Chrome67来了!弃用HPKP，支援WebAuthn与GenericSensorsAPI

Google旗下浏览器Chrome 67于本周二（5/29）正式迈入稳定版，除了修补34个安全漏洞之外，根据Google先前的规划，Chrome 67将弃用HTTP公钥钉扎（HPKP），支援Web Authentication（WebAuthn），也新增对Generic Sensors API的支援。

HPKP的全名为HTTP Public Key Pinning，是HTTPS网站防止骇客利用数位凭证认证机构（CA）错误签发的凭证进行中间人攻击的安全机制，可预防CA遭到入侵或其它会造成CA签发未授权凭证的情况，不过，有鉴于HPKP的网站部署率过低，再加上Google认为HPKP或PKP（Public Key Pinning）所带来的疲劳轰炸可能比安全性还严重，因此决定先于Chrome 67中移除对HPKP的支援，未来也将移除对PKP的支援。

至于WebAuthn为W3C所制定的网络验证规格，借由WebAuthn，使用者将能直接在桌机、笔电或行动装置上执行指纹、虹膜或人脸登入服务。Mozilla已率先于日前释出的Firefox 60支援WebAuthn。

Generic Sensors API则定义了将感应器资料传递至开放网络平台（Open Web Platform）的框架，意谓著网站可利用Chrome的Generic Sensors API存取装置上的感应器资料，涵盖加速度计、陀螺仪、方向或运动感应器等。

还有一个WebXR Device API可用来在Chrome打造虚拟与扩增实境体验，可同时支援行动版或桌面版的VR装置。

Chrome 67将在未来几天或几周内展开自动更新，该版本同时支援了Windows、macOS与Linux。