Google Chrome
Вже кілька місяців Google заявив про свої наміри видалити блокувальники реклами зі свого веб-браузера Chrome., це з рекомендацією, що блокатори матимуть проблеми із змінами, введеними в Manifest V3.
Хоча Google також стверджував, що деякі постачальники послуг Інтернет мають вбудовані технології, які може порушити основні особливості цифрової реклами третіх сторін.
Розробники Chrome намагалися виправдати припинення підтримки режиму блокування з API webRequest, Це дозволяє змінювати отриманий вміст на льоту і активно використовується в доповненнях для блокування реклами, захисту від шкідливих програм, фішингу, шпигунства за користувачами, батьківського контролю та конфіденційності.
Режим блокування API webRequest призводить до великого споживання ресурсів.
При використанні цього API браузер спочатку надсилає всі дані, що містяться в мережевому запиті, плагіну, плагін аналізує його та повертає змінену версію для подальшої обробки в браузері або проблем із інструкціями щодо блокування.
При цьому основні затримки виникають не на етапі обробки трафіку за допомогою плагіна, а через накладні витрати на координацію виконання плагіна.
Зокрема, такі маніпуляції вимагають запуску, щоб доповнити окремий процес, а також використання IPC для взаємодії з цим процесом та механізмами серіалізації даних.
Додаток повністю контролює весь трафік на низькому рівні, що відкриває широкі можливості для зловживань та порушення конфіденційності.
Google все ще виступає за видалення API
Згідно зі статистикою Google, в 42% усіх виявлених зловмисних плагінів було використано API webRequest.
На жаль, патч не дозволяє перехоплювати будь-який зловмисний плагін, Тож для покращення захисту було вирішено обмежити плагіни на рівні API.
Основна ідея полягає в тому, щоб забезпечити плагіни обмеженим доступом до всього трафіку, якщо не лише до даних, необхідних для реалізації задуманої функціональності.
Зокрема, для блокування вмісту не потрібно надавати плагіну повний доступ до всіх конфіденційних даних користувачів.
Запропонований декларатив, який замінює декларативний API NetRequest, опікується всією роботою високопродуктивна система фільтрації вмісту і вимагає лише завантаження плагінів правил фільтрації. Крім того, доповнення не може перешкоджати трафіку, а приватні дані користувача залишаються недоторканними.
Google врахував багато коментарів щодо відсутності функціональних можливостей API, ДекларативнийNetRequest і розширив обмеження кількості правил фільтрації з 30,000, спочатку запропонованих для кожного розширення, до загального максимуму 150,000, а також додав можливість динамічного модифікації та додавання правил, видалення та заміни заголовків HTTP (Referer, Cookie, Set-Cookie) і параметри запиту.
Розробники не зовсім переконані
Тестування розробниками доповнень показує, що ефективність блокуючих рекламу доповнень незначна порівняно із загальним фоном (при тестуванні, порівняння продуктивності різних доповнень, але без урахування накладних витрат на додатковий процес, який координує виконання обробників у режимі блокування API webRequest).
Не практично повністю припинити підтримку API, активно використовується в плагінах. Замість того, щоб видалити його, розробники стверджують, що окрема роздільна здатність може бути додана і жорстко контрольована щодо придатності її використання в доповненнях, що врятує авторів багатьох популярних плагінів від повної обробки їх продуктів та запобіжить зменшенню функціональності.
Запропонована альтернатива декларативномуNetRequest не охоплює всіх потреб розробників плагінів щодо блокування реклами та забезпечення безпеки / конфіденційності, оскільки не забезпечує повного контролю над мережевими запитами, не дозволяє використовувати власні алгоритми фільтрації та не дозволяє використовувати складні правила, які перекривають одне одного залежно від умов.
Фуенте: https://security.googleblog.com/