабирования двойным касанием. Реализована корректная отрисовка тегов meta-viewport, что дало возможность оптимизировать свои сайты для Firefox для Android без мобильного устройства.
- В интерфейсе инспектирования сетевых запросов при двойном клике на разделитель столбцов в заголовке обеспечена автоматическая подгонка размера столбца таблицы под отображаемые данные.
- В интерфейс инспектирования WebSocket добавлен новый фильтр Control для показа управляющих кадров. Реализована возможность предпросмотра сообщений в формате ActionCable, который добавлен в список автоматически форматируемых протоколов по аналогии с socket.io, SignalR и WAMP.
- В отладчике JavaScript добавлена возможность игнорирования файлов, которые не задействованы при отладке. Через контекстное меню «blackbox» предложены опции для скрытия в боковой панели содержимого, размещённого в выбранном каталоге или вне его. При копировании трассировок стека обеспечено помещение в буфер обмена полного пути, а не только имени файла.
- В web-консоли в многострочном режиме обеспечено скрытие фрагментов кода, превышающих пять строк (для раскрытия следует кликнуть в любом месте области с показанным кодом).
Кроме новшеств и исправления ошибок в Firefox 76 устранено 22 уязвимости, из которых 10 (CVE-2020-12387, CVE-2020-12388 и 8 под CVE-2020-12395) помечены как критические и потенциально способные привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2020-12388 позволяет выйти из изоляции sandbox-окружения в Windows через манипуляциями с токенами доступа. Уязвимость CVE-2020-12387 связана с обращением к уже освобождённому блоку памяти (Use-after-free) при завершении работы Web Worker. CVE-2020-12395 объединяет проблемы с памятью, такие как переполнения буферов.
