信不信由你，Google說明改變Chrome外掛運作模式，不是為了封殺廣告攔截工具

日前Google曾表示將更新Manifest API，並改變Chrome外掛程式的運作模式，這個改變可能會讓阻擋網頁廣告攔截工具等外掛軟體無法運作，或者至少需要在大幅翻新軟體之後才能正常運作。對此Google也作出了聲明，導入最新的Manifest V3將有助於保護隱私安全，並提升瀏覽器效能。

廣告攔截工具恐無法運作

根據9 To 5 Google網站先前的報導，Google將更新Chrome瀏覽器外掛程式的API，新的Manifest V3 AP在改善Chrome外掛程式權限系統的同時，也將對uBlock Origin和Ghostery等使用Web Request功能廣告攔截工具造成重大影響。

回顧2018年10月，Google宣佈將在Chrome導入多項提升資安的措施，其中包括增加外掛程式權限的選項、禁止直接在網站安裝程式（Inline Installation）、避免誘騙式安裝、 限制外掛程式收集個資，並改善外掛程式的審核流程以及要求開發人員進行兩步驟驗證，在過去1年中Google為防止外掛程式濫用的工程團對擴編了3倍以上的人力，並增加4倍以上人力審核外掛程式。

而其成果就是從2018年初至今，已經降低了89％惡意外掛程式安裝率，並且每月大約阻擋1,800次惡意外掛程式於Chrome線上應用程式商店上架。

然而Chrome團隊也知道單靠人工審核無法識別、阻止所有惡意外掛程式，因此著手更新Manifest V3，透過新的API運作流程提供更強大的防護力，然而這項措施也因為大幅改變惡意外掛程式運作流程，可能讓許多廣告攔截工具失效。

▲ Chrome線上應用程式商店提供許多方便的外掛程式，但也可能讓惡意程式混雜其中。

改善外掛程式收集資料的方式

惡意外掛程式的隱憂之一，就是它們可能有權限能夠存取電子郵件、照片、社群媒體等等內容，因此開發團隊希望提升使用者保護敏感個資的意識，同時仍能保持外掛程式的方便性。

為了兼顧兩者的平衡，開發團隊設想了許多API運作流程，讓外掛程式開發者只能存取最少量且必需的個資，其中1項措施就是導入包含於Manifest V3內的Declarative Net Request API，以替換舊有的Web Request API。

以目前的Web Request API來說，當外掛程式向使用者索取權限時，使用者很可以需要提供存取包括電子郵件、照片、其他個資在內所有資料的權限。然而新的Declarative Net Request API可以在使用者需提供這些權限的前提下運作，並且也能用來過濾、阻擋廣告。

另一方面，由於Declarative Net Request API可以大幅降低瀏覽器運作過程中的效能虛耗，因此對瀏覽器的流暢度與使用體驗也都有正面幫助。

▲ 以廣告攔截工具為例，在使用Web Request API的情況下，外掛程式會先向瀏覽器索取權限（可能包含敏感個資），並將廣告過濾後，呈現封鎖廣告的頁面。（圖片來源：Google，下同）

▲ 從瀏覽器的角度來看，當使用者點擊連結後，外掛程式會與瀏覽器多次互動後，才會從伺服器下載資料，並繪製為網頁。

▲ 改用Declarative Net Request API之後，不需給予外掛程式多餘的權限，而整體的運作效能也更理想。

▲ Declarative Net Request API限制了外掛程式可以取得的權限，並在下載資料後才會先在瀏覽器內處理外掛程式對網頁進行的變動，然後繪製變動後的網頁。

雖然Google出面表示導入Manifest V3的主要動機為提供更安全巧保護隱私的網路環境，而非「封鎖廣告攔截工具」，但廣告是Google的重要業務之一，此舉不免讓人懷疑是提升業績的手段之一，而其真正原因或許只有Google知道。