Google telah memicu perdebatan sengit di komunitas pengembangan web dengan mengusulkan penghapusan dukungan XSLT (Extensible Stylesheet Language Transformations) dari browser web. Usulan tersebut, yang diuraikan dalam sebuah isu GitHub , menyebutkan kerentanan keamanan dan penurunan penggunaan sebagai alasan utama untuk penghentian. Namun, saran ini mendapat penolakan signifikan dari para developer yang mengandalkan teknologi tersebut, terutama untuk pemformatan RSS feed dan sistem lama.
Kekhawatiran Keamanan Mendorong Usulan Penghapusan
Usulan ini berasal dari kerentanan keamanan serius yang ditemukan dalam implementasi XSLT di berbagai browser utama. Penelitian terbaru mengungkap berbagai bug yang tidak terdeteksi selama lebih dari 20 tahun, dengan beberapa di antaranya memungkinkan eksekusi kode arbitrer. Library yang mendasari yang digunakan oleh browser, seperti libxslt di Chromium , adalah basis kode C/C++ yang sudah tua dan sangat rentan terhadap masalah keamanan memori seperti buffer overflow. Google berargumen bahwa karena penggunaan XSLT telah turun menjadi kurang dari 0,01% dari pemuatan halaman, risiko keamanan lebih besar daripada manfaat mempertahankan kode kompleks ini.
XSLT: Bahasa untuk mengubah dokumen XML ke format lain, umumnya digunakan untuk menata RSS feed dan mengonversi data antara struktur yang berbeda.
Statistik Penggunaan XSLT:
- Penggunaan saat ini: <0,01% dari pemuatan halaman menurut telemetri peramban
- Kompleksitas kode: ~100.000 baris kode khusus dalam mesin peramban
- Kerentanan keamanan: Beberapa bug ditemukan setelah 20+ tahun, beberapa memungkinkan eksekusi kode sewenang-wenang
Reaksi Keras Komunitas Terkait Kompatibilitas Mundur
Komunitas developer telah merespons dengan penolakan kuat, memandang usulan ini sebagai contoh lain dari kesediaan Google untuk merusak kompatibilitas web demi kemudahan. Banyak developer menekankan bahwa XSLT memainkan peran penting dalam membuat RSS feed dapat dibaca di browser, mengubah XML mentah menjadi presentasi HTML yang ramah pengguna. Penghapusan ini akan secara efektif merusak ribuan RSS feed yang ada yang mengandalkan stylesheet XSLT untuk menampilkan konten dengan benar.
Tidak dapat dipahami bahwa jika Anda membuka solusi web terbuka untuk berlangganan konten web (RSS), Anda disambut dengan dinding teks yang tidak diformat. Saat ini, XSLT adalah perbaikan buruk untuk ketidakmampuan dasar browser tersebut.
Para kritikus berargumen bahwa pendekatan Google bertentangan dengan prinsip fundamental web tentang kompatibilitas mundur, yang telah memungkinkan halaman berusia 30 tahun masih berfungsi hingga hari ini.
Solusi Alternatif dan Respons Industri
Google telah mengembangkan polyfill berbasis WebAssembly sebagai pengganti potensial, tetapi ukuran 46 megabyte telah menarik kritik dari developer yang khawatir tentang dampak kinerja. WebKit telah menyatakan dukungan hati-hati untuk penghapusan ini, menunjukkan mereka akan menunggu browser lain mengimplementasikan perubahan terlebih dahulu. Namun, komunitas telah menyarankan pendekatan alternatif, seperti mengirimkan polyfill langsung di browser atau memperbarui ke implementasi XSLT yang aman memori yang ditulis dalam bahasa seperti Rust .
Perdebatan ini mencerminkan ketegangan yang lebih luas antara vendor browser yang berusaha mengurangi beban pemeliharaan dan developer yang menghargai stabilitas web. Sementara Google memposisikan ini sebagai tindakan keamanan yang diperlukan, para kritikus melihatnya sebagai bagian dari pola di mana vendor browser utama memprioritaskan kemudahan mereka sendiri daripada kebutuhan pengguna dan kompatibilitas web.
Alternatif yang Diusulkan:
- Polyfill WebAssembly (ukuran 46MB)
- Implementasi memory-safe dalam Rust (misalnya, oxslt)
- Pemrosesan XSLT sisi server
- Penerbitan HTML langsung alih-alih transformasi XML
Dampak pada RSS dan Sistem Lama
Penghapusan ini akan sangat mempengaruhi penerbit RSS feed dan perusahaan hosting podcast yang menggunakan XSLT untuk membuat versi feed mereka yang menarik dan mudah dibaca. Banyak dari sistem ini tertanam dalam perangkat keras atau layanan lama yang tidak dapat dengan mudah diperbarui. Perubahan ini akan memaksa pembuat konten untuk mempertahankan versi HTML terpisah dari feed mereka atau menerima bahwa pengguna akan melihat XML mentah saat mengunjungi URL feed secara langsung.
Kontroversi ini menyoroti tantangan berkelanjutan dalam menyeimbangkan keamanan, biaya pemeliharaan, dan kompatibilitas mundur dalam evolusi platform web. Saat browser terus menambahkan fitur baru sambil mempertimbangkan fitur lama mana yang akan dihapus, perdebatan XSLT berfungsi sebagai studi kasus tentang bagaimana keputusan tersebut mempengaruhi ekosistem web yang lebih luas.
Referensi: Should we remove XSLT from the web platform? #11523