Ritiro del pinning delle chiavi pubbliche basato su HTTP
Il blocco delle chiavi pubbliche basato su HTTP (HPKP) aveva lo scopo di consentire ai siti web di inviare un'intestazione HTTP che blocca una o più chiavi pubbliche presenti nella catena di certificati del sito. Ha un'adozione molto bassa e, sebbene fornisca sicurezza contro la mancata emissione dei certificati, crea anche rischi di attacchi di tipo denial of service e di pinning ostile.
Per proteggersi dalla mancata emissione dei certificati, gli sviluppatori web devono utilizzare l'intestazione Expect-CT, inclusa la relativa funzionalità di generazione di report. Expect-CT è più sicuro di HPKP
grazie alla flessibilità che offre agli operatori dei siti per recuperare dagli errori di configurazione
e al supporto integrato offerto da diverse autorità di certificazione.
Prevediamo di rimuoverla in Chrome 69.
Intento di rimozione | ChromeStatus | Bug di Chromium
Ritiro di AppCache in contesti non sicuri
AppCache su HTTP è deprecato. AppCache è una funzionalità potente che consente l'accesso offline e permanente a un'origine. Consentire l'utilizzo di AppCache in contesti non sicuri lo rende un vettore di attacco per gli hack di cross-site scripting.
La rimozione è prevista in Chrome 69.
Intento di rimozione | ChromeStatus | Bug di Chromium
Layout
In questa release verranno rimosse diverse proprietà CSS con prefisso -webkit-:
-webkit-box-flex-group: questa proprietà ha un utilizzo praticamente nullo in base al contatore delle utilizzi in versione stabile.- Valori in percentuale (%) per
-webkit-line-clamp: c'è interesse a trovare una soluzione basata su standard per il caso d'uso dei valori numerici, ma non abbiamo riscontrato una domanda per i valori in percentuale. -webkit-box-lines: questa proprietà non è mai stata implementata completamente. Inizialmente era previsto che un-webkit-box"verticale"/"orizzontale" potesse avere più righe/colonne.
Intento di rimozione | ChromeStatus | Bug di Chromium
Norme sul ritiro
Per mantenere la piattaforma in buono stato, a volte rimuoviamo dalla piattaforma web le API che hanno terminato il loro ciclo di vita. Esistono diversi motivi per cui potremmo rimuovere un'API, ad esempio:
- Sono sostituite da API più recenti.
- Vengono aggiornati in base alle modifiche alle specifiche per garantire l'allineamento e la coerenza con gli altri browser.
- Si tratta di esperimenti iniziali che non sono mai stati implementati in altri browser e che possono quindi aumentare il carico di lavoro per l'assistenza degli sviluppatori web.
Alcune di queste modifiche interesseranno un numero molto limitato di siti. Per mitigare i problemi in anticipo, cerchiamo di dare agli sviluppatori un preavviso in modo che possano apportare le modifiche necessarie per mantenere i loro siti in funzione.
Al momento, Chrome dispone di una procedura per il ritiro e la rimozione delle API, che prevede essenzialmente:
- Annuncio sulla mailing list blink-dev.
- Imposta avvisi e fornisci scale di tempo nella console di Chrome DevTools quando viene rilevato l'utilizzo nella pagina.
- Attendi, monitora e poi rimuovi la funzionalità man mano che l'utilizzo diminuisce.
Puoi trovare un elenco di tutte le funzionalità deprecate su chromestatus.com utilizzando il filtro Deprecated e le funzionalità rimosse applicando il filtro Rimosso. Cercheremo inoltre di riassumere alcune delle modifiche, dei ragionamenti e dei percorsi di migrazione in questi post.