שירותי הובלה
לא לאפשר חלונות קופצים במהלך הסרת הדף
דפים לא יכולים יותר להשתמש ב-window.open()
לפתיחת דף חדש במהלך הסרת הנתונים שנטענו.
חוסם החלונות הקופצים של Chrome כבר אסר על כך, אך כעת אסור אם
או לא, חוסם החלונות הקופצים מופעל.
כוונת הסרה | Chromestatus tracker | באג ב-Chromium
הסרה של הצמדה של מפתח ציבורי מבוסס HTTP
התכונה 'הצמדת מפתח ציבורי מבוסס-HTTP' (HPKP) נועדה לאפשר לאתרים לשלוח כותרת HTTP שמצמידה אחד או יותר מהמפתחות הציבוריים שנמצאים ב שרשרת האישורים. למרבה הצער, השימוש בו נמוך מאוד, ולמרות מספקת אבטחה מפני הנפקת אישורים, היא יוצרת גם סיכונים התקפת מניעת שירות (DoS) והצמדה של עוינים. אנחנו מסירים את התכונה הזו מהסיבות האלה.
כוונת הסרה | Chromestatus tracker | באג ב-Chromium
הסרה של משאבי FTP לרינדור
FTP הוא פרוטוקול מדור קודם שאינו מאובטח. כשגם הליבה של Linux לצאת ממנו, הגיע הזמן להתקדם. אחד השלבים להוצאה משימוש ולהסרה הוא לעיבוד משאבי רינדור משרתי FTP, ובמקום זאת להוריד אותם. הפעולה או הפעולות שיתבצעו על ידי Chrome עדיין ליצור רשימות לספרייה, אבל כל רשימה שאינה בספרייה שהורדו ולא מעובדים בדפדפן.
כוונת הסרה | Chromestatus tracker | באג ב-Chromium
הוצאה משימוש
הוצאה משימוש של TLS 1.0 ו-TLS 1.1
TLS (Transport Layer Security) הוא הפרוטוקול שמאבטח את HTTPS. יש בו היסטוריה ארוכה שמתחילה עם TLS 1.0 בן 20 שנה כמעט, גרסה קודמת ישנה יותר, SSL. גם ל-TLS 1.0 וגם ל-1.1 יש כמה נקודות חולשה.
- בגרסאות TLS 1.0 ו-1.1 נעשה שימוש ב-MD5 וב-SHA-1, שני גיבובים חלשים, בגיבוב של התמליל להודעה 'הסתיימה'.
- TLS 1.0 ו-1.1 משתמשים ב-MD5 וב-SHA-1 בחתימת השרת. (הערה: לא מדובר החתימה באישור).
- TLS (אבטחת שכבת התעבורה) בגרסאות 1.0 ו-1.1 תומכים רק בצפנים RC4 ו-CBC. ל-RC4 לא תקין הוסר. מבנה מצב CBC של TLS פגום וחשוף מתקפות.
- הצפנות CBC של TLS 1.0 בונים את וקטורי האתחול שלהם בטעות.
- TLS 1.0 כבר לא תואם ל-PCI-DSS.
תמיכה ב-TLS 1.2 היא דרישה מוקדמת כדי למנוע את הבעיות שצוינו למעלה. TLS (אבטחת שכבת התעבורה) קבוצת העבודה הוצאה משימוש את גרסאות TLS 1.0 ו-1.1. גם Chrome הוצא משימוש של הפרוטוקולים האלה.
כוונת הסרה | Chromestatus tracker | באג ב-Chromium
הוצאה משימוש של PaymentAddress.languageCode
PaymentAddress.languageCode
הוא הניחוש הטוב ביותר של הדפדפן לשפה של
הטקסט בכתובת למשלוח, לחיוב, למשלוח או לאיסוף בשדה תשלום
בקשת API. השדה languageCode
מסומן בסיכון במפרט ויש בו
כבר הוסר מ-Firefox ו-Safari. השימוש ב-Chrome קטן מספיק
לצורך הוצאה משימוש והסרה בבטחה. ההסרה צפויה ב-Chrome 74.
כוונת הסרה | Chromestatus tracker | באג ב-Chromium
מדיניות הוצאה משימוש
כדי לשמור על תקינות הפלטפורמה, לפעמים אנחנו מסירים מ-פלטפורמת האינטרנט ממשקי API שההרצה שלהם הסתיימה. יכולות להיות סיבות רבות לכך שנסיר API, כמו:
- הם מוחלפים על ידי ממשקי API חדשים יותר.
- הם מתעדכנים בהתאם לשינויים במפרטים כדי ליישר קו עם דפדפנים אחרים.
- אלה ניסויים מוקדמים שמעולם לא יצאו לפועל בדפדפנים אחרים, ולכן הם יכולים להגביר את נטל התמיכה על מפתחי אתרים.
חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי לטפל בבעיות מראש, אנחנו מנסים לשלוח הודעה מראש למפתחים כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.
ב-Chrome יש כרגע תהליך להוצאה משימוש והסרה של ממשקי API, בעיקרון:
- הודעה ברשימת התפוצה blink-dev.
- מגדירים אזהרות וקובעים מגבלות זמן במסוף כלי הפיתוח ל-Chrome כשהמערכת מזהה שימוש בדף.
- מומלץ להמתין, לעקוב ולהסיר את התכונה עם ירידות בשימוש.
ב-chromestatus.com ניתן למצוא רשימה של כל התכונות שהוצאו משימוש באמצעות המסנן שהוצא משימוש . בנוסף, התכונות שהוסרו זמינות באמצעות המסנן שהוסר. ננסה גם לסכם חלק מהשינויים, ההיגיון ונתיבי ההעברה בפוסטים האלה.