日前Google曾表示將更新Manifest API,並改變Chrome外掛程式的運作模式,這個改變可能會讓阻擋網頁廣告攔截工具等外掛軟體無法運作,或者至少需要在大幅翻新軟體之後才能正常運作。對此Google也作出了聲明,導入最新的Manifest V3將有助於保護隱私安全,並提升瀏覽器效能。
廣告攔截工具恐無法運作
根據9 To 5 Google網站先前的報導,Google將更新Chrome瀏覽器外掛程式的API,新的Manifest V3 AP在改善Chrome外掛程式權限系統的同時,也將對uBlock Origin和Ghostery等使用Web Request功能廣告攔截工具造成重大影響。
回顧2018年10月,Google宣佈將在Chrome導入多項提升資安的措施,其中包括增加外掛程式權限的選項、禁止直接在網站安裝程式(Inline Installation)、避免誘騙式安裝、 限制外掛程式收集個資,並改善外掛程式的審核流程以及要求開發人員進行兩步驟驗證,在過去1年中Google為防止外掛程式濫用的工程團對擴編了3倍以上的人力,並增加4倍以上人力審核外掛程式。
而其成果就是從2018年初至今,已經降低了89%惡意外掛程式安裝率,並且每月大約阻擋1,800次惡意外掛程式於Chrome線上應用程式商店上架。
然而Chrome團隊也知道單靠人工審核無法識別、阻止所有惡意外掛程式,因此著手更新Manifest V3,透過新的API運作流程提供更強大的防護力,然而這項措施也因為大幅改變惡意外掛程式運作流程,可能讓許多廣告攔截工具失效。
▲ Chrome線上應用程式商店提供許多方便的外掛程式,但也可能讓惡意程式混雜其中。
改善外掛程式收集資料的方式
惡意外掛程式的隱憂之一,就是它們可能有權限能夠存取電子郵件、照片、社群媒體等等內容,因此開發團隊希望提升使用者保護敏感個資的意識,同時仍能保持外掛程式的方便性。
為了兼顧兩者的平衡,開發團隊設想了許多API運作流程,讓外掛程式開發者只能存取最少量且必需的個資,其中1項措施就是導入包含於Manifest V3內的Declarative Net Request API,以替換舊有的Web Request API。
以目前的Web Request API來說,當外掛程式向使用者索取權限時,使用者很可以需要提供存取包括電子郵件、照片、其他個資在內所有資料的權限。然而新的Declarative Net Request API可以在使用者需提供這些權限的前提下運作,並且也能用來過濾、阻擋廣告。
另一方面,由於Declarative Net Request API可以大幅降低瀏覽器運作過程中的效能虛耗,因此對瀏覽器的流暢度與使用體驗也都有正面幫助。
▲ 以廣告攔截工具為例,在使用Web Request API的情況下,外掛程式會先向瀏覽器索取權限(可能包含敏感個資),並將廣告過濾後,呈現封鎖廣告的頁面。(圖片來源:Google,下同)
▲ 從瀏覽器的角度來看,當使用者點擊連結後,外掛程式會與瀏覽器多次互動後,才會從伺服器下載資料,並繪製為網頁。
▲ 改用Declarative Net Request API之後,不需給予外掛程式多餘的權限,而整體的運作效能也更理想。
▲ Declarative Net Request API限制了外掛程式可以取得的權限,並在下載資料後才會先在瀏覽器內處理外掛程式對網頁進行的變動,然後繪製變動後的網頁。
雖然Google出面表示導入Manifest V3的主要動機為提供更安全巧保護隱私的網路環境,而非「封鎖廣告攔截工具」,但廣告是Google的重要業務之一,此舉不免讓人懷疑是提升業績的手段之一,而其真正原因或許只有Google知道。
