Rimozioni e ritiri in Chrome 81

Joe Medley
Joe Medley
GitHub

.

Ritiro e rimozione del gestore dei pagamenti che supporta "basic-card"

Questa versione di Chrome rimuove il polyfill di base per l'API Payment Request in Chrome per iOS. Di conseguenza, l'API Payment Request è temporaneamente disabilitata in Chrome per iOS. Per informazioni dettagliate, vedi Rethinking Payment Request for iOS.

Intento di rimozione | Stato della piattaforma Chrome | Bug di Chromium

Rimuovi il campo supportedType da BasicCardRequest

Se specifichi il parametro "supportedTypes":[type] per il metodo di pagamento "basic-card", vengono visualizzate solo le carte del tipo richiesto, ovvero "credit", "debit" o "prepaid".

Il parametro tipo di carta è stato rimosso dalla specifica e ora è stato rimosso da Chrome a causa della difficoltà di determinare con precisione il tipo di carta. Oggi i commercianti devono verificare il tipo di carta con il proprio PSP, perché non possono fidarsi del filtro per tipo di carta nel browser:

  • Solo le banche emittenti conoscono con certezza il tipo di carta e i database dei tipi di carte scaricabili hanno un'accuratezza ridotta, pertanto è impossibile conoscere con precisione il tipo di carte memorizzate localmente nel browser.
  • Il metodo di pagamento "carta di base" in Chrome non mostra più le carte di Google Pay, che potrebbero avere collegamenti con le banche emittenti.

Intento di rimozione | Stato della piattaforma Chrome | Bug di Chromium

Rimuovi l' elemento

Chrome 81 rimuove l'elemento <discard>. È implementato solo in Chromium, pertanto non è possibile utilizzarlo in modo interoperabile. Per la maggior parte dei casi d'uso, può essere sostituita con una combinazione di animazione della proprietà display e di un gestore di eventi/richiamo di rimozione (JavaScript).

Intento di rimozione | Stato della piattaforma Chrome | Bug di Chromium

Rimuovere TLS 1.0 e TLS 1.1

TLS (Transport Layer Security) è il protocollo che protegge HTTPS. Ha una lunga storia che risale a TLS 1.0, nato quasi vent'anni fa, e al suo predecessore ancora più antico, SSL. Sia TLS 1.0 che 1.1 presentano una serie di punti deboli.

  • TLS 1.0 e 1.1 utilizzano MD5 e SHA-1, entrambi hash deboli, nell'hash della trascrizione per il messaggio Finished.
  • TLS 1.0 e 1.1 utilizzano MD5 e SHA-1 nella firma del server. Tieni presente che non si tratta della firma nel certificato.
  • TLS 1.0 e 1.1 supportano solo le crittografie RC4 e CBC. RC4 è stato compromesso e da allora è stato rimosso. La modalità CBC di TLS è imperfetta ed è vulnerabile agli attacchi.
  • Inoltre, i cifrari CBC di TLS 1.0 costruiscono i vettori di inizializzazione in modo errato.
  • TLS 1.0 non è più conforme a PCI-DSS.

Il supporto di TLS 1.2 è un prerequisito per evitare i problemi sopra indicati. Il gruppo di lavoro TLS ha ritirato TLS 1.0 e 1.1. Ora anche Chrome ha ritirato questi protocolli.

Intento di rimozione | Tracker di Chromestatus | Bug di Chromium

Bypass del rafforzamento del downgrade a TLS 1.3

TLS 1.3 include una misura di rafforzamento compatibile con le versioni precedenti per rafforzare le protezioni contro il downgrade. Tuttavia, quando abbiamo rilasciato TLS 1.3 lo scorso anno, abbiamo dovuto disattivare parzialmente questa misura a causa di incompatibilità con alcuni proxy che terminano con TLS non conformi. Al momento Chrome implementa il provvedimento di rafforzamento per i certificati che si collegano a certificati root noti, ma consente un bypass per i certificati che si collegano a certificati root sconosciuti. Abbiamo intenzione di attivarla per tutte le connessioni.

La protezione dal downgrade riduce l'impatto sulla sicurezza delle varie opzioni legacy che conserviamo per motivi di compatibilità. Ciò significa che le connessioni degli utenti sono più sicure e, quando vengono scoperte vulnerabilità di sicurezza, è più facile rispondere. Ciò, a sua volta, significa meno siti non funzionanti per gli utenti in futuro. Inoltre, è in linea con il documento RFC 8446.

Intento di rimozione | Stato della piattaforma Chrome | Bug di Chromium

Norme sul ritiro

Per mantenere la piattaforma in buono stato, a volte rimuoviamo dalla piattaforma web le API che hanno terminato il loro ciclo di vita. Esistono diversi motivi per cui potremmo rimuovere un'API, ad esempio:

  • Sono sostituite da API più recenti.
  • Vengono aggiornati in base alle modifiche alle specifiche per garantire l'allineamento e la coerenza con gli altri browser.
  • Si tratta di esperimenti iniziali che non sono mai stati implementati in altri browser e che possono quindi aumentare il carico di lavoro per l'assistenza degli sviluppatori web.

Alcune di queste modifiche interesseranno un numero molto limitato di siti. Per mitigare i problemi in anticipo, cerchiamo di dare agli sviluppatori un preavviso in modo che possano apportare le modifiche necessarie per mantenere i loro siti in funzione.

Al momento, Chrome dispone di una procedura per il ritiro e la rimozione delle API, che prevede essenzialmente:

  • Annuncio sulla mailing list blink-dev.
  • Imposta avvisi e fornisci scale di tempo nella console di Chrome DevTools quando viene rilevato l'utilizzo nella pagina.
  • Attendi, monitora e poi rimuovi la funzionalità man mano che l'utilizzo diminuisce.

Puoi trovare un elenco di tutte le funzionalità deprecate su chromestatus.com utilizzando il filtro Deprecated e le funzionalità rimosse applicando il filtro Rimosso. Cercheremo inoltre di riassumere alcune delle modifiche, dei ragionamenti e dei percorsi di migrazione in questi post.