4972115a4972136d338d26e5875ca82c 日前Google曾表示將更新Manifest API,並改變Chrome外掛程式的運作模式,這個改變可能會讓阻擋網頁廣告攔截工具等外掛軟體無法運作,或者至少需要在大幅翻新軟體之後才能正常運作。對此Google也作出了聲明,導入最新的Manifest V3將有助於保護隱私安全,並提升瀏覽器效能。

廣告攔截工具恐無法運作

根據9 To 5 Google網站先前的報導,Google將更新Chrome瀏覽器外掛程式的API,新的Manifest V3 AP在改善Chrome外掛程式權限系統的同時,也將對uBlock Origin和Ghostery等使用Web Request功能廣告攔截工具造成重大影響。

回顧2018年10月,Google宣佈將在Chrome導入多項提升資安的措施,其中包括增加外掛程式權限的選項、禁止直接在網站安裝程式(Inline Installation)、避免誘騙式安裝、 限制外掛程式收集個資,並改善外掛程式的審核流程以及要求開發人員進行兩步驟驗證,在過去1年中Google為防止外掛程式濫用的工程團對擴編了3倍以上的人力,並增加4倍以上人力審核外掛程式。

而其成果就是從2018年初至今,已經降低了89%惡意外掛程式安裝率,並且每月大約阻擋1,800次惡意外掛程式於Chrome線上應用程式商店上架。

然而Chrome團隊也知道單靠人工審核無法識別、阻止所有惡意外掛程式,因此著手更新Manifest V3,透過新的API運作流程提供更強大的防護力,然而這項措施也因為大幅改變惡意外掛程式運作流程,可能讓許多廣告攔截工具失效。

Chrome線上應用程式商店提供許多方便的外掛程式,但也可能讓惡意程式混雜其中。

改善外掛程式收集資料的方式

惡意外掛程式的隱憂之一,就是它們可能有權限能夠存取電子郵件、照片、社群媒體等等內容,因此開發團隊希望提升使用者保護敏感個資的意識,同時仍能保持外掛程式的方便性。

為了兼顧兩者的平衡,開發團隊設想了許多API運作流程,讓外掛程式開發者只能存取最少量且必需的個資,其中1項措施就是導入包含於Manifest V3內的Declarative Net Request API,以替換舊有的Web Request API。

以目前的Web Request API來說,當外掛程式向使用者索取權限時,使用者很可以需要提供存取包括電子郵件、照片、其他個資在內所有資料的權限。然而新的Declarative Net Request API可以在使用者需提供這些權限的前提下運作,並且也能用來過濾、阻擋廣告。

另一方面,由於Declarative Net Request API可以大幅降低瀏覽器運作過程中的效能虛耗,因此對瀏覽器的流暢度與使用體驗也都有正面幫助。

以廣告攔截工具為例,在使用Web Request API的情況下,外掛程式會先向瀏覽器索取權限(可能包含敏感個資),並將廣告過濾後,呈現封鎖廣告的頁面。(圖片來源:Google,下同)

從瀏覽器的角度來看,當使用者點擊連結後,外掛程式會與瀏覽器多次互動後,才會從伺服器下載資料,並繪製為網頁。

改用Declarative Net Request API之後,不需給予外掛程式多餘的權限,而整體的運作效能也更理想。

Declarative Net Request API限制了外掛程式可以取得的權限,並在下載資料後才會先在瀏覽器內處理外掛程式對網頁進行的變動,然後繪製變動後的網頁。

雖然Google出面表示導入Manifest V3的主要動機為提供更安全巧保護隱私的網路環境,而非「封鎖廣告攔截工具」,但廣告是Google的重要業務之一,此舉不免讓人懷疑是提升業績的手段之一,而其真正原因或許只有Google知道。

使用 Facebook 留言

Pon
1.  Pon (發表於 2019年6月18日 15:53)
如果擋廣告套件真有偷偷蒐集個資
Google直接拿出一刀斃命的證據就可以讓這些套件廠商閉嘴

但Google根本不這麼做
口頭說要保護隱私反倒更像是鬼扯淡
k
2.  k (發表於 2019年6月18日 21:07)
「廣告攔截工具恐無法運作」 這句話有點過於聳動,的確此一改變會大幅影響這些工具,會降低其阻擋能力,但擋廣告功能並不會完全無法運作,蘋果的Safari 早就採用類似機制多年,一些插件像是AdGuard 還是可以達到超過九成的阻擋率,不過漏網之魚明顯多於Chrome和Firefox版本
訪客
3.  訪客 (發表於 2019年6月21日 19:30)
網頁顯示的流程大概是...
瀏覽器先下載HTML文件,然後分析HTML文件內的各個標籤,
如果該標籤引用了其他檔案(例如:css、js、jpg、gif ),則根據指定的網址發出下載請求,
等檔案收集齊全(若一定時間內找不到則放棄),瀏覽器再拼湊出完整的網頁。

而攔截廣告的外掛程式,大概可以在瀏覽器分析(或發出下載請求)之前,就修改該HTML文件,
使用刪去、註解或置換的方式,去遮蔽被它認定為「廣告」的標籤,
至於廣告在網頁上的位置,則以「留白」或「後方資料挪前」的方式處理,從而達到不顯示的目的。

但是廣告沒有被下載,伺服器上該廣告計數器的數值就不會增加,廣告商也無法向廣告主收取費用。
所以 Google 修改那個什麼 Web Request API 的運作流程,讓網頁上所有的元素都被下載後,
再讓外掛程式(廣告攔截工具)去決定哪些網頁元素顯示,哪些元素不顥示。
此做法應該可以讓廣告計數器恢復原本「高速運轉」的狀態,但節省下來的網路流量,又全部都加回去了。
(對於有「流量限制」的使用者來說,可能就...><")
訪客
4.  訪客 (發表於 2019年6月21日 19:30)
我相信新的 API 會讓某些惡意外掛程式需要回廠更新,但對於能提升網頁瀏覽的流暢度,
或縮短瀏覽器顯示網頁的時間,則持保留看法。(P.S 目前使用 Firefox 多過 chrome)

謎之音:請問大師,本站有「私密留言」功能嗎?

發表回應

謹慎發言,尊重彼此。按此展開留言規則