Google planerar bland annat att ändra ett api vars funktion är viktig för att annonsblockerare och tillägg som blockerar sajter ska kunna fungera. Google motiverar ändringarna med att de vill slå ned på skadliga tillägg som kan hota användarnas integritet och säkerhet, skriver Ars Technica.
Googles plan, som de kallar Manifest V3, visar hur Google tänkt sig hur tillägg i framtiden ska interagera med Chrome för att öka användarnas säkerhet och kontroll samt se till att webbläsaren blir snabbare. Ur säkerhetssynvinkel är den viktigaste förändringen att tillägg inte kommer att kunna ladda in kod från externa servrar, vilket medför att de tillägg som läggs upp i Chromes bibliotek över tillägg måste innehålla all sin kod från början. Detta ska stoppa tillägg som uppför sig korrekt i samband med godkännandeprocessen, men sedan ändrar sitt beteende.
Problemet för annonsblockerare och säkerhetstillägg har att göra med hur nuvarande webRequest-api fungerar jämfört med det föreslagna nya api:et som Google kallar declarativeNetRequest. Med nuvarande api ber Chrome tillägget att undersöka varje nätverksbegäran (request) som tillägget är intresserat av. Tillägget kan då modifiera begäran innan den skickas, till exempel ta bort begäran till vissa domäner, lägga till eller ta bort kakor, eller ta bort vissa http-headers från begäran. På detta sätt kan annonsblockerare stoppa begäran mot en annons.
Det nya föreslagna api:et, declarativeNetRequest, innebär att tillägget måste komma med ett statiskt regelverk i form av en Json-fil med listor över svartlistade domäner som sedan Chrome kan jämföra med för att avgöra om en begäran ska stoppas eller förändras. Listan får som mest innehålla 30 000 poster, vilket av kritikerna anses alldeles för snålt. Exempelvis uBlock Origin har en lista med 90 000 filter.
Regelverket är ganska enkelt även om det tillåter vissa wildcards. Detta är bättre för användarens integritet eftersom det är i själva Chrome som jämförelsen görs, så tillägg kan inte komma åt att se känslig information, men det tar också bort flexibilitet för tilläggen.
Kritiken mot Google har inte låtit vänta på sig. Utöver att Google förargat utvecklare av annonsblockerare har även säkerhetsföretagen gått i taket. De påverkas också av att api:et byts ut eftersom deras egna tillägg jobbar på ungefär samma sätt, det vill säga de inspekterar varje begäran och stoppar dem som går mot skadliga url:er.
Men säkerhetstillägg kan komma att få problem även av andra orsaker. Dessa tillägg lagrar sina svartlistor i hashat format, men det nya api:et kräver att url:erna i listorna lagras fullt läsbart. Det är naturligtvis inte bra, då utvecklare av skadlig kod kan se om de finns med på listan, och listorna skulle också kunna användas av dem som vill hitta sajter som aktivt utnyttjar sårbarheter hos webbläsare.
Sista ordet om de kommande förändringarna i Chrome (och Chromium) är ännu inte sagt. Kritiken mot Google är omfattande. En del av kritiken går ut på att Google är ute på tunn is med tanke på att de själva inte alltid står upp för användarnas integritet. Google är dock tydliga med att förslaget är just ett förslag, att de är öppna för kritik, och att förslaget kan komma att ändras.
Läs också:
Mozilla "djupt oroliga” över att Microsoft dödar Edge
Grattis Chrome 10 år! Men minns du hur allting började?
