@Rumpelstilzchen

Тег Firefox в блоге Rumpelstilzchen

Rumpelstilzchen

Продолжаю натыкаться на нужные сайты внезапно отвалившиеся из Симантек-а.
Скажем питерский Педроэлектросбыт - https://ikus.pesc.ru/
Не просто не арбайтен, а не облом 140% ибо :

This site uses HTTP Strict Transport Security (HSTS) to specify that Nightly may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
Маааалаццы. HSTS применили, инновационненько. В результате даже исключение добавить нельзя.

Rumpelstilzchen

HOLY SHIT! 23 февраля в Мозилле!
...Нет конечно, просто Мурзилла как и грозилась вырубила таки доверие к сайтам на Симантековских сертификатах, однако что-то пошло не так и в общем вот - https://bugzilla.mozilla.or...g.cgi?id=1434300#c81
Кол-во "кажется мы случайно" сайтов пошло уже к десяти тысячам.
Аплодируем стоя!
...P.S. Ну собственно, "не случайно". https://blog.qualys.com/ssl...ymantec-certificates
Просто оказалось что 1) Сертификатов выпущенных силами Симантек больше чем ожидалось 2) лосей которые не позаботились заменить сертификат на другой CA тоже дохрена. Скажем вот Промсвязьбанк не озаботились, лол, https://psbank.ru/
Рукалицо

Rumpelstilzchen

А в это время в Мозилле начали решать очередную странную задачу (истинно вам глаголю, братия, приоритеты Мозиллы - тайна велика).
Bug 1201590 - Implement DOM Bindings for WebMIDI API (!)
WebMIDI!!! ААААА!!!! Это правда такое нужное нечто?

Rumpelstilzchen

ACHTUNG! Очередное охуенное решение от Мурзиллы.

1435733 https://bugzilla.mozilla.org/show_bug.cgi?id=1435733 [Core:Security]-Consider upgrading mixed display content [All][]

Суть бага - если на секурной (https) странице имеется контент который грузится по http, то теперь ФФ будет пытаться грузить его по https, для секурности. Не совсем ясно что будет если скажем https-а на хосте нет, но что будет если он есть, но как обычно, настроен был когда-то, тестово, на старый домен, с самоподписанным сертификатом, который еще и протух? А будет тихое "упс" и ресурс просто не загрузится. Причем вы хрен поймете почему пока не посмотрите в сетевом мониторе из Developer Console.
security.mixed_content.upgrade_display_content в false = выключить.

Rumpelstilzchen

Пару слов о том какое все таки говно WebExt. Вот есть расширение - "Web Scrapbook" на замену старому Скрипбуку. Суть - сохранение страниц в архив для последующего доступа.
Чтож, аддон может сохранять страницы, НО...сохраняются они в безымянные zip архивы - это раз.
Индекса сохраненных страниц - нет. Это два.
Вернее сделать индекс можно, но надо ручками практически сгенерировать его кинув ПАПКУ со сохраненными страницами в специальное окно, получить ан выходе новых архив, их которого распаковать папочку с html, css, js - все это кинуть в другую папку и тогда как бе будет "индекс", который работать правда все равно не будет так как ФФ и расширение не может грузить свои же архивы напрямую - "так безопаснее, ибо никакого доступа к файлам". Это три.
А как же тогда смотреть страницы? А кидая их, ВРУЧНУЮ в другое специальное окно браузера. То есть в расширении жмете "просмотреть архивированную страницу", открывается вкладка с надписью "кидай сюда" и ты такой тянешь файлик в эту вкладку и там отображается запрошенная архивная страница. Это четыре.
А теперь вспомним как было раньше "в плохие времена" - тыкнул Сохранить, тут же удалили ненужные элементы со страницы вроде баннеров, разложил по папочкам. Но та технология была "плохая и старая".
Некоторые аддонописатели уже поняли, что кашу с таким топором не сварить и начали пилить более эзотерические варианты. Надежда у них на штуку называемую Native Messaging. Суть её в том, что можно так написать аддон, что он будет запускать нативное приложение вне ФФ, с которым можно общаться напрямую. Таким образом WebExt сможет рисовать гуй, а всякие сложные для реализации в ФФ операции делать в внешнем приложении.
Вот ScrapbookQ решили так и сделать. Но...
Начнем с того, что настройка - крайне корява, установит аддон, "сохранить" набор специальных файлов в заданной аддоном папке (и только там и нигде больше!), потом выполнить, самостоятельно, несколько команд в консоли, подправить пару конфигов, опять же руками (хотя это я думаю недоработка.)
И наконец если оно нормально заработает, то с выгвиглазным гуем (но уже с хотя бы работающим в сайдбаре индексом и возможностью как-то манипулировать сохраненным можно будет сохранять страницы. При этом правда все равно все это работает... изрядно коряво, но хоть как-то.
В общем я хз, все таки Мозилла выстрелили себе в ногу как ни крути. Вместо старомодных, но мощных аддонов мы получили "зато как в Хроме".
...при этом с интересными ремарками от аддонодевов вроде "Local links to an HTZ or MAFF file cannot be opened normally since "Allow access to file URLs" is not supported by the browser."
Зато Мозилловцы активно пилят "свои" API которых нету в Хроме. В результате выходит чтов плане написания аддонов Хром и ФФ конечно стали ближе, но совершенно нихрена никакой "совместимости" нет.

Rumpelstilzchen

Еще один https://bugzilla.mozilla.or...w_bug.cgi?id=1434230 - Spectre mitigations for strings
включатель javascript.options.spectre.string_mitigations
И еще https://bugzilla.mozilla.or...w_bug.cgi?id=1433111 Spectre mitigations for Value type checks
включатель javascript.options.spectre.value_masking
О времена, о нравы - браузеры из тупо отображалок HTML превратились в гибрид комбайна вроде Windows Media Player и осажденной крепости.

Rumpelstilzchen

Чуваки в Мозилле конечно быстро-эффективно пилят методы уклонения от Спектра, но...оказалось что чето договато выходит и там уже пошли эзотерические вуду-оптимизации.
Вот интересный бажек - https://bugzilla.mozilla.or...w_bug.cgi?id=1435209 с интересными результатами тестов, которые говорят что "цена" контр мер может достигать 10-20% от производительности жабаскрипта.
На 64 бит потери вцелом меньше, чем на 32 бит, так как на 32-ух битах менее эффективный алгоритм "маскировки", но все равно ощутимо.
Настройка которая за это безобразие отвечатет, кстати - javascript.options.spectre.index_masking
Короче, еще долго будет пригорать от этого всего...

Rumpelstilzchen

А в это время в ФФ исправили баг Bug 1420485 - Clear the tabs.insertCSS cssCode once it has been converted into a data url
Казалось бы ну и что, но этот баг будет люто интересен любителям Адблоков, У-блоков и тому подобного.
Дело в том, что суть этих расширений сводится, по большей части, в подгрузке в каждую вкладку, страницу, фрейм своих правил CSS которые скрывают всякий разный "рекламный скам". Размер этих css правил может достигать 400-600кб на каждую открытую вкладку\фрейм, что приводитк интересным объемам отожранной памяти при большом кол-ве вкладок.
Теперь же в ФФ ввели своего рода дедупликацию данных таблиц стилей подгружаемых аддоном, что приводит к резкому уменьшению использования памяти блокировщиками рекламы.

Пример - Адблок https://bug1420485.bmoattac...hment.cgi?id=8947448
Ублок - https://bug1420485.bmoattac...hment.cgi?id=8947446
Что любщпытно, Ублок показывает значительно меньший выигрыш в памяти.
Исправление уже в ФФ 60 и скорее всего войдет в ФФ 59. ФФ58 - wontfix

Rumpelstilzchen

Старый движек CSS (тот который часть Gecko, а не Stylo, который часть Servo) предпологается снести нахрен в ФФ 60 - https://bugzilla.mozilla.or...w_bug.cgi?id=1395112
Теперь понятно, почему ESR отложили до 60 - планов громадье. Так, продолжается, активно, внедрение групповых политик, реализован окончательно сендбоксинг для аудио под линуксами (и под маками скорее всего), CSD может быть всключен всем по умолчанию в ФФ60, и кто знает, возможно и поддержка Wayland будет включена тоже.

А в это время Гугл соибрается включить по умолчаниюв ближайших релизах WebAuthn, так что есть надежда что поддержка U2F токенов в вэбе наконец-то сдвинется с места (у собственно U2F стандарта есть куча разночтений, которые устранили в WebAuthn).

Rumpelstilzchen

Вот читаю про ФФ 58 для андроид
"Улучшения версии Firefox 58 для Android:
Добавлена поддержка приложений, работающих в режиме Progressive Web Apps (PWA), позволяющем организовать работу с web-приложением, как с обычной программой для Android (установка на домашний экран, отображение в списке запущенных программ, выполнение деинсталляции, средства для получения запросов от других приложений, свой блок настроек в системном конфиругаторе, управление уведомлениями, работа при отсутствии сетевого соединения и т.п.);"
Я что-то не пойму, так у них же было уже что-то такое, разве нет? Mozilla Marketplace там, которые ставили приложения на телефон, даже apk-шечки на лету компилировались как-то. Опять за старое?

Rumpelstilzchen

А вот еще смешно
"Guidelines for Mozillians developing new features
The following is put forward as a set of guidelines for Mozillians -- especially module owners and peers -- to refer to while developing new APIs for the Web. The primary question that must be asked is:

Is this good for the web?
If the answer to that question is yes, look below for some guidance on how you should proceed with shipping your new feature. Note that trivial changes need not worry about these suggested guidelines."

Когда они вводили DRM они тоже задавались этим вопросом? Или посчитали его "тривиальным".

Rumpelstilzchen

"Requiring secure contexts for all new features
Effective immediately, all new features that are web-exposed are to be restricted to secure contexts. Web-exposed means that the feature is observable from a web page or server, whether through JavaScript, CSS, HTTP, media formats, etc. A feature can be anything from an extension of an existing IDL-defined object, a new CSS property, a new HTTP response header, to bigger features such as WebVR. In contrast, a new CSS color keyword would likely not be restricted to secure contexts.

Exceptions to requiring secure contexts
There is room for exceptions, provided justification is given to the dev.platform mailing list. This can either be inside the “Intent to Implement/Ship” email or a separate dedicated thread. It is up to Mozilla’s Distinguished Engineers to judge the outcome of that thread and ensure the dev.platform mailing list is notified. Expect to be granted an exception if:

other browsers already ship the feature insecurely
it can be demonstrated that requiring secure contexts results in undue implementation complexity."
ЧТОА? Давайте требовать HTTPS для ВСЕХ новых фич с целью проталкивания HTTPS, ДАЖЕ если для данной фичи это ничего ровным счетом не дает?
Ну то есть говорят они, вау, будем поддерживать скажем воспроизведение MKV в браузере, но только по https? Я все понимаю, и дичайше одобряю HTTPS, но это уже маразм.

Rumpelstilzchen

Что-что? Говорите Файрфокс уже отбился от Spectre? Нет, не похоже -
https://bugzilla.mozilla.or...w_bug.cgi?id=1430051
https://bugzilla.mozilla.or...w_bug.cgi?id=1430049
https://bugzilla.mozilla.or...w_bug.cgi?id=1432207

Rumpelstilzchen

PREPARE URANUS (вообще-то нет).

Firefox будет показывать рекламну на пустых новых вкладках (about:newtab) - https://blog.mozilla.org/fu...firefox-integration/
Реклама будет идти силами Pocket, который Мозилла купила прау лет тому назад и с тех пор активно интегрирует в браузер. Сейчас Карман показывает "персонализированные рекомендации" (не реклама, просто релевантный контент) некоторым юзерам в ШСА, Канаде и Неметчине, а в 2018-ом планирует начать показывать пользователям из ШСА еще и проплаченные ссылочки.
О других странах инфы нет. Впрочем борщ-ниггерам из РФии опасаться нечего, we haev no money.

Rumpelstilzchen

В это сложно поверить, но в ФФ 60 Мурзилла хочет наконец-то поддержку всяких разных корпоративных политик запилить - https://bugzilla.mozilla.or...w_bug.cgi?id=1428920 [meta] Enterprise policies to be implemented by ESR 60
И работа поперла уже, поперла! Причем там тааакое зло в политиках, вроде "Не разрешать установку расширений", "не запоминать пароли", "выключить историю", "выключить кэш"...
Ад какой-то.

Rumpelstilzchen

Мозилла такая Мозилла,а линуксоиды такие линуксоиды. Патчи для поддержки Вейланда пишет Мартин Странски из Федоры, а ревью им делает Ян Хорак из Красной Шапочки. Рукалицо.
С другой стороны посомтрим сюда https://hardware.metrics.mozilla.com/ - это статистика по "железу" юзеров (собирается той самой стукалкой-телеметрией которую особо параноидальные личности призывают отключать). Для линуксов статистика соибарется с мозилловских и убунтушных билдов (и только, у всех остальных дистров прайваси опухло).
Итого выходит примерно 2.5% линуксовидов во всей "видимой Мозиллой" массе пользователей. Ну и что вы хотите после этого?
Пилите, Шура, то есть Мартин, пилите, сказала Мозилла.
Сначала вырубают телеметрию, а потом ноют "как, нас всего одна сороковая?"

Rumpelstilzchen

PREPARE UR....

Bug 635134 Firefox Wayland port

*"All base patches are in tree which means the wayland port can be built/run now. (on glibc systems only due to Bug 1409707).

All you need is to build trunk with:

ac_add_options --enable-default-toolkit=cairo-gtk3-wayland"*
https://bugzilla.mozilla.or...ug.cgi?id=635134#c81

Rumpelstilzchen

https://bugzilla.mozilla.or...w_bug.cgi?id=1429986 Add a telemetry to evaluate popularity of the Matroska

1) What questions will you answer with this data?
=> The popularity of Matroska video/audio format.

2) Why does Mozilla need to answer these questions? Are there benefits for users? Do we need this information to address product or business requirements? Some example responses:
=> Users are asking Firefox to support Matroska in bug 1422891. Before we make a decision, we need to know the popularity of this format.

3) What alternative methods did you consider to answer these questions? Why were they not sufficient?
=> No, we don't know other ways.

Оу Йес! Буду открывать MKV в браузере, улучшать мир :)
П.С. Никогда не видело mkv в вэбе как онлайн видео.

Rumpelstilzchen

Из интересного :
Bug 1428918 - Web Authentication - Enable in Nightly
Наконец-то официально включают U2F в ночнушке, официальный релиз ожидается в версии 60. Даешь токены, токенчики!
Bug 1424917 - Remove HSTS-Priming from codebase
Все, сдох ваш бобик! Никогда эта функция (прощупывание хостов на предмет наличия у них HTTPS) нормально не работала, а теперь они это признали. Не, затея была хорошая, но приводила к тормозам и глюкам.
Bug 1425056 - Implement parallel painting with OMTP tiled
очередное ускорение отрисовочки, теперь многопоточно™
А теперь PREPARE URANUS
Bug 1278282 - Remove the GTK2 code (MOZ_WIDGET_GTK == 2)
Да, гамы и доспода, поддержка GTK2 идет лесом, её выпиливают, причем напрочь, с GTK2 билдиться ФФ не будет начиная с 59-60 версии, так сказать пришло время обновлять GTK оно не обновит себя само. Шапка высказывала своё фи, но им предложили илбо сидеть на ESR либо пилить самим. Хз как пойдет.

Rumpelstilzchen

"Да, мы выпилили полновесные скины-темы, так как они не соответствовали новой Линии Партии, но теперь мы даем вам возможность раскрашивать браузер вручную, уряяя".

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.