Einstellung und Entfernung des Zahlungsabwicklers „basic-card“
In dieser Version von Chrome wird die Polyfill für Basic Cards für die Payment Request API in iOS Chrome entfernt. Daher ist die Payment Request API in iOS Chrome vorübergehend deaktiviert. Ausführliche Informationen finden Sie im Hilfeartikel Neuer Ansatz für Zahlungsanfragen unter iOS.
Entfernung geplant | Status der Chrome-Plattform | Chromium-Fehler
Feld „supportedType“ aus „BasicCardRequest“ entfernen
Wenn Sie den Parameter "supportedTypes":[type] für die Zahlungsmethode "basic-card" angeben, werden nur Karten des angeforderten Typs angezeigt, also „credit“, "debit" oder "prepaid".
Der Parameter „Kartentyp“ wurde aus der Spezifikation und jetzt auch aus Chrome entfernt, da es schwierig ist, den Kartentyp genau zu bestimmen. Händler müssen den Kartentyp heute bei ihrem PSP prüfen, da sie dem Kartentypfilter im Browser nicht vertrauen können:
- Nur die ausstellenden Banken kennen den Kartentyp mit Sicherheit und herunterladbare Datenbanken mit Kartentypen sind nicht sehr genau. Daher ist es nicht möglich, den genauen Kartentyp zu ermitteln, der lokal im Browser gespeichert ist.
- Bei der Zahlungsmethode „basic-card“ in Chrome werden keine Karten von Google Pay mehr angezeigt, die Verbindungen zu ausstellenden Banken haben können.
Entfernung geplant | Status der Chrome-Plattform | Chromium-Fehler
Entfernen Sie das -Element .
In Chrome 81 wird das Element <discard> entfernt. Sie ist nur in Chromium implementiert und kann daher nicht interoperabel verwendet werden. Für die meisten Anwendungsfälle kann es durch eine Kombination aus Animation der display-Property und einem Rückruf-/Ereignishandler für die Entfernung (JavaScript) ersetzt werden.
Entfernung geplant | Status der Chrome-Plattform | Chromium-Fehler
TLS 1.0 und TLS 1.1 entfernen
TLS (Transport Layer Security) ist das Protokoll, das HTTPS sichert. TLS hat eine lange Geschichte, die bis zum fast 20 Jahre alten TLS 1.0 und seinem noch älteren Vorgänger SSL zurückreicht. Sowohl TLS 1.0 als auch 1.1 haben eine Reihe von Schwächen.
- TLS 1.0 und 1.1 verwenden MD5 und SHA-1, beides schwache Hash-Algorithmen, im Protokoll-Hash für die Finished-Nachricht.
- TLS 1.0 und 1.1 verwenden MD5 und SHA-1 in der Serversignatur. (Hinweis: Dies ist nicht dieselbe Signatur wie die im Zertifikat.)
- TLS 1.0 und 1.1 unterstützen nur RC4- und CBC-Chiffren. RC4 ist unsicher und wurde inzwischen entfernt. Der CBC-Modus von TLS ist fehlerhaft und anfällig für Angriffe.
- Die CBC-Chiffren von TLS 1.0 erstellen ihre Initialisierungsvektoren außerdem falsch.
- TLS 1.0 ist nicht mehr PCI-DSS-konform.
Die Unterstützung von TLS 1.2 ist eine Voraussetzung, um die oben genannten Probleme zu vermeiden. Die TLS-Arbeitsgruppe hat TLS 1.0 und 1.1 eingestellt. Diese Protokolle werden jetzt auch in Chrome eingestellt.
Entfernung geplant | Chromestatus-Tracker | Chromium-Fehler
Umgehung der TLS 1.3-Härtung für Downgrades
TLS 1.3 enthält eine abwärtskompatible Maßnahme zur Härtung, um den Downgrade-Schutz zu stärken. Als wir TLS 1.3 im letzten Jahr eingeführt haben, mussten wir diese Maßnahme jedoch teilweise deaktivieren, da es Inkompatibilitäten mit einigen nicht konformen TLS-End-Proxys gab. Chrome implementiert derzeit die Härtungsmaßnahmen für Zertifikate, die zu bekannten Stammzertifikaten verkettet sind, erlaubt aber eine Umgehung für Zertifikate, die zu unbekannten Stammzertifikaten verkettet sind. Wir möchten sie aber für alle Verbindungen aktivieren.
Der Downgrade-Schutz verringert die Sicherheitsrisiken der verschiedenen älteren Optionen, die wir aus Gründen der Kompatibilität beibehalten. Das bedeutet, dass die Verbindungen der Nutzer sicherer sind und dass bei der Behebung von Sicherheitslücken weniger hektisch reagiert werden muss. Das bedeutet wiederum weniger nicht funktionierende Websites für Nutzer. Dies entspricht auch RFC 8446.
Entfernung geplant | Status der Chrome-Plattform | Chromium-Fehler
Einstellungsrichtlinie
Um die Plattform leistungsfähig zu halten, entfernen wir manchmal APIs von der Webplattform, die nicht mehr benötigt werden. Es kann viele Gründe dafür geben, dass wir eine API entfernen, z. B.:
- Sie werden durch neuere APIs ersetzt.
- Sie werden entsprechend den Änderungen an den Spezifikationen aktualisiert, um für Einheitlichkeit mit anderen Browsern zu sorgen.
- Es handelt sich um frühe Experimente, die in anderen Browsern nie umgesetzt wurden. Dies kann den Supportaufwand für Webentwickler erhöhen.
Einige dieser Änderungen betreffen nur sehr wenige Websites. Um Probleme im Voraus zu vermeiden, informieren wir Entwickler frühzeitig, damit sie die erforderlichen Änderungen vornehmen können, um ihre Websites weiter betreiben zu können.
In Chrome gibt es derzeit ein Verfahren für die Einstellung und Entfernung von APIs, das im Wesentlichen so abläuft:
- Ankündigung in der blink-dev-Mailingliste.
- Legen Sie in der Chrome-Entwicklertools-Konsole Warnungen fest und geben Sie Zeitskalen an, wenn auf der Seite eine Nutzung erkannt wird.
- Warten Sie, beobachten Sie die Nutzung und entfernen Sie die Funktion, sobald sie nicht mehr verwendet wird.
Auf chromestatus.com finden Sie eine Liste aller eingestellten Funktionen, wenn Sie den Filter „Eingestellt“ verwenden. Entfernte Funktionen werden mit dem Filter „Entfernt“ angezeigt. Außerdem werden wir in diesen Beiträgen einige der Änderungen, Gründe und Migrationspfade zusammenfassen.