Wycofanie przypinania klucza publicznego na podstawie HTTP
Mechanizm przypinania kluczy publicznych na podstawie protokołu HTTP (HPKP) miał umożliwić witrynom wysyłanie nagłówka HTTP, który przypina co najmniej 1 klucz publiczny obecny w łańcuchu certyfikatów witryny. Jest ona bardzo rzadko stosowana i chociaż zapewnia ochronę przed błędnym wystawieniem certyfikatu, stwarza też ryzyko odmowy usługi i nieprzyjaznego przypinania.
Aby chronić się przed nieprawidłowym wydawaniem certyfikatów, deweloperzy powinni używać nagłówka Expect-CT, w tym jego funkcji raportowania. Expect-CT jest bezpieczniejszy niż HPKP, ponieważ daje operatorom witryn większą elastyczność w przywracaniu po błędach konfiguracji i oferuje wbudowane wsparcie wielu urzędów certyfikacji.
Planujemy usunąć tę funkcję w Chrome 69.
Intend to Remove | ChromeStatus | Błąd w Chromium
Wycofanie pamięci podręcznej aplikacji w niebezpiecznych kontekstach
Pamięć podręczna aplikacji przez HTTP została wycofana. AppCache to zaawansowana funkcja, która umożliwia trwały dostęp do źródła w trybie offline. Zezwalanie na używanie AppCache w kontekście niezabezpieczonego powoduje, że staje się ono wektorem ataków typu cross-site scripting.
Usunięcie jest planowane w Chrome 69.
Intend to Remove | ChromeStatus | Błąd w Chromium
Układ
W tej wersji usuniemy kilka właściwości CSS z prefiksem -webkit-:
-webkit-box-flex-group: ta właściwość jest praktycznie nieużywana na podstawie UseCounter w wersji stabilnej.- Wartości procentowe (%) w przypadku
-webkit-line-clamp: istnieje zainteresowanie znalezieniem rozwiązania opartego na standardach w przypadku wartości liczbowych, ale nie odnotowaliśmy popytu na wartości procentowe. -webkit-box-lines: ta usługa nie została w pełni wdrożona. Pierwotnie zakładano, że-webkit-box„pionowe”/„poziome” mogą mieć wiele wierszy/kolumn.
Intend to Remove | ChromeStatus | Błąd w Chromium
Zasady wycofywania
Aby platforma działała prawidłowo, czasami usuwamy z niej interfejsy API, które nie są już potrzebne. Możemy usunąć interfejs API z wielu powodów, na przykład:
- Zostały one zastąpione nowszymi interfejsami API.
- Są one aktualizowane, aby odzwierciedlać zmiany w specyfikacjach, co zapewnia zgodność z innymi przeglądarkami.
- Są to wczesne eksperymenty, które nigdy nie zostały wdrożone w innych przeglądarkach, więc mogą zwiększać obciążenie zespołu pomocy dla deweloperów.
Niektóre z tych zmian będą miały wpływ na bardzo niewielką liczbę witryn. Aby uniknąć problemów z wyprzedzeniem, staramy się wcześniej informować deweloperów, aby mogli wprowadzić niezbędne zmiany, które pozwolą utrzymać ich witryny w stanie operacyjnym.
Chrome ma obecnie proces wycofywania i usuwania interfejsów API, który obejmuje:
- Opublikuj ogłoszenie na liście adresowej blink-dev.
- Ustaw ostrzeżenia i uwzględnij skale czasowe w konsoli Narzędzi deweloperskich w Chrome, gdy wykryto użycie na stronie.
- Poczekaj, sprawdź, a potem usuń funkcję, gdy jej użycie spadnie.
Listę wszystkich wycofanych funkcji znajdziesz na stronie chromestatus.com. Wystarczy, że użyjesz filtra wycofanych funkcji , a aby wyświetlić wycofane funkcje, zastosuj filtr wycofanych funkcji. W tych postach postaramy się też podsumować niektóre zmiany, uzasadnienia i ścieżki migracji.