Mozilla 发布了 Firefox 37,在 Windows 上原生支持 HTML5 视频回放,还有许多安全改动。
安全改动包括更新不安全的 TLS 版本回退策略、从证书和 TLS 中移除对 DSA 的支持、报告 SSL 连接错误以及优化 TLS False Start。
在 Mozilla Hacks 的文章Trainspotting: Firefox 37, Developer Edition and More中,技术专家 Dietrich Ayala 详细解释了证书和 TLS 中的 DSA。Ayala 说:“我们移除了对 DSA 的支持,因为我们发现几乎没人用它。如果你是网站管理员并且你的证书使用 DSA 算法进行签名,那么请联系你的 CA 获取新证书。”
在介绍 SSL 连接问题时,Ayala 说道:
现在用户可以报告多种和证书无关的 SSL 连接问题。
举例来说,如果用户遇到了不可覆盖的 TLS 错误,可以直接从错误页面向 Mozilla 发送报告。报告中会包含你试图访问的域名、服务器发送的证书、时间、遇到的错误以及一些用户代理信息。
Ayala 说,Mozilla 会使用这些信息来协助网站管理员修正他们的配置并改进检测到这些问题的软件,因此他们很希望用户可以发送报告。
除了安全更新,在 Firefox 社区中最流行的改动之一就是实现了媒体源扩展(MSE)API 的一个子集,允许 Windows 用户在(包括 YouTube 在内的)网站上原生回放 HTML5 视频。可以通过 MediaSource 接口获取 HTMLMediaElement 对象的媒体数据源。
Mozilla 的 JavaScript 工程师 Jordan Santell 在一月份编写了 Firefox 37 开发者版本的特性说明:Web Animation tools, Network Security insights, Font Inspector improvements and more。在文中他提到开发者面板会显示请求连接、主机、使用的证书等等信息。
Santell 说:“安全面板可以协助调试与 SSL 协议版本相关的问题,比如由于 POODLEBITE 问题导致网站无法正常工作。它还可以协助开发者确认已经采用了足够强壮的安全措施。”
新版本还包括安卓上的安全稳定版。值得注意的是,新版本包含对基于 http:// 的资源的随机加密。
在博文Opportunistic Encryption For Firefox中,Mozilla 网络工程师 Patrick Mcmanus 介绍了具体的加密方法。
他说:
这可以防御一部分被动窃听,并且相比直接使用 TCP 协议,随机加密可以在陌生的网络环境中更好地保护你的数据。此外,服务器端的设置非常简单。
然而,McManus 还提到,虽然这些加密“对于 http:// 来说很好……但如果你能使用 https——请关闭加密”。
更详细的 Firefox 37 改动信息可以在这里找到。
Mozilla 很欢迎新人加入 Firefox 项目,作为 InfoQ 读者你有很多种方式向 Firefox 做出贡献。完整的贡献手册可以在Mozilla 开发者网站看到。此外,Mozilla 还发布了一系列How To教程。
查看英文原文:Firefox 37 Brings Native Playback of HTML5 Video
感谢邵思华对本文的审校。
给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群
)。
注册/登录 InfoQ 发表评论