Бета-тестирование Firefox 39. Начало формирования цифровых подписей для дополнений Firefox

29.05.2015 21:15

Firefox 39 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Формирование бета-версии произведено на две недели позднее обычного из-за тестирования промежуточного выпуска Firefox 38.0.5. Загрузить бета-выпуск можно на данной странице. Релиз Firefox 39 намечен на 30 июня.

Улучшения, представленные в бета-версии Firefox 39:

На платформах Linux и OS X реализован механизм выявления вредоносного ПО в загружаемых файлах. Проверка вредоносных компонентов также охватывает большинство типовых загружаемых расширений OS X. Выявление вредоносного ПО осуществляется путем вычисления хэша от загруженного файла и его проверки в базе Google Safe Browsing.
Реализована техника асинхронной инициализации плагинов NPAPI, которая позволила сократить время появления на страницах контента, связанного с плагинами;
Поддержка определённых в Unicode 8.0 модификаторов для emoji-пиктограмм, позволяющих менять цвет кожи;
Для web-приложений, поддерживающих средства для людей с ограниченными возможностми, реализована поддержка роли 'switch', определённой в спецификации ARIA 1.1
Шифр RC4 теперь используется только для сайтов, явно указанных в белом списке, для остальных ресурсов он отключен;
Полностью удалена поддержка небезопасного протокола SSLv3;
Поддержка тега "link rel=preconnect href=..", информирующего браузер о необходимости упреждающей установки соединения к указанному серверу;
В CSS-свойстве list-style-type теперь можно указывать в качестве маркера любую строку;
Приведены в соответствие со спецификацией средства для каскадного размещения CSS-преобразований и анимации;
Включен по умолчанию Fetch API для выполнения сетевых запросов и обработки полученных в результате таких запросов ресурсов;
Реализован Cache API для сохранения полученных через Fetch API ответов, которые в дальнейшем могут быть возвращены из кэша при запросе того-же ресурса;
Поддержка спецификации CSS Scroll Snap Points, предоставляющей средства для управления поведением прокрутки и панорамирования;
В режиме просмотра разметки в системе инспектирования контента добавлена поддержка перемещения элементов в режиме drag&drop;
В web-консоли обеспечено сохранение истории ввода команд, даже после закрытия окна;
В WebSocket обеспечена возможность соединения c локальным хостом (localhost) даже при активности offline-режима;
Для CSS-анимации обеспечен вывод подсказок по кривым Безье в виде галереи преднастроек параметров функций;
В версии для платформы Android реализована возможность вставки из буфера обмена в любой редактируемый web-контент.

Дополнительно сообщается о запуске на этой неделе процесса автоматического формирования цифровых подписей для дополнений, уже размещённых в каталоге addons.mozilla.org (AMO). В рамках инициативы по переходу к обязательной проверке Firefox-дополнений по цифровой подписи в ночных сборках Firefox при наличии неподписанных дополнений теперь выводится предупреждение. На следующей неделе в AMO будет добавлена поддержка создания подписей для новых дополнений, прошедших рецензирование, а также предоставлена возможность формирования подписи для авторов дополнений, которых хотят размещать свои работы не в каталоге Mozilla, а на своих ресурсах. При этом, разработчикам, распространяющим дополнения не через репозиторий Mozilla, потребуется завести аккаунт на сайте каталога дополнений Mozilla и пройти процесс рецензирования, после чего они смогут распространять подписанное дополнение через сторонние сайты.

Целью введения проверки по цифровой подписи является повышение уровня защиты от распространения вредоносных и шпионящих за пользователями дополнений. Как только цифровые подписи для дополнений в репозитории Mozilla будут сформированы, в Firefox планируется организовать вывод предупреждений о переходе к обязательной проверке дополнений по цифровой подписи. Далее, на протяжении двух последующих релизов Firefox, разработчикам неподписанных дополнений дадут возможность пройти стадию рецензирования, после чего работа неподписанных дополнений в релизах и бета-выпусках будет заблокирована. В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений. Для тестирования своих дополнений перед их публикацией разработчики будут вынуждены использовать только ночные сборки, выпуски Developer Edition или собственные модифицированные сборки. Проверка по цифровой подписи не будет распространяться на темы оформления и словари, а также не планируется к внедрению в Thunderbird и SeaMonkey.

Кроме того, можно отметить вступление в силу с 1 июня нового соглашения с разработчиками дополнений, в котором отражено применение проверки дополнений по цифровой подписи, а также определены новые способы распространения обновлений, появившиеся благодаря внедрению верификации.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42328-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (57)

1.1, Sluggard (ok), 22:58, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]

+21 +/–

> На платформах Linux и OS X реализован механизм выявления вредоносного ПО в загружаемых файлах. Проверка вредоносных компонентов также охватывает большинство типовых загружаемых расширений OS X. Выявление вредоносного ПО осуществляется путем вычисления хэша от загруженного файла и его проверки в базе Google Safe Browsing.

И сразу вопрос: оно отключаемо?

> Поддержка определённых в Unicode 8.0 модификаторов для emoji-пиктограмм, позволяющих менять цвет кожи

Цвет кожи пиктограмм, я надеюсь?

2.3, Defective Life (?), 23:00, 29/05/2015 [^] [^^] [^^^] [ответить]	+5 +/–
>И сразу вопрос: оно отключаемо? Поддерживаю вопрос!!!

3.25, Xasd (ok), 00:57, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Preferences -> Security -> {Block reported attack sites, Block reported web forgeries} вот примерно где-то тут рядом должно быть

2.23, Аноним (-), 00:49, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> Цвет кожи пиктограмм, я надеюсь? Пользователя. Тонкий рекламный ход дистрибутива openSUSE, надо сказать.

3.27, Sluggard (ok), 01:20, 30/05/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Сусю-то ты каким образом приплёл? Ладно бы Убунту, Африка там, все дела... :D

4.32, Аноним (-), 02:31, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Мож там зелёный цвет кожи пользователя можно задать.

5.62, Аноним (-), 13:42, 07/06/2015 [^] [^^] [^^^] [ответить]	+/–
А жыпеговские артефакты как на опеннетике - вокруг рож там тоже есть? :)

4.37, Аноним (-), 09:30, 30/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Походу, без помощи копетана не обойтись https://ru.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BC

5.42, Sluggard (ok), 11:57, 30/05/2015 [^] [^^] [^^^] [ответить]

+/–

> Походу, без помощи копетана не обойтись https://ru.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BC

Не, это не канает. Если речь о хамелеошах, надо им брать что-то типа SUSE Psi Iconset: http://wstaw.org/m/2015/05/30/screen_73.png

2.28, Anonplus (?), 01:24, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
browser.safebrowsing.downloads.enabled ещё можно посмотреть в сторону browser.safebrowsing.enabled и browser.safebrowsing.malware.enabled, которые проверяют все посещённые урлы на наличие их в антифишинговой и антималварной базе гугла. Правда, мне кажется, что там периодически загружается база вредоносных адресов, а потом уже локально сравниваются открываемые юзером урлы. Иначе, это бы сильно замедляло открытие страниц, если на каждую страницу дергать http-запрос к гуглу.

3.29, Sluggard (ok), 01:25, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
Благодарю.

2.47, vn971 (ok), 17:19, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
Если вы пользуетесь браузером 'icecat', то в нём по-умолчанию отключен "google safe browsing", равно как и многие другие говняности.

3.49, Sluggard (ok), 19:40, 30/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> Если вы пользуетесь браузером 'icecat', то в нём по-умолчанию отключен "google safe > browsing", равно как и многие другие говняности. Не-а, пользуюсь Firefox и SeaMonkey.

3.61, count0krsk (ok), 11:00, 07/06/2015 [^] [^^] [^^^] [ответить]	+/–
Подтверждаю. Был приятно удивлён сейчас )) Icecat после допилки рулит и выруливает ))

1.4, anonymous (??), 23:09, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
А он запрос гуглу шлёт, или локально скачивает полную базу хешей?

2.65, Anonplus (?), 10:30, 28/06/2015 [^] [^^] [^^^] [ответить]	+/–
Он вычисляет хэш локально и шлёт гуглу хэш для сравнения. Таким образом, если вы скачиваете какой-то известный гуглу файлик, содержащий детское порно - за вами выезжают.

1.5, Старшина Кириллов (?), 23:09, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Где блондины в эмодзи?

2.26, Xasd (ok), 00:59, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Где блондины в эмодзи? блондинов меньше чем брюнетов, поэтому эмодзи блондинов решили ущемить :-)

3.31, Sluggard (ok), 01:28, 30/05/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Я вот не вижу азиатов в упор, с узким разрезом глаз. А между прочим, если их вместе собрать — треть населения планеты получится. И где?!

4.39, Аноним (-), 10:03, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
>Я вот не вижу азиатов в упор, с узким разрезом глаз. А между прочим, если их вместе собрать — треть населения планеты получится. И где?! ну желтые же

5.40, Sluggard (ok), 10:07, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> ну желтые же Гепатит мы не рассматриваем. Глаза-то у них круглые.

6.41, Аноним (-), 10:25, 30/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Они себя так видят.

5.56, Аноним (-), 19:04, 01/06/2015 [^] [^^] [^^^] [ответить]

+/–

>ну желтые же

Смех смехом, а некоторые азиаты реально решили, что желтые - это они, и поэтому возмущались: http://qz.com/349561/asians-are-not-impressed-with-apples-diverse-yellow-emoj

А что касается вопроса, почему азиатов там нет, то ведь там кодируется только ЦВЕТ КОЖИ. Поменять цвет кожи можно автоматически. Чтобы поменять разрез глаз, нужно отдельный смайлик рисовать.

1.7, Аноним (-), 23:16, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Зачем весь этот геморой с подписью дополнений, неужели нельзя сделать опцию, при которой пользователь может использовать любое дополнение. Я, например, использую несколько самописных дополнений, которые никому кроме меня не интересны. И что мне делать, отправлять на проверку приватные дополнения, которые скорее всего не пройдут проверку. Получается что-то типа тивизации, только для браузера. Это мой личный компьютер и мои личные дополнения, и я делаю в них что хочу, пусть даже методами, которые кто-то может посчитать небезопасными или напоминающими вредоносную активность. Почему я должен пользоваться левыми сборками или отправлять что-то на проверку?

2.11, rshadow (ok), 23:36, 29/05/2015 [^] [^^] [^^^] [ответить]	+/–
Насколько я могу судить по хрому, подписывает дополнение сам разработчик. В хроме правда подпись нужна только при загрузки в магазин, а локально можно устанавливать все что душе угодно.

2.13, Аноним (-), 23:38, 29/05/2015 [^] [^^] [^^^] [ответить]	+/–
> неужели нельзя сделать опцию, при которой пользователь может использовать любое дополнение. Что помешает вредоносному дополнению это сделать?

3.34, Свинья (?), 04:51, 30/05/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Галочка глубоко в настройках.

4.48, Xasd (ok), 17:43, 30/05/2015 [^] [^^] [^^^] [ответить]

+/–

> Галочка глубоко в настройках.

прям уж глубоко?

небось какая-нибудь там обычная sqlite-база-данных с настройками, расположенная вполне близко в каталоге пользователя :-)

2.30, Anonplus (?), 01:26, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
>> неужели нельзя сделать опцию, при которой пользователь может использовать любое дополнение И малварь первым делом будет включать эту опцию. Ведь опции у лисы хранятся в prefs.js, представляющем собой текстовый файл.

3.45, Sluggard (ok), 15:13, 30/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> И малварь первым делом будет включать эту опцию. Малварь на твоей машине самозарождается что ли?

4.51, user (??), 23:55, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
BIOS да.

5.54, rob pike (?), 03:38, 31/05/2015 [^] [^^] [^^^] [ответить]	+/–
И зачем малвари включать какую-то опцию в файрфоксе, если она уже на твоей машине? Скачать себя чиста па приколу еще 16 раз? Потому что её внезапно торкнуло на самоскачивание?

6.58, none7 (ok), 13:36, 02/06/2015 [^] [^^] [^^^] [ответить]	+/–
Чтобы данные кредитных карт с SSL сайтов снимать. Тихое дополнение куда проще руткита с SSL-спуфингом и даже админские права не нужны.

1.8, nobody (??), 23:16, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> Поддержка определённых в Unicode 8.0 модификаторов для emoji-пиктограмм, позволяющих менять цвет кожи; Ну просто охренеть, какой нужный функционал!

2.17, Аноним (-), 23:54, 29/05/2015 [^] [^^] [^^^] [ответить]	+/–
Функциональность. Не нужная.

1.16, Beta Version (ok), 23:47, 29/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Так а когда уже можно будет видео на ютубе в 1080р смотреть?

2.22, KOT040188 (?), 00:44, 30/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Всегда. Смотрел всегда, вчера, сегодня и завтра буду смотреть…

3.38, soarin (ok), 09:32, 30/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
На ubuntu 14.04 работает через одно место. Может на более новом gstreamer лучше, но вот так...

2.36, soarin (ok), 09:19, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
Когда стабильным будет

1.18, Ahulinux (ok), 00:03, 30/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А потом в файрфокс проснутся, и встроят простой браузер.

2.63, Аноним (-), 14:44, 07/06/2015 [^] [^^] [^^^] [ответить]	+1 +/–
А потом Петросян проснется, прочитает твое сообщение и выйдет на пенсию.

1.19, Crazy Alex (ok), 00:05, 30/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Вот кто бы знал - на кой мне в линуксе эти ваши проверки подписей дополнений? Оно ещё было бы терпимо если б рецензирование было очень быстрым. Но, как мы помним по uBlock, сейчас есть два варианта - либо быстрый апдейт либо рецензирование. Оно понятно, что и seamonkey у меня основной, и кастомная сборка - не проблема, но всё равно - радости не прибавляется абсолютно. Как катилась мозилла невесть куда - так и катится.

2.24, systemd_anonymousd (?), 00:50, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Вот кто бы знал - на кой мне в линуксе эти ваши > проверки подписей дополнений? Оно ещё было бы терпимо если б рецензирование > было очень быстрым. Но, как мы помним по uBlock, сейчас есть > два варианта - либо быстрый апдейт либо рецензирование. > Оно понятно, что и seamonkey у меня основной, и кастомная сборка > - не проблема, но всё равно - радости не прибавляется абсолютно. > Как катилась мозилла невесть куда - так и катится. А uBlock работает в SeaMonkey?

3.46, Sluggard (ok), 15:18, 30/05/2015 [^] [^^] [^^^] [ответить]	+/–
Да, в SeaMonkey 2.33.1 всё пашет точно, включая последнюю бету с GitHub.

4.52, Crazy Alex (ok), 00:38, 31/05/2015 [^] [^^] [^^^] [ответить]	+/–
uBlock - да, работает. Из того, что в нём не пашет, а хотелось бы - Policeman.

5.53, Sluggard (ok), 00:44, 31/05/2015 [^] [^^] [^^^] [ответить]	+/–
> uBlock - да, работает. Из того, что в нём не пашет, а > хотелось бы - Policeman. Что странно, uMatrix тоже. Зато отвалившийся в Firefos 38.0.1 RequestPolicy работает. Хоть и не умеет в тип содержимого, но хоть что-то.

6.59, Crazy Alex (ok), 17:51, 02/06/2015 [^] [^^] [^^^] [ответить]	+/–
Ничего странного. uMatrix/Policeman сделаны под Addon SDK, которого в Seamonkey то ли нет, то ли не полный. А RequestPolicy построен старым манером, на оверлеях.

7.60, Sluggard (ok), 17:55, 02/06/2015 [^] [^^] [^^^] [ответить]	+/–
> Ничего странного. uMatrix/Policeman сделаны под Addon SDK, которого в Seamonkey то ли > нет, то ли не полный. А RequestPolicy построен старым манером, на > оверлеях. Ну так uMatrix же вроде от разрабов uBlock, который нормально работает в SM. Зачем одни и те же разработчики разные дополнения пилят по-разному?

1.21, Виталий (??), 00:20, 30/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
... колосись, плакали, но продолжали есть кактус ....

2.33, Аноним (-), 02:54, 30/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
А какие варианты?

3.35, A.Stahl (ok), 08:16, 30/05/2015 [^] [^^] [^^^] [ответить]	+3 +/–
>варианты? Множество их: акация, крыжовник и даже дикая маслина она же лох узколистный...

4.43, Аноним (-), 12:49, 30/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Ботанег ? :)

1.44, Аноним (-), 14:21, 30/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Вангую, что в Unicode 9.0 будет анимация, а в Unicode 10.0 звук.

1.50, Mirraz (ok), 19:43, 30/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>В версии для платформы Android реализована возможность вставки из буфера обмена в любой редактируемый web-контент. Наконец-то! Джва года ждал, когда это починят!

1.55, Зенитарка (?), 12:02, 01/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Теперь можно издеваться над нигерами?

1.57, Sluggard (ok), 00:23, 02/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чёрт, в обновлении 38.0.5 прилетела фигня «Вид для чтения» и Pocket. Причём значок «Вида для чтения» находится в адресной строке, убрать его оттуда не получается, если не отключить в a:c или CTR. А сам «Вид» не работает, похоже. Супер, молодцы мозилловцы! Я скоро дневать и ночевать буду в about:config, отключая их «новшества».

1.64, DFX (ok), 10:33, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> На платформах Linux и OS X реализован механизм выявления вредоносного ПО в загружаемых файлах. Проверка вредоносных компонентов также охватывает большинство типовых загружаемых расширений OS X. Выявление вредоносного ПО осуществляется путем вычисления хэша от загруженного файла и его проверки в базе Google Safe Browsing. Ну дак, мне же в линуксах так не хватало сливалки моего списка загрузок невесть куда... "для моей безопасности" и с "защитой от мышкотыкательного дебилизма". Ведь линуксойды так известны своим мышкотыкательным дебилизмом >_<

игнорирование участников | лог модерирования

Добавить комментарий

Текст: