Bug 1444487 - Create new preference for whether langpacks must be signed
НО ЗАЧЕМ????

Смех смехом, нов ночнушке уже по умолчанию выключили недоверие к Симантековским сертификатам. security.pki.distrust_ca_policy по умолчанию стало =0
С другой стороны, некоторые сайты начали чесаться и заменять сертификаты. Скажем тот же БимБомБанк.

Let the Mortal Kombat Begin! https://bugzilla.mozilla.or...ug.cgi?id=1402064#c3
Thunderbird and Seamonkey add-ons will be removed from AMO (along with all the other non-webextension add-ons) sometime after 59 so the legacy API can go at the same time. Firefox using the legacy API is the blocker.
Тундра и Симанка таки не повелись на WebExt?

Опомнились https://bugzilla.mozilla.or...w_bug.cgi?id=1437754 Add a pref to disable the Symantec distrust algorithm
This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257 https://bugzilla.mozilla.org/show_bug.cgi?id=1409257.
Забавно, но судя по https://bug1434300.bmoattac...hment.cgi?id=8953758 в списке протухших просто дофига банкоты : homecredit.ru [GeoTrust Global CA], rsb.ru [GeoTrust Primary Certification Authority], binbank.ru [thawte Primary Root CA], bm.ru [thawte Primary Root CA], psbank.ru [thawte Primary Root CA], my.pochtabank.ru [thawte Primary Root CA].
Спрашивается, почему все так запущенно?

Продолжаю натыкаться на нужные сайты внезапно отвалившиеся из Симантек-а.
Скажем питерский Педроэлектросбыт - https://ikus.pesc.ru/
Не просто не арбайтен, а не облом 140% ибо :

This site uses HTTP Strict Transport Security (HSTS) to specify that Nightly may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
Маааалаццы. HSTS применили, инновационненько. В результате даже исключение добавить нельзя.

HOLY SHIT! 23 февраля в Мозилле!
...Нет конечно, просто Мурзилла как и грозилась вырубила таки доверие к сайтам на Симантековских сертификатах, однако что-то пошло не так и в общем вот - https://bugzilla.mozilla.or...g.cgi?id=1434300#c81
Кол-во "кажется мы случайно" сайтов пошло уже к десяти тысячам.
Аплодируем стоя!
...P.S. Ну собственно, "не случайно". https://blog.qualys.com/ssl...ymantec-certificates
Просто оказалось что 1) Сертификатов выпущенных силами Симантек больше чем ожидалось 2) лосей которые не позаботились заменить сертификат на другой CA тоже дохрена. Скажем вот Промсвязьбанк не озаботились, лол, https://psbank.ru/
Рукалицо

А в это время в Мозилле начали решать очередную странную задачу (истинно вам глаголю, братия, приоритеты Мозиллы - тайна велика).
Bug 1201590 - Implement DOM Bindings for WebMIDI API (!)
WebMIDI!!! ААААА!!!! Это правда такое нужное нечто?

ACHTUNG! Очередное охуенное решение от Мурзиллы.

1435733 https://bugzilla.mozilla.org/show_bug.cgi?id=1435733 [Core:Security]-Consider upgrading mixed display content [All][]

Суть бага - если на секурной (https) странице имеется контент который грузится по http, то теперь ФФ будет пытаться грузить его по https, для секурности. Не совсем ясно что будет если скажем https-а на хосте нет, но что будет если он есть, но как обычно, настроен был когда-то, тестово, на старый домен, с самоподписанным сертификатом, который еще и протух? А будет тихое "упс" и ресурс просто не загрузится. Причем вы хрен поймете почему пока не посмотрите в сетевом мониторе из Developer Console.
security.mixed_content.upgrade_display_content в false = выключить.

Пару слов о том какое все таки говно WebExt. Вот есть расширение - "Web Scrapbook" на замену старому Скрипбуку. Суть - сохранение страниц в архив для последующего доступа.
Чтож, аддон может сохранять страницы, НО...сохраняются они в безымянные zip архивы - это раз.
Индекса сохраненных страниц - нет. Это два.
Вернее сделать индекс можно, но надо ручками практически сгенерировать его кинув ПАПКУ со сохраненными страницами в специальное окно, получить ан выходе новых архив, их которого распаковать папочку с html, css, js - все это кинуть в другую папку и тогда как бе будет "индекс", который работать правда все равно не будет так как ФФ и расширение не может грузить свои же архивы напрямую - "так безопаснее, ибо никакого доступа к файлам". Это три.
А как же тогда смотреть страницы? А кидая их, ВРУЧНУЮ в другое специальное окно браузера. То есть в расширении жмете "просмотреть архивированную страницу", открывается вкладка с надписью "кидай сюда" и ты такой тянешь файлик в эту вкладку и там отображается запрошенная архивная страница. Это четыре.
А теперь вспомним как было раньше "в плохие времена" - тыкнул Сохранить, тут же удалили ненужные элементы со страницы вроде баннеров, разложил по папочкам. Но та технология была "плохая и старая".
Некоторые аддонописатели уже поняли, что кашу с таким топором не сварить и начали пилить более эзотерические варианты. Надежда у них на штуку называемую Native Messaging. Суть её в том, что можно так написать аддон, что он будет запускать нативное приложение вне ФФ, с которым можно общаться напрямую. Таким образом WebExt сможет рисовать гуй, а всякие сложные для реализации в ФФ операции делать в внешнем приложении.
Вот ScrapbookQ решили так и сделать. Но...
Начнем с того, что настройка - крайне корява, установит аддон, "сохранить" набор специальных файлов в заданной аддоном папке (и только там и нигде больше!), потом выполнить, самостоятельно, несколько команд в консоли, подправить пару конфигов, опять же руками (хотя это я думаю недоработка.)
И наконец если оно нормально заработает, то с выгвиглазным гуем (но уже с хотя бы работающим в сайдбаре индексом и возможностью как-то манипулировать сохраненным можно будет сохранять страницы. При этом правда все равно все это работает... изрядно коряво, но хоть как-то.
В общем я хз, все таки Мозилла выстрелили себе в ногу как ни крути. Вместо старомодных, но мощных аддонов мы получили "зато как в Хроме".
...при этом с интересными ремарками от аддонодевов вроде "Local links to an HTZ or MAFF file cannot be opened normally since "Allow access to file URLs" is not supported by the browser."
Зато Мозилловцы активно пилят "свои" API которых нету в Хроме. В результате выходит чтов плане написания аддонов Хром и ФФ конечно стали ближе, но совершенно нихрена никакой "совместимости" нет.

Еще один https://bugzilla.mozilla.or...w_bug.cgi?id=1434230 - Spectre mitigations for strings
включатель javascript.options.spectre.string_mitigations
И еще https://bugzilla.mozilla.or...w_bug.cgi?id=1433111 Spectre mitigations for Value type checks
включатель javascript.options.spectre.value_masking
О времена, о нравы - браузеры из тупо отображалок HTML превратились в гибрид комбайна вроде Windows Media Player и осажденной крепости.

Чуваки в Мозилле конечно быстро-эффективно пилят методы уклонения от Спектра, но...оказалось что чето договато выходит и там уже пошли эзотерические вуду-оптимизации.
Вот интересный бажек - https://bugzilla.mozilla.or...w_bug.cgi?id=1435209 с интересными результатами тестов, которые говорят что "цена" контр мер может достигать 10-20% от производительности жабаскрипта.
На 64 бит потери вцелом меньше, чем на 32 бит, так как на 32-ух битах менее эффективный алгоритм "маскировки", но все равно ощутимо.
Настройка которая за это безобразие отвечатет, кстати - javascript.options.spectre.index_masking
Короче, еще долго будет пригорать от этого всего...

А в это время в ФФ исправили баг Bug 1420485 - Clear the tabs.insertCSS cssCode once it has been converted into a data url
Казалось бы ну и что, но этот баг будет люто интересен любителям Адблоков, У-блоков и тому подобного.
Дело в том, что суть этих расширений сводится, по большей части, в подгрузке в каждую вкладку, страницу, фрейм своих правил CSS которые скрывают всякий разный "рекламный скам". Размер этих css правил может достигать 400-600кб на каждую открытую вкладку\фрейм, что приводитк интересным объемам отожранной памяти при большом кол-ве вкладок.
Теперь же в ФФ ввели своего рода дедупликацию данных таблиц стилей подгружаемых аддоном, что приводит к резкому уменьшению использования памяти блокировщиками рекламы.

Пример - Адблок https://bug1420485.bmoattac...hment.cgi?id=8947448
Ублок - https://bug1420485.bmoattac...hment.cgi?id=8947446
Что любщпытно, Ублок показывает значительно меньший выигрыш в памяти.
Исправление уже в ФФ 60 и скорее всего войдет в ФФ 59. ФФ58 - wontfix

Старый движек CSS (тот который часть Gecko, а не Stylo, который часть Servo) предпологается снести нахрен в ФФ 60 - https://bugzilla.mozilla.or...w_bug.cgi?id=1395112
Теперь понятно, почему ESR отложили до 60 - планов громадье. Так, продолжается, активно, внедрение групповых политик, реализован окончательно сендбоксинг для аудио под линуксами (и под маками скорее всего), CSD может быть всключен всем по умолчанию в ФФ60, и кто знает, возможно и поддержка Wayland будет включена тоже.

А в это время Гугл соибрается включить по умолчаниюв ближайших релизах WebAuthn, так что есть надежда что поддержка U2F токенов в вэбе наконец-то сдвинется с места (у собственно U2F стандарта есть куча разночтений, которые устранили в WebAuthn).

Вот читаю про ФФ 58 для андроид
"Улучшения версии Firefox 58 для Android:
Добавлена поддержка приложений, работающих в режиме Progressive Web Apps (PWA), позволяющем организовать работу с web-приложением, как с обычной программой для Android (установка на домашний экран, отображение в списке запущенных программ, выполнение деинсталляции, средства для получения запросов от других приложений, свой блок настроек в системном конфиругаторе, управление уведомлениями, работа при отсутствии сетевого соединения и т.п.);"
Я что-то не пойму, так у них же было уже что-то такое, разве нет? Mozilla Marketplace там, которые ставили приложения на телефон, даже apk-шечки на лету компилировались как-то. Опять за старое?

А вот еще смешно
"Guidelines for Mozillians developing new features
The following is put forward as a set of guidelines for Mozillians -- especially module owners and peers -- to refer to while developing new APIs for the Web. The primary question that must be asked is:

Is this good for the web?
If the answer to that question is yes, look below for some guidance on how you should proceed with shipping your new feature. Note that trivial changes need not worry about these suggested guidelines."

Когда они вводили DRM они тоже задавались этим вопросом? Или посчитали его "тривиальным".

"Requiring secure contexts for all new features
Effective immediately, all new features that are web-exposed are to be restricted to secure contexts. Web-exposed means that the feature is observable from a web page or server, whether through JavaScript, CSS, HTTP, media formats, etc. A feature can be anything from an extension of an existing IDL-defined object, a new CSS property, a new HTTP response header, to bigger features such as WebVR. In contrast, a new CSS color keyword would likely not be restricted to secure contexts.

Exceptions to requiring secure contexts
There is room for exceptions, provided justification is given to the dev.platform mailing list. This can either be inside the “Intent to Implement/Ship” email or a separate dedicated thread. It is up to Mozilla’s Distinguished Engineers to judge the outcome of that thread and ensure the dev.platform mailing list is notified. Expect to be granted an exception if:

other browsers already ship the feature insecurely
it can be demonstrated that requiring secure contexts results in undue implementation complexity."
ЧТОА? Давайте требовать HTTPS для ВСЕХ новых фич с целью проталкивания HTTPS, ДАЖЕ если для данной фичи это ничего ровным счетом не дает?
Ну то есть говорят они, вау, будем поддерживать скажем воспроизведение MKV в браузере, но только по https? Я все понимаю, и дичайше одобряю HTTPS, но это уже маразм.

Что-что? Говорите Файрфокс уже отбился от Spectre? Нет, не похоже -
https://bugzilla.mozilla.or...w_bug.cgi?id=1430051
https://bugzilla.mozilla.or...w_bug.cgi?id=1430049
https://bugzilla.mozilla.or...w_bug.cgi?id=1432207

PREPARE URANUS (вообще-то нет).

Firefox будет показывать рекламну на пустых новых вкладках (about:newtab) - https://blog.mozilla.org/fu...firefox-integration/
Реклама будет идти силами Pocket, который Мозилла купила прау лет тому назад и с тех пор активно интегрирует в браузер. Сейчас Карман показывает "персонализированные рекомендации" (не реклама, просто релевантный контент) некоторым юзерам в ШСА, Канаде и Неметчине, а в 2018-ом планирует начать показывать пользователям из ШСА еще и проплаченные ссылочки.
О других странах инфы нет. Впрочем борщ-ниггерам из РФии опасаться нечего, we haev no money.

В это сложно поверить, но в ФФ 60 Мурзилла хочет наконец-то поддержку всяких разных корпоративных политик запилить - https://bugzilla.mozilla.or...w_bug.cgi?id=1428920 [meta] Enterprise policies to be implemented by ESR 60
И работа поперла уже, поперла! Причем там тааакое зло в политиках, вроде "Не разрешать установку расширений", "не запоминать пароли", "выключить историю", "выключить кэш"...
Ад какой-то.

Мозилла такая Мозилла,а линуксоиды такие линуксоиды. Патчи для поддержки Вейланда пишет Мартин Странски из Федоры, а ревью им делает Ян Хорак из Красной Шапочки. Рукалицо.
С другой стороны посомтрим сюда https://hardware.metrics.mozilla.com/ - это статистика по "железу" юзеров (собирается той самой стукалкой-телеметрией которую особо параноидальные личности призывают отключать). Для линуксов статистика соибарется с мозилловских и убунтушных билдов (и только, у всех остальных дистров прайваси опухло).
Итого выходит примерно 2.5% линуксовидов во всей "видимой Мозиллой" массе пользователей. Ну и что вы хотите после этого?
Пилите, Шура, то есть Мартин, пилите, сказала Мозилла.
Сначала вырубают телеметрию, а потом ноют "как, нас всего одна сороковая?"