Einstellung der HTTP-basierten Public-Key-Pinning-Funktion
HTTP-basierte Public-Key-Pinning (HPKP) sollte es Websites ermöglichen, einen HTTP-Header zu senden, der einen oder mehrere der öffentlichen Schlüssel in der Zertifikatskette der Website anpinningt. Die Verbreitung ist sehr gering. Obwohl es Schutz vor fehlerhaften Zertifikatsausstellungen bietet, birgt es auch Risiken von Dienstausfällen und feindseliger Pinning.
Um sich vor einer fehlerhaften Ausstellung von Zertifikaten zu schützen, sollten Webentwickler den Expect-CT-Header einschließlich seiner Meldefunktion verwenden. Expect-CT ist sicherer als HPKP, da es Website-Betreibern mehr Flexibilität bei der Wiederherstellung nach Konfigurationsfehlern bietet und von einer Reihe von Zertifizierungsstellen unterstützt wird.
Wir gehen davon aus, dass diese Funktion in Chrome 69 entfernt wird.
Intent to Remove | ChromeStatus | Chromium-Fehler
Einstellung von AppCache in nicht sicheren Kontexten
AppCache über HTTP wird eingestellt. AppCache ist eine leistungsstarke Funktion, die den Offlinezugriff und dauerhaften Zugriff auf einen Ursprung ermöglicht. Wenn Sie die Verwendung von AppCache über nicht sichere Kontexte zulassen, wird er zu einem Angriffsvektor für Cross-Site-Scripting-Hacks.
Die Entfernung wird voraussichtlich in Chrome 69 erfolgen.
Intent to Remove | ChromeStatus | Chromium-Fehler
Layout
In dieser Version werden mehrere CSS-Eigenschaften mit dem Präfix -webkit- entfernt:
-webkit-box-flex-group: Diese Property wird laut dem UseCounter in der stabilen Version praktisch nicht verwendet.- Prozentwerte (%) für
-webkit-line-clamp: Es besteht Interesse an einer standardsbasierten Lösung für den Anwendungsfall mit Zahlenwerten, aber wir haben keine Nachfrage nach den prozentualen Werten festgestellt. -webkit-box-lines: Diese Property wurde nie vollständig implementiert. Ursprünglich war vorgesehen, dass eine „vertikale“/„horizontale“-webkit-boxmehrere Zeilen/Spalten haben kann.
Intent to Remove | ChromeStatus | Chromium-Fehler
Einstellungsrichtlinie
Um die Plattform leistungsfähig zu halten, entfernen wir manchmal APIs von der Webplattform, die nicht mehr benötigt werden. Es kann viele Gründe dafür geben, dass wir eine API entfernen, z. B.:
- Sie werden durch neuere APIs ersetzt.
- Sie werden entsprechend den Änderungen an den Spezifikationen aktualisiert, um für Einheitlichkeit mit anderen Browsern zu sorgen.
- Es handelt sich um frühe Experimente, die in anderen Browsern nie umgesetzt wurden. Dies kann den Supportaufwand für Webentwickler erhöhen.
Einige dieser Änderungen betreffen nur sehr wenige Websites. Um Probleme im Voraus zu vermeiden, informieren wir Entwickler frühzeitig, damit sie die erforderlichen Änderungen vornehmen können, um ihre Websites weiter betreiben zu können.
In Chrome gibt es derzeit ein Verfahren für die Einstellung und Entfernung von APIs, das im Wesentlichen so abläuft:
- Ankündigung in der blink-dev-Mailingliste.
- Legen Sie in der Chrome-Entwicklertools-Konsole Warnungen fest und geben Sie Zeitskalen an, wenn auf der Seite eine Nutzung erkannt wird.
- Warten Sie, beobachten Sie die Nutzung und entfernen Sie die Funktion, sobald sie nicht mehr verwendet wird.
Auf chromestatus.com finden Sie eine Liste aller eingestellten Funktionen, wenn Sie den Filter „Eingestellt“ verwenden. Entfernte Funktionen werden mit dem Filter „Entfernt“ angezeigt. Außerdem werden wir in diesen Beiträgen einige der Änderungen, Gründe und Migrationspfade zusammenfassen.