Изменения в работе Chrome Extensions могут повлиять не только на блокировщики контента - «Новости»

Xakep #237. Даркнет 2018

• Содержание выпуска


• Подписка на «Хакер»

Вчера мы рассказывали о серьезной проблеме, которая обеспокоила разработчиков расширений для блокировки контента в браузерах. Дело в том, что в настоящее время инженеры Google готовят третью версию манифеста, который, в сущности, определяет возможности и ограничения для расширений.

Согласно нынешней версии документа, в Google планируют ограничить работу webRequest API, что может оказаться критически важно для функционирования блокировщиков контента. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest. Разумеется, в Google считают, что эти улучшения направлены на повышение безопасности и производительности.

К счастью, инженеры Google сами инициировали публичное обсуждение текущей редакции манифеста, перед тем окончательно принять его и внести важные изменения в Chromium, который лежит в сердце браузеров Chrome, Vivaldi, Opera, Brave и так далее. И критика не заставила себя ждать. Первым свою точку зрения высказал разработчик популярных блокировщиков uBlock Origin и uMatrix Реймонд Хил (Raymond Hill). Он предупредил, что отказ от webRequest станет «смертью» для его продуктов, а также выразил опасение, что переход на API declarativeNetRequest может пагубно сказать на множестве других решений.

К настоящему моменту с точкой зрения Хилла соглашаются все больше разработчиков и ИБ-специалистов, которые единогласно уверяют Google, что манифест нужно менять, а отказ от webRequest не принесет ничего хорошего. Так, о потенциальных проблемах, которые вызовет принудительный переход на declarativeNetRequest, уже написали:

• разработчик известнейшего аддона NoScript для Firefox. Он подчеркивает, что из-за нового API вообще не сможет закончить NoScript для Chrome, над которым работает уже давно;


• инженер компании F-Secure, который отмечает, что новые ограничения могут сказаться на работе многих защитных решений и продуктах родительского контроля. Таким решениями необходимо иметь возможность динамически блокировать HTTPS-трафик, который может быть опасен для пользователей, а после отказа от API webRequest это едва ли будет возможно;


• специалиста F-Secure поддержал эксперт компании Amnesty International, который тоже считает, что под угрозой окажется функциональность почти всех защитных расширений для Chrome;


• автор расширения Blockade.io, направленного на защиту от drive-by атак и посещения фишинговых сайтов, тоже пишет, что его продукт фактически практически перестанет работать, если манифест оставят без изменений;


• команда Ermes Cyber Security, так же разрабатывающая продукты для защиты от фишинговых атак, в том числе и соответствующее расширение для Chrome.

Остается надеяться, что инженеры Google прислушаются к критике и учтут полученные замечания. Напомню, что прошлой осенью под шквалом критически со стороны сообщества и специалистов разработчики Chrome уже отказывались от внесенных в браузер изменений. Тогда комьюнити, например, не понравилось сокрытие WWW и поддоменов из адресной строки (и баги, связанные с этой новой функциональностью), а также принудительная авторизации в браузере, которую многие эксперты сочли навязчивой и вводящей в заблуждение.