Wycofaj przypinanie klucza publicznego przez HTTP
Przypinanie klucza publicznego przez HTTP (HPKP) miało umożliwić witrynom wysyłanie nagłówka HTTP, który przypina co najmniej jeden klucz publiczny w łańcuchu certyfikatów witryny. Ma bardzo niski współczynnik rozpowszechnienia i chociaż zapewnia bezpieczeństwo przed nieprawidłowym wystawieniem certyfikatów, stwarza też ryzyko „odmów usługi” i nieprzyjaznego przypinania.
Aby zabezpieczyć się przed nieprawidłowym wystawieniem certyfikatów, deweloperzy stron internetowych powinni używać nagłówka Expect-CT, w tym jego funkcji raportowania. Expect-CT jest bezpieczniejszym rozwiązaniem niż HPKP ze względu na elastyczność, jaką daje operatorom witryn możliwość naprawiania błędów w konfiguracji, a także dzięki wbudowanej obsłudze udostępnianej przez wiele urzędów certyfikacji.
Planujemy usunąć tę funkcję w Chrome 69.
Intencja do usunięcia | ChromeStatus | Błąd Chromium
Wycofanie pamięci podręcznej aplikacji w niezabezpieczonych kontekstach
Interfejs AppCache przez HTTP został wycofany. AppCache to zaawansowana funkcja, która umożliwia stały dostęp offline do źródła. Zezwolenie na używanie AppCache w niezabezpieczonych kontekstach sprawia, że staje się ona wektorem ataku dla ataków typu cross-site scripting.
Usunięcie powinno nastąpić w Chrome 69.
Intencja usunięcia | ChromeStatus | Błąd Chromium
Układ
W tej wersji zostanie usuniętych kilka właściwości CSS z prefiksem -webkit-:
-webkit-box-flex-group: ta właściwość według danych UseCounter jest stabilna niemal zerowy.- Wartości procentowe (%) w przypadku elementu
-webkit-line-clamp: interesuje nas znalezienie opartego na standardach rozwiązania w zakresie zastosowania wartości liczbowych, ale nie zaobserwowaliśmy operatora takiej wartości. -webkit-box-lines: ta usługa nie została w pełni zaimplementowana. Pierwotnie miał on umożliwiać stosowanie pionowego/poziomego elementu-webkit-boxw przypadku wielu wierszy i kolumn.
Intencja usunięcia | ChromeStatus | Błąd Chromium
Zasady wycofywania
Aby zapewnić prawidłowe działanie platformy, czasami usuwamy z niej interfejsy API, które działają zgodnie z oczekiwaniami. Jest wiele powodów, dla których możemy usunąć interfejs API, na przykład:
- Zastąpią je nowsze interfejsy API.
- Są one aktualizowane w sposób odzwierciedlający zmiany w specyfikacjach w celu zapewnienia zgodności i spójności z innymi przeglądarkami.
- Są to wczesne eksperymenty, które nigdy nie sprawdziły się w innych przeglądarkach, dzięki czemu mogą zwiększyć obciążenie pomocy dla programistów stron internetowych.
Niektóre z tych zmian będą miały wpływ na niewielką liczbę witryn. Aby zapobiec problemom z wyprzedzeniem, staramy się powiadamiać o tym deweloperów, aby mogli wprowadzić niezbędne zmiany i utrzymać działanie witryny.
W Chrome obecnie dostępny jest proces wycofywania i usuwania interfejsów API. Ogólnie obejmuje on następujące zasady:
- Ogłoszenie na liście adresowej blink-dev.
- Gdy na stronie zostanie wykryte użycie danych, w konsoli Narzędzi deweloperskich w Chrome ustaw ostrzeżenia i podaj skalę czasu.
- Zaczekaj, monitoruj, a potem usuń tę funkcję w miarę spadku wykorzystania.
Listę wszystkich wycofanych funkcji znajdziesz na chromestatus.com za pomocą wycofanego filtra , a usuniętych funkcji – usuniętego filtra. W tych postach spróbujemy też podsumować niektóre zmiany, rozumowanie i ścieżki migracji.