Google Chrome在去年10月底公佈Manifest V3草案,準備以Declarative Net Request API來取代Web Request API的屬性阻止功能,卻引起廣告阻止程序開發商的反彈,抨擊Google此舉是為了消滅廣告阻止程序的生存空間,不過Google在本週特地澄清,此一變更將讓開發人員可打造更安全及更具性能的廣告阻止程序。
負責Chrome擴充程序開發人員關係的Simeon Vincent,詳細說明了Web Request API與Declarative Net Request API的運作方式,試圖向外界解釋Google的立場。
根據Vincent的說法,Web Request API會把一個網絡請求的所有資料都送至擴充程序,包含個人照片或電子郵件等機密資料,再由擴充程序評估此一請求,並要求Chrome進行處理,如允許它、阻止它或是修改後再傳送等,因此,Web Request API通常能夠存取及讀取使用者在網絡上所做的所有事。
對一個剛正的開發人員來說,Web Request API代表的是強大的功能,然而,惡意的開發人員也很容易利用它來存取使用者的機密資料。根據Google的統計,自2018年1月以來所發現的惡意擴充程序,就有42%使用Web Request API。
至於Declarative Net Request API則有與Web Request API截然不同的作法,擴充程序必須先註冊各種規則,當Chrome遇見特定型態的請求時就能依照規則執行。
Vincent指出,Declarative Net Request API同時保障了使用者的安全及隱私,還改善了性能。因為透過此API,Chrome再也不會向擴充程序揭露任何機密資料,瀏覽器不必再傳遞所有與該網絡請求相關的資料予擴充程序,而只依照擴充程序所制定的規則行動,這意味著開發人員依舊能夠阻止特定屬性,卻不用存取使用者的所有個人資訊。
而且由於這些規則都是事先訂好的,並非於運行時處理,也減少了把所有資料傳送給擴充程序的成本,因此更能增進性能。
雖然有些開發人員希望Google可以同時維持Declarative Net Request API及Web Request API的阻止功能,但Vincent明白表示,Chrome團隊堅信若擴充程序的功能並不需要存取使用者的機密資料,就不該把這些電子郵件、照片、社交媒體屬性或其它個人機密資料傳送給擴充程序。
除了解釋Web Request API與Declarative Net Request API的差異之外,Chrome團隊亦宣佈Net Request API規則的數量限制,從3萬增加到15萬,讓開發人員有更充裕的規則制定空間。
這項改變,讓廣告或屬性阻止程序的開發人員必須重新調整程序的設計,開發Ghostery廣告及追蹤器阻止程序的Jeremy Tillman向Wired透露,Declarative Net Request API本身並不是壞事,但如果它缺乏Web Requests API的彈性,還只是唯一選擇的時候,就是壞事了。
目前Chrome團隊尚未確定Manifest V3正式版的出爐時間,除了企業版Chrome可繼續支持具阻止功能的Web Request API之外,包括Opera與Vivaldi等基於Chromium的瀏覽器也宣佈會繼續支持阻止版的Web Request API。
資料來源:iThome Security
相關推薦
