ผู้เชี่ยวชาญความปลอดภัย Stefan Kanthak ออกมาเผยช่องโหว่ในตัวติดตั้ง (installer) ของผลิตภัณฑ์ค่าย Mozilla บนแพลตฟอร์มวินโดวส์ ว่ายอมให้ผู้ใช้ระดับทั่วไปของเครื่อง สามารถเข้าถึงสิทธิบางอย่างของผู้ดูแลระบบได้

ตัวติดตั้งของ Mozilla ใช้วิธีแตกไฟล์ตัวเอง (self-extraction) ลงในโฟลเดอร์ชั่วคราว แล้วเรียกไฟล์ DLL เก่าแก่ชื่อ SHFOLDER.DLL ที่มีมาตั้งแต่สมัย Windows 9x ซึ่งเปิดโอกาสให้เกิดช่องโหว่ได้ วิธีการป้องกันคือแอดมินระบบต้องปิดการรันโค้ดในโฟลเดอร์ %TEMP% แต่ในกรณีที่แอดมินลืมหรือไม่ทราบ ก็อาจกลายเป็นช่องโหว่ได้

Kanthak แนะนำให้ Mozilla เลิกใช้ตัวติดตั้งแบบนี้ได้แล้ว และแนะนำให้เปลี่ยนไปใช้วิธีที่ได้รับความนิยมมากกว่า อย่างการสร้างไฟล์ .MSI แทน

เบราว์เซอร์หลักๆ จากกูเกิล, มอซิลล่า, และไมโครซอฟท์ล้วนประกาศแนวทางการเลิกรองรับใบรับรองดิจิตอลที่ใช้ SHA-1 (อ่านบทความอธิบาย) แต่การโจมตีรอบล่าสุดแสดงว่าต้นทุนการโจมตีกำลังถูกลงอย่างรวดเร็ว และเป็นไปได้ที่เราจะเห็น SHA-1 ค่าซ้ำกันในเร็วๆ นี้ ทางมอซิลล่าจึงออกมาแจ้งเตือนว่าอาจจะร่นกำหนดเวลาการหยุดรองรับ SHA-1 เข้ามา เป็นวันที่ 1 กรกฎาคม 2016 หรือเลื่อนขึ้นมา 6 เดือน

นอกจากนี้ ในไฟร์ฟอกซ์เวอร์ชั่น 43 จะเริ่มเตือนใบรับรองที่ใช้ SHA-1 ที่ออกใบรับรองหลังวันที่ 1 มกราคม 2016 แนวทางนี้จะเร็วกว่ากำหนดการของโครมขึ้นมาอีกหลายเดือน

Richard Barnes หัวหน้าฝ่ายความปลอดภัยของไฟร์ฟอกซ์ ทวีตประกาศมาตรการความปลอดภัยล่าสุดในไฟร์ฟอกซ์เวอร์ชั่น 44 ที่จะเตือนผู้ใช้ว่าเว็บไม่ปลอดภัย หากหน้าเว็บนั้นๆ มีแบบฟอร์มรหัสผ่านอยู่ในเว็บ และตัวเว็บเชื่อมต่อแบบไม่เข้ารหัส

แนวทางนี้เป็นเพียงการทดสอบในรุ่น Nightly เท่านั้น รุ่นที่เราใช้งานกันทั่วไปยังเป็นรุ่น 41 และกว่ารุ่น 44 จะออกมาจริงยังต้องใช้เวลาอีกหลายเดือน และยังไม่มีการยืนยันว่าแนวทางนี้จะใช้งานในรุ่นจริง

Firefox ประกาศแผนเลิกสนับสนุนปลั๊กอินแบบ NPAPI ที่ใช้กันมานานตั้งแต่สมัย Netscape (ข่าวเก่า) โดยมีกำหนดเวลาคือสิ้นปี 2016

เว็บเบราว์เซอร์ตัวอื่นอย่าง Chrome เริ่มตัดปลั๊กอิน NPAPI ไปก่อนแล้วตั้งแต่ต้นปีนี้ โดยแนะนำให้ใช้ปลั๊กอินแบบ PPAPI แทน ส่วน Microsoft Edge ก็ไม่รองรับปลั๊กอิน NPAPI มาตั้งแต่แรกเช่นกัน

Firefox 42 Beta เริ่มทดสอบฟีเจอร์ Private Browsing แบบใหม่ที่มี Tracking Protection ป้องกันการตามรอย

ฟีเจอร์ Tracking Protection จะป้องกันเว็บไซต์ third party เช่น social network หรือ analytics ที่ฝังคุกกี้เพื่อตามรอยว่าเราเข้าเว็บอะไรบ้าง และแสดงโฆษณาตามหลอกหลอน แม้ว่าเราจะย้ายไปชมเว็บอื่นที่ดูไม่เกี่ยวข้องกันแล้วก็ตาม

การใช้งานฟีเจอร์นี้ให้เปิดโหมด Private Browsing ขึ้นมา ในหน้าแท็บเปล่าจะเห็นปุ่ม Tracking Protection เปิดเป็น "On" อยู่ (สามารถเลือกปิดเป็นรายเว็บได้)

Firefox 41 ออกแล้ว ของใหม่มีไม่เยอะนัก เน้นการแก้บั๊ก ปรับปรุงประสิทธิภาพ ปรับปรุงเอนจินแสดงผลเป็นหลัก

• Firefox Hello เพิ่มการแชตแบบข้อความ (instant messaging) แล้ว
• Firefox Account เพิ่มรูปโพรไฟล์ของผู้ใช้แต่ละคน
• สามารถใช้รูป favicon เป็นไฟล์ SVG ได้แล้ว

สำหรับ Firefox for Android เพิ่มฟีเจอร์ swipe-to-close tabs สำหรับแท็บเล็ต, เพิ่มฟีเจอร์ตรวจสอบ bookmark ซ้ำซ้อน และมีตัวช่วยคัดลอกรหัสผ่านเพื่อล็อกอิน ในกรณีที่บางเว็บไม่กรอกรหัสผ่านให้อัตโนมัติ

Firefox ได้เปิดตัวเวอร์ชัน public preview สำหรับ iOS โดยตอนนี้ยังเปิดให้ทดสอบเฉพาะผู้ใช้ในนิวซีแลนด์ก่อน และจะค่อยๆ ขยายพื้นที่ทดสอบไปเรื่อยๆ เพื่อเก็บผลตอบรับจากผู้ใช้มาปรับปรุงความฟีเจอร์และความเสถียรของเบราว์เซอร์ก่อนเปิดตัวเวอร์ชันจริง โดย Firefox บน iOS มีฟีเจอร์สำคัญหลายอย่าง เช่น

การเข้ารหัสแบบ RC4 มีความปลอดภัยต่ำ เพราะกระบวนการสุ่มเลขไม่ดีเท่าที่ควร ซึ่งในแวดวงความปลอดภัยเองก็เตรียมถอด RC4 ออกจากมาตรฐาน IETF มาได้สักพักแล้ว

วันนี้ผู้พัฒนาเบราว์เซอร์รายใหญ่ 3 ค่ายคือ Google, Microsoft, Mozilla ออกมาประกาศแผนว่าจะถอดการใช้งาน RC4 ออกจากเบราว์เซอร์ของตัวเอง (Chrome, IE, Edge, Firefox) พร้อมกันในช่วงต้นปี 2016

การถอด RC4 ไม่ส่งผลกระทบต่อผู้ใช้ทั่วไปมากนัก เพราะปัจจุบันเราใช้การเชื่อมต่อปลอดภัย HTTPS ผ่านโพรโทคอล TLS 1.2 ในขณะที่ RC4 จะถูกใช้ต่อเมื่อเซิร์ฟเวอร์ไม่รองรับ TLS 1.2 หรือ 1.1 และถอยกลับ (fallback) มาเชื่อมต่อผ่าน TLS 1.0 แทน

ต่อเนื่องจากข่าว Firefox เตรียมแยกแท็บตามโพรเซส ค่าย Mozilla ยังออกมาประกาศนโยบายใหม่เกี่ยวกับระบบ Extension หลายประการ ดังนี้

สิ่งหนึ่งที่ Firefox ยังตามหลังเบราว์เซอร์อื่นๆ มาโดยตลอดคือการจัดการโพรเซสของแต่ละแท็บ ซึ่งเบราว์เซอร์ตัวอื่นแยกโพรเซสของแท็บกันมานานแล้ว (Chrome ทำได้ตั้งแต่วันแรก) ในขณะที่สถาปัตยกรรมของ Firefox ไม่ได้ออกแบบมาให้รองรับการแยกโพรเซสแบบนี้ (ปัจจุบัน Firefox แยกเฉพาะโพรเซสของปลั๊กอินออกจากโพรเซสของเบราว์เซอร์)

Mozilla มีโครงการ Electrolysis ที่พัฒนาเรื่องนี้กันมานานมาก (จนหลายคนลืมไปแล้วว่าทำอยู่) แต่ในที่สุดมันก็ใกล้เสร็จสมบูรณ์แล้ว โดย Mozilla ประกาศแผนการดังนี้

Firefox เริ่มทดสอบโหมด Private Browsing แบบใหม่ที่ยกระดับความเป็นส่วนตัวเพิ่มขึ้น ปลอดภัยจากการตามรอยของเว็บไซต์ต่างๆ ด้วย

โหมด Private Browsing ในปัจจุบันถูกออกแบบมาเพื่อรักษาความเป็นส่วนตัวของผู้ใช้งานบนคอมพิวเตอร์เครื่องเดียวกัน ผู้ใช้จะเปิดโหมดนี้เพื่อไม่ให้ผู้ใช้คนอื่น (ที่เข้าถึงคอมพิวเตอร์เครื่องนี้) รู้ว่าเราทำกิจกรรมใดบ้างบนอินเทอร์เน็ต

แต่โหมด Private Browsing "ขั้นกว่า" ของ Firefox จะเพิ่มฟีเจอร์ Tracking Protection ช่วยบล็อคเนื้อหาบนเว็บไซต์ที่ใช้ตามรอยผู้ใช้ด้วย ไม่ว่าจะเป็นตัวเก็บสถิติ (analytic) หรือโค้ดที่ฝังมาจากโซเชียล ที่สามารถเชื่อมโยงได้ว่าเราเป็นใคร

Firefox 40 ออกตัวจริงแล้ว ของใหม่ที่สำคัญของเวอร์ชันพีซีคือ

Mozilla ออกประกาศเตือนช่องโหว่ระดับ critical ค้นพบใหม่ใน Firefox เกี่ยวกับตัวอ่าน PDF ที่มาพร้อมกับเบราว์เซอร์ ช่องโหว่นี้เปิดให้ผู้ประสงค์ร้ายเข้ามาขโมยข้อมูลในเครื่องของผู้ใช้ได้

ความน่ากลัวคือพบการโจมตีผ่านช่องโหว่นี้ในรัสเซียแล้ว โดยแฮ็กเกอร์ใช้วิธียิงโฆษณาบนเว็บไซต์ข่าวแห่งหนึ่ง เพื่อขโมยข้อมูลของผู้ที่เข้าชมเว็บไซต์ข่าวแห่งนี้ด้วย Firefox ตัวอย่างข้อมูลที่ถูกขโมยคือไฟล์คอนฟิกต่างๆ ที่อาจมีรหัสผ่านเก็บอยู่ เช่น /etc/passwd, .ssh, .mysql_history รวมถึงไฟล์คอนฟิกของ Filezilla หรือ subversion

Mozilla ออกแพตช์แก้มาเป็น Firefox 39.0.3 และ Firefox ESR 38.1.1 แล้ว อัพเดตกันด่วนครับ

การเข้าเว็บด้วยโหมดส่วนตัวอย่าง Private Browsing หรือ Incognito อาจจะทำให้เว็บไม่สามารถจดจำเราได้ง่ายๆ แต่กระบวนการระบุตัวตนผู้ใช้ก็มีแนวทางใหม่ๆ เพิ่มขึ้นมาเรื่อยๆ ล่าสุดนักวิจัยเสนอแนวทางการใช้ความจุแบตเตอรี่ในเครื่องเป็นข้อมูลระบุตัวตนผู้ใช้

แนวทางนี้อาศัย Battery Status API ที่ยังเป็นร่างของ W3C อยู่ โดยเบราว์เซอร์ที่รองรับในตอนนี้ได้แก่ โครม, ไฟร์ฟอกซ์, และโอเปร่า ล้วนเปิดให้เว็บเข้าใช้ API ได้โดยไม่ต้องแจ้งผู้ใช้ล่วงหน้า ทำให้ผู้ใช้เว็บไม่รู้ตัวว่ากำลังถูกร้องขอระดับพลังงานอยู่

เมื่อไม่นานมานี้เราเห็นข่าว Mozilla เผยหน้าตา Firefox for Windows 10 ที่ดูเหมือนไม่มีการเปลี่ยนแปลงอะไรมากนัก แต่จากเอกสารภายในของ Mozilla กลับแสดงว่า Mozilla หวั่นใจไม่น้อยกับการโดน Edge ชิงส่วนแบ่งตลาด

เอกสารของ Mozilla ระบุว่าต้องพัฒนาให้ Firefox ทำงานบน Windows 10 ได้ดีตั้งแต่ช่วงแรกๆ ถึงแม้ว่า Firefox for Windows 10 จะเสร็จไม่ทันวันที่ 29 กรกฎาคมนี้ แต่คาดว่าเราจะได้เห็นมันเสร็จทันใน Firefox 40 (ตั้งเป้าออก 11 สิงหาคม) หรือ Firefox 41 (21 กันยายน)

ฟีเจอร์เด่นอย่างหนึ่งของ Chrome คือแสดงสัญลักษณ์บนแท็บที่กำลังใช้งานอุปกรณ์เสียง ตอนนี้ฟีเจอร์นี้กำลังจะตามมาใน Firefox บ้างแล้ว

ตอนนี้ Firefox รุ่นทดสอบสามารถแสดงแท็บที่กำลังเล่นเสียงอยู่ได้เฉพาะกรณีที่เป็น HTML5 เท่านั้น แต่ยังไม่สามารถใช้กับเสียงจาก Flash ได้ เนื่องจากการทำงานของ Firefox จะมองเห็นว่าไฟล์ Flash กำลังทำงานอยู่ แต่ไม่รู้ว่าภายในไฟล์กำลังทำงานอะไรบ้าง ไม่สามารถบอกได้ว่ามีเสียงหรือไม่ (กรณีของ Chrome ใช้ Flash เวอร์ชันพิเศษที่ผนวกมากับ Chrome ทำให้ไม่มีปัญหานี้)

ปัญหาเรื่องความปลอดภัยของ Flash ในรอบหลายวันที่ผ่านมา และความล่าช้าของ Adobe ในการออกแพตช์แก้ ส่งผลให้ค่าย Firefox ตัดสินใจบล็อคการทำงานของ Flash ทุกเวอร์ชัน (นับตั้งแต่ 18.0.0.203 ลงไป) โดยขึ้นข้อความเตือนว่าปลั๊กอินมีปัญหาความปลอดภัย (This plugin has security vulnerabilities) และไม่ปลอดภัยในการใช้งาน (unsafe) แต่ผู้ใช้ยังสามารถกดเปิดใช้งานปลั๊กอินได้เอง

นี่ไม่ใช่ครั้งแรกที่ Firefox บล็อคการทำงานของปลั๊กอินที่มีช่องโหว่ ก่อนหน้านี้เคสมีกรณี Firefox บล็อคปลั๊กอิน Java มาก่อนแล้ว

Mozilla ออกเอกสารแนวทางการออกแบบ Firefox for Windows 10 ซึ่งเป็นครั้งที่เผยหน้าตาส่วนติดต่อผู้ใช้ (UI) ของเบราว์เซอร์บนระบบปฏิบัติการล่าสุดจากไมโครซอฟท์

ผู้อำนวยการท่านหนึ่งจาก Mozilla กล่าวว่า ที่เบราว์เซอร์รุ่นใหม่มีหน้าตาคล้ายรุ่นปัจจุบันเพราะต้องการให้ผู้ใช้เดิมปรับมาใช้เบราว์เซอร์รุ่นใหม่ได้โดยสะดวก และทีมงานก็ปรับแต่งให้เบราว์เซอร์มีหน้าตาเข้ากับ Windows 10 แต่ยังคงความเป็น Firefox ไว้

การสนับสนุน Windows 10 จะถูกเพิ่มลง Firefox 40 ซึ่งขณะนี้เป็นรุ่นเบต้าอยู่ คาดว่าจะเป็นรุ่นสมบูรณ์ (stable release) ราวกลางเดือนสิงหาคม

นอกจากประเด็นเรื่อง Firefox เตรียมเลิกใช้ XUL แล้ว Dave Camp ผู้อำนวยการฝ่ายวิศวกรรมของ Mozilla ยังออกมาประกาศยุทธศาสตร์ภาพกว้างใหม่ของ Firefox ที่จะเน้น 3 เสาหลัก (Three Pillars) ดังนี้

Dave Camp จาก Mozilla เริ่มหารือถึงการเปลี่ยนเทคโนโลยีเบื้องหลัง Firefox จากเดิมที่ใช้ภาษา XUL (XML User Interface Language) ของตัวเองในการสร้าง UI ก็จะเปลี่ยนมาใช้ HTML แทนในอนาคต (แบบเดียวกับ Chrome)

เขาอธิบายว่า XUL ถูกสร้างขึ้นในสมัยที่ HTML ยังไม่ก้าวหน้าเหมือนทุกวันนี้ แต่เมื่อเทคโนโลยีเว็บพัฒนาไปมาก Mozilla ก็ควรปรับตัวตาม การใช้ XUL ทำให้ Firefox ซับซ้อนโดยไม่จำเป็น และช่วงหลังก็ไม่สามารถแข่งขันเรื่องประสิทธิภาพกับ HTML ได้

การประกาศปรับนโยบายครั้งนี้ยังเป็นแค่จุดเริ่มต้น จากนี้ไปทีมงาน Mozilla ต้องหารือเพื่อแก้ปัญหาทางเทคนิคกัน และคงต้องใช้เวลาอีกนานกว่าจะเปลี่ยนผ่านได้เสร็จสมบูรณ์ครับ

Mozilla ออก Firefox 39 ของใหม่ได้แก่

Mozilla ออก Firefox 38.0.5 ซึ่งเป็นรุ่นอัพเดตย่อยของ Firefox 38 ที่เพิ่งออกเมื่อเดือนที่แล้ว ของใหม่ที่สำคัญคือจับมือกับ Pocket บริการเซฟบทความชื่อดัง ผนวกเอาฟีเจอร์เซฟบทความลง Pocket มาในตัว Firefox เลย

ใครที่ใช้ Pocket Service บน Firefox อยู่แล้วก็ไม่ต้องทำอะไรเพิ่ม เพราะฟีเจอร์เหมือนกันทุกประการ นั่นคือมีปุ่ม Save to Pocket เพิ่มเข้ามาบนแถบเครื่องมือ และมีเมนู View Pocket List เพิ่มเข้ามาในปุ่ม Bookmark

เมื่อต้นปีที่แล้ว Mozilla ประกาศแผนการหารายได้เพิ่มเติมของ Firefox ว่าจะเริ่มมีโฆษณาในหน้า New Tab โดยเริ่มจากโฆษณาแบบ Directory Tiles พรีโหลด thumbnail ที่เป็นประโยชน์กับผู้ใช้

คราวนี้ Mozilla เปิดตัวโฆษณาแบบที่สอง Suggested Tiles ซึ่งมีลักษณะคล้ายแบนเนอร์เต็มรูปแบบ กระบวนการแสดงโฆษณาจะส่งผ่าน ad server ของ Mozilla เอง และปรับเปลี่ยนตามพฤติกรรมการเข้าเว็บและความสนใจของผู้ใช้งานแต่ละคน

จากข่าวเดิมที่ผู้บริหาร Mozilla สนใจทำ Firefox บน iOS ตอนนี้ก็ใกล้ถึงเวลาปล่อยออกสู่สาธารณะแล้ว

เหตุผลที่ Firefox เพิ่งจะมีบน iOS นั้นเป็นเพราะแต่ก่อนแอปเปิลไม่อนุญาตให้ใช้งานเอนจินร่วมด้วย ตัว Firefox จะใช้ WebKit และเอนจินชื่อ Nitro JavaScript ที่ทางแอปเปิลจัดเตรียมไว้ให้ ซึ่งยังถือเป็นข้อจำกัดจากทางแอปเปิลอยู่ดี

หากใครสนใจร่วมทดสอบต้องใช้ iOS 8 ขึ้นไป และทำการขอ Invite ได้ที่ Invitation Request (ล่าสุดปิดรับไปแล้ว) ใครที่ทดสอบแล้วก็มาแชร์ประสบการณ์การใช้งานได้นะครับ

Mozilla ออก Firefox 38 รุ่นจริงแล้ว การเปลี่ยนแปลงที่สำคัญคือรองรับ DRM ของวิดีโอบน HTML5 ตามมาตรฐาน Encrypted Media Extensions (EME) ที่เคยประกาศไว้ก่อนหน้านี้

ประเด็นเรื่อง DRM ถือเป็นเรื่องใหญ่ของ Mozilla เพราะแนวคิดเรื่องระบบปิด DRM ขัดกับภารกิจของ Mozilla แต่สุดท้ายองค์กรก็ไม่มีทางเลือกเพราะเนื้อหายอดนิยมบางอย่าง (เช่น Netflix) เข้ารหัสด้วยระบบ DRM เท่านั้น ทำให้ Mozilla ต้องยอมเพื่อให้ผู้ใช้เข้าถึงเนื้อหาเหล่านี้ได้