הוצאה משימוש והסרות ב-Chrome 67

Joe Medley
Joe Medley
GitHub

הוצאה משימוש של הצמדת מפתחות ציבוריים מבוססת-HTTP

הכלי להצמדת מפתחות ציבוריים מבוסס-HTTP (HPKP) נועד לאפשר לאתרים לשלוח כותרת HTTP שמצמדת מפתח ציבורי אחד או יותר שנמצאים בשרשרת האישורים של האתר. השימוש בו נמוך מאוד, ולמרות שהוא מספק אבטחה מפני הנפקה שגויה של אישורים, הוא גם יוצר סיכונים של התקפת מניעת שירות (DoS) ותקיפת הצמדה עוינת (hostile pinning).

כדי להגן מפני הנפקה שגויה של אישורים, מפתחי אתרים צריכים להשתמש בכותרת Expect-CT, כולל פונקציית הדיווח שלה. Expect-CT בטוח יותר מ-HPKP בגלל הגמישות שהוא מעניק למפעילי האתרים להתאוששות משגיאות בתצורה, ובגלל התמיכה המובנית שמציעות מספר רשויות אישורים.

אנחנו צופים שהתכונה הזו תוסר ב-Chrome 69.

כוונה להסרה | ChromeStatus | באג ב-Chromium

הוצאה משימוש של AppCache בהקשרים לא מאובטחים

AppCache דרך HTTP הוצא משימוש. מטמון האפליקציה הוא תכונה חזקה שמאפשרת גישה עקבית לאופליין למקור. מתן הרשאה לשימוש ב-AppCache בהקשרים לא מאובטחים הופך אותו לכיוון התקפה של פריצות של סקריפטים באתרים שונים.

ההסרה צפויה בגרסה 69 של Chrome.

כוונה להסרה | ChromeStatus | באג ב-Chromium

פריסה

כמה מאפייני CSS עם הקידומת -webkit- יוסרו במהדורה הזו:

  • -webkit-box-flex-group: לנכס הזה יש שימוש אפס כמעט, על סמך UseCounter בגרסת stable.
  • ערכים באחוזים (%) עבור -webkit-line-clamp: יש עניין במציאת פתרון מבוסס-תקנים לתרחיש לדוגמה של ערכי מספרים, אבל לא ראינו ביקוש לערכים שמבוססים על אחוזים.
  • -webkit-box-lines: המאפיין הזה לא יושם במלואו אף פעם. במקור, היתה כוונה ש--webkit-box 'אנכי'/'אופקי' יכול לכלול כמה שורות/עמודות.

כוונה להסרה | ChromeStatus | באג ב-Chromium

מדיניות הוצאה משימוש

כדי לשמור על בריאות הפלטפורמה, אנחנו מסירים לפעמים ממשקי API מפלטפורמת האינטרנט שהשימוש בהם הסתיים. יש הרבה סיבות לכך שנחליט להסיר ממשק API, למשל:

  • הם הוחלפו בממשקי API חדשים יותר.
  • הם מתעדכנים בהתאם לשינויים במפרטים כדי לשמור על תאימות ועקביות עם דפדפנים אחרים.
  • אלה ניסויים מוקדמים שלא הבשילו לדרגת תמיכה בדפדפנים אחרים, ולכן הם עלולים להגדיל את נטל התמיכה למפתחי אתרים.

חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי למזער בעיות מראש, אנחנו מנסים להודיע למפתחים מראש כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.

ב-Chrome יש כרגע תהליך להוצאה משימוש ולהסרה של ממשקי API. באופן כללי, התהליך כולל את השלבים הבאים:

  • להודיע על כך ברשימת התפוצה blink-dev.
  • להגדיר אזהרות ולציין סולמות זמן במסוף DevTools של Chrome כשמתגלה שימוש בדף.
  • מחכים, עוקבים אחרי השימוש בתכונה ואז מסירים אותה כשהשימוש בה יורד.

אפשר למצוא רשימה של כל התכונות שהוצאו משימוש בכתובת chromestatus.com באמצעות המסנן 'תכונות שהוצאו משימוש' , ותכונות שהוסרו באמצעות המסנן 'תכונות שהוסרו'. ננסה גם לסכם בפוסט הזה חלק מהשינויים, מההסברים ומנתיבי ההעברה.