הוצאה משימוש והסרות ב-Chrome 72

Joe Medley
Joe Medley
GitHub

הסרות

לא לאפשר חלונות קופצים במהלך הסרת הנתונים שנטענו בדף

דפים לא יכולים יותר להשתמש ב-window.open() כדי לפתוח דף חדש במהלך פריקה. חוסם החלונות הקופצים של Chrome כבר אסר על כך, אבל עכשיו אסור לעשות זאת גם אם חוסם החלונות הקופצים לא מופעל.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

הסרת הצמדת מפתחות ציבוריים מבוססת-HTTP

הכלי להצמדת מפתחות ציבוריים מבוסס-HTTP (HPKP) נועד לאפשר לאתרים לשלוח כותרת HTTP שמצמדת מפתח ציבורי אחד או יותר שנמצאים בשרשרת האישורים של האתר. לצערנו, השימוש בה נמוך מאוד, ולמרות שהיא מספקת אבטחה מפני הנפקה שגויה של אישורים, היא גם יוצרת סיכונים של התקפת מניעת שירות (DoS) והצמדה עוינת (hostile pinning). לכן אנחנו מסירים את התכונה הזו.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

הסרת משאבי FTP לעיבוד

FTP הוא פרוטוקול מדור קודם שלא ניתן לאבטח אותו. כשגם ליבת Linux עוברת ממנו, הגיע הזמן לעבור הלאה. אחד מהשלבים לקראת ההוצאה משימוש וההסרה הוא להוציא משימוש את המשאבים לעיבוד גרפיקה משרתי FTP ולהוריד אותם במקום זאת. Chrome עדיין ייצור כרטיסי מידע במאגרים, אבל כרטיסי מידע שלא נמצאים במאגרים יישלחו להורדה במקום להירענן בדפדפן.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

תכונות שיצאו משימוש

הוצאה משימוש של TLS 1.0 ו-TLS 1.1

TLS (אבטחת שכבת התעבורה) הוא הפרוטוקול שמאובטח באמצעות HTTPS. ל-TLS יש היסטוריה ארוכה, שתחילתה ב-TLS 1.0 לפני כמעט 20 שנה, והקודם שלו, SSL, שהיה קיים עוד לפני כן. ל-TLS 1.0 ול-1.1 יש כמה נקודות חולשה.

  • ב-TLS 1.0 ו-1.1 נעשה שימוש ב-MD5 וב-SHA-1, שניהם גרסאות חלשות של גיבוב, בגיבוב של התמליל של הודעת Finished.
  • ב-TLS 1.0 ו-1.1 נעשה שימוש ב-MD5 וב-SHA-1 בחתימת השרת. (הערה: זו לא החתימה באישור).
  • ב-TLS 1.0 ו-1.1 יש תמיכה רק במפתחות הצפנה מסוג RC4 ו-CBC. הצפנת RC4 לא תקינה והיא הוסרה. הבנייה של מצב CBC ב-TLS פגומה ופגיעה להתקפות.
  • בנוסף, וקטורי האתחול של הצפנים מסוג CBC ב-TLS 1.0 נוצרים בצורה שגויה.
  • TLS 1.0 כבר לא עומד בדרישות PCI-DSS.

תמיכה ב-TLS 1.2 היא תנאי הכרחי כדי למנוע את הבעיות שמפורטות למעלה. קבוצת העבודה של TLS הוציאה משימוש את TLS 1.0 ו-1.1. עכשיו גם ב-Chrome הפרוטוקולים האלה הוצאו משימוש.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

הוצאה משימוש של PaymentAddress.languageCode

PaymentAddress.languageCode הוא השערה הטובה ביותר של הדפדפן לגבי שפת הטקסט בכתובת למשלוח, לחיוב, למשלוח או לאיסוף ב-Payment Request API. השדה languageCode מסומן כסיכון במפרט, והוא כבר הוסר מ-Firefox ומ-Safari. השימוש ב-Chrome קטן מספיק כדי שנוכל להוציא משימוש ולהסיר את התכונה בבטחה. ההסרה צפויה להתבצע בגרסת Chrome 74.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

מדיניות הוצאה משימוש

כדי לשמור על בריאות הפלטפורמה, אנחנו מסירים לפעמים ממשקי API מפלטפורמת האינטרנט שהשימוש בהם הסתיים. יש הרבה סיבות לכך שנחליט להסיר ממשק API, למשל:

  • הם הוחלפו בממשקי API חדשים יותר.
  • הם מתעדכנים בהתאם לשינויים במפרטים כדי לשמור על תאימות ועקביות עם דפדפנים אחרים.
  • אלה ניסויים מוקדמים שלא הבשילו לדרגת תמיכה בדפדפנים אחרים, ולכן הם עלולים להגדיל את נטל התמיכה למפתחי אתרים.

חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי למזער בעיות מראש, אנחנו מנסים להודיע למפתחים מראש כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.

ב-Chrome יש כרגע תהליך להוצאה משימוש ולהסרה של ממשקי API. באופן כללי, התהליך כולל את השלבים הבאים:

  • להודיע על כך ברשימת התפוצה blink-dev.
  • להגדיר אזהרות ולציין סולמות זמן במסוף DevTools של Chrome כשמתגלה שימוש בדף.
  • מחכים, עוקבים אחרי השימוש בתכונה ואז מסירים אותה כשהשימוש בה יורד.

אפשר למצוא רשימה של כל התכונות שהוצאו משימוש בכתובת chromestatus.com באמצעות המסנן 'תכונות שהוצאו משימוש' , ותכונות שהוסרו באמצעות המסנן 'תכונות שהוסרו'. ננסה גם לסכם בפוסט הזה חלק מהשינויים, מההסברים ומנתיבי ההעברה.