Mozilla釋出最新Firefox 74,這個版本有許多重要的變更,包括Mozilla正式結束側載入擴充套件的支援,而對開發者重要的更新,則是Firefox 74開始停用TLS 1.0和TLS 1.1,並預設啟用功能政策(Feature Policy) ,以及支援跨來源資源政策(Cross-Origin-Resource-Policy,CORP)標頭,另外,還增加新的CSS文字功能。

去年Mozilla就預告將逐步取消側載入擴充套件,而在Firefox 74終於正式壽終正寢。側載入是一種安裝Firefox擴充套件的方法,但這種安裝方法不需要使用者參與,因此使用者無法自行決定安裝擴充套件與否,而且也無法從擴充套件管理器中刪除。過去就曾有惡意軟體利用這個機制,入侵使用者的Firefox,且濫用回報中的問題第一名,便是Firefox未經使用者同意,直接安裝擴充套件,而這些擴充套件都是以側載入方法發布的。

從Firefox 74開始,所有擴充套件的安裝,都需要使用者明確參與,在用戶更新到Firefox 74時,Firefox不會主動刪除之前以側載入安裝的擴充套件,用戶需要手動從擴充套件管理器中刪除。現在Firefox會阻擋新的側載入擴充套件,不過開發者仍然可以對以前就安裝的側載入擴充套件推送更新。不過,企業管理員以及其他組織自行發布的Firefox版本,仍然可以透過側載入部署擴充套件,延長支援版本(ESR)也會繼續支援側載入安裝方法。

Firefox 74也取消了對TLS 1.0/1.1的支援,以促進整體網頁平臺的安全性,Mozilla表示,這對於推動TLS向前發展至關重要,可擺脫存在於TLS 1.0/1.1中的各種漏洞。從現在開始,開發者需要確定網頁伺服器支援TLS 1.2或1.3,當與伺服器的連線仍使用舊版TLS,Firefox會回傳安全連接失敗(Secure Connection Failed)的錯誤訊息。在接下來幾個發布版中,安全連接失敗錯誤頁面會有覆寫按鈕,預防開發者的伺服器仍在使用TLS 1.0/1.1,但這項功能不會持續太久。

現在Firefox也開始預設啟用功能政策(Feature Policy),功能政策是讓開發者在頂級頁面和嵌入式框架中,控制來源(Origin)可以使用的功能,開發者可以為來源編寫允許來源列表,只有在允許列表中的來源,才能在當前文件或是框架中使用該功能,當開發者沒有為功能指定策略,則Firefox會使用預設的允許列表。另外,Firefox 74還支援跨來源資源政策標頭,該標頭讓網站和應用程式,能夠阻擋特定跨來源的請求,以減輕像是Spectre和Meltdown等推測性旁路攻擊,以及跨站腳本夾帶攻擊。

在CSS文字功能上,Firefox 74預設啟用text-underline-position屬性,以更好地處理文字底線效果,使用text-underline-position: under,可以將底線放在字母降部的下方,增加經常性使用下標的化學式或是數學公式的可讀性。


Advertisement

更多 iThome相關內容