הוצאה משימוש והסרות ב-Chrome 67

ג'ו מדלי
ג'ו מדלי
Twitter GitHub

הוצאה משימוש של הצמדה של מפתח ציבורי מבוסס HTTP

הצמדת מפתח ציבורי מבוססת HTTP (HPKP) נועדה לאפשר לאתרים לשלוח כותרת HTTP שמצמידת אחד או יותר מהמפתחות הציבוריים שנמצאים בשרשרת האישורים של האתר. רמת השימוש בו נמוכה מאוד, ולמרות שהוא מספק אבטחה מפני הנפקה שגויה של אישורים, הוא יוצר גם סיכונים של התקפת מניעת שירות (DoS) והצמדה של עוינות.

כדי להגן מפני הנפקה שגויה של אישורים, מפתחי אתרים צריכים להשתמש בכותרת Expect-CT, כולל בפונקציית הדיווח. Expect-CT בטוח יותר מ-HPKP בשל הגמישות שהוא נותן למפעילי האתרים להתאושש משגיאות בהגדרה, ובגלל התמיכה המובנית שמוצעת על ידי מספר רשויות אישורים.

אנחנו מתכננים להסיר את האפשרות הזו ב-Chrome 69.

כוונה להסיר | ChromeStatus | באג ב-Chromium

הוצאה משימוש של מטמון האפליקציה בהקשר לא מאובטח

מטמון האפליקציה ב-HTTP הוצא משימוש. מטמון האפליקציה הוא תכונה מתקדמת שמאפשרת לגשת למקור באופן לא מקוון וקבוע. אישור השימוש ב-AppCache בהקשרים לא מאובטחים הופך אותו לווקטור התקפה לפריצות של סקריפטים חוצי-אתרים.

הסרה צפויה להתבצע ב-Chrome 69.

כוונה להסיר | ChromeStatus | באג ב-Chromium

פריסה

בגרסה הזו יוסרו כמה מאפייני CSS עם קידומת של -webkit-:

  • -webkit-box-flex-group: בנכס הזה יש כמעט אפס שימוש על סמך שימוש ב-UseCounter ביציבות.
  • ערכי אחוזים (%) עבור -webkit-line-clamp: אתם מעוניינים למצוא פתרון מבוסס-תקנים לתרחיש לדוגמה של ערכי מספרים, אבל לא מצאנו ביקוש לערכים מבוססי-%.
  • -webkit-box-lines: הנכס הזה מעולם לא יושם באופן מלא. במקור הוא יועד כך שלשדה -webkit-box "אנכי"/"אופקי" יכולות להיות מספר שורות/עמודות.

כוונה להסיר | ChromeStatus | באג ב-Chromium

מדיניות הוצאה משימוש

כדי לשמור על תקינות הפלטפורמה, לפעמים אנחנו מסירים ממשקי API מפלטפורמת האינטרנט שפעילותם הסתיימה. יכולות להיות סיבות רבות לכך שנסיר ממשק API, למשל:

  • הם מוחלפים בממשקי API חדשים יותר.
  • הם מתעדכנים כדי לשקף שינויים במפרטים כדי לאפשר התאמה ועקביות עם דפדפנים אחרים.
  • אלו הם ניסויים מוקדמים שמעולם לא יצאו לפועל בדפדפנים אחרים, ולכן הם עשויים להגדיל את נטל התמיכה על מפתחי אתרים.

חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי לצמצם את הבעיות מראש, אנחנו מנסים לשלוח הודעה מראש למפתחים כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.

ב-Chrome יש כרגע תהליך להוצאה משימוש והסרה של ממשקי API, בעיקרו:

  • הודעה ברשימת התפוצה של blink-dev.
  • כשהמערכת מזהה שימוש בדף, יש להגדיר אזהרות ולציין סולמות זמן במסוף כלי הפיתוח של Chrome.
  • להמתין, לעקוב אחרי השימוש בתכונה ואז להסיר אותה כשהשימוש יורד.

ניתן למצוא רשימה של כל התכונות שהוצאו משימוש ב-chromestatus.com באמצעות המסנן שהוצא משימוש ותכונות שהוסרו על ידי החלת המסנן שהוסר. כמו כן, ננסה לסכם חלק מהשינויים, ההיגיון ונתיבי ההעברה בפוסטים האלה.