Mozilla发布了Firefox 37，在Windows上原生支持HTML5视频回放，还有许多安全改动。

 

       安全改动包括更新不安全的TLS版本回退策略、从证书和TLS中移除对DSA的支持、报告SSL连接错误以及优化TLS False Start。

 

       在Mozilla Hacks的文章Trainspotting: Firefox 37, Developer Edition and More中，技术专家Dietrich Ayala详细解释了证书和TLS中的DSA。Ayala说：“我们移除了对DSA的支持，因为我们发现几乎没人用它。如果你是网站管理员并且你的证书使用DSA算法进行签名，那么请联系你的CA获取新证书。”

 

       在介绍SSL连接问题时，Ayala说道：

 

现在用户可以报告多种和证书无关的SSL连接问题。

 

举例来说，如果用户遇到了不可覆盖的TLS错误，可以直接从错误页面向Mozilla发送报告。报告中会包含你试图访问的域名、服务器发送的证书、时间、遇到的错误以及一些用户代理信息。

 

       Ayala说，Mozilla会使用这些信息来协助网站管理员修正他们的配置并改进检测到这些问题的软件，因此他们很希望用户可以发送报告。

 

       除了安全更新，在Firefox社区中最流行的改动之一就是实现了媒体源扩展（MSE）API的一个子集，允许Windows用户在（包括YouTube在内的）网站上原生回放HTML5视频。可以通过MediaSource接口获取HTMLMediaElement对象的媒体数据源。

 

       Mozilla的JavaScript工程师Jordan Santell在一月份编写了Firefox 37 开发者版本的特性说明：Web Animation tools, Network Security insights, Font Inspector improvements and more。在文中他提到开发者面板会显示请求连接、主机、使用的证书等等信息。

 

       Santell 说：“安全面板可以协助调试与SSL协议版本相关的问题，比如由于POODLEBITE问题导致网站无法正常工作。它还可以协助开发者确认已经采用了足够强壮的安全措施。”

 

       新版本还包括安卓上的安全稳定版。值得注意的是，新版本包含对基于http://的资源的随机加密。

 

       在博文Opportunistic Encryption For Firefox中，Mozilla网络工程师Patrick Mcmanus介绍了具体的加密方法。

 

       他说：

 

这可以防御一部分被动窃听，并且相比直接使用TCP协议，随机加密可以在陌生的网络环境中更好地保护你的数据。此外，服务器端的设置非常简单。

 

       然而，McManus还提到，虽然这些加密“对于http://来说很好……但如果你能使用https——请关闭加密”。

 

       更详细的Firefox 37改动信息可以在这里找到。

 

       Mozilla很欢迎新人加入Firefox项目，作为InfoQ读者你有很多种方式向Firefox做出贡献。完整的贡献手册可以在Mozilla开发者网站看到。此外，Mozilla还发布了一系列How To教程。

 

查看英文原文：Firefox 37 Brings Native Playback of HTML5 Video

 

作者 James Chesters ，译者 梁杰