"Google Chrome"
Jau kelis mėnesius „Google“ pranešė apie savo ketinimus pašalinti skelbimų blokatorius iš savo „Chrome“ interneto naršyklės., tai su gairėmis, kad blokatoriai turėtų problemų dėl pakeitimų, įvestų „Manifest V3“.
Net jei „Google“ taip pat teigė, kad kai kurie paslaugų teikėjai internete turi įmontuotas technologijas gali pakenkti esminiams skaitmeninės reklamos bruožams trečiųjų šalių.
„Chrome“ kūrėjai bandė pateisinti blokavimo režimo palaikymo nutraukimą iš „webRequest“ API, Tai leidžia jums keisti gautą turinį skriejant ir yra aktyviai naudojamas prieduose blokuoti skelbimus, apsaugoti nuo kenkėjiškų programų, sukčiavimo, šnipinėti vartotojus, tėvų kontrolę ir privatumą.
Dėl „webRequest“ API blokavimo režimo sunaudojama daug išteklių.
Naudodama šią API, naršyklė pirmiausia išsiunčia visus tinklo užklausoje esančius duomenis į papildinį, papildinys jį analizuoja ir grąžina modifikuotą versiją tolesniam naršyklės apdorojimui arba problemas, susijusias su blokavimo instrukcijomis.
Šiuo atveju pagrindiniai vėlavimai atsiranda ne srauto apdorojimo su papildiniu stadijoje, o dėl papildinio vykdymo koordinavimo pridėtinių išlaidų.
Visų pirma, norint atlikti tokias manipuliacijas, reikia paleisti atskirą procesą, taip pat naudoti IPC sąveikai su šiuo procesu ir duomenų nuoseklinimo mechanizmais.
Papildymas visiškai kontroliuoja visą srautą žemu lygiu, o tai atveria plačias piktnaudžiavimo ir privatumo pažeidimų galimybes.
„Google“ vis dar palaiko API pašalinimą
Remiantis „Google“ statistika, 42% visų aptiktų kenkėjiškų papildinių buvo naudojama „webRequest“ API.
Deja, pleistras neleidžia perimti nė vieno kenksmingo papildinio, Taigi, norint pagerinti apsaugą, buvo nuspręsta apriboti papildinius API lygiu.
Pagrindinė idėja yra suteikti papildiniams ribotą prieigą prie viso srauto, jei ne tik duomenis, kurie yra būtini įgyvendinant sumanytą funkcionalumą.
Visų pirma, norint užblokuoti turinį, nebūtina suteikti papildiniui visiškos prieigos prie visų konfidencialių vartotojo duomenų.
Siūlomas deklaratyvus pakeisti deklaratyvųNetRequest API rūpinasi visu darbu didelio našumo turinio filtravimo sistema ir reikia atsisiųsti tik filtravimo taisyklių papildinius. Be to, papildymas negali trukdyti srautui, o vartotojo privatūs duomenys lieka neliečiami.
„Google“ atsižvelgė į daugelį komentarų dėl API funkcijų trūkumo, deklarativeNetRequest ir išplėtė filtrų taisyklių skaičiaus apribojimą nuo 30,000 150,000, kurie buvo iš pradžių siūlomi kiekvienam plėtiniui, iki didžiausio maksimalaus XNUMX XNUMX, taip pat pridėjo galimybę dinamiškai modifikuoti ir pridėti taisykles, pašalinti ir pakeisti HTTP antraštes (persiuntėjas, slapukas, rinkinys-slapukas) ir prašyti parametrų.
Kūrėjai nėra visiškai įsitikinę
Įskiepių kūrėjų atlikti bandymai rodo, kad skelbimus blokuojančių įskiepių našumas yra nereikšmingas, palyginti su bendruoju fonu (bandant, lyginant įvairių papildinių našumą, tačiau neatsižvelgiant į papildomo proceso, kuris koordinuoja tvarkytojų vykdymą, pridėtines išlaidas „webRequest“ API blokavimo režimas).
Nėra tikslinga visiškai nustoti palaikyti API, aktyviai naudojamas įskiepiuose. Užuot pašalinę, kūrėjai teigia, kad atskirą skiriamąją gebą galima pridėti ir griežtai kontroliuoti, ar ji tinkamai naudojama papildymuose, o tai sutaupytų daugelio populiarių įskiepių autorius nuo visiško jų produktų apdorojimo ir neleistų sumažinti funkcionalumo.
Siūloma alternatyva deklarativeNetRequest neapima visų papildinių kūrėjų poreikių blokuoti skelbimus ir užtikrinti saugumą / privatumą, nes nesuteikia visiškos tinklo užklausų kontrolės, neleidžia naudoti patentuotų filtravimo algoritmų ir neleidžia naudoti sudėtingos taisyklės, kurios sutampa, priklausomai nuo sąlygų.
Fuente: https://security.googleblog.com/