הוצאה משימוש והסרות ב-Chrome 67

Joe Medley
Joe Medley
GitHub

הוצאה משימוש של הצמדה של מפתחות ציבוריים מבוססי HTTP

התכונה 'הצמדת מפתח ציבורי מבוסס-HTTP' (HPKP) נועדה לאפשר לאתרים לשלוח כותרת HTTP שמצמידה אחד או יותר מהמפתחות הציבוריים שנמצאים ב שרשרת האישורים. היקף השימוש בו נמוך מאוד, ולמרות שהוא מספק מפני הנפקה שגויה של אישורים, היא יוצרת גם סיכון של מניעת שירות (DoS), הצמדה של עוינים.

כדי להגן מפני הנפקה שגויה של אישורים, מפתחי אתרים צריכים להשתמש הכותרת Expect-CT, כולל פונקציית הדיווח שלה. Expect-CT בטוח יותר מ-HPKP בגלל הגמישות שהיא מאפשרת למפעילי אתרים לשחזר את ההגדרות האישיות ובשל התמיכה המובנית שמספקות מספר רשויות אישורים.

אנחנו מצפים להסיר את התכונה הזו ב-Chrome 69.

כוונת הסרה | ChromeStatus | באג ב-Chromium

הוצאה משימוש של מטמון האפליקציה בהקשר לא מאובטח

מטמון האפליקציה ב-HTTP הוצא משימוש. מטמון האפליקציה היא תכונה עוצמתית שמאפשרת להפעיל אופליין גישה קבועה למקור. מתן הרשאה לשימוש ב-AppCache בהקשרים לא מאובטחים הופך אותו לווקטור תקיפה של פריצות סקריפטים חוצות-אתרים.

ההסרה צפויה ב-Chrome 69.

כוונת הסרה | ChromeStatus | באג ב-Chromium

פריסה

כמה מאפייני CSS עם הקידומת -webkit- יוסרו בגרסה הזו:

  • -webkit-box-flex-group: כמעט אין שימוש בנכס הזה, על סמך ה-UseCounter ביציבות.
  • ערכי אחוזים (%) עבור -webkit-line-clamp: יש עניין במציאת פתרון מבוסס-תקנים לתרחיש לדוגמה של ערכי מספרים, אבל עדיין לא ראינו לביקוש לערכים המבוססים על %.
  • -webkit-box-lines: הנכס הזה אף פעם לא הוטמע בצורה מלאה. זה היה הכוונה המקורית הייתה שהמודל 'אנכי'/'אופקי' -webkit-box יכולים יש כמה שורות/עמודות.

כוונת הסרה | ChromeStatus | באג ב-Chromium

מדיניות הוצאה משימוש

כדי לשמור על תקינות הפלטפורמה, לפעמים אנחנו מסירים מ-פלטפורמת האינטרנט ממשקי API שההרצה שלהם הסתיימה. יכולות להיות סיבות רבות לכך שנסיר API, כמו:

  • הם מוחלפים על ידי ממשקי API חדשים יותר.
  • הם מתעדכנים בהתאם לשינויים במפרטים כדי ליישר קו עם דפדפנים אחרים.
  • אלה ניסויים מוקדמים שמעולם לא יצאו לפועל בדפדפנים אחרים, ולכן הם יכולים להגביר את נטל התמיכה על מפתחי אתרים.

חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי לטפל בבעיות מראש, אנחנו מנסים לשלוח הודעה מראש למפתחים כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.

ב-Chrome יש כרגע תהליך להוצאה משימוש והסרה של ממשקי API, בעיקרון:

  • הודעה ברשימת התפוצה blink-dev.
  • מגדירים אזהרות וקובעים מגבלות זמן במסוף כלי הפיתוח ל-Chrome כשהמערכת מזהה שימוש בדף.
  • מומלץ להמתין, לעקוב ולהסיר את התכונה עם ירידות בשימוש.

ב-chromestatus.com ניתן למצוא רשימה של כל התכונות שהוצאו משימוש באמצעות המסנן שהוצא משימוש . בנוסף, התכונות שהוסרו זמינות באמצעות המסנן שהוסר. ננסה גם לסכם חלק מהשינויים, ההיגיון ונתיבי ההעברה בפוסטים האלה.