______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Изменения в работе Chrome Extensions могут повлиять на блокировщики контента и не только

Разработчики Google собираются внести ряд изменений работу Chrome Extensions, из-за чего могут пострадать блокировщики контента (в частности, uBlock Origin и uMatrix). Дело в том, что возможности и ограничения для расширений определяются манифестом, который  представлен в виде версии 2.

В сущности, проблема заключается в том, что webRequest API позволяет расширениям не просто блокировать рекламный контент на страницах, но и перехватывать сетевые запросы, чтобы иметь возможность блокировать, модифицировать и перенаправлять их. По мнению разработчиков Google, это слишком сильно сказывается на скорости загрузки страниц, поэтому в будущем webRequest API будет разрешено только читать запросы, но не вмешиваться.

В свою очередь, declarativeNetRequest позволяет Chrome (а не самому расширению) решать, как поступать с сетевыми запросами, устраняя при этом «узкое место» и повышая безопасность. Разработчики Google уверены, что использование declarativeNetRequest API будет лучше для приватности пользователей, ведь так расширения более не смогут читать сетевые запросы, сделанные от лица пользователя.

На данный  момент инженеры Google готовят третью версию манифеста, который, в сущности, определяет возможности и ограничения для расширений.

Согласно нынешней версии документа, в Google планируют ограничить работу webRequest API, что может оказаться критически важно для функционирования блокировщиков контента. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest. Разумеется, в Google считают, что эти улучшения направлены на повышение безопасности и производительности.

К счастью, инженеры Google сами инициировали публичное обсуждение текущей редакции манифеста, перед тем окончательно принять его и внести важные изменения в Chromium, который лежит в сердце браузеров Chrome, Vivaldi, Opera, Brave и так далее. И критика не заставила себя ждать. Первым свою точку зрения высказал разработчик популярных блокировщиков uBlock Origin и uMatrix Реймонд Хил (Raymond Hill). Он предупредил, что отказ от webRequest станет «смертью» для его продуктов, а также выразил опасение, что переход на API declarativeNetRequest может пагубно сказать на множестве других решений.

К настоящему моменту с точкой зрения Хилла соглашаются все больше разработчиков и ИБ-специалистов, которые единогласно уверяют Google, что манифест нужно менять, а отказ от webRequest не принесет ничего хорошего. Так, о потенциальных проблемах, которые вызовет принудительный переход на declarativeNetRequest, уже написали:

  • разработчик известнейшего аддона NoScript для Firefox. Он подчеркивает, что из-за нового API вообще не сможет создать закончить NoScript для Chrome, над которым работает уже давно;
  • инженер компании F-Secure, который отмечает, что новые ограничения могут сказаться на работе многих защитных решений и продуктах родительского контроля. Таким решениями необходимо иметь возможность динамически блокировать HTTPS-трафик, который может быть опасен для пользователей, а после отказа от API webRequest это едва ли будет возможно;
  • специалиста F-Secure поддержал эксперт компании Amnesty International, который тоже считает, что под угрозой окажется функциональность почти всех защитных расширений для Chrome;
  • автор расширения Blockade.io, направленного на защиту от drive-by атак и посещения фишинговых сайтов, тоже пишет, что его продукт фактически практически перестанет работать, если манифест оставят без изменений;
  • команда Ermes Cyber Security, так же разрабатывающая продукты для защиты от фишинговых атак, в том числе и соответствующее расширение для Chrome.

Остается надеяться, что инженеры Google прислушаются к критике и учтут полученные замечания. Напомню, что прошлой осенью под шквалом критически со стороны сообщества и специалистов разработчики Chrome уже отказывались от внесенных в браузер изменений. Тогда комьюнити, например, не понравилось сокрытие WWW и поддоменов из адресной строки (и баги, связанные с этой новой функциональностью), а также принудительная авторизации в браузере, которую многие эксперты сочли навязчивой и вводящей в заблуждение.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх