@Rumpelstilzchen

Тег firefox в блоге Rumpelstilzchen

Rumpelstilzchen

Гвозди в гроб

1447831 https://bugzilla.mozilla.org/show_bug.cgi?id=1447831 [Toolkit:Add-ons Manager]-Remove front-end support for non-restartless add-ons [Uns][]

1448221 https://bugzilla.mozilla.org/show_bug.cgi?id=1448221 [Toolkit:Add-ons Manager]-Remove platform support for restart-required installs [Uns][]

Rumpelstilzchen

Пришлось таки с NoScript 5 переполти на "десяточку" (WebExt).
Слегка непривычно, канеш, но за последние месяцы его заметно допилили. "Дезигн" больше не едет во все стороны, тормозить тоже перестало (у первых NoScript вэбэкстеншнов были жуткие проблемы с производительностью под ляликсом).
"Не то", конечно, но жить можно. Мурзилла, зачем ты так, ну.

Rumpelstilzchen

Фсе, XUL аддоны преестали работать в Nightly окончательно.

Rumpelstilzchen

У нас все так хорошо с расширениями, ведь WebExt они же такие офигенные, не то что старые, ха-ха, XUL аддоны, поэтому мы срочно запиливаем конкурс на лучшие новые аддоны https://extensionschallenge.com/ и обещаем победителям ОйПоды.
Кстати Ойподы и Мозилла - это звучит дико, ониж идеологические враги.

Rumpelstilzchen

Bug 1444487 - Create new preference for whether langpacks must be signed
НО ЗАЧЕМ????

Rumpelstilzchen

Смех смехом, нов ночнушке уже по умолчанию выключили недоверие к Симантековским сертификатам. security.pki.distrust_ca_policy по умолчанию стало =0
С другой стороны, некоторые сайты начали чесаться и заменять сертификаты. Скажем тот же БимБомБанк.

Rumpelstilzchen

Let the Mortal Kombat Begin! https://bugzilla.mozilla.or...ug.cgi?id=1402064#c3
Thunderbird and Seamonkey add-ons will be removed from AMO (along with all the other non-webextension add-ons) sometime after 59 so the legacy API can go at the same time. Firefox using the legacy API is the blocker.
Тундра и Симанка таки не повелись на WebExt?

Rumpelstilzchen

Опомнились https://bugzilla.mozilla.or...w_bug.cgi?id=1437754 Add a pref to disable the Symantec distrust algorithm
This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257 https://bugzilla.mozilla.org/show_bug.cgi?id=1409257.
Забавно, но судя по https://bug1434300.bmoattac...hment.cgi?id=8953758 в списке протухших просто дофига банкоты : homecredit.ru [GeoTrust Global CA], rsb.ru [GeoTrust Primary Certification Authority], binbank.ru [thawte Primary Root CA], bm.ru [thawte Primary Root CA], psbank.ru [thawte Primary Root CA], my.pochtabank.ru [thawte Primary Root CA].
Спрашивается, почему все так запущенно?

Rumpelstilzchen

Продолжаю натыкаться на нужные сайты внезапно отвалившиеся из Симантек-а.
Скажем питерский Педроэлектросбыт - https://ikus.pesc.ru/
Не просто не арбайтен, а не облом 140% ибо :

This site uses HTTP Strict Transport Security (HSTS) to specify that Nightly may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
Маааалаццы. HSTS применили, инновационненько. В результате даже исключение добавить нельзя.

Rumpelstilzchen

HOLY SHIT! 23 февраля в Мозилле!
...Нет конечно, просто Мурзилла как и грозилась вырубила таки доверие к сайтам на Симантековских сертификатах, однако что-то пошло не так и в общем вот - https://bugzilla.mozilla.or...g.cgi?id=1434300#c81
Кол-во "кажется мы случайно" сайтов пошло уже к десяти тысячам.
Аплодируем стоя!
...P.S. Ну собственно, "не случайно". https://blog.qualys.com/ssl...ymantec-certificates
Просто оказалось что 1) Сертификатов выпущенных силами Симантек больше чем ожидалось 2) лосей которые не позаботились заменить сертификат на другой CA тоже дохрена. Скажем вот Промсвязьбанк не озаботились, лол, https://psbank.ru/
Рукалицо

Rumpelstilzchen

А в это время в Мозилле начали решать очередную странную задачу (истинно вам глаголю, братия, приоритеты Мозиллы - тайна велика).
Bug 1201590 - Implement DOM Bindings for WebMIDI API (!)
WebMIDI!!! ААААА!!!! Это правда такое нужное нечто?

Rumpelstilzchen

ACHTUNG! Очередное охуенное решение от Мурзиллы.

1435733 https://bugzilla.mozilla.org/show_bug.cgi?id=1435733 [Core:Security]-Consider upgrading mixed display content [All][]

Суть бага - если на секурной (https) странице имеется контент который грузится по http, то теперь ФФ будет пытаться грузить его по https, для секурности. Не совсем ясно что будет если скажем https-а на хосте нет, но что будет если он есть, но как обычно, настроен был когда-то, тестово, на старый домен, с самоподписанным сертификатом, который еще и протух? А будет тихое "упс" и ресурс просто не загрузится. Причем вы хрен поймете почему пока не посмотрите в сетевом мониторе из Developer Console.
security.mixed_content.upgrade_display_content в false = выключить.

Rumpelstilzchen

Пару слов о том какое все таки говно WebExt. Вот есть расширение - "Web Scrapbook" на замену старому Скрипбуку. Суть - сохранение страниц в архив для последующего доступа.
Чтож, аддон может сохранять страницы, НО...сохраняются они в безымянные zip архивы - это раз.
Индекса сохраненных страниц - нет. Это два.
Вернее сделать индекс можно, но надо ручками практически сгенерировать его кинув ПАПКУ со сохраненными страницами в специальное окно, получить ан выходе новых архив, их которого распаковать папочку с html, css, js - все это кинуть в другую папку и тогда как бе будет "индекс", который работать правда все равно не будет так как ФФ и расширение не может грузить свои же архивы напрямую - "так безопаснее, ибо никакого доступа к файлам". Это три.
А как же тогда смотреть страницы? А кидая их, ВРУЧНУЮ в другое специальное окно браузера. То есть в расширении жмете "просмотреть архивированную страницу", открывается вкладка с надписью "кидай сюда" и ты такой тянешь файлик в эту вкладку и там отображается запрошенная архивная страница. Это четыре.
А теперь вспомним как было раньше "в плохие времена" - тыкнул Сохранить, тут же удалили ненужные элементы со страницы вроде баннеров, разложил по папочкам. Но та технология была "плохая и старая".
Некоторые аддонописатели уже поняли, что кашу с таким топором не сварить и начали пилить более эзотерические варианты. Надежда у них на штуку называемую Native Messaging. Суть её в том, что можно так написать аддон, что он будет запускать нативное приложение вне ФФ, с которым можно общаться напрямую. Таким образом WebExt сможет рисовать гуй, а всякие сложные для реализации в ФФ операции делать в внешнем приложении.
Вот ScrapbookQ решили так и сделать. Но...
Начнем с того, что настройка - крайне корява, установит аддон, "сохранить" набор специальных файлов в заданной аддоном папке (и только там и нигде больше!), потом выполнить, самостоятельно, несколько команд в консоли, подправить пару конфигов, опять же руками (хотя это я думаю недоработка.)
И наконец если оно нормально заработает, то с выгвиглазным гуем (но уже с хотя бы работающим в сайдбаре индексом и возможностью как-то манипулировать сохраненным можно будет сохранять страницы. При этом правда все равно все это работает... изрядно коряво, но хоть как-то.
В общем я хз, все таки Мозилла выстрелили себе в ногу как ни крути. Вместо старомодных, но мощных аддонов мы получили "зато как в Хроме".
...при этом с интересными ремарками от аддонодевов вроде "Local links to an HTZ or MAFF file cannot be opened normally since "Allow access to file URLs" is not supported by the browser."
Зато Мозилловцы активно пилят "свои" API которых нету в Хроме. В результате выходит чтов плане написания аддонов Хром и ФФ конечно стали ближе, но совершенно нихрена никакой "совместимости" нет.

Rumpelstilzchen

Еще один https://bugzilla.mozilla.or...w_bug.cgi?id=1434230 - Spectre mitigations for strings
включатель javascript.options.spectre.string_mitigations
И еще https://bugzilla.mozilla.or...w_bug.cgi?id=1433111 Spectre mitigations for Value type checks
включатель javascript.options.spectre.value_masking
О времена, о нравы - браузеры из тупо отображалок HTML превратились в гибрид комбайна вроде Windows Media Player и осажденной крепости.

Rumpelstilzchen

Чуваки в Мозилле конечно быстро-эффективно пилят методы уклонения от Спектра, но...оказалось что чето договато выходит и там уже пошли эзотерические вуду-оптимизации.
Вот интересный бажек - https://bugzilla.mozilla.or...w_bug.cgi?id=1435209 с интересными результатами тестов, которые говорят что "цена" контр мер может достигать 10-20% от производительности жабаскрипта.
На 64 бит потери вцелом меньше, чем на 32 бит, так как на 32-ух битах менее эффективный алгоритм "маскировки", но все равно ощутимо.
Настройка которая за это безобразие отвечатет, кстати - javascript.options.spectre.index_masking
Короче, еще долго будет пригорать от этого всего...

Rumpelstilzchen

А в это время в ФФ исправили баг Bug 1420485 - Clear the tabs.insertCSS cssCode once it has been converted into a data url
Казалось бы ну и что, но этот баг будет люто интересен любителям Адблоков, У-блоков и тому подобного.
Дело в том, что суть этих расширений сводится, по большей части, в подгрузке в каждую вкладку, страницу, фрейм своих правил CSS которые скрывают всякий разный "рекламный скам". Размер этих css правил может достигать 400-600кб на каждую открытую вкладку\фрейм, что приводитк интересным объемам отожранной памяти при большом кол-ве вкладок.
Теперь же в ФФ ввели своего рода дедупликацию данных таблиц стилей подгружаемых аддоном, что приводит к резкому уменьшению использования памяти блокировщиками рекламы.

Пример - Адблок https://bug1420485.bmoattac...hment.cgi?id=8947448
Ублок - https://bug1420485.bmoattac...hment.cgi?id=8947446
Что любщпытно, Ублок показывает значительно меньший выигрыш в памяти.
Исправление уже в ФФ 60 и скорее всего войдет в ФФ 59. ФФ58 - wontfix

Rumpelstilzchen

Старый движек CSS (тот который часть Gecko, а не Stylo, который часть Servo) предпологается снести нахрен в ФФ 60 - https://bugzilla.mozilla.or...w_bug.cgi?id=1395112
Теперь понятно, почему ESR отложили до 60 - планов громадье. Так, продолжается, активно, внедрение групповых политик, реализован окончательно сендбоксинг для аудио под линуксами (и под маками скорее всего), CSD может быть всключен всем по умолчанию в ФФ60, и кто знает, возможно и поддержка Wayland будет включена тоже.

А в это время Гугл соибрается включить по умолчаниюв ближайших релизах WebAuthn, так что есть надежда что поддержка U2F токенов в вэбе наконец-то сдвинется с места (у собственно U2F стандарта есть куча разночтений, которые устранили в WebAuthn).

Rumpelstilzchen

Вот читаю про ФФ 58 для андроид
"Улучшения версии Firefox 58 для Android:
Добавлена поддержка приложений, работающих в режиме Progressive Web Apps (PWA), позволяющем организовать работу с web-приложением, как с обычной программой для Android (установка на домашний экран, отображение в списке запущенных программ, выполнение деинсталляции, средства для получения запросов от других приложений, свой блок настроек в системном конфиругаторе, управление уведомлениями, работа при отсутствии сетевого соединения и т.п.);"
Я что-то не пойму, так у них же было уже что-то такое, разве нет? Mozilla Marketplace там, которые ставили приложения на телефон, даже apk-шечки на лету компилировались как-то. Опять за старое?

Rumpelstilzchen

А вот еще смешно
"Guidelines for Mozillians developing new features
The following is put forward as a set of guidelines for Mozillians -- especially module owners and peers -- to refer to while developing new APIs for the Web. The primary question that must be asked is:

Is this good for the web?
If the answer to that question is yes, look below for some guidance on how you should proceed with shipping your new feature. Note that trivial changes need not worry about these suggested guidelines."

Когда они вводили DRM они тоже задавались этим вопросом? Или посчитали его "тривиальным".

Rumpelstilzchen

"Requiring secure contexts for all new features
Effective immediately, all new features that are web-exposed are to be restricted to secure contexts. Web-exposed means that the feature is observable from a web page or server, whether through JavaScript, CSS, HTTP, media formats, etc. A feature can be anything from an extension of an existing IDL-defined object, a new CSS property, a new HTTP response header, to bigger features such as WebVR. In contrast, a new CSS color keyword would likely not be restricted to secure contexts.

Exceptions to requiring secure contexts
There is room for exceptions, provided justification is given to the dev.platform mailing list. This can either be inside the “Intent to Implement/Ship” email or a separate dedicated thread. It is up to Mozilla’s Distinguished Engineers to judge the outcome of that thread and ensure the dev.platform mailing list is notified. Expect to be granted an exception if:

other browsers already ship the feature insecurely
it can be demonstrated that requiring secure contexts results in undue implementation complexity."
ЧТОА? Давайте требовать HTTPS для ВСЕХ новых фич с целью проталкивания HTTPS, ДАЖЕ если для данной фичи это ничего ровным счетом не дает?
Ну то есть говорят они, вау, будем поддерживать скажем воспроизведение MKV в браузере, но только по https? Я все понимаю, и дичайше одобряю HTTPS, но это уже маразм.

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.