Firefox 74终止侧加载扩展组件安装支持并停用TLS 1.0/1.1

Mozilla发布最新Firefox 74,这个版本有许多重要的变更,包括Mozilla正式结束侧加载扩展组件的支持,而对开发者重要的更新,则是Firefox 74开始停用TLS 1.0和TLS 1.1,并默认激活功能政策(Feature Policy),以及支持跨来源资源政策(Cross-Origin-Resource-Policy,CORP)标头,另外,还增加新的CSS文本功能。

去年Mozilla就预告将逐步取消侧加载扩展组件,而在Firefox 74终于正式寿终正寝。侧加载是一种安装Firefox扩展组件的方法,但这种安装方法不需要用户参与,因此用户无法自行决定安装扩展组件与否,而且也无法从扩展组件管理器中删除。过去就曾有恶意软件利用这个机制,入侵用户的Firefox,且滥用回应中的问题第一名,便是Firefox未经用户同意,直接安装扩展组件,而这些扩展组件都是以侧加载方法发布的。

从Firefox 74开始,所有扩展组件的安装,都需要用户明确参与,在用户更新到Firefox 74时,Firefox不会主动删除之前以侧加载安装的扩展组件,用户需要手动从扩展组件管理器中删除。现在Firefox会阻挡新的侧加载扩展组件,不过开发者仍然可以对以前就安装的侧加载扩展组件推送更新。不过,企业管理员以及其他组织自行发布的Firefox版本,仍然可以通过侧加载部署扩展组件,延长支持版本(ESR)也会继续支持侧加载安装方法。

Firefox 74也取消了对TLS 1.0/1.1的支持,以促进整体网页平台的安全性,Mozilla表示,这对于推动TLS向前发展至关重要,可摆脱存在于TLS 1.0/ 1.1中的各种漏洞。从现在开始,开发者需要确定网页服务器支持TLS 1.2或1.3,当与服务器的连接仍使用旧版TLS,Firefox会回传安全连接失败(Secure Connection Failed)的错误消息。在接下来几个发布版中,安全连接失败错误页面会有复写按钮,预防开发者的服务器仍在使用TLS 1.0/1.1,但这项功能不会持续太久。

现在Firefox也开始默认激活功能政策(Feature Policy),功能政策是让开发者在顶级页面和嵌入式框架中,控制来源(Origin)可以使用的功能,开发者可以为来源编写允许来源列表,只有在允许列表中的来源,才能在当前文件或是框架中使用该功能,当开发者没有为功能指定策略,则Firefox会使用默认的允许列表。另外,Firefox 74还支持跨来源资源政策标头,该标头让网站和应用程序,能够阻挡特定跨来源的请求,以减轻像是Spectre和Meltdown等推测性旁路攻击,以及跨站脚本附带攻击。

在CSS文本功能上,Firefox 74默认激活text-underline-position属性,以更好地处理文本底线效果,使用text-underline-position: under,可以将底线放在字母降部的下方,增加经常性使用下标的化学式或是数学公式的可读性。

发表评论