Google Chrome
Desde hace ya varios meses Google había dado a conocer sus intenciones de eliminar los bloqueadores de publicidad de su navegador web Chrome, esto con la pauta de que los bloqueadores tendrían problemas en los cambios introducidos en el Manifest V3.
Aun que Google también argumentaba que algunos proveedores de servicios en línea tienen tecnologías integradas que podrían comprometer las características esenciales de la publicidad digital de terceros.
Los desarrolladores de Chrome han intentado justificar la interrupción del soporte para el modo de bloqueo de la webRequest API, que permite cambiar el contenido recibido sobre la marcha y se utiliza activamente en complementos para bloquear anuncios, proteger contra malware, phishing, espiar a los usuarios, control parental y privacidad.
El modo de bloqueo de la API webRequest conduce a un gran consumo de recursos.
Cuando se utiliza esta API, el navegador primero envía al complemento todos los datos contenidos en la solicitud de red, el complemento lo analiza y devuelve una versión modificada para su posterior procesamiento en el navegador o problemas con las instrucciones de bloqueo.
En este caso, los retrasos principales surgen no en la etapa de procesamiento del tráfico con un complemento, sino debido a la sobrecarga de coordinar la ejecución del complemento.
En particular, tales manipulaciones requieren un lanzamiento para complementar un proceso separado, así como el uso de IPC para interactuar con este proceso y los mecanismos de serialización de datos.
La adición controla completamente todo el tráfico a un nivel bajo, lo que abre amplias oportunidades para violaciones de abuso y privacidad.
Google sigue en favor de eliminar la API
Según las estadísticas de Google, en el 42% de todos los complementos maliciosos detectados, se utilizó la API de webRequest.
Desafortunadamente, la revisión no permite interceptar ninguno de todos los complementos maliciosos, por lo que para mejorar la protección, se decidió limitar los complementos a nivel de API.
La idea básica es proporcionar complementos con acceso limitado a todo el tráfico, si no solo a los datos que son necesarios para la implementación de la funcionalidad concebida.
En particular, para bloquear el contenido no es necesario proporcionar el complemento con acceso completo a todos los datos confidenciales del usuario.
La declarativa propuesta para reemplazar la API declarativeNetRequest se encarga de todo el trabajo de filtrado de contenidos de alto rendimiento y sólo requiere la descarga de complementos de reglas de filtrado. Además, la adición no puede interferir con el tráfico y los datos privados del usuario permanecen inviolables.
Google tomó en cuenta muchos de los comentarios con respecto a la falta de funcionalidad de la API, declarativeNetRequest y extendió el límite en el número de reglas de filtrado desde 30,000 originalmente propuesto para cada extensión hasta un máximo global de 150,000 y también agregó la capacidad de modificar y agregar reglas dinámicamente, eliminar y reemplazar encabezados HTTP ( Referer, Cookie, Set-Cookie) y parámetros de solicitud.
Los desarrolladores no están del todo convencidos
Las pruebas realizadas por los desarrolladores de complementos muestran que el rendimiento de los complementos para bloquear anuncios es insignificante en comparación con los antecedentes generales (al realizar pruebas, comparar el rendimiento de varios complementos, pero sin tener en cuenta la sobrecarga de un proceso adicional que coordina la ejecución de los manejadores en el modo de bloqueo de la API webRequest).
No es práctico dejar de soportar por completo la API, que se usa activamente en los complementos. En lugar de eliminarla, los desarrolladores argumentan que se puede agregar una resolución separada y controlar de manera estricta la adecuación de su uso en adiciones, lo que ahorraría a los autores de muchos complementos populares el procesamiento completo de sus productos y evitaría reducciones en la funcionalidad.
La alternativa propuesta a declarativeNetRequest no cubre todas las necesidades de los desarrolladores de complementos para bloquear anuncios y garantizar la seguridad / privacidad, ya que no proporciona un control completo sobre las solicitudes de red, no permite el uso de algoritmos de filtrado propios y no permite el uso de reglas complejas que se superponen entre sí según las condiciones.
Fuente: https://security.googleblog.com/