הוצאה משימוש והסרות ב-Chrome 72

ג'ו מדלי
ג'ו מדלי
Twitter GitHub

שירותי הובלה

אין לאפשר חלונות קופצים במהלך הסרת הדף שנטענו

דפים לא יכולים יותר להשתמש ב-window.open() כדי לפתוח דף חדש במהלך הסרת הנתונים שנטענו. חוסם החלונות הקופצים של Chrome כבר אסר זאת, אבל עכשיו הוא אסור גם אם הוא מופעל וגם אם לא.

כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium

הסרת הצמדה של מפתח ציבורי מבוסס HTTP

הצמדת מפתח ציבורי מבוססת HTTP (HPKP) נועדה לאפשר לאתרים לשלוח כותרת HTTP שמצמידת אחד או יותר מהמפתחות הציבוריים שנמצאים בשרשרת האישורים של האתר. לצערנו, השימוש בו נמוך מאוד, ולמרות שהוא מספק אבטחה מפני הנפקת אישורים שגויה, הוא יוצר גם סיכונים של התקפת מניעת שירות (DoS) והצמדה של עוינות. לכן אנחנו מסירים את התכונה.

כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium

הסרת משאבי FTP של עיבוד

FTP הוא פרוטוקול מדור קודם שלא ניתן לאבטחה. כשאפילו ליבת Linux עוברת ממנה, זה הזמן להתקדם. אחד השלבים בתהליך ההוצאה משימוש וההסרה הוא הוצאה משימוש של משאבים בעיבוד משרתי FTP ובמקום זאת הורדה שלהם. Chrome ימשיך ליצור רישומים בספרייה, אבל כל רישום שאינו בספרייה יורד ולא יעובד בדפדפן.

כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium

הוצאה משימוש

הוצאה משימוש של TLS 1.0 ו-TLS 1.1

TLS (Transport Layer Security) הוא הפרוטוקול שמאבטח את HTTPS. יש לו היסטוריה ארוכה שמתחילה ב-TLS 1.0 בן כמעט 20 שנה ובקודמו, SSL. גם ל-TLS 1.0 וגם ל-TLS 1.1 יש מספר חסרונות.

  • בגרסאות 1.0 ו-1.1 של ה-TLS (אבטחת שכבת התעבורה) נעשה שימוש ב-MD5 וב-SHA-1, גיבוב (hash) חלש, בגיבוב (hash) של התמליל של ההודעה Finish (סיום ההודעה).
  • TLS 1.0 ו-1.1 משתמשים ב-MD5 וב-SHA-1 בחתימת השרת. (הערה: זו לא החתימה באישור).
  • TLS 1.0 ו-1.1 תומכים רק בצפנות RC4 ו-CBC. מערכת RC4 לא תקינה והוסרה מאז. המבנה של מצב CBC ב-TLS פגום וחשוף להתקפות.
  • הצפנות CBC של TLS 1.0 בונים גם את וקטורים של האתחול באופן שגוי.
  • TLS 1.0 כבר לא תואם ל-PCI-DSS.

כדי למנוע את הבעיות שצוינו למעלה, נדרשת תמיכה ב-TLS 1.2. בקבוצת העבודה של TLS (אבטחת שכבת התעבורה) השימוש ב-TLS 1.0 ו-1.1 הוצא משימוש. בנוסף, Chrome גם הוציא משימוש את הפרוטוקולים האלה.

כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium

הוצאה משימוש של PaymentAddress.languageCode

PaymentAddress.languageCode הוא הניחוש הטוב ביותר של הדפדפן לגבי שפת הטקסט בכתובת למשלוח, לחיוב, למשלוח או לאיסוף ב-PaymentRequest API. השדה languageCode מסומן כסיכון במפרט וכבר הוסר מ-Firefox ומ-Safari. השימוש ב-Chrome קטן מספיק כדי להוציא משימוש ולהסיר אותו באופן בטוח. ההסרה צפויה להתבצע ב-Chrome 74.

כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium

מדיניות הוצאה משימוש

כדי לשמור על תקינות הפלטפורמה, לפעמים אנחנו מסירים ממשקי API מפלטפורמת האינטרנט שפעילותם הסתיימה. יכולות להיות סיבות רבות לכך שנסיר ממשק API, למשל:

  • הם מוחלפים בממשקי API חדשים יותר.
  • הם מתעדכנים כדי לשקף שינויים במפרטים כדי לאפשר התאמה ועקביות עם דפדפנים אחרים.
  • אלו הם ניסויים מוקדמים שמעולם לא יצאו לפועל בדפדפנים אחרים, ולכן הם עשויים להגדיל את נטל התמיכה על מפתחי אתרים.

חלק מהשינויים האלה ישפיעו על מספר קטן מאוד של אתרים. כדי לצמצם את הבעיות מראש, אנחנו מנסים לשלוח הודעה מראש למפתחים כדי שיוכלו לבצע את השינויים הנדרשים כדי שהאתרים שלהם ימשיכו לפעול.

ב-Chrome יש כרגע תהליך להוצאה משימוש והסרה של ממשקי API, בעיקרו:

  • הודעה ברשימת התפוצה של blink-dev.
  • כשהמערכת מזהה שימוש בדף, יש להגדיר אזהרות ולציין סולמות זמן במסוף כלי הפיתוח של Chrome.
  • להמתין, לעקוב אחרי השימוש בתכונה ואז להסיר אותה כשהשימוש יורד.

ניתן למצוא רשימה של כל התכונות שהוצאו משימוש ב-chromestatus.com באמצעות המסנן שהוצא משימוש ותכונות שהוסרו על ידי החלת המסנן שהוסר. כמו כן, ננסה לסכם חלק מהשינויים, ההיגיון ונתיבי ההעברה בפוסטים האלה.