Gli ad blocker lottano con le nuove regole di Chrome • The Register
Analisi L’anno prossimo, le estensioni del browser Chrome, come ad blocker e altri strumenti per la privacy, smetteranno di funzionare se si basano su un’API chiamata Manifest v2 (MV2).
In questo momento, quando queste estensioni vengono riscritte per funzionare con la nuova API Manifest v3 (MV3) di Chrome, probabilmente ti ritroverai con un software zoppicante che non funziona altrettanto bene.
La data limite per MV2 è gennaio 2023, ma può essere utilizzata fino a giugno in base ai criteri aziendali.
Google ha iniziato a lavorare su un’API rivista, MV3, per le estensioni del browser Chromium nel 2018 per affrontare ciò che descrive come le conseguenze di sicurezza, privacy e prestazioni della sua architettura di estensione MV2. Nella mente di Google, i blocchi degli annunci e le estensioni simili, sotto il regime MV2, hanno troppo controllo e accesso alle pagine che apri nel browser. Se uno di questi componenti aggiuntivi diventa canaglia, può raccogliere tutti i tipi di dati sensibili su di te da queste pagine mentre le visiti.
La sua specifica successiva, MV3, ha rimosso funzionalità potenti ma potenzialmente sfruttabili, come la capacità di intercettare e riscrivere le richieste di pagine, un’arma utile per le estensioni che mirano a mantenere la tua privacy e sicurezza bloccando le richieste con oggetti indesiderati, come tracker, malware e annunci.
Gli sviluppatori che mantengono o creano estensioni per la privacy e il blocco dei contenuti stanno scoprendo di dover ripensare a come funzionerà il loro codice secondo le nuove regole e API, se non del tutto. Da quando MV3 ha iniziato lo sviluppo – rimane un obiettivo mobile – gli sviluppatori e i gruppi di difesa incentrati sulla privacy hanno avvertito che gli sforzi apparenti di Google per promuovere la privacy (limitando l’accesso ai dati e applicando le autorizzazioni) porteranno a danni alle estensioni che promuovono la privacy.
Ora, due recenti esperimenti dei creatori di popolari estensioni di blocco dei contenuti hanno confermato che MV3 rappresenta una regressione piuttosto che un progresso in termini di ciò che le estensioni del browser possono fare.
Raymond Hill, il creatore di uBlock Origin, tra le estensioni per la privacy più apprezzate disponibili, martedì ha pubblicato il codice sorgente per una versione sperimentale che si basa su MV3. In quello che potrebbe essere considerato un segno delle sue aspettative, ha chiamato la variante “uBO Minus”.
I creatori di ad blocker ed estensioni per la privacy del browser temono che la fine sia vicina
LA STORIA COMPLETA
uBO Minus fa affidamento su declarativeNetRequest API in MV3 per bloccare il contenuto. Questa funzione sostituisce il webRequest API da MV2, che ha consentito a un gestore di eventi JavaScript di modificare le richieste di rete ed è diventato il meccanismo principale per bloccare i contenuti di rete indesiderati.
Come spiega Hill nel testo del commit, la sua estensione utilizza declarativeNetRequest per rispettare l’intenzione dichiarata di Google per MV3 di non richiedere ampie autorizzazioni di “lettura/modifica dei dati”. Questo approccio evita di mostrare all’utente dell’estensione un avviso durante l’installazione che il codice installato può “leggere e modificare tutti i tuoi dati su tutti i siti web” – che può essere spaventoso ma è quello che vuoi quando utilizza un componente aggiuntivo che pulisce tutte le pagine web che visiti .
Ma questo approccio “privo di autorizzazione” significa che l’estensione non può eseguire operazioni supportate da uBlock Origin, come iniezione JavaScript personalizzata o filtraggio di reindirizzamenti, direttive di CSP (politica di sicurezza del contenuto), parametri URL ed elementi di pagina cosmetici.
La conclusione di Hill è che seguire il punto di vista del gigante pubblicitario costituisce un’estensione di blocco dei contenuti scadente. Ha scritto: “A questo punto sto considerando il fattore permesso-non-il-limite: se viene utilizzata l’ampia autorizzazione ‘lettura/modifica dati’, allora non ha molto senso per una versione MV3 rispetto a MV2, utilizzare solo MV2 versione se si desidera beneficiare di tutte le funzionalità che non possono essere implementate senza ampie autorizzazioni di “lettura/modifica dati”.
Google: non uccidiamo gli ad blocker. Traduzione: li abbiamo resi così potenti che riporteremo questo genio nella sua bottiglia
CONTESTO
Questo consiglio non verrà pubblicato a partire da gennaio, quando le estensioni basate su Manifest v2 smetteranno di funzionare in Chrome. Questo è probabilmente il caso di Microsoft Edge, che ha approvato MV3. Apple Safari ha introdotto il supporto per MV3 nella versione 15.4 e sebbene Apple non abbia indicato se intende abbandonare il supporto per MV2, ha sbloccato l’API WebRequest anni fa. Valori anomali come Brave e Mozilla hanno affermato di voler continuare a supportare MV2, anche se per farlo sono necessarie alcune risorse. Brave, ad esempio, dovrà lanciare il proprio negozio di estensioni perché il Chrome Web Store non sarà un’opzione.
Dmitriy Seregin di AdGuard ha offerto una visione leggermente più ottimistica nella sua descrizione degli sforzi della sua azienda per creare AdGuard AdBlocker MV3 Experimental.
Mentre MV3 ha costretto i produttori di estensioni a fare affidamento su regole dichiarative (impostate in anticipo) invece che dinamiche (generate al volo), Seregin suggerisce che AdGuard se la caverà.
“Anche se l’estensione sperimentale non è efficace come il suo predecessore, la maggior parte degli utenti non sentirà la differenza”, ha detto Seregin in un post sul blog poco più di una settimana fa. “L’unica cosa che potresti notare è lo sfarfallio dell’annuncio dovuto al ritardo nell’applicazione delle regole cosmetiche.”
Il futuro del blocco dei contenuti nei browser Web assomiglia molto a come lo hanno descritto Alexei Miagkov e Bennet Cyphers dell’EFF lo scorso dicembre. Scrivono: “Sotto Manifest V2, le estensioni sono trattate come applicazioni di prima classe con il proprio ambiente di esecuzione persistente. Ma sotto V3, sono trattate come accessori, con privilegi limitati e possono essere eseguite solo in modo reattivo”. ®
