Состоялся релиз web-браузера Firefox 135 и сформированы обновления прошлых веток с длительным сроком поддержки - 115.20.0 и 128.7.0. На стадию бета-тестирования переведена ветка Firefox 136, релиз которой намечен на 4 марта...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62672
> Для сжатия сборок Firefox для платформы Linux задействован формат XZтот самый ?)
> 3 уязвимостей, помеченные как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти.ha-ha, classic (c)
>> 3 уязвимостей, помеченные как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти.
> ha-ha, classic (c)Это ж они раст изобрели?
но использовать не научились
Это была шутка, но никто не понял.
Шутку никто не понял потому что там нет состава шутки. В кодовой базе Firefox содержится 10 милионов строк кода на дыряшке и производном от неё языке. Изобретение Rust никак не делает существующий код безопаснее.Как говорится, "the joke is on you".
Да, но у них куча кода не цепепе написано.
Это ошибка в коде с языком программирования Rust или C++. Кода на чистом Си в Мозилле нет.
Это никакой не чистый Си, а оригинальный. Хуже, это идеалогия *засилия над С++ синтаксисом* - ООП'ом.Если бы на нём или хотя бы на С++ синтексисе писали без злоупотребления ООП (начиная с библиотек стандартных class'ов)
- глядишь и указанных ошибок не возникло бы...
т.к.другая культура написания кода.P.S.
А, то что тут обсуждаются такие мелочи как баги программиств С++ и обсиры из разряда какой узык программирования лучше - вместо массовых возмущений offline-анальных-зондов под видом уже и ИИ в FF - это печально...
т.к.говорит о уровне даже opennet'овцев, ещё мангу пообсуждали бы, с таким дном вместо security-озабоченных гиков - у человечества пожалуй нет шансов.
На оффтопе сломали рендеринг шрифтов, причем только в интерфейсе. Уже откатился. Надо замаскировать ебилд от греха подальше
А в чем грех-то?
Самому собирать фаерфокс из исходников - и смех, и грех
> Самому собирать фаерфокс из исходников - и смех, и грехВам это доставляет какие-то особые неудобства?
>Самому собирать фаерфокс из исходников - и смех, и грехПричём здесь сборка Лисы? На офтопе - Windows он заметил баги.
В том чтобы гов*якать отличный браузер сомнительными экспериментами
, вестимо.
Очень интересно, правда.
Чтобы новая "фича" не прилетела еще и в линуксовую версию.
Или ты про УМВР? Тогда это не ко мне.
Что такое оффтоп, почему о нем на нем пишете? "разве упоминая, мы не упоминаем то, что не нужно упоминать?" (Очень Страшное Кино 4)
Отставить истерику. Я использую Firefox на Windows, GNU/Linux, FreeBSD, macOS и на Android тоже. Просто надоело применять фиксы везде, где я его юзаю. Предыдущие исправления, такие как скрытие кнопки табов, отключение кнопки расширений, отключение боковой панельки, было очень легко реализовать, но побороть поломанные шрифты через настройки не удалось. Да они и не менялись при обновлении на 135-ю версию.
Если простыми словами, баг выглядит как будто разрешение символов в шрифте увеличили, и вставили его в старую сетку меньшего разрешения. Из-за этого все символы стали выглядеть:
1. Мельче
2. Насыщеннее
3. Появилась "радуга" от субпиксельного сглаживания, хотя везде включен grayscale-режим сглаживания (браузер перестал подхватывать настройки системы?)
4. Символы стало "песочить", как будто сглаживание неправильно работает
5. Некоторые наборы символов, например, цифры, стали выглядеть так, будто их взяли из другого шрифта (явно контрастируют по начертанию с остальным текстом)
Это сделало текст в интерфейсе браузера неприятным для восприятия. При этом на самих страницах все осталось, как и прежде. В сообщении выше я просто констатировал факт наличия у меня этого глюка (глюка-ли?), а также желание предотвратить его потенциальное появление на других платформах, где я использую "Лису".
Вообще, в последние несколько лет в интерфейс браузера добавляют всякие свистоперделки, которые я для себя считаю ненужными. Я не против изменений в функционале выбранного браузера, но вот такие моменты конкретно не понимаю. Зачем так делать, если все работало?
Также выразил необходимость в моем случае остановить дальнейшие обновления браузера, упомянув используемую Генту.
> о нем на нем пишетеСколько не читаю Опеннет, к отзывам на открытый софт на разных платформах, в том числе и на "Винде", здесь относились весьма лояльно. У вас именно ко мне притензия?
>На оффтопе сломали рендеринг шрифтов, причем только в интерфейсеgfx.font_rendering.cleartype_params.force_gdi_classic_for_families --> Arial,Consolas,Courier New,Microsoft Sans Serif,Segoe UI,Tahoma,Trebuchet MS,Verdana
gfx.font_rendering.cleartype_params.force_gdi_classic_max_size --> 15
вроде возвращает старое поведение
Подтверждаю. Кстати, можно только первую строчку с семействами вставить, размер можно не менять.
Ну так вы уже отослли же report?...
Какой репорт еще. Они поменяли дефолтный шрифт под винду, а еще GDI рендер шрифтов выпиливают. На эту тему есть не один issue - они не только в курсе, они сознательно это делают.
> Доступен для всех пользователей встроенный AI-чатботА вы тут сокрушались "что в браузере делает PDF-просмотрщик?".
ниче туда не встроили, там просто веб интерфейс который дергает api ботов по сети, бесполезное короче
Вполне полезная фича. Быстрый доступ, без открытия доп. вкладки + не мешает переключаться между вкладками, оставаясь на виду
Нужно добавить ещё и интеграцию с соцсетями.
Вам в оперу.
Нуна! Опера еще хуже хромого.
Чем?
Не osc (точней - не полностью...).
По кр.мере так было после перехода на Хромиум 15 лет назад и её "открытия".Вроде бы, уже меньше анальных зондов чем в FF, если считать с под предлогом ИИ помощников [встроенных]. Лучше понятно не всем пользователя, ведь невежд и идиотов в мире - абсолютное большнитсов, так что лучше.
даешь окно васапа в верхнюю панель ??
ВЕСЬ данный функционал можно реализовать плагинами. Могли бы просто добавить плагины по-умолчанию, заодно будет ещё один способ заработка.
Лучший браузер стал ещё лучше!
Ещё хуже.
Удивило. А это браузер?
Он был. До огугливания.
> (атакующий может осуществить DDoS-атаку на OCSP-сервер для блокировки обработки запросов).то есть задосить какой-нибудь http://r11.o.lencr.org легче чем "БД Mozilla"?
пс: а какого Х они тогда выпиливали возможность использование пользовательского CRL? А кто мозилловский CRL будет подписывать?
Решить вопрос с конфиденциальностью пользовательских запросов можно, переложив ответственность на сами веб сервера, они обращаются к OCSP серверу CA которым подписан сертификат, получают ответ и прицепляют при передаче клиенту (степлинг) и все. Степлинг форсировать и делов то. А нет, надо же сделать так как требует "контора".
Проблема в том, что серверов огромное количество. Это "заставишь" займёт уйму времени. И многие, как обычно, прозевают вспышку и ты получишь кучу разъярённых пользователей, у которых "сайт не открывается".При этом, сертификаты и так уже давно поддерживают CT. Поэтому, вместо того, чтобы прессовать 100500 серверов, проще тянуть базу со своего сервера.
> Проблема в том, что серверов огромное количество.А на инфраструктуру того же CT - не займет? Или на инфраструктуру той же мозиллы со своим CRL всех CA? В чем проблема LE в поддержке инфраструктуре? В деньгах? Думаю нет, ответ ниже.
> Поэтому, вместо того, чтобы прессовать 100500 серверов, проще тянуть базу со своего сервера.
Если есть CT, зачем нужен вообще CRL? Зачем мозилле создавать и поддерживать инфраструктуру CRL всех доверенных CA? Модель безопасТности на базе CRL полностью уступает онлайновой проверке на базе OCSP.
пс:
А теперь собственно ответ, все становится очевидным взглянув на логотипы компаний вот тут https://certificate.transparency.dev/
Подмять под "себя" все независимые CA, чтобы кроме "хозяев" тех самых логотипов, никто не пытался промитмить без ведома этих же "хозяев". Каким боком механизм CT позволит сторонним "мониторам" выявлять несанкционированную выписку сертификата на какой-либо домен? Допустим в логах засветились две записи о сертификатах на один и тот же домен, в чем проблема? Нельзя иметь два сертификата на один домен? Кто сказал? Как может понять третья сторона (монитор), что это нормальный случай (санкционирован владельцем домена) или чья-то попытка митма? Ответ - никак, забить тревогу может только сам владелец домена, и отозвать, имеет право только он. Отсюда механизм CT ничем не лучше механизма OCSP и даже хуже, с точки зрения независимости CA. А чтобы монитор вам оповещал о "странных операциях" связанных с вашим доменом, то вам надо ему за это заплатить. Зачем делать что-то по определению безопасТное, если можно на дырявом зарабатывать?
пс2: блокчейн разбитый на куски? мне лень разбирать это, кто в курсе на сколько правильно это все сделано?
Let's Encrypt в любом случае с августа 2025 г. (когда старые сертификаты истекут естественным путём) совсем прекратит поддержку OCSP:
А че они парятся? пусть сократят срок сертификата до 1 дня и дело то, тут даже списки отзыва на Х не нужны, ведь получение нового сертификата уже автоматизировано всякими там ACME.Повторяю OCSP Stapling со стороны серверов решает вопрос конфиденциальности пользователя, и снижает нагрузку на те самые OCSP сервера, выставляя сроки валидности ответа.
А тут получается снизив даже валидность сертификатов до 1 дня, мы увеличиваем нагрузку на систему CA, которая подписывает сертификаты. Тут надо правильный баланс найти, между максимальной безопасТностью и расходами на инфраструктуру от растущей нагрузки. OCSP Stapling самый идеальный вариант даже если срок обычного сертификата будет составлять десятки лет.
Тут есть такая штука. Самый популярный браузер (хром) кладёть болтъ на OCSP, не проверят сам и даже не смотрит на прикреплённые... ну и зачем оно в таком виде? Фаерфокс да, смотрит. и если с сервера приезжает невалидный прикреплённый, то да, орёт. ну и сколько там того фаерфокса ? всем хромам при той же ситуации по барабану, что сертификат уже отозван..
> Тут есть такая штука.Кек, не удивили, хуже ФФ эт тока хромой.
Дык ФФ уже на обе ноги хромает.
OCSP — бессмысленная технология, что-то уровня FTP, только у первого хотя бы какое-то применение всё же было на тех же помойных хостингах, а у OCSP только одно: греть планету.
Вот они даже расширение к сертификатам добавили, и что в итоге? Зададим вопрос тому же летсэнкрипту, вы в чьих интересах работаете? Ответ: в интересах тех, кто нам платит."""
Let’s Encrypt has supported OCSP Must Staple for a long time, because of the potential to improve both privacy and security. However, Must Staple has failed to get wide browser support after many years. And popular web servers still implement OCSP Stapling in ways that create serious risks of downtime.As part of removing OCSP, we’ll also be removing support for OCSP Must Staple. CRLs have wide browser support and can provide privacy benefits to all sites, without requiring special web server configuration. Thanks to all our subscribers who have helped with the OCSP Must Staple experiment.
"""
"""
but CRLs have significant advantages over OCSP
"""ШТА? почему молчат инфобезники? Это что за ересь? OCSP намного оперативнее в плане безопасТности, чем тухлый CRL.
"""
Even when a CA intentionally does not retain this information, as is the case with Let’s Encrypt, CAs could be legally compelled to collect it. CRLs do not have this issue.
"""ШТА???? То есть юридически они могут собирать инфу о клиентах (запросах на проверку), а то , что они юридически еще и сертификаты для митма "конторе" выписывать могут, об этом они умолчали.
"""
For every year that we have existed, operating OCSP services has taken up considerable resources that can soon be better spent on other aspects of our operations.
"""ШТА???? то есть, мы жевали кактус под названием OCSP сервер (и по сей день использование OCSP ни в каком браузере не было обязательным, и запросы на проверку сертификата сайта браузерами отправлялась довольно редко, даже при минимальных сроках валидности первичного ответа), и поэтому придумали расширение для сертификатов как "OCSP Must Staple", чтобы кактус нам казался "раскаленными углями", которыми мы давимся по самые помидоры, чтобы в итоге все это выплюнуть и отказаться от поедания, сославшись на "ртом, мы можем и более полезным делом заняться, таким как, О у "конторы", за что они нам и платят".
Тут скорее забавно - как в этой модели предполагается работать с инсорс-системами, обслуживаемыми локальными CA... А, да - "никак", зачем бы кому-то могло понадобиться использовать firefox в корпоративных окружениях? Ну вот и не используют.
Так они давно выпилили поддерку добавления CRL файла "локального" CA, ссылаясь, что OCSP механизм оперативней.
> Так они давно выпилили поддерку добавления CRL файла "локального" CA, ссылаясь, что
> OCSP механизм оперативней.
> https://wiki.mozilla.org/CA/Revocation_Checking_in_FirefoxНу, в хромообразных вроде тоже по дефолту отключено - но как минимум в поганой - через реестр\gp включа(ется|лось).
Как ты себе представляешь себе DDoS кем-то БД обеспечивающей механизм "работающий на системе пользователя"?
> Как ты себе представляешьКак ты себе представляешь получать эту "БД"?
разницу между DDOS-ом разных OCSP серверов множеств CA и DDOS-ом одной мозиллы, неясна?
https://mislove.org/publications/CRLite-Oakland.pdf"""
In this paper, we present CRLite, a system for proactively
pushing all certificate revocations to browsers on a regular
basis. CRLite is implemented in two parts: a server-side
system that aggregates revocation information for all known,
valid TLS certificates2 on the web and places them in a filter,
and a client-side component that downloads filters and uses
them to check for revocations of observed certificates.
"""в день один раз, и они это считают - оперативностью :)
да еще там в таблице наврали про OCSP Update Speed равный 4 дням с пометкой (these results are the median times that clients may cache responses, based on empirical measurements) эмпирическое измерение :)
"""
If nextUpdate is not set, the responder is indicating that newer revocation information is available all the time.
"""А это из RFC https://www.ietf.org/rfc/rfc2560.txt
Далее по тексту CRLite-Oakland.pdf вообще ересь.
"""
Second, using OCSP has privacy implications for users, because
OCSP requests enable CAs to passively observe the domains
users browse to. Although stapling addresses OCSP’s privacy
problem, stapling is vulnerable to downgrade attacks: an innetwork attacker can strip the staple from a certificate, which forces the client to resort to a traditional CRL or OCSP check.
"""То есть, то что браузер фактически сам нарушает безопасТность и не отвергает запросы не прошедшие проверку, и значит во всем этом виноват OCSP? Что за ересь? Выходит если какой-то браузер не хочет проверять сертификат на отзыв, то протоколы и механизмы проверки отзыва - не нужны по определению? Тогда зачем вообще нужен HTTPS если можно с такой же логикой использовать HTTP.
"""
To address stapling downgrade attacks, RFC 7633 defines
the OCSP “must-staple” extension, which allows a certificate
to require that the server provide a stapled OCSP response
during the TLS handshake [34]. Must-Staple effectively addresses latency, privacy, and fail-open issues, but only for certificates that include the new extension; it does not apply to the millions of certificates already in existence. Moreover,
this protocol requires that HTTPS servers and browsers be
upgraded to support it.
"""А кто б**ть виноват, что у вас в браузерах бардак такой? Повторяю, "шило на мыло" в прямом смысле слова. Механизм OCSP “must-staple” идеальное решение, но "конторе" такие не нужны.
>появилась поддержка перевода на русский языкУ меня не появилась. Как не было русского, так и нет.
https://www.deepl.com/ru/translator
У меня в настройка появилаь возможность подключить русский язык.
Но, когда захожу на сайт на английском языке, он не предлагает перевод(
с октября 2023 года появился в найтли версиях... уж 1.5 года прошло...
> с октября 2023 года появился в найтли версиях... уж 1.5 года прошло...Так это же не интересно!
Тут главное в комментах поныть, что дескать ущемляют!
Ну так-то у нормальных людей найтли не водится.
У меня также. Создал новый профиль - так всё заработало. Предложил переводить страницы на русский язык.
Не нужно новый профиль. Достаточно браузер перезапустить.
одно условие: кем угодно, что угодно, когда угодно, но чтобы это была такая настройка, при наличности которой ни Mozilla, ни кто-либо иной не мог бы даже подойти к дверям моего браузера. Окончательная настройка. Фактическая. Настоящая. Броня. Чтобы "AI" даже не упоминалось
Скачай сорцы, сделай как тебе нужно. Это опенсорс.
я и делаю, задалбывает. благо, о некоторых вещах заботятся мейнтейнеры генты, спасибо им
> Скачай сорцы, сделай как тебе нужно. Это опенсорс.Напомни сколько там миллонов строк исходников?...
А какая разница? Тебе дали шанс, но не обещали что воспользоваться им будет легко.
настройка называется тор браузер.
Для её автра, максимум.
И то - всю истрорию какие дикие бажища-дыры.
> убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT")на кой Х вводили-то? где Б логика? Это что за наивность, я пошлю тебе заголовок, а ты смотри ничего обо мне не храни. Ярчайший пример Д.
пс: Х, Б, Д - измы.
> "Из страницы с настройками приватности (about:preferences#privacy) убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT")."Всё как обычно... люди пользуется функциями а потом Mozilla их сливают! Вот по этому у chrome такой большой процент рынка, там всё стабильно с функциями и интерфейсом.
Как там блокировщики рекламы в Chrome поживают?
uBlock Origin Lite:
https://opennet.ru/61654-ublock
это сами ешьте
Не нравится - не пользуйтесь!
А проецировать свой голод на всех не надо! Покушайте, прежде чем писать комментарии.А вот доля рынка хром и ФФ это факт.
UBlock самый лучший вырезатель рекламы.
а там не UBlock, а его огрызок
> UBlock самый лучший вырезатель рекламы.когда это он таким стал? как вообще определить какой вырезатель самый лучший если они все работают одинаково? я вот например предпочитаю адгуард, но я ж не кричу что он самый лучший)) просто купил лицензию на стационар и наслаждаюсь жизнью без рекламы во всех бравзерах и приложухах))
> когда это он таким стал?Всегда был. С самого начала.
> как вообще определить какой вырезатель самый лучший если они все работают одинаково?Сравнить поддерживаемые списки, качество работы и скорость при одинаковых списках?
> я вот например предпочитаю адгуард, но я ж не кричу что он самый лучший))
Он не самый лучший, вот и не кричишь. Всё логично.
> просто купил лицензию на стационар и наслаждаюсь жизнью без рекламы во всех бравзерах и приложухах))
Это пожалуйста, кто ж запретит тебе платить? Только в браузерах подключить адгардовские подписки можно и в совершенно бесплатном и опен-сорсном uBO и получить такой же результат. А систем-левел блокировщик хуже браузер-левел блокировщика по качеству блокировки, т.к. не может блокировать same-domain рекламу и не может в косметические фильтры.
Да это скорей какой то алиен(кстати, eng: чужак...) рекламирует мысль, приучая других, чтобы все платии за каждый чих, даже когда можно обойтись.Такие ещё про то: какие они счатливые покуая в STEAM или инода гогмагоге - пол сети засрали. Да и торрентами своими подставными туда [пока ещё только опционально,] ведущими.
Кстати, сам uBlock далеко не панацея (только свой собственно делаемый + открытый Firewall только на разрешоенные IP, но это жесть та ещё и с NIXами не совместимо как понимая), вот в статье по ссылке выше написал почему:
> Попробуйте этот форк. Там adblock встроен и его можно настраивать
> https://github.com/uazo/cromiteГлавное не картинки, а запросы - баннеров, второстепенный скриптов счётчиков посещаемости, а порой и первостепенных и даже части данных сайта(sf.net например) блокирвание которых делет его негодным, - самом по себе используемое для слежки.
Так что, то что лучше режет баннееры тут - это даже никак не полдела...
Да и сам факт того что, они хостятся на чужом сервере... - github: уже говорит о отношении к конфиденциальности их пользвателей... как и о верятности того что, сами не шпионят.Впрочем, в той же Опере скачка со своего сайта - не мешает самой шпионить. (Т.о.вышеуказанное - только доп.аргумент мысли: что, и сами).
В Edge (который FF уже обогнал) обычный uBlock Origin пока что работает и не ругается.
А Ёж вообще этими манифестами пользуется?
Не владею такой информацией. Но вполне возможно, что MS клали болт на хотелки гугла (могут себе позволить).
Вот только они тоже продают рекламу в интернете, просто это не основной бизнес, как у гугла, как захочется больше денег с рекламы - выпилят в след за хромом. Но пока можно пользоваться, да.
Сайты на которые ты ходишь тоже продают рекламные места и собирают информацию о тебе. Но проблема в браузере, конечно же.Да, и этот сайт тоже.
И не в склад, и н в лад, поцелуй дрова в живот.
Хорошо, а что?
ADguard вполне себе хорошо держится до сих пор ни 1 рекламы. в стационарной версии по крайней мере. да и в яндекс браузере оно тоже всё вырезается. мозиллу 1 раз попробовал что-то сильно пошло не так больше не прикасаюсь
adguard вообще лучший имхо
А что он отправляет на сервера - неизвестно.
> А что он отправляет на сервера - неизвестно.Почему же, предсказуемо - минимум любые запросы... от тек.страниц(ы) не на баннеры.
Или вы - про: на свои серверы?...
Это тоже - всё что захочет... как помешаете?Впрочем, как и от самого (любого)браузера
- потому я сайты производителей браузера первым делом всегда раньше блочил наравне с поисковыми
(для них всех - отдельные экземпляры браузера с выходом в firewall разрешонном)
Точней, когда мог это, до линуксов... тут не получиться заблокировать даже исходящие от прог любых... а, в нужных - только оставив требуемые IP, по кр.мере в виденных мной линуксах
(и это ещё не говоря же про утилиты обновления ОС и ПО - без исп.которых обноление тут превратится в ад ещё больше).
Самая же "безопасная" ОС!...
Прекрасно, и uBlock Origin (не lite) и NoScript, ничем не хуже, чем отсылка данных в Google из Firefox.
> люди пользуется функциями а потом Mozilla их сливаютлюди может и пользуются, только разработчики сайтов клали на Do Not Track, никто его не использует по назначения, наоборот используют для фингерпринтов и более точно отслеживания пользователей
Это уже проблема законодательства конкретных стран.Рекламщикам легче не учитывать людей который выставит этот флаг, чем потом иметь проблемы из-за этого.
Но Mozilla решила убрать полностью этот инструмент - вот одна из причин почему ФФ имеет долю рынка в 3%.
если читать статью, а не истерить, можно увидеть что они предлагают использовать альтернативу, уже существующую и уже хоть где-то легализованную в отличие от
Слабый аргумент - а, если её не поддерживает сайт?...Впрочем, подобная галочка обязанна быть включонной в баннере - по умолчанию, иначе это целенаправленная подстава.
А, понимая это, кто захочет от неё больше конфиденциальности её не получит и так и так, т.к.не будет её включать.Ну и как понимаю она лживая, в лучшем случае это "Don't track for reklama/banners relevanse (only)", т.к.всё же - по любому всё логгируется серверами, т.е.как раз для отслеживания...
llama добавили это хорошо, добавленные перевод и чатботы не нужны
"Борт грузовик всех пяти предметов" - это сильно.
Да, видно что переводит плохо
ubuntu 14.04 32 бита успешно запустил 137-ФФ найтли. Всё работает штатно :)
Как там в 2014?
Да знаешь неплохо, трава зеленее, дышать легче)
И торопиться некуда (с третьепнём-то).
на 3 пне только 128 фаерфокс работает...да и во времена покупки 3-пней убунт еще не было... только 2.х дебиан...
А можно в Firefox разбить окно на две части как в Edge?
Нет, но над разделением сайтов, будет скоро идти работа для Firefox, в дорожной карте запланировано, а так походу пока только расширение юзать
> будет скоро идти работаКак обнадёживающе.
Скоро начнём подготовку к разработке проекта плана, подождите немного.
а зачем его разбивать на 2 части? для каких случаев это удобно использовать?
Иногда удобно что-то сравнивать, к примеру, характеристики товаров, или текст, или таблицы. Удобно открыть что-то быстро для справки и т.п. И да, второе окно браузера конечно можно тоже так использовать, но это громоздко, не так быстро и не всегда удобно.
Разбудите меня через тысячу лет и спросите, что происходит на опеннете? И я отвечу: люди без воображения считают чужие деньги и лучше всех знают как другим удобнее.
Лучше бы еще добавили Duck.ai от DuckDuckGo в список встроеных чат-ботов, где есть выбор моделей и не нужна регистрация, обходы ограничений. Для обычных пользователей.
Из их списка, HuggingChat работает без обходов, доступен в России напрямую. Единственное, регистрация всё же нужна
Габриэль Вайнберг является основателем и CEO DuckDuckGo, поисковой системы, ориентированной на конфиденциальность.Габриэль Вайнберг - еврей. Он имеет БА и MS из MIT и никогда не был в Израиле, но он в шутку признает, что он является дальним родственником основателя израильского технологического гиганта Check Point.Вайнберг выразил желание посетить Израиль, но приостановил планы поездок, пока двое его маленьких сыновей не станут старше.
На Reddit обсуждалась возможность использования IP-адресов DuckDuckGo в Тель-Авиве, Израиль.
Габриэль Вайнберг в шутку признает, что является дальним родственником основателя израильской технологической компании Check Point.Check Point - израильская компания, и, как и многие израильские технологические компании, она, как сообщается, имеет связи с израильским разведывательным сообществом. Однако характер и масштабы этих связей в имеющейся информации четко не определены.
Нет прямой информации, которая предполагает, что DuckDuckGo имеет какую-либо связь с израильской разведкой. Габриэль Вайнберг заявил, что никогда не был в Израиле и не имеет прямого отношения к стране, несмотря на то, что его дальний родственник является основателем Check Point.
>В сборки для Linux и macOS добавлена опция для закрытия только текущей вкладки в ситуации нажатия клавиатурной комбинации для выхода из приложения (Alt + F4).Ничего не понял, но очень интересно. Они, наконец-то, сделали закрытие активной вкладки по нажатию Ctrl+W?
> ситуации нажатия клавиатурной комбинации для выхода из приложения (Alt + F4)как это можно прочитать неправильно, КАК?
> сделали закрытие активной вкладки по нажатию Ctrl+W?Это всегда было.
А сейчас добавили *опцию* для закрытия только текущей вкладки в ситуации нажатия клавиатурной комбинации для выхода из приложения *(Alt + F4)*.
Всё равно ни черта не понятно. Это я закрываю браузер по Alt-F4, он закрывает активную вкладку, оставляя все 100500 ранее открытых, и закрывается? Но нахуа?
В планах на следующий релиз, нажатие крестика закрытия окна броузера тоже не будет приводить к закрытию броузера, будет закрываться только активная вкладка.
В других ПО давно же маркетингово подсовывают минимизацию...
Про раст не слышно в релизах. Забросили переписывать?
До сих пор болит?
> До сих пор болит?Нет. Интересует мнение экспертов. Почему на новом безопасном языке, который умеет безопасно работать с памятью не переписывают больше браузер, который должен быть безопасным?
> Нет. Интересует мнение экспертов. Почему на новом безопасном языке, который умеет безопасно работать с памятью не переписывают больше браузер, который должен быть безопасным?Потому что директор захотел новую яхту (как же ж на старой?! перед посонами неудобно) и всю команду увоилили.
Типичная история.
> Почему на новом безопасном языке, который умеет безопасно работать с памятью не переписывают больше браузер, который должен быть безопасным?Смотрим исходники:
firefox-134.0
Language Files Lines Blank Comment Code
C 4322 3755571 384348 963194 2408029
C++ 14442 7207139 941671 865392 5400076
C/C++ Header 20450 5005672 654258 1314217 3037197
Rust 11421 4594840 327778 683668 3583394firefox-135.0
Language Files Lines Blank Comment Code
C 4330 3766093 385538 966522 2414033
C++ 14443 7222983 943066 865877 5414040
C/C++ Header 20466 4993960 652158 1313818 3027984
Rust 11679 4673808 339172 691233 3643403разница
Language Files Lines Blank Comment Code
C 8 10522 1190 3328 6004
C++ 1 15844 1395 485 13964
C/C++ Header 16 -11712 -2100 -399 -9213
Rust 258 78968 11394 7565 60009Между релизами 134 и 135 на C/C++ добавили 20k строк кода и выбросили 9k из хедеров.
На Rust добавили 60k строк.> Нет.
Твой вопрос содержит ложное утверждение. Видать, все-таки болит. Но ты потерпи, со временем станет легче.
Когда там Firefox на git уже переедет? Вроде больше года назад собирались.
>> Почему на новом безопасном языке, который умеет безопасно работать с памятью не переписывают больше браузер, который должен быть безопасным?
> Смотрим исходники:
> Между релизами 134 и 135 на C/C++ добавили 20k строк кода и
> выбросили 9k из хедеров.
> На Rust добавили 60k строк.Из этой статистики нельзя сделать выводы, т.к. она не отражает значимые измнения. Банально изменение кол-ва строк может быть из-за зависимостей или правкой чего-то.
Добавление 60к строк — зависимости и правка чего-то? Похоже у нас родился новый кексперт!
> Добавление 60к строк — зависимости и правка чего-то? Похоже у нас родился
> новый кексперт!У низ в third_party исходники сторонних библиотек. Вот пример коммита https://hg.mozilla.org/mozilla-central/rev/334031c784f2a99b7... Это по факту просто обновление зависимости. Может новую добавили. Если там переписали компонент с С++, то дайте доказательство.
WebGPU в ночнике активно тестируют, оно на расте. Но в релиз пускать пока страшно.
> WebGPU в ночнике активно тестируют, оно на расте. Но в релиз пускать
> пока страшно.Это новый код? А уже существующее?
Почему при отключении переводов в настройки не пропадает захламляющий адресную строку значок?
browser.translations.enable = falseникакого значка нет
На Андроиде нет about:config
Есть chrome://geckoview/content/config.xhtml
Забавный переводчик
на сайте FreeBSD.org FreeBSD переводит как:Свободный БСД-СА-25:04. трасса
и
БесплатноBSD-SA-25:03.etcupdate
вроде всё верно
Этот переводчик рандомно переводит Из всех FreeBSD перевел только "Новый для Свободный БСД?"
Во всех остальных местах FreeBSD оставил без перевода как имя собственное.
Было ли хоть одно обновление Firefox, которое бы не руинило что-либо?
>руинилоАнглицизам - ruining. По-русски, правильнее "превращало в руину". Русский язык изменяется. Я больше не слышу слово японский, как [йипонский], а слышу звучание [йапонский]. Иногда это слово выговаривают с ударением на второй звук [a]. В слове "бог", я больше не слышу [бох], я слышу [бок]. Но бок - это когда "колет в боку".
Я сейчас запушил коммит и отправил мёрж реквест, и что ты мне сделаешь?
пожалеет
> По-русски, правильнее "превращало в руину"Для естественного языка есть одно правило: принимающая сторона должна понимать отправляющую. Вижу, что ты понял, что он хотел сказать, значит он сказал всё правильно.
>Для естественного языка есть одно правило: принимающая сторона должна понимать отправляющую. Вижу, что ты понял, что он хотел сказать, значит он сказал всё правильно.Соглашусь. Вот только одно гложет меня. Как быть со словами, которые просто напросто отсутствуют в языке. В русском языке нет слов типа "руинить", "победю". Не обращать внимания? Хотя, лично мне нравится новое слово "развидеть".
Сколхозим с языком что-нибудь, он как пластилин.
> "убрана опция для отправки сайтам HTTP-заголовка "Do Not Track" ("DNT")."
Нет. У них цель достичь 1 % рынка пользователей.
А переключение профилей так еще и не анонсировали? Или я пропустил где то новость. Или еще обкатывают так сказать неофициально.
https://idlewords.com/talks/website_obesity.htmХватит уже.
Сайт не должен занимать больше 15 мегабайт в ОЗУ.
Ждём html6 на rust, другого выхода нет.
Лучше на Python или C#. А, чем луше тем больше будет.
На днях созрел и добил 8 -> 16 ГБ ОЗУ. За 1000 рублей. Это уже РЕАЛЬНО цена попить пива.
У меня в 16MB на w95 Opera 5 (которая на старом её оригинальном движке) прекрасно грузилась когда то (хоть для совремнных сайтов понятно больше памяти нужно но, вряд ли более чем на порядок).
Даже по тем временам лаггеры IE ~4 и т.б.Netscape~3 заметно обгоняя.
Потом правда тоже стала модно лагать даже на куда позже ПК, даже на том же движке подозреваю испортили/отключили внутренную выгружку ресурсом на диск в итоге под конец движка тоже стала жрать оч.много памяти и JS возможно залагали.Сейчас(причём, даже не самая последняя версия) в FF/Хромиуме открываю всего 1 вкладку - минус 60MB...
Если видео с ютуба - минус 150 минимум,
т.к.если там загрузить для примера с 2k комментариев - минус 2000kB...
из 3-х GB свободных (мне для игр под XP больше и не нужно с её 3.2GB максимум),
видел и с 5k коментариев.
Т.е. прогресс вовсю?
у меня опера на 4 метрах вин-3.11 с ISA-мопедом 14400
Вау! Неужели аппаратное декодирование видео будет?? А нет, перечитал - хоть новость о 135, декодирование видео только в следующей бете экспериментом...А пока только на интеловской графике есть, AMD в пролете.
> AMD в пролетелудшим картам только наилудшайшую поддержку
> для Android добавлена опция, включающая автоматическую отправку в Mozilla отчётов об аварийном завершении браузера, без подтверждения пользователя.Вот же свинство - дорогой мобильный трафик тратить на отчеты, да ещё игнорируя настройку юзера!
Релиз прям хорош! Certificate Transparency, CRLite, ML-KEM. Похоже, не всех разработчиков уволили. AI-булшит, конечно, тоже засунули, но пока он не включенный по умолчанию и/или отключаемый - пусть его
Очень сытый релиз - переводчик на русский, AI асистенты в выделенном окошке, запрет заполнение истории переходов хламом!
Кушать надо перед тем как комментировать)
>> Для сжатия сборок Firefox для платформы Linux задействован формат XZ, который по сравнению с форматом bz2 позволил сократить размер загружаемых данных в среднем на 25% и уменьшить время распаковки более чем в два разаЛет через 10 они узнают о существовании 7z, вообще обaлдеют.
>>> Для сжатия сборок Firefox для платформы Linux задействован формат XZ, который по сравнению с форматом bz2 позволил сократить размер загружаемых данных в среднем на 25% и уменьшить время распаковки более чем в два раза
> Лет через 10 они узнают о существовании 7z, вообще обaлдеют.а про винрар они знают?
При чём тут это платное закрытое поделие? У винрара нет никаких плюсов.
Есть.
нету
Есть.
Что в 7z уже завезли хоть RecoveryRecords? И не делитансткий GUI.
Подробные CVE WinRAR
CVE-2023-38831
Описание: Уязвимость высокой степени серьезности, позволяющая злоумышленникам выполнять произвольный код, просто просматривая, казалось бы, безобидный файл в архиве ZIP.
Воздействие: Удаленное выполнение кода через созданные архивы ZIP, что позволяет злоумышленникам развертывать вредоносное ПО без взаимодействия с пользователем, кроме открытия файла.
Обнаружено: 2023
Эксплуатировалось хакерскими группами:
SideCopy (Северная Корея и Пакистан)
APT29 (Sandworm) (Россия)
DarkPink
BumbleBee
Remcos RAT
AgentTeslaCVE-2018-20250
Описание: Уязвимость проверки входных данных при обработке WinRAR архивов SFX (самораспаковывающихся), позволяющая удаленное выполнение кода.
Воздействие: Злоумышленники могут создавать вредоносные архивы SFX для удаленного выполнения произвольного кода.
Обнаружено: 2018
Эксплуатируется хакерскими группами:
Konni (Северная Корея)
Turla (Россия)CVE-2019-13878
Описание: Уязвимость в движке SFX WinRAR, позволяющая выполнять произвольный код через созданные архивы SFX.
Воздействие: Удаленное выполнение кода, когда пользователь извлекает вредоносный архив SFX.
Обнаружено: 2019
Эксплуатируется хакерскими группами:
Gamaredon/FSB (Россия)
GRU (Россия)CVE-2019-13881
Описание: Еще одна уязвимость в движке SFX WinRAR, похожая на CVE-2019-13878, позволяющая выполнять удаленный код через созданные архивы SFX.
Воздействие: Удаленное выполнение кода через эксплуатацию архива SFX.
Обнаружено: 2019CVE-2020-12822
Описание: Уязвимость в обработке файлов ACE в WinRAR, приводящая к удаленному выполнению кода при работе со специально созданными архивами ACE.
Воздействие: Удаленное выполнение кода путем использования недостатков в анализе файлов ACE.
Обнаружено: 2020CVE-2021-21972
Описание: Уязвимость в обработке файлов ZIP в WinRAR, допускающая удаленное выполнение кода из-за неправильной проверки файлов ZIP.
Воздействие: Злоумышленники могут выполнить произвольный код при открытии или извлечении вредоносного архива ZIP.
Обнаружено: 2021CVE-2022-28938
Описание: Уязвимость в обработке файлов ZIP в WinRAR, допускающая удаленное выполнение кода.
Воздействие: Злоумышленники могут выполнить произвольный код, обманом заставив пользователей открыть вредоносные архивы ZIP.
Обнаружено: 2022CVE-2022-28940
Описание: Еще одна уязвимость обработки ZIP-файлов, приводящая к удаленному выполнению кода при открытии специально созданного ZIP-файла.
Воздействие: Выполнение произвольного кода путем эксплуатации вредоносных ZIP-файлов.
Обнаружено: 2022CVE-2022-28941
Описание: Уязвимость, влияющая на обработку ZIP-файлов WinRAR, которая позволяет выполнять удаленный код.
Воздействие: Злоумышленники могут использовать эту уязвимость для запуска произвольного кода, открыв вредоносный ZIP-файл.
Обнаружено: 2022CVE-2023-23397
Описание: Еще одна уязвимость в обработке ZIP-файлов WinRAR, приводящая к удаленному выполнению кода при обработке вредоносного ZIP-файла.
Воздействие: Удаленное выполнение кода через созданные ZIP-файлы.
Обнаружено: 2023 г.Группы хакеров, эксплуатирующие уязвимости WinRAR
SideCopy (Северная Корея и Пакистан): Известна использованием CVE-2023-38831 для развертывания вредоносного ПО в целевых атаках.
APT29 (Sandworm) (Россия): Высокотехнологичная российская государственная группа, занимающаяся кибершпионажем, использующая CVE-2023-38831 для эксплуатации уязвимостей в тайных операциях.
DarkPink: Использует CVE-2023-38831 для распространения вредоносного ПО, вероятно, для кибершпионажа или кражи данных.
BumbleBee: Хакерская группа, использующая CVE-2023-38831 для распространения вредоносного ПО, потенциально в рамках крупномасштабных киберпреступных операций.
Remcos RAT: широко используемый троян удаленного доступа (RAT), используемый в атаках с использованием CVE-2023-38831.
AgentTesla: вредоносное ПО для кражи информации, известное тем, что использует CVE-2023-38831 для вредоносной деятельности, такой как кейлоггерство и кража данных.
Konni (Северная Корея): спонсируемая государством группа, которая использовала CVE-2018-20250 для проведения кибершпионских атак, в первую очередь нацеленных на Южную Корею.
Turla (Россия): российская APT-группа, использующая различные уязвимости WinRAR, такие как CVE-2018-20250, для шпионских кампаний.
Gamaredon/FSB (Россия): поддерживаемые российской разведкой киберпреступники, использующие CVE-2019-13878 и CVE-2019-13881 для развертывания вредоносного ПО в целях шпионажа.
ГРУ (Россия): Российская военная разведка использует уязвимости WinRAR для кибершпионажа, в частности эксплуатируя CVE-2019-13878.
>[оверквотинг удален]
> AgentTesla: вредоносное ПО для кражи информации, известное тем, что использует CVE-2023-38831
> для вредоносной деятельности, такой как кейлоггерство и кража данных.
> Konni (Северная Корея): спонсируемая государством группа, которая использовала CVE-2018-20250
> для проведения кибершпионских атак, в первую очередь нацеленных на Южную Корею.
> Turla (Россия): российская APT-группа, использующая различные уязвимости WinRAR, такие
> как CVE-2018-20250, для шпионских кампаний.
> Gamaredon/FSB (Россия): поддерживаемые российской разведкой киберпреступники, использующие
> CVE-2019-13878 и CVE-2019-13881 для развертывания вредоносного ПО в целях шпионажа.
> ГРУ (Россия): Российская военная разведка использует уязвимости WinRAR для кибершпионажа,
> в частности эксплуатируя CVE-2019-13878.ого как много. и что же они все до сих пор разве не закрытые? а по другим архиваторам есть список уязвимостей? ну так - для статистики...
>[оверквотинг удален]
>> для проведения кибершпионских атак, в первую очередь нацеленных на Южную Корею.
>> Turla (Россия): российская APT-группа, использующая различные уязвимости WinRAR, такие
>> как CVE-2018-20250, для шпионских кампаний.
>> Gamaredon/FSB (Россия): поддерживаемые российской разведкой киберпреступники, использующие
>> CVE-2019-13878 и CVE-2019-13881 для развертывания вредоносного ПО в целях шпионажа.
>> ГРУ (Россия): Российская военная разведка использует уязвимости WinRAR для кибершпионажа,
>> в частности эксплуатируя CVE-2019-13878.
> ого как много. и что же они все до сих пор разве
> не закрытые? а по другим архиваторам есть список уязвимостей? ну так
> - для статистики...сам себе отмечу все прекрасно нагуглилось на первой же странице. и список там поболее будет чем у рара
Раньше она хоть в ютюб могла, но теперь что-то "починили", что даже в 115 ESR видео идёт с микрозамедлениями, будто 98% от скорости. Вот только не надо говорить про Гугл, и что он куда то там в штаны Мозилле ...
Включен ?
https://opennet.ru/55226-quic
В Хром сто лет в обед, а как его включить в Мозилле?
>about:config опция: network.http.http3.enabled значение: true
Так оно по дефолту включено, выключить?)
> Раньше она хоть в ютюб могла, но теперь что-то "починили", что даже в 115 ESR видео идёт с микрозамедлениямиВстроенный ИИ не успевает видео смотреть?
>Система основана на открытом движке Bergamot. Движок представляет собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров.Без SSE4.2 не работает. Это - by design. Потому что в Mozilla сделали так, что WASM c SIMD на компах без SEE2 не работает. Виноваты не разработчики Marian, а именно разработчики движка SpiderMonkey. Это by design - на баг-трекере на старые камни давно зубы точат. Ну то есть официально дропнуть хотят, а всё - завязать на SSE4.
Довольно тяжеловато жить на пентиум-3, понимаю.
Представь как на пентиум-2 [для ДОС игр], который вообще без SSE.
подсказка - всё: FF давно тоже слился...Хоть нек.линуксы и на 486 заявленно лет пять назад(но уже нетак у тех же... и даже 32 бит вообще удалили) читал запускали (с забиванием планками до неадекватных во времена этого ПК 64MB и всёравно диким свопингом но, всё же запутили),
т.е. даже у них, перекомпиляторщиков, уже тогда были проблемы с ПО от таких галимых уродов.
кто тебя пустил в музей с древними компутерами?
наконец заработал перевод на русский.
причем, вполне неплохо. жалко, правда, что его не было года 4 назад, когда мне это было надо.
online перевочики сайтов что ли отменили [тогда]?...
В этой версии исправили сломанный drag-n-drop, я немножко в этом помогал.
А почему никто не возмущается по поводу того что данные кредиток автоматом сохраняются? Это ж ахтунг, где возможность выбора