Состоялся релиз web-браузера Firefox 135 и сформированы обновления прошлых веток с длительным сроком поддержки - 115.20.0 и 128.7.0. На стадию бета-тестирования переведена ветка Firefox 136, релиз которой намечен на 4 марта.

Основные новшества в Firefox 135:

  • Во встроенном переводчике появилась поддержка перевода на русский язык (перевод с русского языка на другие языки был доступен ранее, но перевода на русский не было), а также перевода с корейского, японского и упрощённого китайского языков. Повышено качество перевода, например, исключены ситуации с подстановкой AI-моделью выдуманных слов. Встроенная в Firefox система перевода выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам. Система основана на открытом движке Bergamot. Движок представляет собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров.
  • Доступен для всех пользователей встроенный AI-чатбот, использующий большие языковые модели для взаимодействия на естественном языке. Чатбот отображается в боковой панели и может работать через сервисы Anthropic Claude, ChatGPT, Google Gemini, HuggingChat (Hugging Face) и Le Chat Mistral. Пользователь может переключаться между сервисами по своему желанию. Для работы требуется регистрация в каждом из поддерживаемых сервисов (в панели открывается web-приложение каждого сервиса). Помимо чата в контекстное меню добавлена кнопка "Ask .…", через которую можно передать чатботу выделенный на странице фрагмент, например, для составления краткого изложения содержимого или пояснения сути простыми словами. Для добавления собственных языковых моделей, работающих на локальной системе, можно использовать инструментарий llamafile.

  • Для пользователей из всех стран, для которых доступен сервис рекомендаций Mozilla Stories, включено новое оформление страницы, показываемой при открытии новой вкладки. В прошлом выпуске новое оформление было предложено только пользователям из США и Канады. Новый вариант отличается появлением поисковой строки и списка рекомендованных страниц, а также изменением оформления блока с часто посещаемыми и закреплёнными сайтами, которые теперь показываются не в виде сетки, а в одну строку. Число столбцов с контентом выбирается в зависимости от ширины окна, что позволяет эффективно использовать всё доступное экранное пространство.

  • Для всех пользователей включена поддержка автоматического запоминания и заполнения номеров кредитных карт в web-формах. Код CVV не запоминается, а номера карт сохраняются в защищённом хранилище, для доступа к которому можно задать отдельный пароль.
  • Включена обязательная проверка TLS-сертификатов web-серверов в публичных журналах Certificate Transparency, предназначенных для выявления сертификатов, созданных в обход штатных рабочих процессов удостоверяющего центра (например, скрытое создание сертификата в результате злоупотребления сотрудника или компрометации удостоверяющего центра). Удостоверяющий центр передаёт сведения о всех новых сертификатах в несколько независимых журналов Certificate Transparency, которые дают возможность провести аудит всех изменений. Если при обращении к сайту используется сертификат, не отражённый в журнале, то такой сертификат будет помечен браузером как небезопасный. Журналы сопровождают разные не связанные между собой организации. Для защиты от искажения данных задним числом при хранении данных применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря древовидному хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД.
  • Для ускорения проверки отзыва TLS-сертификатов задействован механизм CRLite, работающий на системе пользователя. Хранимая в стороне пользователя БД с информацией о сертификатах периодически синхронизируется с внешней БД Mozilla. Для сокращения размера БД применяются каскадные фильтры Блума - вероятностная структура, допускающая ложное определение отсутствующего элемента, но исключающая пропуск существующего элемента. Например, данные о 100 млн. сертификатов упаковываются в структуру, размером около 1 МБ. По сравнению с обращением к удостоверяющему центу с использованием протокола OCSP (Online Certificate Status Protocol), применение CRLite не только убирает задержки на отправку сетевого запроса, но и повышает конфиденциальность (при использовании OCSP браузер отправляет запрос при любом обращении к сайтам, т.е. фактически передаёт удостоверяющему центру данные о том, какие сайты он открывает) и исключает зависимость от доступности OCSP-серверов (атакующий может осуществить DDoS-атаку на OCSP-сервер для блокировки обработки запросов).
  • Добавлена защита от манипуляций, затрудняющих навигацию с использованием кнопок "назад" и "вперёд", из-за замусоривания истории посещений фиктивными записями, созданными при помощи API History. Суть защиты сводится к игнорированию записей, не связанных с действиями пользователя, при обработке нажатий на кнопки "назад" и "вперёд".
  • В сборки для Linux и macOS добавлена опция для закрытия только текущей вкладки, а не всех вкладок, после нажатия клавиатурной комбинации для выхода из приложения (Alt + F4).
  • Из страницы с настройками приватности (about:preferences#privacy) убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT"). Заголовок DNT информирует сайты о нежелании пользователя передавать на хранение сведения, которые могут использоваться для отслеживания перемещений и предпочтений. Заголовок DNT не является обязательным и игнорируется многими сайтами. Вместо DNT рекомендуется использовать механизм GPC (Global Privacy Control), информирующий сайты о запрете продажи персональных данных и использования данных для отслеживания поведения или перемещения пользователя. В отличие от DNT исполнение требований GPC является обязательным с точки зрения действующего закона CCPA (California Consumer Privacy Act).
  • Операция контекстного меню "Copy Without Site Tracking" переименована в "Copy Clean Link" и расширена возможностью использования для голых URL в тексте (без гиперссылок). Операция позволяет скопировать URL выбранной ссылки в буфер обмена, предварительно вырезав из него параметры, используемые для отслеживания переходов между сайтами.
  • В адресной строке реализована возможность поиска имён групп вкладок и перехода к найденным группам. Поиск охватывает среди прочего закрытые и сохранённые группы.
  • Для сжатия сборок Firefox для платформы Linux задействован формат XZ, который по сравнению с форматом bz2 позволил сократить размер загружаемых данных в среднем на 25% и уменьшить время распаковки более чем в два раза.
  • Для HTTP/3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber), в прошлом году стандартизированного Национальным институтом стандартов и технологий США (NIST). ML-KEM использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
  • В атрибутах интерфейса PointerEvent, определяющих координаты указателя, реализована передача нецелых значений. Изменение позволяет обрабатывать события с большей точностью в ситуациях, когда целевой элемент преобразован через CSS или когда увеличен масштаб видимой области (viewport).
  • Поведение событий mouseenter, mouseleave, pointerenter и pointerleave изменено для соответствия спецификации.
  • В API WebAuthn добавлен метод getClientCapabilities().
  • В инструментах для web-разработчиков обеспечен вывод предупреждения при использовании свойства "content-visibility" с элементами, к которым не применяется ограничение размера.
  • В web-консоль добавлена команда "$$$", предназначенная для поиска на страницах с учётом содержимого теневого DOM.
  • Расширены возможности для отладки WebExtension-дополнений: налажена работа точек остановка в скриптах обработки контента и обеспечено отображение Worker-ов при выборе контекста в панели Console.
  • В версии для Android добавлена опция, включающая автоматическую отправку в Mozilla отчётов об аварийном завершении браузера, без подтверждения пользователя.

Кроме новшеств и исправления ошибок в Firefox 135 устранено 19 уязвимостей. 13 уязвимостей, помеченные как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В бета-версии Firefox 136 в сборках для платформы Linux включено использование аппаратного ускорения декодирования видео на системах с GPU AMD. Включён по умолчанию режим HTTPS-First, при котором обращения по “http://” заменяются на “https://”, как при переходе по ссылке или наборе URL, так и при загрузке субресурсов, таких как изображения, скрипты и таблицы стилей. Добавлена поддержка отправки и приёма видео в формате AV1 через WebRTC.

  • MrSugomaOP
    link
    fedilink
    arrow-up
    0
    ·
    1 year ago

    В Интернете реально конфидециальной информации очень мало. Тем более, для перехвата трафика злоумышленнику надо находиться в одной физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору. Короче, вряд ли кто-то перехватывать твой трафик сможет, а шифрование — очень тяжелая штука.

    • sorrow
      link
      fedilink
      arrow-up
      0
      ·
      1 year ago

      физической сети с тобой, т. е. либо в твоей локалке, либо быть вместо с тобой подключенным к одному провайдеровскому коммутатору

      Либо ещё множество вариантов. Траффик идёт через множество каналов по всей сети. И в любой точке его можно перехватить и даже подменить. TLS спасает и от того и от другого.

      • MrSugomaOP
        link
        fedilink
        arrow-up
        0
        ·
        1 year ago

        Провайдеры пароли твои не используют, а я крайне сомневаюсь, что твой кто-то будет пытаться перехватить твой трафик.

        • sorrow
          link
          fedilink
          arrow-up
          0
          ·
          1 year ago

          пароли твои не используют

          Мои? Конечно нет, я ведь использую режим HTTPS Only. Твои - пока не используют.

          а я крайне сомневаюсь, что твой кто-то будет пытаться перехватить твой трафик.

          А зря. Если кто то придумает схему как использовать твой перехваченный трафик и заработать на этом; или кто то захочет тебе испортить жизнь - твой открытый трафик им очень в этом поможет.

          • MrSugomaOP
            link
            fedilink
            arrow-up
            0
            ·
            1 year ago

            Мои? Конечно нет, я ведь использую режим HTTPS Only. Твои - пока не используют.

            До повсеместного внедрения TLS пароли тоже никто не использовал, потому что это незаконно.

            Если кто то придумает схему как использовать твой перехваченный трафик и заработать на это

            Давай точнее.

            • sorrow
              link
              fedilink
              arrow-up
              0
              ·
              1 year ago

              потому что это незаконно

              Когда это кого останавливало?

              • MrSugomaOP
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                Когда это кого останавливало?

                Назови хоть один случай, когда провайдер использовал пароли своих пользователей.

                • sorrow
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  1 year ago

                  Причём тут провайдер? Ты всё недавние новости об утечках данных пользователей пропустил что ли? Думаешь, у провайдеров подобных утечек быть не может?

                  Ну помимо того, законность - это атрибут власти, а не справедливости. Если тебя захочет поиметь кто то, облечённый властью (или имеющий с ней хорошие связи), то закон тебя не спасёт.

                  • MrSugomaOP
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    1 year ago

                    Думаешь, у провайдеров подобных утечек быть не может?

                    Они очень редки.

                    Если тебя захочет поиметь кто то, облечённый властью (или имеющий с ней хорошие связи), то закон тебя не спасёт.

                    Тебе есть что-то скрывать?

                    • sorrow
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      1 year ago

                      Они очень редки.

                      Да метки.

                      Тебе есть что-то скрывать?

                      От сумы да тюрьмы…

                      • MrSugomaOP
                        link
                        fedilink
                        arrow-up
                        0
                        ·
                        1 year ago

                        Да метки.

                        И что с этого?

                        От сумы да тюрьмы…

                        Что хотел этим сказать?

                        • sorrow
                          link
                          fedilink
                          arrow-up
                          0
                          ·
                          1 year ago

                          И что с этого?

                          Да ничего. Выводы каждый сам для себя делает.

                          Что хотел этим сказать?

                          Сказал то что хотел сказать. Никаких потайных смыслов. Если не знаешь смысла этой поговорки, это не ко мне вопрос.

                          • MrSugomaOP
                            link
                            fedilink
                            arrow-up
                            0
                            ·
                            1 year ago

                            Если не знаешь смысла этой поговорки, это не ко мне вопрос.

                            Я не думаю, что тебя бить будут за HTTP.

                            • sorrow
                              link
                              fedilink
                              arrow-up
                              0
                              ·
                              1 year ago

                              Как я и сказал:

                              это не ко мне вопрос

                        • odalist
                          link
                          fedilink
                          arrow-up
                          0
                          ·
                          1 year ago

                          Что хотел этим сказать?

                          Конечно, не моё это дело, но что там у тебя случилось? Тебя взломали?

                          • MrSugomaOP
                            link
                            fedilink
                            arrow-up
                            0
                            ·
                            1 year ago

                            но что там у тебя случилось

                            Ничего.

                            Тебя взломали?

                            Нет.