Mozilla dio a conocer hace poco que tiene la intensión de hacer que su navegador web «Firefox» sea compatible con la versión 3 del manifiesto de Chrome y ha publicado una hoja de ruta, que define las capacidades y los recursos que se proporcionarán a los complementos.
Debemos recordar que la tercera versión del manifiesto ha sido objeto de críticas por interrumpir muchos de los complementos de seguridad y bloqueo de contenido inapropiado, he incluso ya hemos hablado sobre ello aquí en el blog.
Mozilla comenta que tiene planeado en Firefox implementar casi todas las capacidades y limitaciones del nuevo manifiesto, incluida la API de filtrado de contenido declarativo (declarativeNetRequest), pero a diferencia de Chrome, Firefox no dejará de admitir el antiguo modo de bloqueo de la API webRequest, al menos hasta la nueva API no satisfará completamente las necesidades de los desarrolladores de complementos que utilizan la API webRequest.
Este enfoque garantizará la compatibilidad con los complementos de Chrome sin romper la compatibilidad con los complementos que dependen de la API webRequest.
La principal insatisfacción con el nuevo manifiesto está asociada con la traducción al modo de solo lectura de la API webRequest, que le permitió conectar sus propios controladores que tienen acceso completo a las solicitudes de red y pueden modificar el tráfico sobre la marcha.
Esta API es utilizada por uBlock Origin y muchos otros complementos para bloquear contenido inapropiado y garantizar la seguridad. En lugar de la API webRequest, se propone la API declarativa NetRequest, limitada en sus capacidades, que proporciona acceso a un motor de filtrado integrado que procesa de forma independiente las reglas de bloqueo, no permite el uso de algoritmos de filtrado personalizados y no permite establecer reglas complejas que se superponen dependiendo de las condiciones.
En Firefox, la compatibilidad con la tercera versión del manifiesto de Chrome está programada para ser probada a fines de 2021 y el nuevo manifiesto está programado para principios de 2022.
Entre las características de la implementación del nuevo manifiesto en Firefox se destacan:
- Proporcionar la API declarativeNetRequest, pero conserve la API webRequest heredada.
- Cambiar el procesamiento de solicitudes de origen cruzado: de acuerdo con el nuevo manifiesto, los scripts de procesamiento de contenido estarán sujetos a las mismas restricciones de permisos que para la página principal en la que están incrustados estos scripts (por ejemplo, si la página no tiene acceso a la API de ubicación, los complementos del script tampoco obtendrán este acceso). Algunas de las solicitudes de cambio relacionadas con las restricciones de origen cruzado ya están disponibles para probar en las compilaciones nocturnas de Firefox .
- Las páginas de fondo se reemplazarán con trabajadores del servicio, que trabajan en forma de procesos de fondo.(El cambio aún no está listo para comenzar a probarse.)
- API basada en Promise: Firefox ya es compatible con este tipo de API en el espacio de nombres «browser. *» Y para la tercera versión del manifiesto lo moverá al espacio de nombres «chrome. *».
- Nuevo modelo granular para solicitar permisos: el complemento no podrá activarse para todas las páginas a la vez, pero solo funcionará en el contexto de la pestaña activa, es decir, el usuario deberá confirmar el trabajo del complemento para cada sitio. Mozilla está trabajando para fortalecer los controles de acceso, pero tiene la intención de brindar a los usuarios la capacidad de decidir si permitir que los complementos funcionen con diferentes pestañas.
- Prohibir la ejecución de código descargado de servidores externos (estamos hablando de situaciones en las que un complemento carga y ejecuta código externo). Firefox ya utiliza el bloqueo de código externo y los desarrolladores de Mozilla están listos para agregar técnicas de seguimiento de descarga de código adicionales que se ofrecen en la tercera versión del manifiesto.
- Y además se introducirá una política de seguridad de contenido (CSP) separada para las secuencias de comandos de manejo de contenido y las API de UserScripts y contentScripts existentes se modificarán para admitir las extensiones basadas en trabajadores del servicio.