Розробники Google, які відповідають за веб-браузер "Google Chrome" оголосили про включення до Chrome 88 (очікується запуск 19 січня 2021 року) третього видання маніфесту, що спричинило багато конфліктів серед розробників розширень браузера через порушення роботи багатьох доповнень для блокування невідповідного вмісту та безпеки.
Слід зазначити, що сумісність з плагінами, які використовують другу версію з маніфесту залишиться на деякий час. Кінець підтримки Manifest V2 ще не визначений, але період переходу на новий маніфест триватиме щонайменше один рік.
Нагадуємо, Маніфест Chrome визначає можливості та ресурси плагінів.
Новий маніфест є частиною ініціативи щодо підвищення безпеки, конфіденційність та продуктивність плагіна. Основна мета змін - спростити створення високопродуктивних та безпечних плагінів, а також ускладнити створення повільних та небезпечних плагінів.
З введенням Manifest V3 ми не дозволимо розміщувати віддалено розміщений код. Цей механізм використовується як вектор атаки з боку поганих акторів для обходу інструментів виявлення зловмисного програмного забезпечення Google і представляє значний ризик для конфіденційності та безпеки користувачів.
Основне невдоволення з новим маніфестом пов’язано з закінченням підтримки режиму робочого блокування API webRequest, який буде обмежений режимом лише для читання.
Виняток буде зроблено лише для версії Chrome для підприємств, який і надалі підтримуватиметься API webRequest. Mozilla вирішила не слідкувати за новим маніфестом і буде повністю підтримувати Firefox, використовуючи API webRequest. Натомість API веб-запиту для фільтрації вмісту в новому маніфесті запропонував декларативний API-декларативний декларативнийNetRequest.
Новий API декларативногоNetRequest надає доступ до готового універсального вбудованого механізму фільтрації, який самостійно обробляє правила блокування, не дозволяє використовувати власні алгоритми фільтрації та не дозволяє встановлювати складні та накладаються правила залежно від умов.
Причиною переходу до декларативного API API, Зауваження щодо конфіденційності: За допомогою нового API плагіни втратять необмежений доступ до всіх потоків даних, які можуть містити конфіденційну інформацію користувача.
Google намагався пом'якшити деякі виражені проблеми Під час обговорення з розробниками плагінів, на яких впливатиме декларативний API API (наприклад, uBlock Origin, автор якого вважає, що функціонал декларативної програми Недостатній для належної роботи плагіна), він перестане працювати.
Відповідно до побажань розробників плагінів, se додано підтримку використання декларативногоNetRequest для різних наборів статичних правил фільтруйте за регулярними виразами, модифікуйте заголовки HTTP, динамічно змінюйте та додайте правила, видаліть та замініть параметри запиту.
Новий маніфест також вносить такі зміни, які впливають на сумісність плагінів:
- Перехід до запуску службовців у вигляді фонових процесів, що вимагатиме від розробників зміни коду деяких доповнень.
- Нова детальна модель для запиту дозволів: плагін не зможе активуватися одночасно для всіх сторінок (дозвіл "усі_урли" видалено), але він буде працювати лише в контексті активної вкладки, тобто користувача доведеться підтвердити плагін для кожного сайту.
- Зміни в обробці запитів для перехресного походження: Відповідно до нового маніфесту, на сценарії обробки вмісту застосовуватимуться ті самі обмеження дозволів, що й на головну сторінку, на якій ці сценарії вбудовані (наприклад, якщо сторінка не має доступу до API розташування , тоді плагіни сценарію також не матимуть цього доступу)
- Запобігає виконанню коду, завантаженого із зовнішніх серверів (коли плагін завантажується та виконує зовнішній код).
В кінці кінців якщо ви хочете дізнатися більше про це примітки, ви можете посилатися на оригінальний пост У наступному посиланні.