La revisión de Google de la arquitectura de extensión de Chrome continúa planteando problemas para los desarrolladores de bloqueadores de anuncios, filtros de contenido y herramientas de privacidad.
Esta historia comienza en 2019 cuando Google detalló sus planes para mejorar las características de seguridad y privacidad de las extensiones con un proyecto que llamó Manifest V3 (MV3) que cambia la forma en que las extensiones usan varias API. MV3 se está implementando actualmente, y Google parece estar listo para dejar de soportar extensiones que usan su predecesor MV2 este año. En 2019, Google insistió en que era no tratando de matar Bloqueadores de contenido.
«De hecho, este cambio está destinado a brindar a los desarrolladores una forma de crear bloqueadores de anuncios más seguros y actuados», dijo Simeon Vincent, luego defensor de los desarrolladores de las extensiones de Chrome.
Eso sigue siendo la posición de Google. «El equipo de Chrome se compromete a continuar apoyando las extensiones de bloqueo de contenido, y el manifiesto V3 fue diseñado para preservar la funcionalidad de estas extensiones», dijo un portavoz de Google. El registro.
«De hecho, diseñamos específicamente una función de seguimiento rápido como un canal compatible para bloqueadores de contenido que buscan lanzar rápidamente nuevas reglas.
Las preocupaciones de privacidad y seguridad de la búsqueda y el gigante publicitario son legítimos. Extensiones escritas bajo la API V2 de Legacy Manifest tienen un amplio acceso a las actividades de navegación de los usuarios y han sido durante mucho tiempo abusado por delincuentes Para robar datos y sistemas de compromiso. Como señaló el investigador de seguridad Wladimir Palant, algunas extensiones de cromo eludir La prohibición de la ejecución del código remoto.
MV3, sin embargo, parece no estar cumpliendo con los objetivos declarados de Google.
Adguard, un servicio de privacidad que hace una extensión de bloqueo de anuncios para Chrome y aplicaciones relacionadas, recientemente se quejó de que MV3 está dificultando la entrega de sus características deseadas.
A fines de enero la compañía reportado Ese Chrome’s Política de ejecución de código remoto En Manifest V3 (MV3), la API renovada para escribir extensiones del navegador, lo ha obligado a eliminar su filtro de correcciones rápidas y dejar caer temporalmente su filtro personalizado.
Hacer extensiones bajo MV3 es más difícil y más confuso
El filtro de correcciones rápidas se utiliza para resolver rápidamente los problemas de filtrado de contenido crítico en sitios web populares sin tener que actualizar la extensión de Adguard. Los filtros personalizados permiten a los usuarios agregar filtros de terceros utilizando una URL. Ambos son importantes para Adguard porque permiten cambios rápidos en los filtros de contenido para que las mercancías de la compañía puedan mantenerse al día con las contramedidas diseñadas para evitar filtros.
Adguard afirma que su extensión fue rechazada cinco veces por el equipo de revisión de la tienda web Chrome por violar la política de código remoto que tiene como objetivo evitar extensiones que permitan la ejecución remota de código malicioso. El atuendo de filtro de contenido dijo que su extensión fue rechazada por usar etiquetas para inyectar reglas, para descargar el filtro de correcciones rápidas de una fuente remota y más tarde para usar scriptlets y parámetros, entre otros problemas.
«En resumen, las políticas inicialmente parecían lo suficientemente flexibles como para permitir nuestra solución, pero en la práctica, nos pareció mucho más restrictivo», explicó un portavoz de la compañía. «Para ser más precisos, en el pasado, incluso durante las reuniones comunitarias, el equipo de Chrome nos llevó a creer que las reglas no clasificarían la funcionalidad del bloqueador de anuncios como código remoto. Sin embargo, la realidad ha demostrado lo contrario».
Trabajando alrededor de MV3
Raymond Hill, creador de Ublock Origin (UBO), posiblemente el bloqueador de contenido de código abierto mejor considerado, dijo que lo haría no intente crear una versión comparable de la extensión bajo MV3. En cambio, lanzó Ublock Origin Lite (UBO Lite), con capacidades más modestas y remitió a los usuarios de UBO a Firefox.
Entre aquellos que expresan preocupación por las limitaciones de MV3 en los últimos años, Adguard ha sido uno de los más optimistas de que las barreras técnicas podrían tratarse. Hace dos años, la compañía llegó a sugerir que los clientes serían Incapaz de notar la diferencia entre las versiones del manifiesto V2 (MV2) y MV3 ahora desactivado de su extensión.
Las presuntas ventajas de rendimiento de MV3 sobre MV2 no se han establecido definitivamente a través de cualquier prueba de referencia que conozca. Dichas pruebas serían complicadas porque muchos factores influyen en la forma en que se cargan las páginas web, incluida la calidad del código de extensión, los elementos en la página web y la calidad de la conexión de red.
Sin embargo, pruebas Realizado el año pasado por el equipo de pruebas de la página web Debugbear sugiere que usar una extensión de bloqueador de anuncios da como resultado un mejor rendimiento de carga de página que no usar uno. El estudio encontró que dos páginas de noticias con AD requerían 57 segundos de tiempo de procesamiento de CPU sin una extensión de bloqueo de anuncios, pero tan solo cuatro segundos con «AD Blocker AdBlox», que UBO Developer Hill Hill notas«Es una versión re-piel de (su propio) Ubo Lite», bajo MV3. El rendimiento de UBO basado en MV2 parece ser más o menos el mismo.
¿Google escucha a los desarrolladores? ¿O quieres?
Si bien el deseo de Google de mejorar la seguridad, la privacidad y el rendimiento de la plataforma de extensión Chrome es razonable, su enfoque, que se centra en el código y los permisos más que la supervisión humana, sigue siendo un trabajo en progreso que ha dejado a los desarrolladores de extensión frustrados.
Alexei Miagkov, Tecnología de personal senior de la Electronic Frontier Foundation, que supervisa la extensión de tejón de privacidad de la organización, dijo El registro«Hacer extensiones bajo MV3 es mucho más difícil que hacer extensiones bajo MV2. Eso es solo un hecho. Hicieron las cosas más difíciles de construir y más confusas».
Miagkov dijo con Badger de privacidad El problema ha sido la lentitud con la que Google aborda las brechas en la plataforma MV3. «Parece que MV3 está aquí y el equipo de extensiones web en Google no tiene prisa por arreglar los extremos deshilachados, para arreglar lo que falta o lo que aún está roto».
Están dificultando que los usuarios sujeten extensiones a la barra de herramientas
Según Google’s documentación«Actualmente no hay problemas abiertos considerados una brecha de plataforma crítica», y se han abordado varios problemas mediante la adición de nuevas capacidades de API.
Miagkov describió un problema no resuelto que significa que el tejón de privacidad no puede eliminar las redireccionamientos de seguimiento de Google en los sitios de Google. «No podemos hacerlo de la manera correcta porque cuando los ingenieros de Google diseñan el (Chrome.DeclarAtivenRequest API), no piensan en este escenario», dijo. «Podemos hacer una redirección para deshacernos del seguimiento, pero termina siendo una redirección rota para muchas URL. Básicamente, si la URL tiene algún tipo de parámetros de cadena de consulta, el signo de interrogación y cualquier cosa más allá de eso, lo haremos Romper el enlace «.
Miagkov dijo que un ingeniero de relaciones con el desarrollador de Chrome había ayudado a identificar una solución alternativa, pero no es genial.
Miagkov cree que estos problemas son de la propia creación de Google: la compañía cambió las reglas y ha tardado en escribir los nuevos. «Era completamente predecible porque movían la capacidad de arreglar las cosas de las extensiones a sí mismas», dijo. «Y ahora necesitan arreglar las cosas y no lo están haciendo».
Enterrar extensiones
Quejas sobre Google ignorando las necesidades de los desarrolladores, particularmente con respecto a la tienda web de Chrome, donde los desarrolladores envían extensiones para su distribución, volver varios años. Pero incluso cuando los desarrolladores instan a Google a desarrollar su API MV3 para permitirles crear un bloqueo de contenido efectivo y extensiones de privacidad, el gigante web también está buscando controles orientados al usuario que parecen reducir el uso de extensiones.
«Entonces, la esencia de lo que está haciendo Chrome es que están dificultando más los usuarios de las extensiones en la barra de herramientas», explicó Miagkov, señalando una reciente Google blog sobre el tema. «Están haciendo que el PIN sea aún más difícil de alcanzar. Pero lo que están haciendo más fáciles de acceder son los permisos del sitio. Por lo tanto, ahora los usuarios tendrán un acceso supuestamente, teóricamente más rápido al menú que les permitirá deshabilitar el tejón de privacidad en un sitio específico , o para permitir que el tejón de privacidad solo se ejecute en un sitio específico «.
Miagkov dijo que eso no tiene ningún sentido y que no puede entender quién ha pedido esto.
«Para mí, es obvio que los usuarios, cuando instalan una extensión, quieren que esa extensión solo funcione», dijo. «Y no quieren tener que lidiar con los menús o las preferencias. Solo quieren que lo que instaló funcione».
Miagkov agregó que los usuarios de Extension «quieren poder confiar en que la extensión que instalaron en Chrome Web Store es segura, eso no va a poner todos sus datos, ¿verdad? Y la realidad es que Chrome Web Store no es segura. Pero Google está invirtiendo en Exponiendo estos controles del sitio que, una vez que salgan, reclamarán como una victoria para el control del usuario y la privacidad «. ®
