Mozilla 的 Firefox Test Pilot 提供了一系列官方开发的实验性扩展功能，通过测试来了解用户的喜好。Firefox Test Pilot 本周提供了两个新扩展。其一是购物比价工具 Price Wise，允许用户将不同网络零售商的商品加入到价格监视清单，当价格下降时，扩展会向浏览器发送通知，用户可以在任意网页点击。目前 Price Wise 只支持五家美国零售商——亚马逊，百思买，eBay，沃尔玛和家得宝，未来会支持更多零售商，该扩展目前只提供给美国地区的用户（其它地区看不到）。另一个扩展是 Email Tabs，允许用户选择多个标签，发送链接、截图和文本内容到 Gmail，该功能目前只支持 Gmail，未来会支持更多电邮服务。

Mozilla 发布了 Firefox 63，其主要特性是增强了跟踪保护。屏蔽所有第三方跟踪 cookies 可能会导致网页显示不正常，新的增强跟踪保护提供了更灵活的选项，推荐不屏蔽所有第三方 cookies，只屏蔽属于已知跟踪公司的 cookies。屏蔽第三方 Cookie 的选项默认没有启用（如图所示），Firefox 开发者计划在收集更多信息之后到 2019 年初默认启用该选项。Firefox 63 的其它变化包括： Windows 版本使用 Clang 工具链构建；Firefox 主题匹配 Windows 10 的明暗模式；在 Linux 上 WebExtensions 扩展运行自己的进程；等等。

随着越来越多的网站普及 HTTPS，明文的服务器名称指示（Server Name Indication，SNI）成为新的隐私漏洞。通过明文 SNI，ISP 或任何网络中间人将会知道你访问了哪个网站，最近一部分网站的屏蔽方法就升级到 SNI 检测。加密 SNI（ESNI）将会堵上这个漏洞。Mozilla 现在宣布它的最新版 Firefox Nightly 加入了对加密 SNI 的支持，在该功能启用之后浏览器访问任何支持加密 SNI 网站将不会泄漏域名。目前只有云服务商 Cloudflare 支持加密 SNI，也就是只有访问托管在 Cloudflare 的网站该功能才会起作用。Mozilla 希望未来会有更多服务商支持 ESNI。

在微软之后， Mozilla 宣布 Firefox 将于 2020 年 3 月停止支持 TLS 1.0 和 TLS 1.1，它建议使用旧版本 TLS 协议的网站尽快迁移到 TLS 1.2 或最近发布的 TLS 1.3。Mozilla 称到 2019 年 1 月 TLS 1.0 有二十年历史了，虽然 TLS 1.0 目前没有发现严重问题需要立即采取行动，但在多个方面它已经不足以保护今天的互联网了，其中最重要的是它不支持现代加密算法。互联网工程任务组（IETF）不再推荐使用旧版本的 TLS，它发布了一份草案解释背后的技术理由。Chrome 和 Safari 也都公布了类似的计划淘汰 TLS 1.0 和 TLS 1.1。

从 Firefox 64 起，Mozilla 将从核心产品中移除对 RSS/Atom 的支持，它强烈建议用户通过扩展替代这一功能。在考虑了维护、性能和安全代价之后，Mozilla 认为在核心产品中支持 RSS/Atom 不再具有可持续性，但 Mozilla 仍然相信 RSS，支持其背后的开放互操作格式。Mozilla 称，相关功能的代码已经十分陈旧，维护和安全方面的投入与其微不足道的使用率是不相称的，它的使用率只有 0.01%。Mozilla 将移除内置的 feed 预览、订阅 UI 和 live bookmarks，在移除这些功能时它将导出 OPML 文件，用户可以使用 RSS 阅读器导入该文件。Firefox 64 计划在 2018 年 12 月发布，下一个 ESR 版本也将包含这一改变。

在 Google WebP 图像格式发布八年之后，两大浏览器开发商 Mozilla 和微软终于加入了对 WebP 的支持。WebP 是基于 VP8 的有损和无损图像压缩格式，2010 年发布首个版本。Mozilla 现在表示它正在实现对 WebP 格式的支持，但只有桌面版和 Android 版本会支持 WebP，iOS 版本不会，因为 Firefox for iOS 使用的是 Safari 的 WebKit 引擎，而不是 Mozilla 自己的 Gecko 引擎，WebKit 目前不支持 WebP。本周开始推送（后暂停推送）的 Windows 10 October 2018 Update 包含了最新版本的 Edge 浏览器，已经加入了对 WebP 的完整支持。

Mozilla 开始向用户提供 Firefox Accounts 账号的恢复密钥选项。利用该功能，用户可以为他们的账号生成一次性的密钥，允许他们在忘记密码之后仍然能恢复访问账号。Firefox Accounts 是同步功能的一部分，可用于在不同设备上同步 Firefox 的浏览历史，密码、书签、打开的标签和安装的扩展。浏览器的本地数据首先会在本地加密之后再上传到 Mozilla 服务器，没有用户的密码 Mozilla 工程师也无法访问用户的浏览历史。

今年六月，Mozilla 与 Have I Been Pwned?（HIBP） 的维护者 Troy Hunt 宣布合作开发一个通知系统，当用户访问的网站遭遇过数据泄露时向其展示安全警告。通知系统将使用 Have I Been Pwned? 网站提供的数据，允许用户查询其信息是否泄漏。这个工具被称为 Firefox Monitor，现在它正式提供给用户。用户输入自己的电子邮件地址，点击扫描可以查看自己的账号在哪些数据泄漏事件里被泄露了。HIBP 的数据库也包含了来自中国网站和服务泄漏的数据，比如天涯网站曾在 2011 年泄漏了超过 2900 万账号。

Mozilla 发布了能工作在虚拟现实和增强现实头戴式设备上的新浏览器 Firefox Reality，有此类设备的用户现在可通过 Viveport、Oculus 和 Daydream 的应用商店下载。Mozilla 称它的 Mixed Reality 团队投入了大量时间、精力和研究去寻找出如何为虚拟现实设计浏览器的方法，它的 VR 浏览器的一个核心功能是能用语音搜索 Web。Firefox Reality 使用了 Quantum 引擎，更流畅的性能对于 VR 浏览器是至关重要的。

Mozilla 通过开发者邮件列表宣布，Firefox Nightly 在使用 Nvidia GPU 的 Windows 10 系统上默认启用 WebRender。WebRender 是用 Rust 语言开发的基于 GPU 的实验性 Web 内容渲染器。开发者 Lin Clark 称，在 Chrome 或正式版 Firefox 上帧率只有 15 FPS 的页面用 WebRender 渲染能达到 60 FPS，不管显示器有多大或每帧之间变化多大。Clark 称，现代视频游戏重绘了每个像素，并比浏览器更可靠的维持 60 FPS。

在整合了必应翻译和 Yandex 翻译之后，Mozilla 开始在 Firefox 内置的翻译引擎中加入 Google 翻译支持。在 Firefox 地址栏输入 about:config，然后搜索 translation，用户可以发现翻译引擎相关的选项，Firefox 浏览器目前内置的翻译引擎是必应，它还不支持 Google 翻译，而必应翻译实际上在浏览器上也无法正常工作。Google 翻译所需的 API 访问密钥只提供给付费用户，暂时还不清楚 Mozilla 是否会与 Google 达成使用 API key 的交易。

Mozilla 释出了 Firefox 62。主要新变化包括：Firefox 63 将停止信任赛门铁克签发的证书，Firefox 62 加入了配置选项允许用户提前不信任赛门铁克证书（ecurity.pki.distrust_ca_policy，值设为 2）；支持 CSS Shapes，支持 CSS Variable Fonts 可变字体；改进 Windows 下无硬件加速的图形渲染；更新企业环境，macOS 10.14 全黑模式自动启用全黑主题；等等。另外，最后一个支持 XUL 扩展的支持版本 Firefox ESR 52 已经终止支持，以后的 ESR 版本都不再支持旧扩展。

Mozilla 宣布 Firefox 将改变反跟踪的方法，默认屏蔽拖慢页面加载的脚本和跨站跟踪，同时提供选项给予用户更多的控制。Mozilla 称，Ghostery 的研究发现，网站页面加载所需的时间有 55.4% 是用在加载第三方跟踪脚本。如果用户的网速比较慢，加载问题将会更严重。Firefox Nightly 引入了屏蔽拖慢页面加载的脚本功能，如果该功能测试结果良好，那么 Firefox 63 将默认启用该功能。此外，Firefox 65 还将移除跨站跟踪。Mozilla 表示它会采取更多措施保护用户，屏蔽各种有害做法。

Mozilla 早些时候 发布了 Firefox 的 Nightly 版本，引入了 DNS over HTTPS (DoH) 功能。它邀请了用户测试被称为 Trusted Recursive Resolver (TRR)的加密域名解析功能。今天的 DNS 解析通常没有加密，不安全，采用 DoH 将让 DNS 解析更安全。现在，Mozilla 公布了 DNS over HTTPS 的实验结果。有大约 2.5 万用户参与了实验，产生了超过 10 亿 DoH 事务，结果显示对于非缓存 DNS 请求 DoH 对性能的影响甚微，绝大多数请求只慢了 6 毫秒，这是数据安全的可接受代价。实验已经结束，Nightly 版用户仍然可以手动启用。

Mozilla 宣布将于十月份从官方的扩展网站移除所有的旧扩展。Firefox 浏览器已经淘汰了基于 XUL 的扩展 API，采用了兼容 Chrome 的 WebExtensions API。从 2017 年 11 月发布的 Firefox 57 起，旧的扩展就无法在浏览器上工作，但 Mozilla 宣布它的延长支持版本 Firefox ESR 52 会支持旧扩展。对 Firefox ESR 52 的支持将于 9 月 5 日结束， Mozilla 此后将不再有支持旧扩展的 Firefox 版本。从 9 月 6 日起，Mozilla 将关闭旧扩展的递交，到 10 月初移除所有旧扩展。

基于 Firefox 的分支 Pale Moon 发布了一个重大更新版本 v28。Pale Moon 与 Firefox 的主要区别在于它仍然支持 Firefox 已经停止支持的 NPAPI 插件和 XUL，支持完全可定制的接口，没有整合任何 DRM。Firefox 停止支持旧的扩展而采用兼容 Chrome 和 Opera 的 WebExtensions API 技术一度引发争议。到目前为止仍然有很多流行的旧扩展仍然没有切换到 WebExtensions。Pale Moon 提供了一种选择允许用户继续使用他们熟悉的旧扩展。v28 的主要变化包括 JavaScript 引擎 SpiderMonkey 更新，支持 ECMAScript 标准的所有重要特性；布局和渲染引擎 Goanna 更新到 v4；WebGL2 支持，等等。

由于赛门铁克 CA 过去几年被发现签发了大量有问题的证书，包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书，Google 去年宣布从 2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。Chrome 的测试版本 Chrome Canary 已经停止信任赛门铁克证书。现在，Mozilla 宣布它的测试版本 Firefox Nightly 63 将停止信任赛门铁克签发的证书，用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla 建议网站所有者尽可能快的替换旧证书。

人们提到 Firefox，想到的通常是浏览器。但 Mozilla 过去几年围绕 Firefox 创造了一系列新的应用和服务，它认为需要重塑品牌来反映这一趋势。Mozilla 的一组产品和品牌设计师正在设计 Firefox 家族的新 logo（如图所示，左边是 System 1，右边是 System 2），它公布了设计征询用户反馈。不过 Mozilla 同时表示它没打算众筹答案和对新设计进行投票。

本月早些时候 Google 对 99% 的 Chrome 桌面版用户默认启用了网站隔离功能。网站隔离功能是在 2017 年 12 月发布的 Chrome 63 中引入的，当时没有默认启用。Chrome 默认是一个标签使用一个进程，但如果网页之间共享内容，它们也会共享一个进程。网站隔离消除了共享进程，确保不同网站在不同的进程上。Google 不是唯一一个开发网站隔离功能的浏览器开发商，Mozilla 有一个类似的项目叫 Project Fission。该项目于 4 月启动，Mozilla 工程师表示，在向用户推送该功能前他们需要先优化内存占用。网站隔离的一个代价就是内存开销增加，测量显示它增加了 10% 左右的内存使用。Mozilla 计划将每个进程的内存占用减少到 10 MB 左右。

Mozilla 工程师准备移除 Firefox 浏览器的一项十分古老的功能——内置的 RSS 和 Atom 阅读器和实时书签功能。Firefox 用户可能对这项功能很熟悉，然而并没有多少人使用它。当用户访问一个 RSS/Atom 源时，浏览器能展示一个特定页面让用户预览或订阅该源。Mozilla 工程师在 Bugzilla 上宣布他们计划在今年晚些时候移除实时书签功能，称只有 0.1% 用户的使用该功能，它的代码已经过时很难维护，上一次更新还是在 7 年前。Mozilla 表示它会将用户订阅的 RSS/Atom 源导出到一个 OPML 文件，用户之后可以将其导入桌面阅读器或 Web 版阅读器。