В Google Chrome 72 удалена поддержка HPKP
В новой версии Chrome реализован ряд важных изменений.
Компания Google выпустила новую версию своего браузера Chrome с рядом изменений, наиболее значимым из которых является полный отказ от поддержки привязки открытых ключей HTTP (HTTP Public Key Pinning, HPKP). Отныне Chrome не будет поддерживать сайты, использующие стандарт HPKP. Кроме того, браузер не будет отображать ресурсы, загруженные по протоколу FTP. Chrome продолжит показывать список каталогов FTP, но при попытке сайта загрузить изображение или файл JavaScript вместо рендеринга изображения или запуска файла браузер предложит загрузить их. Еще одно важное изменение касается стандартов TLS 1.0 и TLS 1.1 – теперь они будут помечены как устаревшие. Данная мера является частью стратегии Google по полному отказу от использования устаревших протоколов. Предположительно, поддержка TLS 1.0 и TLS 1.1 будет полностью прекращена с выпуском Chrome 81, релиз которого запланирован на начало 2020 года. В октябре минувшего года о прекращении поддержки TLS 1.0 и TLS 1.1 также объявили Apple, Microsoft и Mozilla.
Кроме прочего, в выпуске Chrome 72 инженеры Google исправили 58 уязвимостей в различных компонентах, в том числе в движке V8, WebRTC и прочих. Полный список уязвимостей доступен здесь .
Привязка открытых ключей HTTP (HPKP, HTTP Public Key Pinning) представляет собой одну из защитных мер браузера, которая предотвращает атаки с подменой SSL-сертификата на неправильно выданный или поддельный. Технология призвана исключить возможность атаки «человек посередине» и атак с использованием вредоносных дополнений.