Состоялся релиз web-браузера Firefox 135 и сформированы обновления прошлых веток с длительным сроком поддержки - 115.20.0 и 128.7.0. На стадию бета-тестирования переведена ветка Firefox 136, релиз которой намечен на 4 марта.

Основные новшества в Firefox 135:

  • Во встроенном переводчике появилась поддержка перевода на русский язык (перевод с русского языка на другие языки был доступен ранее, но перевода на русский не было), а также перевода с корейского, японского и упрощённого китайского языков. Повышено качество перевода, например, исключены ситуации с подстановкой AI-моделью выдуманных слов. Встроенная в Firefox система перевода выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам. Система основана на открытом движке Bergamot. Движок представляет собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров.
  • Доступен для всех пользователей встроенный AI-чатбот, использующий большие языковые модели для взаимодействия на естественном языке. Чатбот отображается в боковой панели и может работать через сервисы Anthropic Claude, ChatGPT, Google Gemini, HuggingChat (Hugging Face) и Le Chat Mistral. Пользователь может переключаться между сервисами по своему желанию. Для работы требуется регистрация в каждом из поддерживаемых сервисов (в панели открывается web-приложение каждого сервиса). Помимо чата в контекстное меню добавлена кнопка "Ask .…", через которую можно передать чатботу выделенный на странице фрагмент, например, для составления краткого изложения содержимого или пояснения сути простыми словами. Для добавления собственных языковых моделей, работающих на локальной системе, можно использовать инструментарий llamafile.

  • Для пользователей из всех стран, для которых доступен сервис рекомендаций Mozilla Stories, включено новое оформление страницы, показываемой при открытии новой вкладки. В прошлом выпуске новое оформление было предложено только пользователям из США и Канады. Новый вариант отличается появлением поисковой строки и списка рекомендованных страниц, а также изменением оформления блока с часто посещаемыми и закреплёнными сайтами, которые теперь показываются не в виде сетки, а в одну строку. Число столбцов с контентом выбирается в зависимости от ширины окна, что позволяет эффективно использовать всё доступное экранное пространство.

  • Для всех пользователей включена поддержка автоматического запоминания и заполнения номеров кредитных карт в web-формах. Код CVV не запоминается, а номера карт сохраняются в защищённом хранилище, для доступа к которому можно задать отдельный пароль.
  • Включена обязательная проверка TLS-сертификатов web-серверов в публичных журналах Certificate Transparency, предназначенных для выявления сертификатов, созданных в обход штатных рабочих процессов удостоверяющего центра (например, скрытое создание сертификата в результате злоупотребления сотрудника или компрометации удостоверяющего центра). Удостоверяющий центр передаёт сведения о всех новых сертификатах в несколько независимых журналов Certificate Transparency, которые дают возможность провести аудит всех изменений. Если при обращении к сайту используется сертификат, не отражённый в журнале, то такой сертификат будет помечен браузером как небезопасный. Журналы сопровождают разные не связанные между собой организации. Для защиты от искажения данных задним числом при хранении данных применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря древовидному хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД.
  • Для ускорения проверки отзыва TLS-сертификатов задействован механизм CRLite, работающий на системе пользователя. Хранимая в стороне пользователя БД с информацией о сертификатах периодически синхронизируется с внешней БД Mozilla. Для сокращения размера БД применяются каскадные фильтры Блума - вероятностная структура, допускающая ложное определение отсутствующего элемента, но исключающая пропуск существующего элемента. Например, данные о 100 млн. сертификатов упаковываются в структуру, размером около 1 МБ. По сравнению с обращением к удостоверяющему центу с использованием протокола OCSP (Online Certificate Status Protocol), применение CRLite не только убирает задержки на отправку сетевого запроса, но и повышает конфиденциальность (при использовании OCSP браузер отправляет запрос при любом обращении к сайтам, т.е. фактически передаёт удостоверяющему центру данные о том, какие сайты он открывает) и исключает зависимость от доступности OCSP-серверов (атакующий может осуществить DDoS-атаку на OCSP-сервер для блокировки обработки запросов).
  • Добавлена защита от манипуляций, затрудняющих навигацию с использованием кнопок "назад" и "вперёд", из-за замусоривания истории посещений фиктивными записями, созданными при помощи API History. Суть защиты сводится к игнорированию записей, не связанных с действиями пользователя, при обработке нажатий на кнопки "назад" и "вперёд".
  • В сборки для Linux и macOS добавлена опция для закрытия только текущей вкладки, а не всех вкладок, после нажатия клавиатурной комбинации для выхода из приложения (Alt + F4).
  • Из страницы с настройками приватности (about:preferences#privacy) убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT"). Заголовок DNT информирует сайты о нежелании пользователя передавать на хранение сведения, которые могут использоваться для отслеживания перемещений и предпочтений. Заголовок DNT не является обязательным и игнорируется многими сайтами. Вместо DNT рекомендуется использовать механизм GPC (Global Privacy Control), информирующий сайты о запрете продажи персональных данных и использования данных для отслеживания поведения или перемещения пользователя. В отличие от DNT исполнение требований GPC является обязательным с точки зрения действующего закона CCPA (California Consumer Privacy Act).
  • Операция контекстного меню "Copy Without Site Tracking" переименована в "Copy Clean Link" и расширена возможностью использования для голых URL в тексте (без гиперссылок). Операция позволяет скопировать URL выбранной ссылки в буфер обмена, предварительно вырезав из него параметры, используемые для отслеживания переходов между сайтами.
  • В адресной строке реализована возможность поиска имён групп вкладок и перехода к найденным группам. Поиск охватывает среди прочего закрытые и сохранённые группы.
  • Для сжатия сборок Firefox для платформы Linux задействован формат XZ, который по сравнению с форматом bz2 позволил сократить размер загружаемых данных в среднем на 25% и уменьшить время распаковки более чем в два раза.
  • Для HTTP/3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber), в прошлом году стандартизированного Национальным институтом стандартов и технологий США (NIST). ML-KEM использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
  • В атрибутах интерфейса PointerEvent, определяющих координаты указателя, реализована передача нецелых значений. Изменение позволяет обрабатывать события с большей точностью в ситуациях, когда целевой элемент преобразован через CSS или когда увеличен масштаб видимой области (viewport).
  • Поведение событий mouseenter, mouseleave, pointerenter и pointerleave изменено для соответствия спецификации.
  • В API WebAuthn добавлен метод getClientCapabilities().
  • В инструментах для web-разработчиков обеспечен вывод предупреждения при использовании свойства "content-visibility" с элементами, к которым не применяется ограничение размера.
  • В web-консоль добавлена команда "$$$", предназначенная для поиска на страницах с учётом содержимого теневого DOM.
  • Расширены возможности для отладки WebExtension-дополнений: налажена работа точек остановка в скриптах обработки контента и обеспечено отображение Worker-ов при выборе контекста в панели Console.
  • В версии для Android добавлена опция, включающая автоматическую отправку в Mozilla отчётов об аварийном завершении браузера, без подтверждения пользователя.

Кроме новшеств и исправления ошибок в Firefox 135 устранено 19 уязвимостей. 13 уязвимостей, помеченные как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В бета-версии Firefox 136 в сборках для платформы Linux включено использование аппаратного ускорения декодирования видео на системах с GPU AMD. Включён по умолчанию режим HTTPS-First, при котором обращения по “http://” заменяются на “https://”, как при переходе по ссылке или наборе URL, так и при загрузке субресурсов, таких как изображения, скрипты и таблицы стилей. Добавлена поддержка отправки и приёма видео в формате AV1 через WebRTC.

  • MrSugomaOP
    link
    fedilink
    arrow-up
    0
    ·
    1 year ago

    И предупреждение, что отключение этого режим будет невозможно в будущем.

    Все нормальные люди тогда будут сидеть на 115 ESR или 128 ESR, а потом перейдут в нормальные браузеры. HTTPS не нужен.

    • sorrow
      link
      fedilink
      arrow-up
      0
      ·
      1 year ago

      Все нормальные люди

      Единицы долбоёбов? Ну и хуй на них.

    • odalist
      link
      fedilink
      arrow-up
      0
      ·
      1 year ago

      HTTPS не нужен.

      А ты уверен?

      • MrSugomaOP
        link
        fedilink
        arrow-up
        0
        ·
        1 year ago

        Да, уверен, он реально нужен только всяким банкам,

        • odalist
          link
          fedilink
          arrow-up
          0
          ·
          1 year ago

          Да, уверен, он реально нужен только всяким банкам,

          А я совсем не уверен, но это твое дело.

          • MrSugomaOP
            link
            fedilink
            arrow-up
            0
            ·
            1 year ago

            А я совсем не уверен

            Почему?

            • odalist
              link
              fedilink
              arrow-up
              0
              ·
              1 year ago

              Почему?

              Потому, что несекюрно. HTTP-сообщения поставляются открытым текстом, что означает, что неавторизованные стороны могут легко получить к ним доступ и прочитать их через Интернет. В отличие от этого, HTTPS передает все данные в зашифрованном виде.

              Когда пользователь отправляют конфиденциальные данные, он должен быть уверен, что никакие третьи лица не смогут перехватить эти данные по сети.

              • sorrow
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                Когда пользователь отправляют конфиденциальные любые данные, он должен быть уверен, что никакие третьи лица не смогут перехватить эти данные по сети.

                починил

              • MrSugomaOP
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                В Интернете реально конфидециальной информации очень мало. Тем более, для перехвата трафика злоумышленнику надо находиться в одной физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору. Короче, вряд ли кто-то перехватывать твой трафик сможет, а шифрование — очень тяжелая штука.

                • sorrow
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  1 year ago

                  физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору

                  Либо ещё множество вариантов. Траффик идёт через множество каналов по всей сети. И в любой точке его можно перехватить и даже подменить. TLS спасает и от того и от другого.

                  • MrSugomaOP
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    1 year ago

                    Провайдеры пароли твои не используют, а я крайне сомневаюсь, что твой кто-то будет пытаться перехватить твой трафик.

                    • sorrow
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      1 year ago

                      пароли твои не используют

                      Мои? Конечно нет, я ведь использую режим HTTPS Only. Твои - пока не используют.

                      а я крайне сомневаюсь, что твой кто-то будет пытаться перехватить твой трафик.

                      А зря. Если кто то придумает схему как использовать твой перехваченный трафик и заработать на этом; или кто то захочет тебе испортить жизнь - твой открытый трафик им очень в этом поможет.

                      • MrSugomaOP
                        link
                        fedilink
                        arrow-up
                        0
                        ·
                        1 year ago

                        Мои? Конечно нет, я ведь использую режим HTTPS Only. Твои - пока не используют.

                        До повсеместного внедрения TLS пароли тоже никто не использовал, потому что это незаконно.

                        Если кто то придумает схему как использовать твой перехваченный трафик и заработать на это

                        Давай точнее.

                        • sorrow
                          link
                          fedilink
                          arrow-up
                          0
                          ·
                          1 year ago

                          потому что это незаконно

                          Когда это кого останавливало?

                          • MrSugomaOP
                            link
                            fedilink
                            arrow-up
                            0
                            ·
                            1 year ago

                            Когда это кого останавливало?

                            Назови хоть один случай, когда провайдер использовал пароли своих пользователей.

                            • sorrow
                              link
                              fedilink
                              arrow-up
                              0
                              ·
                              1 year ago

                              Причём тут провайдер? Ты всё недавние новости об утечках данных пользователей пропустил что ли? Думаешь, у провайдеров подобных утечек быть не может?

                              Ну помимо того, законность - это атрибут власти, а не справедливости. Если тебя захочет поиметь кто то, облечённый властью (или имеющий с ней хорошие связи), то закон тебя не спасёт.

                              • MrSugomaOP
                                link
                                fedilink
                                arrow-up
                                0
                                ·
                                1 year ago

                                Думаешь, у провайдеров подобных утечек быть не может?

                                Они очень редки.

                                Если тебя захочет поиметь кто то, облечённый властью (или имеющий с ней хорошие связи), то закон тебя не спасёт.

                                Тебе есть что-то скрывать?

                                • sorrow
                                  link
                                  fedilink
                                  arrow-up
                                  0
                                  ·
                                  1 year ago

                                  Они очень редки.

                                  Да метки.

                                  Тебе есть что-то скрывать?

                                  От сумы да тюрьмы…

                                  • MrSugomaOP
                                    link
                                    fedilink
                                    arrow-up
                                    0
                                    ·
                                    1 year ago

                                    Да метки.

                                    И что с этого?

                                    От сумы да тюрьмы…

                                    Что хотел этим сказать?

                                    • sorrow
                                      link
                                      fedilink
                                      arrow-up
                                      0
                                      ·
                                      1 year ago

                                      И что с этого?

                                      Да ничего. Выводы каждый сам для себя делает.

                                      Что хотел этим сказать?

                                      Сказал то что хотел сказать. Никаких потайных смыслов. Если не знаешь смысла этой поговорки, это не ко мне вопрос.

                                      • MrSugomaOP
                                        link
                                        fedilink
                                        arrow-up
                                        0
                                        ·
                                        1 year ago

                                        Если не знаешь смысла этой поговорки, это не ко мне вопрос.

                                        Я не думаю, что тебя бить будут за HTTP.

                                        • sorrow
                                          link
                                          fedilink
                                          arrow-up
                                          0
                                          ·
                                          1 year ago

                                          Как я и сказал:

                                          это не ко мне вопрос

                                    • odalist
                                      link
                                      fedilink
                                      arrow-up
                                      0
                                      ·
                                      1 year ago

                                      Что хотел этим сказать?

                                      Конечно, не моё это дело, но что там у тебя случилось? Тебя взломали?

                                      • MrSugomaOP
                                        link
                                        fedilink
                                        arrow-up
                                        0
                                        ·
                                        1 year ago

                                        но что там у тебя случилось

                                        Ничего.

                                        Тебя взломали?

                                        Нет.

    • odalist
      link
      fedilink
      arrow-up
      0
      ·
      1 year ago

      Все нормальные люди тогда будут сидеть на 115 ESR

      Сидеть на дырявой тыкве (в плане безопасности)? Ты городской сумасшедший?

      • MrSugomaOP
        link
        fedilink
        arrow-up
        0
        ·
        1 year ago

        дырявой

        Он еще поддерживается. Я сижу на нем, потому что FF 128 слишком долго закрывается (после закрытия окна еще некоторое время процессы FF завершают свою работу), что иногда приводит к потере вкладок, а еще там в некоторых местах компактный режим стал не таким компактным. Когда поддержка FF 115 прекратится, что, вроде, будет в марте, я буду искать альтернативы FF’у. Скорее всего, перейду на Palemoon, мне он нравится с технической (более прост) и графической (классический интерфейс, использующий системную тему) точек зрения.

        • odalist
          link
          fedilink
          arrow-up
          0
          ·
          1 year ago

          Он еще поддерживается.

          Спасибо. Не знал, что 115 версия еще поддерживается.

          Скорее всего, перейду на Palemoon

          Может и неплохо. А как насчет Chromium?

          • MrSugomaOP
            link
            fedilink
            arrow-up
            0
            ·
            1 year ago

            А как насчет Chromium?

            Он еще хуже. Там с интерфейсом вообще ужас, да и сам Chromium не нужен.

    • Вячеслав
      link
      fedilink
      arrow-up
      0
      ·
      1 year ago

      HTTPS не нужен

      HTTP без S не нужен. Он должен быть разрешен только на адресах локального диапазона. Для тестирования и отладки

      • MrSugomaOP
        link
        fedilink
        arrow-up
        0
        ·
        1 year ago

        Почему ты хочешь уменьшения кол-ва ресурсов, которые ты можешь посетить? И зачем HTTPS какой-нибудь файлопомойке или домашней странице?

        • Вячеслав
          link
          fedilink
          arrow-up
          0
          ·
          1 year ago

          Почему ты хочешь уменьшения кол-ва ресурсов, которые ты можешь посетить?

          Задай этот вопрос себе сам, ждун Чебурнета

          А так я аж не помню когда последний раз на http-only сайт попадал. Не считая твоего поделия

          • MrSugomaOP
            link
            fedilink
            arrow-up
            0
            ·
            1 year ago

            Задай этот вопрос себе сам, ждун Чебурнета

            Сайты пиндосов не нужны.

            А так я аж не помню когда последний раз на http-only сайт попадал.

            А я регулярно на HTTP-only хожу. И все равно, это не значит, что надо запретить HTTP. Надо наоборот запретить вообще всё шифрование.

            • Вячеслав
              link
              fedilink
              arrow-up
              0
              ·
              1 year ago

              Сайты пиндосов не нужны.

              Ты малолетний идиот. Вся инфа, о том же программировании и любая научная на “сайтах пиндосов”, на российских только смехуёчки и пропаганда в основном

              И кагбэ этот форум тоже не в России хостится

              • odalist
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                только смехуёчки и пропаганда

                Ты очень забавный…живешь в мирке своем?

              • MrSugomaOP
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                Как в альтернативной реальности?

                И кагбэ этот форум тоже не в России хостится

                Переживу его отсутствие.