Os desenvolvedores do Google responsáveis pelo navegador "Google Chrome" anunciaram a inclusão no Chrome 88 (lançamento previsto para 19 de janeiro de 2021) da terceira edição do manifesto, o que causou muitos conflitos entre os desenvolvedores de extensões de navegador, devido à violação do trabalho de muitas adições para bloquear conteúdo e segurança inadequados.
Note-se que compatibilidade com plug-ins que usam a segunda versão do manifesto vai ficar por algum tempo. O fim do suporte para o Manifest V2 ainda não foi determinado, mas o período de migração para o novo manifesto durará pelo menos um ano.
Como um lembrete, O manifesto do Chrome define os recursos e recursos fornecidos pelos plug-ins.
O novo manifesto faz parte de uma iniciativa para melhorar a segurança, privacidade e desempenho do plug-in. O principal objetivo das alterações é tornar mais fácil a criação de plug-ins seguros e de alto desempenho e dificultar a criação de plug-ins lentos e inseguros.
Com a introdução do Manifest V3, não permitiremos código hospedado remotamente. Esse mecanismo é usado como vetor de ataque por malfeitores para contornar as ferramentas de detecção de malware do Google e representa um risco significativo para a privacidade e segurança do usuário.
A principal insatisfação com o novo manifesto está relacionado ao fim do suporte para o modo de bloqueio de trabalho da API webRequest, que será limitado ao modo somente leitura.
Uma exceção será feita apenas para a edição Chrome for Enterprise, que continuará a ser compatível com a API webRequest. A Mozilla decidiu não seguir o novo manifesto e manterá o Firefox totalmente usando a API webRequest. Em vez disso, a API webRequest para filtrar o conteúdo no novo manifesto propôs uma API declarativa declarativeNetRequest.
A nova API declarativeNetRequest fornece acesso a um mecanismo de filtragem integrado universal pronto para uso que processa regras de bloqueio de forma independente, não permite o uso de algoritmos de filtragem personalizados e não permite definir regras complexas e sobrepostas dependendo das condições.
Como motivo para a transição para a API declarativeNetRequest, As preocupações com a privacidade são anotadas: Com a nova API, os plug-ins perderão acesso ilimitado a todos os fluxos de dados, que podem incluir informações confidenciais do usuário.
O Google tentou mitigar alguns dos problemas expressos Durante a discussão com os desenvolvedores do plug-in, que serão afetados pela API declarativeNetRequest (por exemplo, uBlock Origin, cujo autor considera a funcionalidade declarativeNetRequest insuficiente para que o plug-in funcione corretamente), ele irá parar de funcionar.
De acordo com os desejos dos desenvolvedores do plugin, se adicionou suporte para usar declarativeNetRequest para vários conjuntos de regras estáticas, filtre por expressões regulares, modifique cabeçalhos HTTP, altere e adicione regras dinamicamente, remova e substitua parâmetros de solicitação.
O novo manifesto também apresenta as seguintes alterações que afetam a compatibilidade do plug-in:
- A transição para a execução de service workers na forma de processos em segundo plano, o que exigirá que os desenvolvedores alterem o código de algumas adições.
- Novo modelo granular para solicitar permissões: o plugin não poderá ser ativado para todas as páginas ao mesmo tempo (a permissão "all_urls" foi removida), mas só funcionará no contexto da guia ativa, ou seja, o usuário terá que confirmar o trabalho do plugin para cada site.
- Alterações no processamento de solicitações de origem cruzada: de acordo com o novo manifesto, os scripts de processamento de conteúdo estarão sujeitos às mesmas restrições de permissão da página principal na qual esses scripts estão incorporados (por exemplo, se a página não tiver acesso à API de localização , os plug-ins de script também não terão esse acesso).
- Impede a execução de código baixado de servidores externos (quando o plug-in carrega e executa código externo).
Finalmente se você quiser saber mais sobre isso da nota, você pode consultar a postagem original no link a seguir.