Beëindig het op HTTP gebaseerde vastzetten van openbare sleutels
HTTP-Based Public Key Pinning (HPKP) was bedoeld om websites in staat te stellen een HTTP-header te verzenden die een of meer van de openbare sleutels in de certificaatketen van de site vastzet. Het wordt zeer weinig gebruikt en hoewel het beveiliging biedt tegen verkeerde uitgifte van certificaten, brengt het ook risico's met zich mee van Denial of Service en vijandige pinning.
Ter bescherming tegen verkeerde uitgifte van certificaten moeten webontwikkelaars de Expect-CT
header gebruiken, inclusief de rapportagefunctie ervan. Expect-CT
is veiliger dan HPKP vanwege de flexibiliteit die het site-exploitanten geeft om te herstellen van configuratiefouten, en vanwege de ingebouwde ondersteuning die wordt geboden door een aantal certificeringsinstanties.
We verwachten dit in Chrome 69 te verwijderen.
Intentie om te verwijderen | ChromeStatus | Chroombug
Beëindig AppCache voor niet-beveiligde contexten
AppCache via HTTP is verouderd. AppCache is een krachtige functie die offline en permanente toegang tot een oorsprong mogelijk maakt. Door toe te staan dat AppCache via niet-beveiligde contexten wordt gebruikt, wordt het een aanvalsvector voor cross-site scripting-hacks.
Verwijdering wordt verwacht in Chrome 69.
Intentie om te verwijderen | ChromeStatus | Chroombug
Indeling
Verschillende CSS-eigenschappen met -webkit-
voorvoegsel worden in deze release verwijderd:
-
-webkit-box-flex-group
: deze eigenschap heeft vrijwel geen gebruik op basis van de UseCounter in stable. - Percentagewaarden (%) voor
-webkit-line-clamp
: Er is interesse in het vinden van een op standaarden gebaseerde oplossing voor het gebruik van getalwaarden, maar we hebben geen vraag gezien naar de op % gebaseerde waarden. -
-webkit-box-lines
: deze eigenschap is nooit volledig geïmplementeerd. Het was oorspronkelijk zo bedoeld dat een "verticale"/"horizontale"-webkit-box
meerdere rijen/kolommen kon hebben.
Intentie om te verwijderen | ChromeStatus | Chroombug
Beëindigingsbeleid
Om het platform gezond te houden, verwijderen we soms API's van het webplatform die hun beloop hebben gehad. Er kunnen veel redenen zijn waarom we een API zouden verwijderen, zoals:
- Ze worden vervangen door nieuwere API's.
- Ze worden bijgewerkt om wijzigingen in de specificaties weer te geven om afstemming en consistentie met andere browsers te bewerkstelligen.
- Het zijn vroege experimenten die nooit tot bloei zijn gekomen in andere browsers en die dus de ondersteuningslast voor webontwikkelaars kunnen vergroten.
Sommige van deze wijzigingen zullen gevolgen hebben voor een zeer klein aantal sites. Om problemen van tevoren op te lossen, proberen we ontwikkelaars hiervan vooraf op de hoogte te stellen, zodat ze de vereiste wijzigingen kunnen aanbrengen om hun sites draaiende te houden.
Chrome heeft momenteel een proces voor beëindiging en verwijdering van API's , in essentie:
- Kondig het aan op de blink-dev mailinglijst.
- Stel waarschuwingen in en geef tijdschalen in de Chrome DevTools Console wanneer er gebruik wordt gedetecteerd op de pagina.
- Wacht, controleer en verwijder de functie zodra het gebruik afneemt.
Je kunt een lijst met alle verouderde functies vinden op chromestatus.com met behulp van het verouderde filter en verwijderde functies door het verwijderde filter toe te passen. We zullen ook proberen enkele van de veranderingen, redeneringen en migratiepaden in deze berichten samen te vatten.