Состоялся релиз web-браузера Firefox 135 и сформированы обновления прошлых веток с длительным сроком поддержки - 115.20.0 и 128.7.0. На стадию бета-тестирования переведена ветка Firefox 136, релиз которой намечен на 4 марта.
Основные новшества в Firefox 135:
- Во встроенном переводчике появилась поддержка перевода на русский язык (перевод с русского языка на другие языки был доступен ранее, но перевода на русский не было), а также перевода с корейского, японского и упрощённого китайского языков. Повышено качество перевода, например, исключены ситуации с подстановкой AI-моделью выдуманных слов. Встроенная в Firefox система перевода выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам. Система основана на открытом движке Bergamot. Движок представляет собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров.

- Доступен для всех пользователей встроенный AI-чатбот, использующий большие языковые модели для взаимодействия на естественном языке. Чатбот отображается в боковой панели и может работать через сервисы Anthropic Claude, ChatGPT, Google Gemini, HuggingChat (Hugging Face) и Le Chat Mistral. Пользователь может переключаться между сервисами по своему желанию. Для работы требуется регистрация в каждом из поддерживаемых сервисов (в панели открывается web-приложение каждого сервиса). Помимо чата в контекстное меню добавлена кнопка "Ask .…", через которую можно передать чатботу выделенный на странице фрагмент, например, для составления краткого изложения содержимого или пояснения сути простыми словами. Для добавления собственных языковых моделей, работающих на локальной системе, можно использовать инструментарий llamafile.

- Для пользователей из всех стран, для которых доступен сервис рекомендаций Mozilla Stories, включено новое оформление страницы, показываемой при открытии новой вкладки. В прошлом выпуске новое оформление было предложено только пользователям из США и Канады. Новый вариант отличается появлением поисковой строки и списка рекомендованных страниц, а также изменением оформления блока с часто посещаемыми и закреплёнными сайтами, которые теперь показываются не в виде сетки, а в одну строку. Число столбцов с контентом выбирается в зависимости от ширины окна, что позволяет эффективно использовать всё доступное экранное пространство.

- Для всех пользователей включена поддержка автоматического запоминания и заполнения номеров кредитных карт в web-формах. Код CVV не запоминается, а номера карт сохраняются в защищённом хранилище, для доступа к которому можно задать отдельный пароль.
- Включена обязательная проверка TLS-сертификатов web-серверов в публичных журналах Certificate Transparency, предназначенных для выявления сертификатов, созданных в обход штатных рабочих процессов удостоверяющего центра (например, скрытое создание сертификата в результате злоупотребления сотрудника или компрометации удостоверяющего центра). Удостоверяющий центр передаёт сведения о всех новых сертификатах в несколько независимых журналов Certificate Transparency, которые дают возможность провести аудит всех изменений. Если при обращении к сайту используется сертификат, не отражённый в журнале, то такой сертификат будет помечен браузером как небезопасный. Журналы сопровождают разные не связанные между собой организации. Для защиты от искажения данных задним числом при хранении данных применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря древовидному хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД.
- Для ускорения проверки отзыва TLS-сертификатов задействован механизм CRLite, работающий на системе пользователя. Хранимая в стороне пользователя БД с информацией о сертификатах периодически синхронизируется с внешней БД Mozilla. Для сокращения размера БД применяются каскадные фильтры Блума - вероятностная структура, допускающая ложное определение отсутствующего элемента, но исключающая пропуск существующего элемента. Например, данные о 100 млн. сертификатов упаковываются в структуру, размером около 1 МБ. По сравнению с обращением к удостоверяющему центу с использованием протокола OCSP (Online Certificate Status Protocol), применение CRLite не только убирает задержки на отправку сетевого запроса, но и повышает конфиденциальность (при использовании OCSP браузер отправляет запрос при любом обращении к сайтам, т.е. фактически передаёт удостоверяющему центру данные о том, какие сайты он открывает) и исключает зависимость от доступности OCSP-серверов (атакующий может осуществить DDoS-атаку на OCSP-сервер для блокировки обработки запросов).
- Добавлена защита от манипуляций, затрудняющих навигацию с использованием кнопок "назад" и "вперёд", из-за замусоривания истории посещений фиктивными записями, созданными при помощи API History. Суть защиты сводится к игнорированию записей, не связанных с действиями пользователя, при обработке нажатий на кнопки "назад" и "вперёд".
- В сборки для Linux и macOS добавлена опция для закрытия только текущей вкладки, а не всех вкладок, после нажатия клавиатурной комбинации для выхода из приложения (Alt + F4).
- Из страницы с настройками приватности (about:preferences#privacy) убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT"). Заголовок DNT информирует сайты о нежелании пользователя передавать на хранение сведения, которые могут использоваться для отслеживания перемещений и предпочтений. Заголовок DNT не является обязательным и игнорируется многими сайтами. Вместо DNT рекомендуется использовать механизм GPC (Global Privacy Control), информирующий сайты о запрете продажи персональных данных и использования данных для отслеживания поведения или перемещения пользователя. В отличие от DNT исполнение требований GPC является обязательным с точки зрения действующего закона CCPA (California Consumer Privacy Act).
- Операция контекстного меню "Copy Without Site Tracking" переименована в "Copy Clean Link" и расширена возможностью использования для голых URL в тексте (без гиперссылок). Операция позволяет скопировать URL выбранной ссылки в буфер обмена, предварительно вырезав из него параметры, используемые для отслеживания переходов между сайтами.
- В адресной строке реализована возможность поиска имён групп вкладок и перехода к найденным группам. Поиск охватывает среди прочего закрытые и сохранённые группы.
- Для сжатия сборок Firefox для платформы Linux задействован формат XZ, который по сравнению с форматом bz2 позволил сократить размер загружаемых данных в среднем на 25% и уменьшить время распаковки более чем в два раза.
- Для HTTP/3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber), в прошлом году стандартизированного Национальным институтом стандартов и технологий США (NIST). ML-KEM использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
- В атрибутах интерфейса PointerEvent, определяющих координаты указателя, реализована передача нецелых значений. Изменение позволяет обрабатывать события с большей точностью в ситуациях, когда целевой элемент преобразован через CSS или когда увеличен масштаб видимой области (viewport).
- Поведение событий mouseenter, mouseleave, pointerenter и pointerleave изменено для соответствия спецификации.
- В API WebAuthn добавлен метод getClientCapabilities().
- В инструментах для web-разработчиков обеспечен вывод предупреждения при использовании свойства "content-visibility" с элементами, к которым не применяется ограничение размера.
- В web-консоль добавлена команда "$$$", предназначенная для поиска на страницах с учётом содержимого теневого DOM.
- Расширены возможности для отладки WebExtension-дополнений: налажена работа точек остановка в скриптах обработки контента и обеспечено отображение Worker-ов при выборе контекста в панели Console.
- В версии для Android добавлена опция, включающая автоматическую отправку в Mozilla отчётов об аварийном завершении браузера, без подтверждения пользователя.
Кроме новшеств и исправления ошибок в Firefox 135 устранено 19 уязвимостей. 13 уязвимостей, помеченные как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
В бета-версии Firefox 136 в сборках для платформы Linux включено использование аппаратного ускорения декодирования видео на системах с GPU AMD. Включён по умолчанию режим HTTPS-First, при котором обращения по “http://” заменяются на “https://”, как при переходе по ссылке или наборе URL, так и при загрузке субресурсов, таких как изображения, скрипты и таблицы стилей. Добавлена поддержка отправки и приёма видео в формате AV1 через WebRTC.
по умолчанию режим HTTPS-First
А должен быть режим HTTPS-Only по умолчанию. И предупреждение, что отключение этого режим будет невозможно в будущем.
Не надо. Для локальных адресов https нафиг не сдался
Плюсую!
На локальные адреса этот режим и так не действует.
HTTPS все равно не нужен.
Иногда https помогает от бесчинств провайдеров и третьих лиц. Конечно в контексте какого-нибудь letsencrypt он правда не нужен т.к злоумышленник может выпустить себе сертификат, если сможет временно завладеть доменом с точки зрения leteencrypt
Если провайдер подменяет трафик, то его нужно менять или использовать шифрованные прокси/VPN.
И предупреждение, что отключение этого режим будет невозможно в будущем.
Все нормальные люди тогда будут сидеть на 115 ESR или 128 ESR, а потом перейдут в нормальные браузеры. HTTPS не нужен.
Все нормальные люди
Единицы долбоёбов? Ну и хуй на них.
HTTPS не нужен.
А ты уверен?
Да, уверен, он реально нужен только всяким банкам,
Да, уверен, он реально нужен только всяким банкам,
А я совсем не уверен, но это твое дело.
А я совсем не уверен
Почему?
Почему?
Потому, что несекюрно. HTTP-сообщения поставляются открытым текстом, что означает, что неавторизованные стороны могут легко получить к ним доступ и прочитать их через Интернет. В отличие от этого, HTTPS передает все данные в зашифрованном виде.
Когда пользователь отправляют конфиденциальные данные, он должен быть уверен, что никакие третьи лица не смогут перехватить эти данные по сети.
Когда пользователь отправляют
конфиденциальныелюбые данные, он должен быть уверен, что никакие третьи лица не смогут перехватить эти данные по сети.починил
починил
Спасибо :)
В Интернете реально конфидециальной информации очень мало. Тем более, для перехвата трафика злоумышленнику надо находиться в одной физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору. Короче, вряд ли кто-то перехватывать твой трафик сможет, а шифрование — очень тяжелая штука.
физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору
Либо ещё множество вариантов. Траффик идёт через множество каналов по всей сети. И в любой точке его можно перехватить и даже подменить. TLS спасает и от того и от другого.
Все нормальные люди тогда будут сидеть на 115 ESR
Сидеть на дырявой тыкве (в плане безопасности)? Ты городской сумасшедший?
дырявой
Он еще поддерживается. Я сижу на нем, потому что FF 128 слишком долго закрывается (после закрытия окна еще некоторое время процессы FF завершают свою работу), что иногда приводит к потере вкладок, а еще там в некоторых местах компактный режим стал не таким компактным. Когда поддержка FF 115 прекратится, что, вроде, будет в марте, я буду искать альтернативы FF’у. Скорее всего, перейду на Palemoon, мне он нравится с технической (более прост) и графической (классический интерфейс, использующий системную тему) точек зрения.
Он еще поддерживается.
Спасибо. Не знал, что 115 версия еще поддерживается.
Скорее всего, перейду на Palemoon
Может и неплохо. А как насчет Chromium?
А как насчет Chromium?
Он еще хуже. Там с интерфейсом вообще ужас, да и сам Chromium не нужен.
HTTPS не нужен
HTTP без S не нужен. Он должен быть разрешен только на адресах локального диапазона. Для тестирования и отладки
Почему ты хочешь уменьшения кол-ва ресурсов, которые ты можешь посетить? И зачем HTTPS какой-нибудь файлопомойке или домашней странице?
Почему ты хочешь уменьшения кол-ва ресурсов, которые ты можешь посетить?
Задай этот вопрос себе сам, ждун Чебурнета
А так я аж не помню когда последний раз на http-only сайт попадал. Не считая твоего поделия
Задай этот вопрос себе сам, ждун Чебурнета
Сайты пиндосов не нужны.
А так я аж не помню когда последний раз на http-only сайт попадал.
А я регулярно на HTTP-only хожу. И все равно, это не значит, что надо запретить HTTP. Надо наоборот запретить вообще всё шифрование.
Сайты пиндосов не нужны.
Ты малолетний идиот. Вся инфа, о том же программировании и любая научная на “сайтах пиндосов”, на российских только смехуёчки и пропаганда в основном
И кагбэ этот форум тоже не в России хостится
только смехуёчки и пропаганда
Ты очень забавный…живешь в мирке своем?
Как в альтернативной реальности?
И кагбэ этот форум тоже не в России хостится
Переживу его отсутствие.




