Beëindigingen en verwijderingen in Chrome 93

De bètaversie van Chrome 93 is uitgebracht op 29 juli 2021 en zal naar verwachting eind augustus 2021 de stabiele versie worden.

Blokkeer poorten 989 en 990

Verbindingen met HTTP-, HTTPS- of FTP-servers op poort 989 en 990 mislukken nu . Deze poorten worden gebruikt door het FTPS-protocol, dat nooit in Chrome is geïmplementeerd. FTPS-servers kunnen echter worden aangevallen via een protocoloverschrijdende aanval door kwaadwillende webpagina's met behulp van zorgvuldig vervaardigde HTTPS-verzoeken. Dit is een oplossing voor de ALPACA-aanval .

Verwijder 3DES in TLS

Chrome heeft nu de ondersteuning voor de TLS_RSA_WITH_3DES_EDE_CBC_SHA-coderingssuite verwijderd . TLS_RSA_WITH_3DES_EDE_CBC_SHA is een overblijfsel uit het SSL 2.0- en SSL 3.0-tijdperk. 3DES in transport layer security (TLS) is kwetsbaar voor de Sweet32-aanval . Omdat het een CBC-coderingssuite is, is het ook kwetsbaar voor de Lucky Thirteen- aanval. De eerste vervangende AES-coderingssuites werden voor TLS gedefinieerd in RFC3268, ongeveer 19 jaar geleden gepubliceerd, en sindsdien zijn er verschillende iteraties geweest.

WebAssembly cross-origine module delen

Het delen van WebAssembly-modules tussen cross-origin maar same-site-omgevingen wordt afgeschaft , zodat agentclusters op lange termijn kunnen worden getarget op de origins. Dit volgt op een wijziging in de WebAssembly-specificatie, die ook impact heeft op het platform.

Beëindigingsbeleid

Om het platform gezond te houden, verwijderen we soms API's van het webplatform die hun beloop hebben gehad. Er kunnen veel redenen zijn waarom we een API zouden verwijderen, zoals:

  • Ze worden vervangen door nieuwere API's.
  • Ze worden bijgewerkt om wijzigingen in de specificaties weer te geven om afstemming en consistentie met andere browsers te bewerkstelligen.
  • Het zijn vroege experimenten die nooit tot bloei zijn gekomen in andere browsers en die dus de ondersteuningslast voor webontwikkelaars kunnen vergroten.

Sommige van deze wijzigingen zullen gevolgen hebben voor een zeer klein aantal sites. Om problemen van tevoren op te lossen, proberen we ontwikkelaars hiervan vooraf op de hoogte te stellen, zodat ze de vereiste wijzigingen kunnen aanbrengen om hun sites draaiende te houden.

Chrome heeft momenteel een proces voor beëindiging en verwijdering van API's , in essentie:

  • Kondig het aan op de blink-dev mailinglijst.
  • Stel waarschuwingen in en geef tijdschalen in de Chrome DevTools Console wanneer er gebruik wordt gedetecteerd op de pagina.
  • Wacht, controleer en verwijder de functie zodra het gebruik afneemt.

Je kunt een lijst met alle verouderde functies vinden op chromestatus.com met behulp van het verouderde filter en verwijderde functies door het verwijderde filter toe te passen. We zullen ook proberen enkele van de veranderingen, redeneringen en migratiepaden in deze berichten samen te vatten.