Wycofanie i usunięcie obsługijącego elementu „basic-card” w komponencie Payment Handler
Ta wersja Chrome usuwa podstawowe rozwiązanie zastępcze dla interfejsu API Request do płatności w Chrome na iOS. W rezultacie interfejs Payment Request API jest tymczasowo wyłączony w Chrome na iOS. Szczegółowe informacje znajdziesz w artykule Przemyślanie żądania płatności na iOS.
Intend to Remove | Stan platformy Chrome | Błąd w Chromium
Usunięcie pola supportedType z żądania BasicCardRequest
Określanie parametru "supportedTypes":[type] dla formy płatności "basic-card" powoduje wyświetlanie tylko kart danego typu, np. „kredytowa”, "debit" lub "prepaid".
Parametr „card_type” został usunięty ze specyfikacji i obecnie nie jest już dostępny w Chrome, ponieważ trudno jest dokładnie określić typ karty. Obecnie sprzedawcy muszą sprawdzić typ karty u swojego PSP, ponieważ nie mogą ufać filtrowi typu karty w przeglądarce:
- Tylko banki wydające karty znają z pewnością typ karty, a bazy danych z typami kart do pobrania mają niską dokładność, więc nie można dokładnie określić typu karty zapisanej lokalnie w przeglądarce.
- Karta „basic-card” w Chrome nie wyświetla już kart z Google Pay, które mogą mieć połączenia z bankami wydającymi karty.
Intend to Remove | Stan platformy Chrome | Błąd w Chromium
Usuń element
Chrome 81 usuwa element <discard>. Jest ona implementowana tylko w Chromium,
więc nie można jej używać w ramach interoperacyjności. W większości przypadków można go zastąpić kombinacją animacji właściwości display i usuwania (obsługi wywołania zwrotnego lub zdarzenia w JavaScript).
Intend to Remove | Stan platformy Chrome | Błąd w Chromium
Usuwanie TLS 1.0 i TLS 1.1
TLS (Transport Layer Security) to protokół, który chroni HTTPS. Ma długą historię sięgającą prawie 20-letniego protokołu TLS 1.0 i jego jeszcze starszego poprzednika, SSL. Zarówno TLS 1.0, jak i 1.1 mają wiele słabych punktów.
- TLS 1.0 i 1.1 używają skrótu MD5 i SHA-1, które są słabymi skrótami, w skrótach transkrypcji wiadomości Finished.
- Protokoły TLS 1.0 i 1.1 używają w podpisie serwera algorytmów MD5 i SHA-1. (Uwaga: to nie jest podpis w certyfikacie).
- TLS 1.0 i 1.1 obsługują tylko szyfry RC4 i CBC. Szyfr RC4 jest uszkodzony i został usunięty. Konstrukcja trybu CBC TLS jest wadliwa i podatna na ataki.
- Szyfry CBC TLS 1.0 dodatkowo tworzą wektory inicjujące w nieprawidłowy sposób.
- Protokół TLS 1.0 nie jest już zgodny z PCI-DSS.
Obsługa protokołu TLS 1.2 jest warunkiem uniknięcia powyższych problemów. Grupa robocza TLS wycofała TLS 1.0 i 1.1. Chrome również wycofał te protokoły.
Intend to Remove | Chromestatus Tracker | Chromium Bug
Omijanie zabezpieczeń TLS 1.3
TLS 1.3 zawiera wstecznie zgodne środki zabezpieczeń, które wzmacniają ochronę przed obniżeniem wersji. Jednak w zeszłym roku, gdy wprowadziliśmy TLS 1.3, musieliśmy częściowo wyłączyć tę funkcję z powodu niezgodności z niektórymi serwerami proxy kończącymi TLS, które nie spełniają wymagań. Chrome obecnie stosuje środki zabezpieczeń dla certyfikatów, które są połączone z zaufanymi korzeniami, ale zezwala na pominięcie certyfikatów połączonych z nieznanymi korzeniami. Chcemy włączyć ją we wszystkich połączeniach.
Ochrona przed obniżeniem wersji ogranicza wpływ na bezpieczeństwo różnych starszych opcji, które zachowujemy ze względu na zgodność. Oznacza to, że połączenia użytkowników są bezpieczniejsze, a w przypadku wykrycia luk w zabezpieczeniach nie trzeba będzie tak szybko reagować. (co z kolei oznacza, że użytkownicy będą mieli do czynienia z mniejszą liczbą uszkodzonych witryn). Jest to też zgodne ze specyfikacją RFC 8446.
Intend to Remove | Stan platformy Chrome | Błąd w Chromium
Zasady wycofywania
Aby platforma działała prawidłowo, czasami usuwamy z niej interfejsy API, które nie są już potrzebne. Możemy usunąć interfejs API z wielu powodów, na przykład:
- Zostały one zastąpione nowszymi interfejsami API.
- Są one aktualizowane, aby odzwierciedlać zmiany w specyfikacjach, co zapewnia zgodność z innymi przeglądarkami.
- Są to wczesne eksperymenty, które nigdy nie zostały wdrożone w innych przeglądarkach, więc mogą zwiększać obciążenie zespołu pomocy dla deweloperów.
Niektóre z tych zmian będą miały wpływ na bardzo niewielką liczbę witryn. Aby uniknąć problemów z wyprzedzeniem, staramy się wcześniej informować deweloperów, aby mogli wprowadzić niezbędne zmiany, które pozwolą utrzymać ich witryny w stanie operacyjnym.
Chrome ma obecnie proces wycofywania i usuwania interfejsów API, który obejmuje:
- Opublikuj ogłoszenie na liście adresowej blink-dev.
- Ustaw ostrzeżenia i uwzględnij skale czasowe w konsoli Narzędzi deweloperskich w Chrome, gdy wykryto użycie na stronie.
- Poczekaj, sprawdź, a potem usuń funkcję, gdy jej użycie spadnie.
Listę wszystkich wycofanych funkcji znajdziesz na stronie chromestatus.com. Wystarczy, że użyjesz filtra wycofanych funkcji , a aby wyświetlić wycofane funkcje, zastosuj filtr wycofanych funkcji. W tych postach postaramy się też podsumować niektóre zmiany, uzasadnienia i ścieżki migracji.