Gli sviluppatori di Google responsabili del browser web "Google Chrome" hanno annunciato l'inclusione in Chrome 88 (previsto per il 19 gennaio 2021) della terza edizione del manifesto, che ha causato molti conflitti tra gli sviluppatori di estensioni del browser, a causa della violazione del lavoro di molte aggiunte per bloccare contenuti e sicurezza inappropriati.
Notare che compatibilità con i plugin che utilizzano la seconda versione dal manifesto rimarrà per un po 'di tempo. La fine del supporto per Manifest V2 non è stata ancora determinata, ma il periodo di migrazione al nuovo manifest durerà almeno un anno.
Come promemoria, Il manifest di Chrome definisce le funzionalità e le risorse fornite dai plug-in.
Il nuovo manifesto fa parte di un'iniziativa per migliorare la sicurezza, privacy e prestazioni dei plug-in. L'obiettivo principale delle modifiche è semplificare la creazione di plug-in sicuri e ad alte prestazioni e rendere più difficile la creazione di plug-in lenti e non sicuri.
Con l'introduzione di Manifest V3, non consentiremo il codice ospitato in remoto. Questo meccanismo viene utilizzato come vettore di attacco da malintenzionati per aggirare gli strumenti di rilevamento del malware di Google e rappresenta un rischio significativo per la privacy e la sicurezza degli utenti.
La principale insoddisfazione con il nuovo manifesto è correlato alla fine del supporto per la modalità di blocco del funzionamento dell'API webRequest, che sarà limitato alla modalità di sola lettura.
Verrà fatta un'eccezione solo per l'edizione Chrome for Enterprise, che continuerà a essere supportato dall'API webRequest. Mozilla ha deciso di non seguire il nuovo manifest e manterrà Firefox utilizzando completamente l'API webRequest. Invece, l'API webRequest per filtrare il contenuto nel nuovo manifest ha proposto un'API dichiarativa dichiarativaNetRequest.
La nuova API dichiarativa NetRequest fornisce l'accesso a un motore di filtraggio integrato universale pronto per l'uso che elabora in modo indipendente le regole di blocco, non consente l'uso di algoritmi di filtro personalizzati e non consente l'impostazione di regole complesse e sovrapposte a seconda delle condizioni.
Come motivo per il passaggio all'API dichiarativaNetRequest, Si segnalano i problemi di privacy: Con la nuova API, i plug-in perderanno l'accesso illimitato a tutti i flussi di dati, che potrebbero includere informazioni sensibili sugli utenti.
Google ha cercato di mitigare alcuni dei problemi espressi Durante la discussione con gli sviluppatori di plugin, che saranno interessati dall'API dichiarativaNetRequest (ad esempio uBlock Origin, il cui autore considera la funzionalità dichiarativaNetRequest insufficiente per il corretto funzionamento del plugin), smetterà di funzionare.
In conformità con i desideri degli sviluppatori di plugin, se ha aggiunto il supporto per l'uso dichiarativoNetRequest per vari set di regole statiche, filtrare per espressioni regolari, modificare le intestazioni HTTP, modificare e aggiungere dinamicamente regole, rimuovere e sostituire i parametri della richiesta.
Il nuovo manifest introduce anche le seguenti modifiche che influiscono sulla compatibilità dei plug-in:
- Il passaggio all'esecuzione di service worker sotto forma di processi in background, che richiederà agli sviluppatori di modificare il codice di alcune aggiunte.
- Nuovo modello granulare per la richiesta dei permessi: il plugin non potrà essere attivato per tutte le pagine contemporaneamente (il permesso "all_urls" è stato rimosso), ma funzionerà solo nel contesto della scheda attiva, cioè l'utente dovrà confermare il funzionamento del plugin per ogni sito.
- Modifiche all'elaborazione delle richieste cross-origin: secondo il nuovo manifest, gli script di elaborazione del contenuto saranno soggetti alle stesse limitazioni di autorizzazione della pagina principale in cui sono incorporati questi script (ad esempio, se la pagina non ha accesso all'API di localizzazione , quindi neanche i plugin di script avranno questo accesso).
- Impedisce l'esecuzione di codice scaricato da server esterni (quando il plug-in carica ed esegue codice esterno).
Infine se vuoi saperne di più della nota, puoi fare riferimento al post originale nel seguente link