Основные изменения в Chrome 126:

• Во встроенный PDF-просмотрщик интегрирована возможность извлечения текста из документа, вызываемая через опцию "Extract text from PDF" в контекстном меню. Для извлечения текста из отсканированных документов, в которых текст вставлен в виде изображения, используется механизм оптического распознавания символов (OCR) на базе системы машинного обучения. Ожидается, что новая возможность упростит работу с PDF-документами людей, имеющих проблемы со зрением и пользующихся экранными ридерами. В дальнейшем планируется реализовать распознавание текста на показываемых на страницах изображениях и на скриншотах. OCR-движок включён по умолчанию у 50% пользователей, а остальные могут активировать его через настройку "chrome://flags/#pdf-ocr".
• На страницу конфигуратора с параметрами производительности ("Производительность/ Экономия памяти" в разделе chrome://settings/performance) добавлена возможность настройки уровня агрессивности применения режима экономии памяти (Memory Saver), который снижает потребление оперативной памяти за счёт освобождения памяти, занимаемой неактивными вкладками. Например, при выборе умеренного уровня браузер будет выгружать из памяти меньше вкладок, чем при установки максимального. Настройку, которая по умолчанию доступна лишь для части пользователей, можно активировать через параметр "chrome://flags/#memory-saver-aggressiveness".
• Для некоторых пользователей в просмотрщике PDF задействована по умолчанию новая архитектура OOPIF (out-of-process iframe), при которой содержимое документа обрабатывается в отдельном процессе. Новая архитектура избавлена от усложнений, свойственных реализации на базе механизма GuestView, и упрощает добавление новых возможностей в PDF-просмотрщик. Для включения новой архитектуры можно использовать настройку "chrome://flags/#pdf-oopif".
• Добавлен режим реактивной упреждающей загрузки (Reactive prefetch), осуществляющий загрузку связанных со страницей ресурсов во время навигации, не дожидаясь их фактического запроса, что позволяет ускорить открытие новых страниц. Для предсказания ресурсов, которые могут потребоваться в дальнейшем, задействован внешний сервис Google, возвращающий список рекомендаций после отправки в него URL страниц, по которым выполняется навигация.
• Добавлена возможность поиска в сервисе Google Lens по любым изображениям и тексту, видимым на экране. Возможность включается через контекстное меню, индикатор в адресной строке или меню "⋮", после чего пользователь может выделить интересующий объект на экране и получить информацию о нём из Google Lens. При выполнении операции на сервер Google осуществляется отправка скриншота экрана. Возможность пока активирована по умолчанию для 1% пользователей. Для включения и выключения поддержки Google Lens может использоваться параметр "chrome://flags/#enable-lens-region-search-static-page".
• Подведены итоги оптимизаций для ускорения прохождения теста Speedometer 3 - за два года производительность Chrome в этом тесте увеличилась на 72%. Например, была ускорена работа функции SpaceSplitString, используемой при разборе выражений типа "class='foo bar'", оптимизированы функции работы с памятью, убраны лишние операции при работе с элементами web-форм и ускорены наиболее часто используемые действия, оптимизировано использование innerHTML, ускорена отрисовка шрифтов. Ускорения также удалось добиться благодаря оптимизации сборщика мусора в движке V8, эффективность которого повысилась благодаря активации сборки мусора во время простоя процесса отрисовки, что бы не конкурировать с приложением за ресурсы CPU.
• Значительно повышена эффективность работы с Cookie, позволившая снизить задержки при работе с сайтами. Ранее при каждом обращении к Cookie, из занимающегося обработкой сайта процесса отправлялся синхронный IPC-запрос в процесс, обеспечивающий сетевое взаимодействие. Так как в web-приложениях достаточно активно используются значения из Cookie подобные запросы между процессами замедляли работу, при том, что 87% обращений к другому процессу были избыточны.

  Для решения проблемы задействована новая архитектура, при которой каждый процесс содержит свою копию данных Cookie и обращается к ней напрямую, а изменения в Cookie, которые, например, могут произойти при работе с теми же Cookie в другой вкладке, отслеживаются через механизм версионирования. Суть данного механизма в том, что к каждому значению document.cookie прикрепляется счётчик с номером версии, который хранится в разделяемой памяти, увеличивается при изменении значения и сверяется с имеющимся экземпляром при чтении.

  
• Добавлена возможность использования API View Transitions для создание переходных анимационных эффектов перехода от одной страницы к другой в пределах одного сайта (same-origin). Ранее данный API мог применяться только для эффектов между разными состояниями DOM на одной странице (например, плавный переход от одного изображения к другому). Для применения эффектов перехода между разными документами следует использовать свойство "navigation: auto" в @-правиле "view-transition".
• Включён API CloseWatcher, позволяющий отслеживать в web-приложениях Close-запросы и реагировать на их поступление (например, можно создать обработчик нажатия кнопки "назад" на Android-смартфоне). Close-запросы формируются при попытке закрытия модальных (<dialog>) и всплывающих диалогов (popover="") через нажатие клавиши Esc, использование кнопки "Назад" или экранный жест на смартфонах.
• В API Gamepad, позволяющий отслеживать и обрабатывать события от геймпадов и игровых контроллеров, добавлена поддержка механизмов обеспечения обратной связи (trigger-rumble), например, вибрации.
• В интерфейсы GeolocationCoordinates и GeolocationPosition добавлен метод .toJSON() для сериализации объектов с координатами формате JSON.
• В версии для ChromeOS добавлена поддержка режима отображения вкладок (CSS-свойство "display: tabbed"), позволяющего использовать вкладки в одном web-приложении, например, для организации редактирования нескольких документов.
• Добавлена экспериментальная возможность (origin trial) предпросмотра содержимого, получаемого с камеры или микрофона.
• В API WebGPU значительно ускорена компиляция шейдеров. В бэкенде для графического API Vulkan оптимизирована загрузка данных в GPU (обеспечена прямая запись в буфер GPU без промежуточного копирования).
• Внесены улучшения в инструменты для web-разработчиков. В секции 'Application > Storage' добавлена возможность инспектирования данных, сохранённых с использованием API Storage Buckets, позволяющим организовать хранение данных с разбиением хранилища на отдельные сегменты, ассоциированные с API IndexedDB и CacheStorage. В панели оценки производительности добавлена возможность перемещения и скрытия треков, а также исключения информации о выполнении скриптов из графика производительности и включения режима искусственного замедления производительности системы в 20 раз.

  В панели отслеживания сетевой активности предоставлена поддержка подстановки в полученный ответ полной строки с HTTP-заголовком в формате "имя: значение". В панель наблюдения за потреблением памяти добавлены фильтры для выявления неэффективной работы с памятью, например, наличия дубликатов строк или оставления объектов, связанных с отсоединёнными DOM-узлами.

  

Кроме нововведений и исправления ошибок в новой версии устранена 21 уязвимость. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. 9 проблемам присвоен высокий уровень опасности. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 11 премии на сумму более 168 тысяч долларов США.

За уязвимость CVE-2024-5839, связанную с проблемой в реализации механизма выделения памяти, выплачена рекордная премия, размером 100115 долларов. Данной уязвимости присвоен средний уровень опасности, при том, что она потенциально позволяет добиться повреждения памяти в куче при обработке специально оформленного HTML-содержимого. Кроме того, выплачено по одной премии в 25000, 7000, 3000, 2000, 1000 и 500 долларов, а также по две премии в 10000 и 5000 долларов. Размер 7 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Выпуск web-браузера Chrome 125
3. OpenNews: Оценка эффективности применения MiraclePtr для предотвращения уязвимостей в Chrome
4. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
5. OpenNews: Изучение влияния на производительность 5000 дополнений к Chrome
6. OpenNews: Google анонсировал скорое прекращение поддержки второй версии манифеста в Chrome

Основные новшества в Firefox 127:

• В меню "V" со списком всех открытых вкладок и в контекстное меню вкладки добавлена кнопка для закрытия всех дублирующихся вкладок в текущем окне.
• Включена автоматическая замена протокола HTTP на HTTPS для ресурсов в тегах <img>, <audio> и <video>, если эти теги используются на странице, открытой по HTTPS. Если загружаемые ресурсы недоступны по HTTPS, то они теперь не будут показаны со страниц, открытых по HTTPS.
• Добавлена поддержка упреждающего определения IP-адресов хостов, не дожидаясь перехода пользователя по ссылке или запроса указанного на странице ресурса. Домены, которые нужно заранее отрезолвить в DNS, следует перечислить через элемент "link" с атрибутом 'rel="dns-prefetch"'.
• С целью сокращения информации, которая может использоваться для косвенной идентификации пользователей, для 32-разрядных систем x86 в заголовке User-Agent, а также в JavaScript API navigator.platform и navigator.oscpu, теперь будет указываться архитектура x86_64.
• В инструменте для сохранения снимков экрана появилась поддержка создания скриншотов для файлов в формате SVG и XML, а также для служебных страниц " about:". Добавлена возможность управления созданием скриншотов с использованием клавиатурных комбинаций, реализована совместимость в темами оформления и режимом отображения с повышенной контрастностью (HCM, High Contrast Mode). Повышена производительность сохранения больших областей экрана.
• В about:config добавлены настройки toolkit.scrollbox.pagescroll.maxOverlapPercent и toolkit.scrollbox.pagescroll.maxOverlapLines, позволяющие изменить сдвиг страницы при прокрутке, указываемый в процентах и строках.
• На платформе Windows реализована возможность автоматического запуска Firefox после загрузки компьютера. Благодаря предварительной загрузке пользователю не нужно ждать при первом запуске приложения - браузер будет готов к работе мгновенно. Режим включается в секции настроек General/Startup или через уведомление, показываемое по аналогии с приглашением задействовать Firefox в качестве браузера по умолчанию.
• На платформах macOS и Windows реализована дополнительная защита доступа при использовании функции автозаполнения сохранённых паролей или при просмотре информации о паролях в менеджере паролей. Подобные операции с менеджером паролей потребуют подтверждения аутентификации в системе (например, ввод системного пароля, проверка отпечатка пальца, аутентификация по голосу или лицу).
• На платформе macOS по умолчанию включена навигация по элементам ввода клавишей табуляция, вместо использования специфичного для macOS режима клавиатурной навигации, не соответствующего поведению для других платформ (в настройках можно вернуть старый режим).
• В текстах для которых используется формат WebVTT (Web Video Text Tracks Format), добавлена поддержка символов, допустимых в разметке HTML. WebVTT применяется для организации вывода текста в определённые моменты времени, например, для показа субтитров.
• В API Clipboard включён по умолчанию интерфейс ClipboardItem и поддержка методов navigator.clipboard.read() и navigator.clipboard.write(), позволяющих web-приложению читать и записывать данные в буфер обмена. При попытке чтения данных из буфера обмена, записанных не текущим web-приложением, перед выполнением операции пользователю будет показан запрос на подтверждение действия.
• Реализована экспериментальная поддержка выставления симметричного межбуквенного интервала через CSS-свойство letter-spacing. В новом режиме интервал выставляется не между текущим и следующим символом, а делится на две части, которые применяются до и после символа. Режим включается через настройку layout.css.letter-spacing.model в about:config.
• В атрибуте "href" тега "<base>", используемого для задания базового пути для относительных ссылок, запрещено использование схем "data:" и "javascript:".
• В градиентах, созданных при помощи CSS-функций conic-gradient(), linear-gradient(), radial-gradient(), repeating-conic-gradient(), repeating-linear-gradient() и repeating-radial-gradient(), разрешено использовать тип "<color-interpolation-method>".
• В объект Set, определяющий коллекцию значений, добавлены методы с реализацией типовых операций работы с множествами: Set.prototype.intersection(), Set.prototype.union(), Set.prototype.difference(), Set.prototype.symmetricDifference(), Set.prototype.isSubsetOf(), Set.prototype.isSupersetOf() и Set.prototype.isDisjointFrom().
• Запрещена установка дополнений, XPI-файлы которых подписаны с использованием небезопасных алгоритмов (настройка PREF_XPI_WEAK_SIGNATURES_ALLOWED по умолчанию выставлена в значение false).
• В WebRTC включена поддержка протокола DTLS 1.3, основанного на TLS 1.3.
• В версии для платформы Android:
  • Добавлена поддержка перевода содержимого с одного языка на другой. Как и в настольной версии Firefox для перевода задействована встроенная в приложение система перевода, которая выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам.
  • В меню "..." добавлен новый элемент "Пароли".
  • Разрешено использование клавиши Enter на боковой цифровой панели стационарных клавиатур для подтверждения введённого в адресной строке URL.
  • Включены дополнительные оптимизации на этапе компиляции, позволившие увеличить отзывчивость интерфейса, сократить время запуска и продлить автономную работу устройства.
  • Секция со списком недавно сохранённых страниц перенесена в раздел закладок. Элементы списка теперь не исчезают после устаревания.

Кроме новшеств и исправления ошибок в Firefox 127 устранены 22 уязвимости. 11 уязвимостей помечены как опасные, из которых 9 вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 126
3. OpenNews: В Firefox предложена дополнительная защита от отслеживания с использованием редиректов
4. OpenNews: Mozilla начала формирование ночных сборок Firefox для Linux-систем на архитектуре ARM64
5. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа
6. OpenNews: Mozilla добавит в Firefox 130 AI-возможность для генерации описаний изображений

Процесс создания сайта сводится к определению его тематики, выбору стиля шрифтов и цветовой гаммы, указанию типовых секций, таких как сведения о компании, расписание, отзывы клиентов, примеры работ и контактная информация. После определения пользователем пожеланий Solo генерирует вариант сайта, а затем предлагает в визуальном режиме адаптировать компоновку на свой вкус и добавить содержимое в шаблоны секций. Стиль и базовое заполнение генерируется при помощи AI, а подходящие выбранной тематике изображения автоматически подбираются в каталоге Unsplash. Поддерживаются такие дополнительные возможности как вывод баннера согласия с использованием Cookie и SEO-оптимизация.

Публикация созданных сайтов в рамках сервиса бесплатна, а монетизация обеспечивается за счёт платной привязки к собственному домену (никто не мешает пользователю вручную перенести созданный сайт на свой хостинг). В будущем планируют расширить спектр доступных стилей и режимов редактирования, а также добавить поддержку генерации изображений Favicon.

1. Главная ссылка к новости
2. OpenNews: Mozilla добавит в Firefox 130 AI-возможность для генерации описаний изображений
3. OpenNews: Mozilla уволит около 60 сотрудников и сосредоточит внимание на AI-технологиях в Firefox
4. OpenNews: Mozilla представила встраиваемый в браузер AI-бот MemoryCache
5. OpenNews: Mozilla запустила проект Mozilla.ai для развития открытых систем машинного обучения

Уязвимость является частным случаем исправленной в 2012 году проблемы CVE-2012-1823, добавленной для которой защиты оказалось недостаточно для блокирования атаки на платформе Windows. Метод атаки сводится к возможности подстановки аргумента командной строки при запуске интерпретатора PHP через манипуляцию с параметрами запроса к PHP-скрипту.

В старой уязвимости CVE-2012-1823 для эксплуатации достаточно было указать опции командной строки вместо параметров запроса, например, "http://localhost/index.php?-s" для показа исходного кода скрипта. Новая уязвимость основывается на том, что платформа Windows обеспечивает автоматическое преобразование символов, что позволяет для обхода ранее добавленной защиты указывать символы, присутствующие в некоторых кодировках и заменяемые на символ "-" (например, короткий дефис с шестнадцатеричным кодом "AD" заменяется на обычный дефис с кодом "2D", т.е. для атаки можно использовать запрос вида http://localhost/index.php?%ads).

Уязвимость подтверждена в конфигурациях с локалями для традиционного китайского (cp950), упрощённого китайского (cp936) и японского (cp932) языков, но не исключено её проявление и с другими локалями. Проблема проявляется в конфигурации по умолчанию в наборе XAMPP (Apache + MariaDB + PHP + Perl), а также в любых конфигурациях Apache, в которых php-cgi выставлен в качестве обработчика CGI-скриптов при помощи настройки 'Action cgi-script "/cgi-bin/php-cgi.exe"' или 'Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"', или при непосредственном размещении интерпретатора php в "/cgi-bin" и любых других каталогах, в которых разрешено выполнение CGI-скриптов через директиву ScriptAlias.

Кроме того в обновлениях PHP 8.3.8, 8.2.20 и 8.1.29 устранены ещё три уязвимости:

• CVE-2024-5458 - возможность обхода фильтра FILTER_VALIDATE_URL, используемого при вызове функции filter_var.
• CVE-2024-5585 - альтернативный вектор атаки на уязвимость CVE-2024-1874, позволяющий обойти ранее добавленную защиту и осуществить подстановку команд при вызове bat- и cmd-файлов через функцию proc_open на платформе Windows (уязвимость BatBadBut).
• Подверженность функции openssl_private_decrypt атаке Marvin.

Дополнение: Опубликован пример эксплоита для запуска своего PHP-кода на сервере, для выполнения которого применяется набор параметров "-d allow_url_include=1 -d auto_prepend_file=php://input" и передача кода скрипта в теле POST-запроса:

   POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
   Host: {{host}}
   User-Agent: curl/8.3.0
   Accept: */*
   Content-Length: 23
   Content-Type: application/x-www-form-urlencoded
   Connection: keep-alive

   <?php
   phpinfo();
   ?>

1. Главная ссылка к новости
2. OpenNews: Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования
3. OpenNews: Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере
4. OpenNews: Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini
5. OpenNews: Локальная root-уязвимость в PHP-FPM
6. OpenNews: Уязвимость в Glibc, эксплуатируемая через скрипты на PHP

Браузер Ladybird преодолел путь от простого HTML-просмотрщика, специфичного для SerenityOS, до кроссплатформенного продукта, использующего собственный браузерный движок. Фактически браузер перерос SerenityOS и разделил сообщество на две группы - разработчиков ОС и разработчиков кроссплатформенного браузера. Так как занимающиеся браузером и операционной системой разработчики со временем всё больше и больше отдалялись и теряли общие интересы, в конечном счёте было решено полностью разделить эти проекты. После разделения Андреас возглавит разработку браузера, а группа основных мэйнтейнеров получит управление над SerenityOS.

После отделения разработчики браузера Ladybird прекратят поддержку ОС SerenityOS и сосредоточатся на разработке для платформ Linux и macOS. Разработчики же SerenityOS смогут вернуться к исходной модели разработки ради удовольствия, общения с единомышленниками и в качестве хобби. В отличие от SerenityOS в проекте Ladybird будут убраны ограничения, запрещавшие использование в проекте стороннего кода. Старый репозиторий Ladybird переведён в архивный режим.

Браузер Ladybird использует собственные движок LibWeb, JavaScript-интерпретатор LibJS, библиотеку отрисовки текста и 2D-графики LibGfx, движок для регулярных выражений LibRegex, XML-парсер LibXML, интерпретатор промежуточного кода WebAssembly (LibWasm), библиотеку для работы с Unicode LibUnicode, библиотеку для преобразования текстовых кодировок LibTextCodec, парсер для разметки Markdown (LibMarkdown), библиотеки с криптографическими примитивами (LibCrypto, LibTLS), библиотеку для работы с архивами LibArchive, библиотеки для воспроизведения звука и видео (LibAudio, LibVideo) и библиотеку LibCore с общим набором полезных функций, таких как преобразование времени, ввода/вывод и обработка MIME-типов.

Графический интерфейс оформлен в классическом стиле и поддерживает вкладки. Для построения интерфейса в macOS используется AppKit, в Android - родной для данной платформы API создания графического интерфейса, а на остальных платформах - Qt. Поддерживаются основные web-стандарты (браузер проходит тесты Acid3), HTTP/1.1 и HTTPS. Код написан на языке C++ и распространяется под лицензией BSD. Поддерживается работа в Linux, macOS, Android, Haiku и OpenIndiana.

В Ladybird применяется многопроцессная архитектура, в которой занимающийся формированием интерфейса процесс отделён от процессов, обеспечивающих обработку web-контента, отправку запросов по сети, декодирование изображений и хранение Cookie. Связанные с декодированием изображений и сетевым взаимодействием обработчики выделены в отдельные процессы для усиления изоляции и защиты. Для каждой вкладки используется отдельный процесс обработки web-контента, изолированный от остальной системы.

1. Главная ссылка к новости
2. OpenNews: Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
3. OpenNews: Проект SerenityOS развивает Unix-подобную ОС c графическим интерфейсом
4. OpenNews: Новая версия браузера NetSurf 3.11
5. OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
6. OpenNews: Представлен кросс-платформенный web-браузер Ladybird

Предполагается, что наличие текстовых описаний, которые можно будет выводить через экранные ридеры, упростит работу людей, имеющих проблемы со зрением. Функция реализована через интеграцию модели машинного обучения, выполняемой на локальной системе пользователя без обращения к внешним сервисам, по аналогии с тем как уже работает встроенная система перевода с одного языка на другой.

Модель для генерации текстовых описаний занимает примерно 200 МБ на диске, использует данные модели DistilGPT2 и охватывает 182M параметров. Для анализа изображений задействован декодировщик на базе модели Vision Transformer (ViT). Для работы с моделью в состав браузера включён ONNX Runtume, скомпилированный в представление WASM, и библиотека Transformers.js. Модель загружается динамически перед первым использованием.

1. Главная ссылка к новости
2. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
3. OpenNews: В ночных сборках Firefox включена поддержка машинного перевода
4. OpenNews: Выпуск web-браузера Chrome 121 с возможностями, использующими машинное обучение
5. OpenNews: В ночных сборках Firefox тестируют виджет с прогнозом погоды
6. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа

В последующем начнётся постепенный процесс отключения дополнений, использующих вторую версию манифеста, а пользователям будут выводиться рекомендации по установке доступных в Chrome Web Store альтернатив, перешедших на третью версию манифеста. При этом в течение какого-то времени пользователю будет предоставлена возможность возвращения отключённых дополнений, но со временем данная функциональность будет убрана. Связанные с отключением поддержки второй версии манифеста изменения вначале будут применяться к тестовым веткам Chrome (Beta, Dev и Canary), но в последующие месяцы затронут и стабильные выпуски. Завершить уход от второй версии манифеста планируют до начала следующего года. Корпоративным пользователям будет дана возможность отсрочить прекращение поддержки второй версии манифеста до июня 2025 года.

Отмечается, что Google в прошлом году устранил все основные проблемы, мешавшие переходу на третью версию манифеста, и учёл пожелания в его функциональности, например в API declarativeNetRequest увеличил допустимое число статических правил до 330 тысяч, а динамических до 30 тысяч. В настоящее время в каталоге Chrome Web Store около 85% дополнений уже поддерживают третью версию манифеста, включая самые популярные дополнения для фильтрации контента - AdBlock, Adblock Plus, uBlock Origin и AdGuard.

Третья версия манифеста Chrome разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений, и усложнению возможности создания небезопасных и медленных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

В новом манифесте также осуществлён переход к выполнению Service workers в форме фоновых процессов и задействована гранулированная модель запроса полномочий (дополнение не может активироваться сразу для всех страниц, а будет работать только в контексте активной вкладки). Изменена обработка Cross-origin запросов - на скрипты обработки контента распространены те же ограничения полномочий, что и для основной страницы, в которую эти скрипты внедряются (например, если страница не имеет доступа к API определению местоположения, то и скрипт дополнения также не получит этот доступ). Запрещено выполнение кода, загруженного с внешних серверов (когда дополнение подгружает и выполняет внешний код).

1. Главная ссылка к новости
2. OpenNews: Планы в отношении поддержки в Firefox второй и третьей версий манифеста Chrome
3. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
4. OpenNews: Google отложил на 2024 год прекращение поддержки второй версии манифеста Chrome
5. OpenNews: В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin
6. OpenNews: Google опубликовал план прекращения поддержки второй версии манифеста Chrome

В новых выпусках устранены 4 уязвимости, затрагивающие экспериментальный модуль ngx_http_v3 (отключён по умолчанию), обеспечивающий поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Проблемы проявляются только при активации модуля ngx_http_v3_module и выставлении опции "quic" в директиве "listen". О подверженности уязвимостям форков Angie и FreeNginx пока ничего не сообщается.

Уязвимость CVE-2024-34161 приводит к утечке содержимого памяти рабочего процесса на системах с MTU, выставленным в значение больше 4096 байт. Утечка содержимого памяти возникает в случае отправки кадров CRYPTO, используемых при согласовании соединения, на стадии после отправки клиентом финализирующего сообщения.

Уязвимости CVE-2024-31079, CVE-2024-32760 и CVE-2024-35200 вызваны повреждением памяти и позволяют удалённому атакующему добиться аварийного завершения рабочего процесса nginx через установку специально оформленного сеанса на базе протокола QUIC. При этом для уязвимостей CVE-2024-31079 и CVE-2024-32760 не исключаются и другие последствия атаки (потенциальная возможность выполнения кода атакующего?). Детали не приводятся, но судя по исправлениям в коде уязвимости вызваны обращением к уже освобождённой памяти (use-after-free), неверным выделением памяти под массив, разыменованием нулевого указателя и отсутствием должной проверки размера помещаемых в буфер данных.

Среди не связанных с устранением уязвимостей изменений в nginx 1.27.0:

• В директивах "proxy_limit_rate", "fastcgi_limit_rate", "scgi_limit_rate" и "uwsgi_limit_rate" добавлена поддержка указания переменных.
• Снижено потребление памяти при обработке долгоживущих запросов в конфигурациях, в которых используются директивы "gzip", "gunzip", "ssi", "sub_filter" или "grpc_pass".
• Решены проблемы со сброкой в GCC 14 при использовании опции "--with-atomic".
• Исправлены ошибки в реализации HTTP/3.

Дополнительно можно отметить публикацию новой основной ветки FreeNginx 1.27.0, форка Nginx, развиваемого Максимом Дуниным, одним из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. В новой версии улучшена обработка ошибок во время чтения тела запроса, налажена сборка в NetBSD 10.0 и улучшена запись PID-файлов (в директиву "pid" добавлен параметр "off").

1. Главная ссылка к новости
2. OpenNews: Выпуск nginx 1.26.0 с поддержкой HTTP/3
3. OpenNews: В nginx 1.25.4 и Angie 1.4.1 устранены уязвимости, связанные с HTTP/3
4. OpenNews: Выпуск Angie 1.5.0, российского форка Nginx
5. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5
6. OpenNews: Выпуск сервера приложений NGINX Unit 1.31

• Решены проблемы с нарушением работы механизма drag&drop на платформе Linux. После обновления до Firefox 126 в некоторых конфигурациях перестало работать перемещение мышью вкладок, выделенного текста, изображений, ссылок и прочих объектов.
• Устранена утечка памяти, приводящая к высокому потреблению памяти процессом, обеспечивающим взаимодействие с GPU, в системах с некоторыми вариантами GPU AMD, такими как AMD Radeon RX 7900 XTX и AMD Ryzen 7840HS.
• Исправлена ошибка, из-за которой невозможно было прочитать тэгированные PDF-документы в экранном ридере.
• В сборках для платформы macOS на системах с неанглоязычными локалями в Firefox 126 возникли проблемы с отображением локализованного текста в диалоге отправки сообщений об аварийных завершениях.

Дополнительно можно отметить объявление о реорганизации управления в компании Mozilla, нацеленной на упрощение и ускорение разработки и масштабирование новых продуктов на разных стадиях их создания. Новые продукты и новые идеи, развиваемые различными командами (например, Fakespot, PXI, Mozilla Social и Innovation Ecosystems) переведены непосредственно под руководство старшего вице-президента по новым продуктам (Адама Фишмана), подчиняющегося непосредственно руководителю (CEO) компании Mozilla Corporation. Также упоминается отделение процессов, связанных с разработкой Firefox, что позволит уделять больше внимания работе по расширению возможностей браузера и ускорить разработку улучшений, делающих продукт более удобным, таких как недавно представленные возможности по вертикальному размещению вкладок, группировке вкладок и быстрому переключению между профилями.

На должность исполнительного директора некоммерческой организации Mozilla Foundation утверждена Набиха Сайед (Nabiha Syed), ранее руководившая новостным изданием The Markup. Набиха отмечена изданием Forbes как один из лучших юристов моложе 30 лет, специализирующихся на отстаивании свободы слова, и является обладателем премии NAACP за защиту гражданских прав в цифровом пространстве.

1. Главная ссылка к новости
2. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа
3. OpenNews: В ночных сборках Firefox тестируют виджет с прогнозом погоды
4. OpenNews: Релиз Firefox 126
5. OpenNews: В Firefox предложена дополнительная защита от отслеживания с использованием редиректов
6. OpenNews: Mozilla начала формирование ночных сборок Firefox для Linux-систем на архитектуре ARM64

• Группировка вкладок.
• Возможность вертикального размещения списка вкладок и модернизированная боковая панель.
• Новая система управления профилями, позволяющая разделить разные виды активности (например, учёба, работа, персональные интересы), но при этом сделать их легко доступными (развитие идеи быстрого переключения между профилями).
• Поддержка настройки фона страницы, показываемой при открытии новой вкладки. Можно будет установить в качестве фона любую картинку или изменить цвет.
• Интуитивно понятные настройки конфиденциальности, упрощающие управления возможностями, связанными с защитой от отслеживания перемещения пользователя между сайтами.
• Модернизация меню, нацеленная на акцентирование внимания на наиболее важных элементах, снижение визуального беспорядка и выделение приоритетных действий.
• Продолжение работы над оптимизацией производительности, сокращением времени загрузки страниц, ускорением запуска, уменьшением энергопотребления при автономной работе. Отмечается, что уже проделанная работа позволила на 20% улучшить показатели прохождения теста Speedometer 3.
• Проект Interop, нацеленный на улучшение совместимости между браузерами, обеспечение согласованной поддержки web-технологий в разных браузерах, выявление расхождений в поведении браузеров и упрощение создания сайтов, работающих во всех браузерах.
• Интеграция возможностей, связанных с искусственным интеллектом, модели для которых выполняются на локальной системе без обращения к внешним сервисам. Например, в следующем квартале в Firefox будет добавлена поддержка генерации текстового описания для изображений внутри PDF-документов, упрощающая работу с информацией людьми, имеющими проблемы со зрением.

1. Главная ссылка к новости
2. OpenNews: Тестирование вертикальной панели вкладок и контейнеров вкладок
3. OpenNews: В Firefox может появиться группировка вкладок и вертикальная навигация по вкладкам
4. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
5. OpenNews: В Firefox предложена дополнительная защита от отслеживания с использованием редиректов
6. OpenNews: В Firefox появится группировка вкладок

Некоторые выводы:

• Использование дополнений с блокировщиками рекламы, как правило, снижает нагрузку на CPU, уменьшает объём загружаемых данных и уменьшает потребление памяти. Например, дополнение uBlock Origin, насчитывающее 37 млн пользователей, снижает нагрузку на CPU с 57 до 4 сек. процессорного времени при просмотре протестированных страниц на одном из новостных сайтов с обилием рекламы. При этом снижение нагрузки на CPU при использовании наиболее популярных блокировщиков AdBlock (66 млн пользователей) и AdBlock Plus (45 млн пользователей) оказалось минимальным и не превысило 15%.
  
  
• При оценке экономии трафика при включении блокировщиков, наилучшие показатели продемонстрировал uBlock Origin, который позволил снизить размер загружаемых данных на протестированных сайтах в среднем с 41 до 3 МБ. Дополнение ScriptSafe оказалось в рейтинге выше, но подобное достигнуто за счёт полного отключения JavaScript.
  
  
• При тестировании влияния дополнений на потребление памяти наилучшие результаты оказались у дополнения DuckDuckGo Privacy Essentials. При использовании AdBlock Plus расход памяти увеличился.
  
  
• Из 336 дополнений, имеющих более 1 млн пользователей, 11 приводили к увеличению нагрузки при обработке каждой страницы более чем на 0.5 сек. времени CPU. Худшие показатели отмечены у дополнения Monica, имеющего 2 млн. установок, - при его использовании на обработку каждой страницы тратилось дополнительные 1.3 сек. Дополнение Read&Write, имеющее 17 млн установок, отнимало 0.8 секунд процессорного времени.
  
  
• Повтор теста на сайте Ikea позволил выявить замедляющие работу дополнения, решающие специфичные для интернет-магазинов задачи. Например, дополнение Honey, имеющее 20 млн пользователей, создавало задержку в 1.5 сек. процессорного времени.
  
  
• При расширении теста до 5000 самых популярных дополнений худшие показатели (2.3 сек. времени CPU) оказались у дополнения MaxAI, насчитывающего 800 тысяч пользователей.
  
  
• При тестировании 5000 дополнений на сайте Ikea худшие (почти 5 сек. времени CPU) показатели оказались у дополнения "superagent - Automatic cookie consent".
  
  
• 86% из протестированных дополнений создавали минимальную (менее 50 мс) нагрузку на CPU, 5.2% дополнений создавали нагрузку от 50 до 100 мс процессорного времени, 4.4% - от 100 до 250 мс, 2.4% - от 250 до 500 мс, 1.7% - более 500 мс.
  
  
• Тестирование замедления загрузки страниц (метрика FCP, First Contentful Paint) показало, что нет прямой корреляции между большой нагрузкой на CPU и задержками при загрузке страниц. Например, потребляющие много процессорного времени дополнения Coupert Coupon Finder и Merlin AI не замедляли загрузку страниц. Из наиболее сильно замедляющих загрузку страниц дополнений отмечены Monica AI, Klarna и Avast Safeprice, которые запускают обработчики при начале загрузки, а не после её завершения. Замедление также возникало при использовании дополнений, предлагающих доступ через VPN.

  Выборка из дополнений, имеющих более миллиона пользователей:
  
  

  

  Выборка из 5000 самых популярных дополнений:
  
  

  
• Тестирование задержек при работе со страницами (метрика INP, Interaction to Next Paint). Среди дополнений, имеющих более миллиона пользователей, выделился Avira Password Manager, который вносил задержку в 160 мс при каждом щелчке мышью (задержка проявляется только первые 5 секунд, пока не завершилась инициализация). Использование дополнений Microsoft Editor extension и Superb Copy вносило задержки на уровне 10 мс.
  
  
• Тестирование потребления дискового пространства. Из 5000 протестированных дополнений, 27 приводили к расходованию более 100 МБ места на диске. Лидером стало дополнение Meme Soundboard, которое требовало 600 МБ из-за сохранения 723 MP3-файлов. 87% дополнений занимают менее 10 МБ, 11.2% - более 10 МБ и 2.2% - более 50 МБ.
  
  
• 1.7% дополнений блокируют кэширование переходов между страницами (back/forward cache). Среди подобных дополнений: LastPass Password Manager, Avast Online Security, Avira Browser Safety, Norton Password Manager, Snap&Read и Microsoft Editor.
• Упреждающую загрузку и отрисовку (pre-loading и pre-rendering) блокируют 8 дополнений (0.2%), среди которых uBlock Origin, Windscribe и Privacy Badger.

1. Главная ссылка к новости
2. OpenNews: Анализ влияния на производительность дополнений к Chrome
3. OpenNews: Оценка влияния на производительность популярных дополнений к Chrome
4. OpenNews: 111 Chrome-дополнений, загруженных 32 млн раз, уличены в загрузке конфиденциальных данных
5. OpenNews: Mozilla, Google, Apple и Microsoft объединили усилия в стандартизации платформы для браузерных дополнений
6. OpenNews: Оценка производительности браузерных дополнений для блокировки рекламы

Основные изменения в Chrome 125:

• Компания Google отложила ожидавшееся в конце года прекращение поддержки сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы (подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики). В новой версии для определения сайтов, осуществляющих использование сторонних Cookie, в адресную строку добавлен индикатор с изображением глаза, который при блокировке сторонних Cookie перечёркивается. Так как продолжается тестирование отключения сторонних Cookie на 1% пользователей и имеется возможности ручного отключения через настройку "chrome://flags/#test-third-party-cookie-phaseout", в контекстном меню предоставлена возможность временного возвращения поддержки сторонних Cookie для избранных сайтов. Отмена блокировки действует 90 дней после включения.
• При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализовано автоматическое глубокое сканирование загружаемых файлов, выполняемое через загрузку информации на серверы Google (раньше перед отправкой выводился запрос для подтверждения внешней проверки, а сейчас проверка будет выполняться автоматически).
• Сборки для платформы Windows теперь предоставляются и для архитектуры ARM64.
• Добавлен новый механизм для обновления компонентов, требующих загрузки большого объёма данных. Речь про обновление моделей для недавно добавленных возможностей, использующих машинное обучение - режима умной группировки вкладок, генератора тем оформления и интерактивного помощника.
• Добавлено два новых типа потенциально проблемных дополнений, для которых пользователю будут выводиться предупреждения с рекомендацией подумать о целесообразности их дальнейшего использования: дополнения, установленные не из каталога Chrome Web Store, и дополнения, использующие обманные тактики для навязывания установки ненужного ПО.
• Поведение при отмене события "mousemove" приведено к соответствию с другими браузерами - отмена события больше не блокирует операции выделения текста и drag&drop (для блокировки выделения и drag&drop следует отменять события selectstart и dragstart).
• Добавлен набор CSS-свойств для управления показом элементов, привязанных к местоположению других элементов (CSS Anchor Positioning), без использования JavaScript, например, для прикрепления к элементам всплывающих окон (popover), появляющихся по аналогии со всплывающими подсказками. Для настройки привязки элемента к другому элементу и определения области вывода предложены свойства anchor-name, position-anchor и inset-area, для получения сведения о месте привязки добавлена функция anchor().
• В CSS добавлены математические функции round(), mod() и rem().
• Добавлен новый синтаксис для отражения состояния собственных HTML-элементов (custom element) в CSS, позволяющий использовать псевдо-класс ":state()".
  
  
• Добавлен API Compute Pressure, позволяющий получить высокоуровневую информацию о текущем состоянии аппаратного обеспечения, например, в общих чертах можно получить сведения о создаваемой нагрузке на CPU (указываются уровни: минимальная нагрузка с включением энергосбережения; допустимая нагрузка, позволяющая без проблем запускать дополнительные задания; высокая нагрузка, но в предельно допустимых значениях и не мешающая работе системы; критическая нагрузка, близкая к исчерпанию ресурсов).
• API Storage Access, применяемый для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если сторонние Cookie блокируются, расширен возможностью запроса доступа из сторонних обработчиков (например, из контента внутри <iframe>) к хранилищам, не связанным с Cookie, таким как indexedDB.
• Добавлена экспериментальная (origin trial) поддержка API Viewport Segments Enumeration, предназначенного для организации вывода на устройства со складными экранами.
• Предоставлена возможность использования схем URL HTTP и HTTPS в конструкторе WebSocket вместо схем "ws:" и "wss:".
• В JavaScript разрешено использовать модификаторы "?i", "?-i", "?m", "?-m", "?s", "?-s" внутри регулярных выражений для управления выставлением или отключением флагов "i", "s" и "m". Например, "?-i" в "re1 = /^[a-z](?-i:[a-z])$/i;" отключит применение "/i" (игнорирование регистра) для второго символа (re1.test("aB") вернёт false).
• Внесены улучшения в инструменты для web-разработчиков. В web-консоль добавлена кнопка для показа пояснения о сути ошибки или предупреждения, сформированного через обращение к AI-чатботу Gemini. В панели CSS добавлена поддержка правил "@position-try". В панели для редактирования и просмотра исходного текста страницы добавлены настройки для приведения в читаемый вид упакованных страниц и автоматического закрытия скобок при редактировании. В панели отслеживания сетевой активности добавлена поддержка HTTP-заголовков, используемых в ответах с кодом 103 "Early Hints". В панели для анализа производительности добавлена статистика по селекторам CSS.

Кроме нововведений и исправления ошибок в новой версии устранено 9 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Уязвимость CVE-2024-4947, вызванная неправильной обработкой типов (Type Confusion) в движке V8 и отнесённая к категории опасных, до исправления применялась злоумышленниками для совершения атак (0-day). Компания Google пока не раскрывает детали по данной уязвимости, но независимые исследователи провели анализ и опубликовали технические детали, а также прототип эксплоита.

Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 4 премии на сумму 8 тысяч долларов США (по одной премии в $7000, $1000). Размер двух вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Выпуск web-браузера Chrome 124
3. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
4. OpenNews: В Chromium экспериментируют с автоматическими микроплатежами для монетизации сайтов
5. OpenNews: Оценка эффективности применения MiraclePtr для предотвращения уязвимостей в Chrome
6. OpenNews: В Chrome планируют реализовать режим скрытия IP-адреса пользователя

Основные новшества в Firefox 126:

• В контекстное меню добавлена операция "Copy Link Without Site Tracking", позволяющая скопировать URL выбранной ссылки в буфер обмена, предварительно вырезав из него параметры запроса, которые используются для отслеживания переходов между сайтами. Например, при копировании ссылки будут удалены параметры mc_eid и fbclid, применяемые при переходе со страниц Facebook. Всего осуществляется вырезание более 300 параметров, применяемых для отслеживания, среди которых параметры, используемые в крупнейших интернет-магазинах.
• Добавлена поддержка кодирования контента при помощи алгоритма сжатия Zstandard (zstd), помимо ранее поддерживаемых алгоритмов gzip, brotli и deflate. При отправке запросов Firefox теперь выставляет в HTTP-заголовке "Accept-encoding" значение "gzip, deflate, br, zstd". Из крупных сайтов, поддерживающих отдачу сжатых данных в формате zstd, отмечается Facebook.
• Добавлена экспериментальная возможность автоматизированного машинного перевода фрагментов текста, выделенных на странице (ранее поддерживался только перевод страницы целиком). Функция перевода вызывается через контекстное меню, показываемое при нажатии правой кнопки мыши на выделенном блоке текста. Для активации перевода фрагментов в about:config добавлена настройка browser.translations.select.enable.
• Реализован, но пока не включён по умолчанию новый упрощённый и унифицированный диалог для очистки данных пользователя, в котором улучшено разделение данных на категории и добавлены сведения о размере данных, сохранённых за выбранный промежуток времени. Для включения в about:config слудует выставить параметр privacy.sanitize.useOldClearHistoryDialog в значение false.
  
• В панель персонализации страницы, показываемой при открытии новой вкладки, добавлена секция для выбора фоновых изображений. Для включения необходимо активировать настройку browser.newtabpage.activity-stream.newtabWallpapers.enabled на странице about:config.
• Добавлена начальная реализация механизма Text Fragments, позволяющего создавать ссылки на определённые отрывки текста на странице, например, при переходе по ссылке "https://opennet.me#:~:text=OpenSSL" браузер прокрутит страницу на позицию со словом OpenSSL и выделит его цветом.
• Реализована передача дополнительной телеметрии с агрегированными счётчиками поисковых запросов разных категорий. Категории охватываются 20 обобщённых типов контента, например, спорт, бизнес и путешествия. Утверждается, что собираемая информация необходима для разработки новых возможностей поиска. Данные сохраняются без привязки к отдельным пользователям. Для удаления информации об IP-адресе пользователя применяется технология OHTTP (Oblivious-HTTP), обеспечивающая перенаправление зашифрованных HTTP-сообщений через дополнительные промежуточные узлы, так что конечный сервер получает запрос не от IP пользователя, а от IP транзитного узла.
• Временно отключена добавленная в Firefox 125 возможность быстрого перехода по ссылке, сохранённой в буфере обмена (если во время нажатия на адресную строку в буфере обмена находится URL, автоматически данный URL показывался в качестве начальной рекомендации для перехода). В качестве причины отключения упоминаются проблемы с производительностью.
• В сборках для macOS на компьютерах Mac с CPU M3 включено аппаратное ускорение декодирования видео в формате AV1.
• Добавлен метод URL.parse(), возвращающий объект URL, представляющий ссылку, указанную в параметрах. В отличие от конструктора URL() новый метод в случае проблем с разбором возвращает null, вместо генерации исключения.
• Включена поддержка CSS-свойства zoom, позволяющего уменьшать или увеличивать масштаб отдельных элементов. Для определения применённого к элементу уровня масштаба предложено свойство Element.currentCSSZoom, доступное только для чтения.
• Добавлена возможность отражения состояния собственных HTML-элементов (custom element) в CSS через псевдо-класс ":state()". Функциональность реализована по аналогии с возможностью штатных HTML-элементов менять своё состояние в зависимости от взаимодействия с пользователем.
• Добавлено свойство Selection.direction, определяющее направление выделения.
• Добавлена поддержка API Screen Wake Lock, позволяющего web-приложению, например, мультимедийному проигрывателю, блокировать вызов хранителя экрана после длительной неактивности пользователя.
• В API IndexedDB добавлен метод IDBFactory.databases() для перебора имеющихся БД (возвращает массив объектов, содержащих имя и версию доступных БД).
• В API Selection добавлена экспериментальная поддержка выделения, пересекающего границы теневого DOM. Включается через dom.shadowdom.selection_across_boundary.enabled в about:config.
• В CSS добавлена экспериментальная функция shape(), позволяющая формировать фигуры с использованием CSS-свойств clip-path и offset-path. Включается через layout.css.basic-shape-shape.enabled в about:config.
• Реализовано CSS-правило "@starting-style" для применения стиля при создании entry-анимации на стадии до открытия элемента на странице (в состоянии "display: none").
• Добавлены методы JSON.rawJSON() и JSON.isRawJSON() для создания и проверки объектов JSON, содержащих текст с разметкой JSON.
• В API Fetch Request добавлена поддержка keepalive.
• Работа редактора стилей в инструментах web-разработчиков ускорена на 15-20%.
• В инструментах для web-разработчиков добавлена настройка "Show split console" для включения/выключения режима, отображающего web-консоль одновременно с другими панелями.
• В версии для Android решены проблемы с отображением панели с адресной строкой на устройствах со складными экранами. Для унификации с настольной версией настройки "Add-ons" переименованы в "Extensions".

Кроме новшеств и исправления ошибок в Firefox 126 устранена 21 уязвимость. Две уязвимости помечены как опасные. Первая опасная уязвимость (CVE-2024-4764) приводит к обращению к уже освобождённой области памяти при обработке нескольких WebRTC-потоков со звуком. Вторая опасная уязвимость (CVE-2024-4367) позволяет добиться выполнения JavaScript-кода при обработке во встроенном PDF-просмотрщике специально оформленных шрифтов. Ещё 9 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 125
3. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
4. OpenNews: Тестирование вертикальной панели вкладок и контейнеров вкладок
5. OpenNews: Планы в отношении поддержки в Firefox второй и третьей версий манифеста Chrome
6. OpenNews: В Firefox предложена дополнительная защита от отслеживания с использованием редиректов

Суть метода отслеживания в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.

1. Главная ссылка к новости
2. OpenNews: В Firefox добавлена возможность вырезания параметров отслеживания из URL
3. OpenNews: В Firefox приступили к включению защиты от отслеживания перемещений через редиректы
4. OpenNews: LibreWolf 94 - вариант Firefox, сфокусированный на конфиденциальности и безопасности
5. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
6. OpenNews: В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике

Прошлый значительный выпуск Dillo 3.0.0 был опубликован в 2011 году, а последнее корректирующее обновление 3.0.5 в 2015 году. В 2016 году умер один из ключевых разработчиков проекта, после чего в 2017 году разработка Dillo полностью остановилась, а в 2022 истёк срок оплаты за домен проекта и сайт dillo.org прекратил существование. В январе 2024 года предпринята попытка возрождения проекта, результаты которой представлены в составе Dillo 3.1. В 2023 году также было создано ответвление Dillo+ (Dillo-Plus), в которое были включены накопившиеся исправления (последнее изменение в Dillo-Plus было добавлено два месяца назад).

Основные изменения в Dillo 3.1:

• Добавлена поддержка плавающих HTML-элементов и CSS-свойства "float".
• Значительно улучшена и включена по умолчанию поддержка HTTPS. Для работы HTTPS могут использоваться библиотеки OpenSSL, LibreSSL и mbed TLS. Добавлена настройка "http_force_https" для принудительного проброса с HTTP на HTTPS.
• Расширена поддержка CSS: для всех элементов добавлена поддержка атрибутов 'width' и 'height', реализованы свойства 'min-width', 'max-width', 'min-height' и 'max-height', добавлена поддержка 'display: inline-block'.
• Добавлена поддержка HTML-тега "<main>" и расширена поддержка тега "<button>".
• Переработаны виджеты.
• Обеспечено сохранение коэффициента соотношения сторон для изображений, параметры разрешения которых заданы в процентах.
• Добавлены настройки 'adjust_min_width' и 'adjust_table_min_width'.
• Обеспечена приоритизация загрузки ресурсов (изображения загружаются с меньшим приоритетом).
• Добавлена настройка http_persistent_conns и предоставлена возможность повторного использования установленных соединений HTTP.
• Добавлена поддержка HTTP-заголовка Strict-Transport-Security, которую можно отключить при помощи настройки http_strict_transport_security в dillorc.
• Добавлена настройка ui_tab_height для задания высоты кнопок вкладок.
• Включена возможность переключения вкладок колесом мыши.
• Улучшено определение документов XHTML.
• Внедрена система непрерывной интеграции для тестирования сборок для Ubuntu, macOS, FreeBSD и Windows (cygwin).
• Добавлены автоматизированные тесты для проверки корректности отрисовки HTML.

1. Главная ссылка к новости
2. OpenNews: Релиз минималистичного web-браузера Dillo 3.0
3. OpenNews: Новая версия браузера NetSurf 3.11
4. OpenNews: Доступен web-браузер qutebrowser 3.0
5. OpenNews: Представлен Fifth, минималистичный web-браузер с интерфейсом на основе FLTK
6. OpenNews: Выпуск минималистичного web-браузера links 2.26

Разработчики дополнений, уже поставляемых для настольной версии Firefox, могут адаптировать свои продукты для работы в мобильной версии, переведя дополнение с модели постоянного фонового выполнения (extension.getBackgroundPage) на режим обработки событий (browser.runtime.onMessage.addListener), а также задействовав методы адаптивной компоновки элементов интерфейса.

1. Главная ссылка к новости
2. OpenNews: Mozilla ввела в строй каталог дополнений для Android-версии Firefox
3. OpenNews: В Firefox реализована возможность импорта дополнений из других браузеров
4. OpenNews: Mozilla анонсировала полноценную экосистему дополнений для Android-версии Firefox
5. OpenNews: Релиз Firefox 125
6. OpenNews: Обновление Firefox 125.0.3

В 2021 компания Microsoft прекратила разработку и сопровождение платформы Silverlight в пользу применения стандартных Web-технологий. Изначально проект OpenSilver был нацелен на предоставление инструментария для продления жизни существующих Silverlight-приложений в условиях отказа от сопровождения платформы компанией Microsoft и прекращения поддержки плагинов в браузерах. В OpenSilver поддерживаются все основные возможности движка Silverlight, включая полную поддержку языков C# и XAML, а также реализацию большей части API платформы, достаточную для использования таких C#-библиотек, как Telerik UI, WCF RIA Services, PRISM и MEF.

В текущем виде OpenSilver уже вышел за рамки прослойки для продления жизни Silverlight и может рассматриваться как самостоятельная платформа для создания новых приложений. Например, проектом развивается среда разработки (дополнение к Visual Studio), обеспечивается поддержка новых версий языка C# и платформы .NET, предоставляется совместимость с библиотеками на языке JavaScript.

В качестве основы OpenSilver задействован код открытых проектов Mono (mono-wasm) и Microsoft Blazor (часть ASP.NET Core), а для выполнения в браузере применяется компиляция приложений в промежуточный код WebAssembly. OpenSilver продолжает развитие проекта CSHTML5, позволяющего компилировать приложения C#/XAML/.NET в представление на языке JavaScript, пригодное для запуска в браузере, и расширяет его кодовую базу возможностями для компиляции C#/XAML/.NET в WebAssembly, а не в JavaScript.

В новой версии OpenSilver добавлены компоненты для обеспечения совместимости с приложениями, разработанными при помощи среды визуального проектирования Visual Studio LightSwitch. После прекращения поддержки плагина Silverlight пользователи подобных программ были вынуждены либо заменить эти приложения, либо полагаться на использование Silverlight в режиме IE, предоставляемом в некоторых версиях Windows, сохранение поддержки которого в будущих обновлениях Windows не гарантируется. Реализованные в OpenSilver 2.2 компоненты дают возможность избавиться от зависимости от IE и выполнять LightSwitch-приложения в современных web-браузерах.

Работа в современных браузерах обеспечивается через компиляцию LightSwitch-приложений в представление, использующее актуальные технологии, такие как HTML5 и WebAssembly, поддерживаемые во всех браузерах, включая Edge, Chrome, Firefox, Safari и Opera, и не требующих установки плагинов. В текущем виде пока предоставляется только runtime-окружение для запуска приложений LightSwitch, без возможности создания программ в визуальном редакторе кода Visual Studio LightSwitch. В будущих выпусках OpenSilver намечено предоставление средств разработки, поддерживающих разные платформы. В частности, запланировано создание системы визуального проектирования интерфейса XAML UI Designer, обеспечение интеграции с платформой .NET MAUI для создания программ для iOS, Android, macOS, Linux и Windows, а также реализация поддержки XAML Hot Reload, CLI, VS Code и Rider.

1. Главная ссылка к новости
2. OpenNews: Доступна платформа OpenSilver 2.1, продолжающая развитие технологии Silverlight
3. OpenNews: Выпуск платформы OpenSilver 2.0, продолжающей развитие технологии Silverlight
4. OpenNews: Выпуск OpenSilver 1.0, открытой реализации Silverlight
5. OpenNews: Тестовый выпуск Moonlight 4 с поддержкой технологии Silverlight 4
6. OpenNews: Проект Ruffle развивает эмулятор Flash Player, написанный на Rust

• Устранена ошибка, из-за которой после обновления до Firefox 125 у некоторых пользователей периодически самопроизвольно стали открываться новые вкладки с URL "https://0.0.0.1" в адресной строке. Эффект проявлялся только на платформе Windows. Разбор ситуации показал, что вкладки возникают при попытке запуска ещё одной копии Firefox из командной строки, когда Firefox уже запущен. Пользователям, которые столкнулись с данной проблемой, если они сами не запускали новых копий Firefox, рекомендуется проверить свои системы антивирусным ПО, так как подобная активность может быть следствием работы вредоносных программ.

  Появление вкладки с адресом "https://0.0.0.1" вызвано ошибкой в обработчике "Application Launch Prefetcher". В ветке Firefox 125 при запуске дополнительного процесса используется метод nsWinRemoteClient::SendCommandLine с добавлением опции "/prefetch:1" к командной строке, которая во время разбора параметров преобразуется в "-prefetch 1". В дальнейшем параметр "-prefetch" игнорируется, а оставшаяся единица воспринимается как URL для открытия (эквивалент запуска "firefox.exe 1"), что и приводит к попытке открытия сайта "https://0.0.0.1".

• В сборках для Linux устранено повреждение текста, проявляющееся при перемещении в режиме drag&drop текста, содержащего Unicode-символы.
• Устранена ошибка при проверке размера аргументов (arguments.length) внутри генератора или async-функции, приводившая к передаче пустого объекта.
• Решена проблема с некорректной обработкой фокуса ввода в элементах <select>.

1. Главная ссылка к новости
2. OpenNews: Обновление Firefox 125.0.2. Проблема с появлением вкладки с адресом 0.0.0.1
3. OpenNews: Релиз Firefox 125
4. OpenNews: Mozilla начала формирование ночных сборок Firefox для Linux-систем на архитектуре ARM64
5. OpenNews: В Firefox появится группировка вкладок
6. OpenNews: Планы в отношении поддержки в Firefox второй и третьей версий манифеста Chrome

Дополнительно можно отметить инициативу Mozilla по переписыванию на языке Rust компонента Сrash Reporter в Firefox. Сrash Reporter отслеживает аварийное завершение основного процесса Firefox и выводит диалог для отправки отчёта о проблеме разработчикам браузера. Необходимость переработки Сrash Reporter обусловлена проблемами с сопровождением старой кодовой базы, которые мешали дальнейшему развитию и подготовке изменений из-за наличия трёх отдельных реализаций графического интерфейса (для Windows, Linux и macOS) и применения дополнительных прослоек на Objective-C для macOS.

В новом варианте обеспечена унификация интерфейса для всех платформ и задействован язык Rust для снижения вероятности появления ошибок с памятью, повышения надёжности и упрощения сопровождения. Для создания кросс-платформенного GUI, независимого от Firefox, задействован уровень абстракции с базовыми элементами интерфейса, реализуемыми поверх GTK, API Win32 и Cocoa для придания интерфейсу родного вида для каждой платформы.

1. Главная ссылка к новости
2. OpenNews: Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
3. OpenNews: Webkit первым прошел полный комплект тестов Acid3
4. OpenNews: Релиз браузерного движка WebKitGTK 2.42.0 и обновление проекта Servo
5. OpenNews: Проект по интеграции с Qt web-движка Servo, развиваемого на языке Rust
6. OpenNews: Инициатива по избавлению браузерного движка Servo от привязки к Mozilla SpiderMonkey

Сторонние Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Связанные с Cookie изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Ранее попытки внедрения в Chrome замен отслеживающим Cookie вызвали сопротивление в сообществе и критику, связанную с тем, что идущие на смену отслеживающим Cookie методы не решают всех проблем и создаёт новые риски, такие как создание условий для дискриминации пользователей и появление дополнительного фактора для скрытой идентификации и отслеживания перемещений пользователя.

Вместо отслеживающих Cookie предлагается использовать следующие API:

• FedCM (Federated Credential Management), позволяет создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без сторонних Cookie.
• Private State Tokens, позволяет разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами.
• Topics (пришёл на смену API FLoC), даёт возможность определять категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
• Protected Audience, решение задач ретаргетинга и оценки собственной аудитории (работа с пользователями, уже посещавшими ранее сайт).
• Attribution Reporting, позволяет оценивать такие характеристики эффективности рекламы, как переходы и конверсия (покупка на сайте после перехода).
• Storage Access API, может применяться для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если по умолчанию сторонние Cookie блокируются.

1. Главная ссылка к новости
2. OpenNews: Google намерен до 2022 года прекратить поддержку сторонних Cookie в Chrome
3. OpenNews: В ночных сборках Firefox тестируют автозакрытие запросов использования Cookie
4. OpenNews: В Firefox по умолчанию включён режим полной изоляции Cookie
5. OpenNews: Прекращение поддержки сторонних Cookie в Chrome отложено до 2023 года
6. OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie