Разработчики расширений для Chrome обеспокоены действиями инженеров Google.
Возможности и ограничения для браузерных расширений определяются манифестом. Но в настоящее время в Google идет работа на третьей версией документа и предлагаемые изменения вызывают тревогу и сомнения.
Google планируют ограничить работу webRequest API, что может оказаться критически важно для функционирования блокировщиков контента. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest. В Google считают, что эти улучшения повысят безопасность и производительность.
Первым свою точку зрения высказал разработчик популярных блокировщиков контента uBlock Origin и uMatrix Реймонд Хилл. Он предупредил, что отказ от webRequest станет смертью для его продуктов, а так же выразил опасение, что переход на API declarativeNetRequest может пагубно сказаться на множестве других продуктов.
Точку зрения Хилла разделяют все больше разработчиков и ИБ-специалистов, которые единогласно уверяют Google, что манифест нужно менять, а отказ от webRequest не принесет ничего хорошего. Так, о потенциальных проблемах, которые вызовет принудительный переход на declarativeNetRequest, уже заявили:
- Разработчик известнейшего аддона NoScript для Firefox. Он подчеркнул, что из за нового API вообще не сможет закончить NoScript для Chrome, над которым работает уже давно.
- Инженер компании F‐Secure, который отметил, что новые ограничения могут сказаться на работе многих защитных решений и продуктов родительского контроля. Таким решениям необходимо иметь возможность динамически блокировать HTTPS‐трафик, который может быть опасен для пользователей, но если примут новую версию манифеста, это едва ли будет возможно.
- Специалиста F‐Secure поддержал эксперт компании Amnesty International, который то же считает, что под угрозой окажется функциональность почти всех защитных расширений для Chrome.
- Автор расширения Blockade.io, направленного на защиту от drive‐by‐атак и посещения фишинговых сайтов, тоже говорит, что его продукт перестанет работать, если манифест оставят без изменений.
- Создатель известного расширения Tampermonkey объяснил, что его продукт не сможет загружать удаленные скрипты, а это краеугольная часть его функциональности.
- С выше изложенным так же согласна команда Ermes Cyber Security, разрабатывающая продукты для защиты от фишинговых атак, в том числе и соответствующее расширение для Chrome.
Надеемся, что инженеры Google прислушаются к критике.
