Firefox CTO Eric Rescorla 透过官方博客介绍了最近因为证书过期导致扩展失效停止工作这一事故背后的技术细节。CTO 首先解释了 Mozilla 引入强制性扩展前面的原因：为了保护用户远离恶意扩展。但不幸的是它用于给扩展签名的中级证书于 5 月 4 日 1AM UTC 过期，虽然证书是在午夜过期，但影响不是立即发生的，因为浏览器没有每时每刻检查扩展的签名，而是大约 24 小时检查一次，所以 Firefox 用户遭遇扩展失效的时间有先有后。Mozilla 是在 5 月 3 日太平洋时间 6PM 左右收到第一份报告，随后立即组织了一个团队去着手解决问题。他们首先禁用了新扩展的签名，然后通过 Normandy 和Studies System 推送了热补，最后释出了正式的补丁。Eric Rescorla 表示他们将采取措施防止类似的事再次发生。

Firefox 紧急释出了 66.0.4，修复了因证书过期导致扩展停止工作的问题。此前它已经释出了修正，现在则是发布第二次更新。在发布公告中，Mozilla 承认有部分扩展问题尚未解决，包括：部分扩展可能仍然会列为不支持或没有显示在 about:addons 中，它们的数据并没有丢失，用户可以重新安装扩展恢复数据；容器功能如 Multi-Account Containers 和 Facebook Container 的数据可能会丢失，用户可能需要重新设置或登录；主题可能会没有启用，用户需要在 about:addons 中重新启用；扩展定制的主页或搜索设置可能重置为默认。

Mozilla 未能及时更新证书的失误导致无数用户受到影响，它的扩展强制签名政策本意是出于安全方面的考虑，如今却给用户带来了巨大的麻烦。Mozilla 通过名为 Normandy 的推送机制紧急释出了更新。Normandy 允许 Mozilla 在不释出更新的情况下改变目标用户某个偏好的默认值。紧急更新利用了名叫 Shield Studies 的功能，需要用户启用“允许 Firefox 安装并运行一些实验项目”的选项（在 Firefox 数据收集与使用下），然后在地址栏输入 about:studies，可以看到修正补丁“hotfix-update-xpi-signing-intermediate-bug-1548973”。用户也可以绕过 Shield Studies 直接安装官方补丁（xpi）。

由于用于给扩展签名的中级证书过期，Firefox 扩展在 5 月 4 日 UTC 时间午夜停止工作。Firefox 用户通过 Bugzilla 和 Github 报告了这一问题。用户报告他们无法下载扩展，在尝试下载时返回了“下载失败，请检查网络连接”的错误信息。与此同时，用户已经安装的扩展也因为没有有效签名而被禁用。Mozilla 开发者表示，他们收到了大量因证书过期导致扩展停止工作的报告，他们的团队正积极行动尽可能快的修复，在修复之前他们暂时禁用了新扩展的签名。

Mozilla 更新了它的扩展政策，明确禁止含有混淆代码的扩展。这一政策将于 6 月 10 日生效，扩展开发者需要在一个月内更新扩展以避免违反扩展政策。Mozilla 表示此举有助于更好的处理恶意扩展。混淆代码通常被黑客用于隐藏程序的真正用途。Mozilla 在新扩展政策中声明，扩展不允许含有混淆代码，或隐藏相关功能目的的代码。如果扩展使用到外部资源，那么相关功能不能混淆。

百度宣布将在 4 月 30 日关闭或停止更新多个产品和服务，其中包括桌面百度、百度工具栏、百度地址栏、百度极速浏览器，hao123 浏览器。官方给出的理由是业务调整。百度称，停止更新之后，同步、登录、推荐以及插件等功能将会失效，但基本功能可以正常使用。但停止更新应该也意味着百度不会继续提供安全方面的更新，这意味继续使用这些产品将会存在安全风险，用户最好切换到其他类似产品，比如 Firefox 浏览器。

前 Firefox 副总裁 Johnathan Nightingale 通过个人观察谈论了 Firefox 同时成为 Google 合作伙伴和竞争对手的经历。他在 Mozilla 工作了 8 年，Google 一直是 Mozilla 的最大合作伙伴，其收入的九成来自于 Google 的搜索分成。当他于 2007 年开始在 Mozilla 工作时，当时还没有 Google Chrome 浏览器，他们与之交流的大部分 Google 工程师都是 Firefox 粉丝。Google 正在建立一个互联网帝国，而 Mozilla 正在构建 Web 本身，他认为大部分 Google 雇员都相信这一点，Google 的工程师关心 Mozilla 做的大部分事情。双方互相学习。但 Google 作为一个整体与 Google 个别的雇员是不同的。Google Chrome 的广告开始出现在 Firefox 搜索词旁边， Firefox 上访问 Gmail 和 Google Docs 开始出现性能问题和错误，Google 的 Demo 网站会以不兼容为由错误的屏蔽 Firefox。Firefox 和 Google 仍然是搜索合作伙伴，遇到这些问题后 Firefox 工程师会联络 Google，而 Google 则通常会回答哎呀这是意外，表示他们会很快进行修复。然而，同样的事情一次又一次的发生，一次又一次的意外。数百次意外之后你会怀疑这究竟是意外造成的错误还是有意为之。他认为，Chrome 团队的很多人都是不错的，但 Google/Alphabet 从宏观层面则是有计划有意图的，当 Google 想要完成某件事，它会非常有效的完成。通过持续的“意外”，你就被超越了，被甩在了后面。

Mozilla 释出了 Firefox 66。主要新特性包括：屏蔽网站自动播放声音，用户可选择将某些网站加入到例外列表；快速从打开的多个标签页中寻找想要访问的网页；在鼠标滚动页面时锚定内容，防止因为图像或广告的加载而导致的跳跃；扩展设置存储在 Firefox 数据库中，重新设计了键盘快捷键部分；重新设计证书错误页；Web 内容加载进程从 4 增加到 8，减少崩溃率；安全修正，等等。

W3C 最近宣布 Web Authentication (WebAuthn)成为正式的 Web 标准，它为 Web 应用和服务提供了无密码的公钥身份认证接口。主流浏览器或者已经支持或者即将支持，但主流网站普及 WebAuthn 的进度较慢，其中之一是 Google。由于搜索巨人的 Google Accounts 采用 WebAuthn 的进度落后于计划， Firefox 计划对 Google Accounts 启用正被 WebAuthn 淘汰的 Fido U2F API。

2017 年 Firefox 的 Test Pilot 项目推出了一个实验性的文件共享扩展 Send，允许用户以加密方式发送最大 1GB 的文件，可以与朋友同事分享，创建的链接将在下载一次后或间隔一天后自动删除或过期。现在，Mozilla 正式发布了 Firefox Send，可发送文件大小的容量也增加到了 2.5 GB（登录用户，匿名用户 1 GB），大大增强了可用性。Send 使用端对端加密确保数据的安全性，用户可设置过期时间，下载次数，是否需要添加额外一层的安全保护比如需要密码才能打开。接受到文件的用户不需要账号就能直接下载。

Mozilla 正式宣布了与 Chrome 类似的网站隔离功能 Project Fission。Chrome 是从 2018 年 7 月开始默认启用网站隔离功能。在此之前，如果网页之间共享内容，它们会共享一个进程。网站隔离消除了共享进程，确保不同网站运行在不同的进程上，增强了安全性，但副作用是会增加内存占用开销。Project Fission 始于去年，Firefox 的网站隔离将像 Chrome 一样是细颗粒度控制，如果一个网站的网页有 iframe，那么这个 iframe 将有自己的进程，避免了恶意 iframe 对用户的潜在威胁。

从计划于 2019 年 3 月 19 日释出的 Firefox 66 起，Mozilla 计划默认屏蔽声音的自动播放，去年释出的 Nightly 版本已经对此进行了测试。新规定将应用于任何没有用户提前进行互动比如点击按钮就播放声音的网站。音频自动播放禁令将适用于浏览器多媒体播放的 HTML5 音频和视频元素，意味着 Firefox 将屏蔽来自广告和视频播放器的声音。Chrome 浏览器在一年前采取了类似的决定，默认屏蔽自动播放。微软也宣布了类似的计划，但还没有付诸实践。

部分 Firefox 用户在升级到最新稳定版后报告无法访问任何 HTTPS 网站，浏览器返回了连接不安全/证书不被信任的错误警告，Mozilla 因而暂停了 Windows 版 Firefox 65 的推送。该问题主要影响安装了 AVG 或 Avast 杀毒软件的用户。Avast 和 AVG 内置的 HTTPS 过滤功能导致了这一问题，但为了限制对用户的影响，Mozilla 暂停了所有 Windows 用户的自动更新 ，而 Avast 释出了一个新的杀毒引擎禁用了 Avast 和 AVG 产品的 Firefox HTTPS 过滤。

Mozilla 释出了 Firefox 65。主要新特性包括：增强跟踪保护，简化内容屏蔽设置，用户可以选择他们想要的保护级别；重新设计了网站信息面板的内容屏蔽部分，macOS 版支持 Handoff， Windows 版支持 AV1——由 Alliance for Open Media 开发的下一代免版税视频编解码器，about:performance 的任务管理器能显示页面和扩展的内存占用，支持 Google 的 WebP 图像格式，等等。

根据 Mozilla 的插件路线图，今年晚些时候发布的 Firefox 69 将默认禁用 Flash。Firefox 的最新版本是 64，而 69 计划在 2019 年 9 月 3 日释出。Adobe 计划到 2020 年底终止对 Flash 的支持，而 Mozilla 计划到 2020 年初从 Firefox 完全移除 Flash，扩展支持版本（ESR）也将在 2020 年年底停止支持 Flash，到 2021 年 Firefox 将会拒绝加载包含 Flash 插件的网页，Mozilla 的理由是 Flash 缺乏来自 Adobe 的安全更新。

如果你没有将浏览器的新标签页设为空白，那么新标签页通常会显示你经常访问的网站快捷键。但如果你经常访问成人网站，那么被人看到新标签页可能会感到尴尬。开源浏览器 Firefox 被发现正加入代码来隐藏你的秘密。它包含了硬编码的成人网站域名名单，如果你经常访问的成人网站位居其中，那么新的标签页将会自动隐藏这些网站。只要你访问的成人网站是主流的，那么你不用再担心会遭遇尴尬。Firefox 的黑名单包含了 3000 个域名，除了成人网站外还有盗版和 BT 网站。

Mozilla 最近发布的 Firefox 64 是首个用 Clang 编译器构建的版本，而 Firefox 63 则是最后一个用 GCC 编译器构建的版本。Mozilla 声称从 GCC 切换到 Clang 能提升性能，但具体数字很难得到。开发者 Honza Hubička 分别测试了启用链时优化（LTO）和按配置优化（PGO）的 GCC 8 构建的 Firefox 以及 Clang 构建版本的性能，寻找为什么 GCC 构建的版本性能比 Clang 的版本低，因为存在各种干扰测试的因素作者没有得出明确的结论，不过 Clang 构建的时间确实比 GCC 短（无论是 GCC 8 还是 GCC 9）。

Mozilla 释出了 Firefox 64。主要新特性包括：多标签选择，简化多个标签页的管理；新 CSS 特性，无前缀 Fullscreen API，上下文菜单增强，不再信任赛门铁克签发的证书，以及扩展推荐功能等。其中扩展推荐将会根据用户的浏览习惯推荐扩展和其它功能，比如你经常浏览同一个标签，浏览器会建议你固定该标签页；为了减少 Facebook 对你的跟踪它会建议你安装 Facebook Container 扩展；如果你使用翻译它会推荐 Google Translate 等等。这项功能是靠浏览器自己完成，不会发送任何数据给 Mozilla。如果你不喜欢这项功能可以打开 about:preferences 页，找到“浏览”，去掉“在您浏览时推荐扩展”的勾选。

Mozilla CEO Chris Beard 在官方博客上发表文章谈论了微软放弃自己的渲染引擎 EdgeHTML 转投 Chromium 的影响，称这将让 Google 变得更强大，他呼吁人们再次尝试使用 Firefox。Chris Beard 认为，从商业角度看，微软的决定可能是有意义的，Google 几乎完全控制了我们在线生活的基础设施，继续与之战斗不会有利可图，放弃旧的选择和自由则能让股东受益。从公民、社会和个人赋权的角度看，将控制权交给一家公司是非常糟糕的。这是 Mozilla 存在的原因。Mozilla 与 Google 竞争不是因为存在好的商业机遇，而是互联网以及在线生活的健康取决于竞争和选择。让 Google 变得过于强大是存在风险的，Chromium 的高市场份额可能会导致开发者和企业不关心网站和服务在其它浏览器上工作的情况。在微软的 IE 统治浏览器市场的时候这种情况就发生过了。互联网要变得更好需要有更多的选择，更多的竞争。

Chrome 和 Firefox 开发者都计划移除对 FTP 协议的支持，理由是 FTP 不安全会增加攻击面。目前用户在浏览器地址栏输入一个 FTP 服务器图像文件地址，浏览器会尝试直接渲染，在浏览器里直接显示图像。Google 开发者多年来一直都试图移除对 FTP 的支持，改变浏览器行为，不在浏览器里直接渲染图像而是下载文件，而 FTP 服务器的目录则会继续显示。FTP 的 RFC 文件最早是在 1971 年发表的，它在 BBS 时代得到了广泛传播，被用于下载软件和共享文件。但它的协议非常繁琐，两个主机之间需要大量的对话才会开始传输数据，而且不支持原生的加密。Debian 和  Linux内核官网 kernel.org 都关闭了 FTP 服务器，而 Chrome 也把 FTP 网站标记为不安全。