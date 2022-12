Zkraje nového roku měla začít do Chromu postupně pronikat jedna z nejdůležitějších novinek v jeho historii. Google na ní pracuje už několik let a stejně dlouhou dobu ji kritizují i některé organizace a zástup vývojářů.

Řeč je o nových pravidlech pro doplňky Manifest V3 (MV3). Stručně řečeno, jedná se o třetí generaci specifikace, podle které budou vývojáři psát rozšíření pro Chrome, no a povyk způsobila hlavně proto, že oproti stávající verzi V2 zakáže nebo alespoň omezí některé oblíbené techniky.

Dnem D měl být rok 2023, ale teď je vše jinak

MV3 měl podle oficiální časové osy během příštího roku postupně nahradit stávající MV2, takže od června bychom v Chromu nenainstalovali žádný doplněk podle staré normy a v lednu 2024 by všechny doplňky MV2 definitivně zmizely také z katalogu Chrome Web Store.



Google pozastavil harmonogram zavádění Manifest V3

Google však v předvečer přechodu vše pozastavil a zatím neoznámil nové termíny. Simeon Vincent, expert na doplňky, pouze suše oznámil, že dostal za pět minut dvanáct hromadu negativní zpětné vazby a programátoři kvůli hromadě technologických komplikací nestíhají převést rozšíření na novou generaci manifestu.

Manifest V3 nejspíše pořádně promaže katalog

No dobrá, ale proč tedy Manifest V3 budí takové emoce? Velká revoluce má hned několik rovin. Zaprvé, bude to nejspíše opravdu nebývalý úklid. Kdo nestihne upravit svůj doplněk pro novou specifikaci V3, ten prostě z katalogu nadobro zmizí.



Kdo neupraví doplněk na specifikaci MV3, ten zmizí z katalogu

V Chrome Web Storu je přitom hromada zajímavých rozšíření, která nadále fungují i v nejnovějších verzích prohlížeče, jejich autoři je ale prostě už nadále nevylepšují. Ostatně, sami to jistě znáte i z katalogů aplikací pro mobilní platformy.

I mě nedávno zachránil prehistorický prográmek, který sice vypadal, že na něj autor nesáhl tak od roku 2010, ale fungoval i na mém Androidu 13 a je dodnes jediný svého druhu v celém Storu.

Manifest V3 má omezit příliš velkou moc

Na stranu druhou, technologický posun vpřed je nutný a Google sám obhajuje nástup MV3 a ukončení podpory specifikace MV2 jako nutný krok, který výrazně zvýší zabezpečení a omezí tvorbu doplňků, které provádějí to, co nemají – třeba bez vašeho vědomí v lepším případě jen těží nějaké ty kryptoměny, anebo vás odposlouchávají.

V3 přináší celý soubor nových pravidel, k těm nejdůležitějším ale patří:

Doplněk nesmí stahovat jakýkoliv externí kód

Doplněk musí veškerou práci na pozadí provádět pomocí technologie service worker

Doplněk musí při filtrování HTTP požadavků používat novou technologii declarativeNetRequest

Pojďme si ty body výše a jejich potenciální dopady vysvětlit optikou běžného surfaře na internetu.

Žádné stahování kódu i JS knihoven

První pravidlo asi netřeba nijak košatě komentovat. Doplněk může používat jen ten programový kód, který je pevně danou součástí jeho balení a ne že si po instalaci stáhne něco vlastního, co nelze před jeho publikací v katalogu adekvátně zkontrolovat.



Zakázaným externím kódem je i stahování JS knihoven z oblíbených veřejných úložišť

Doplněk nebude moci za běhu stahovat ani kód javascriptových knihoven z věrohodných serverů – i ty musejí být striktně součástí balení – a za externí zdroj Google považuje i spouštění kódu pomocí funkce eval, která dokáže za běhu interpretovat Javascript z prostého textu.

K čemu je to dobré? Napříště bychom se neměli obávat toho, že z katalogu nainstalujeme doplněk, který po aktivací stáhne další programový kód, ten spustí a provede nějakou lumpárnu, o které jsme původně neměli tušení. Některé doplňky tuto cestu používají i jako alternativní způsob vlastní aktualizace, aniž by použily standardní cestu skrze Chrome Web Store.

Omezený běh kódu na pozadí

Druhé pravidlo je už ale jedním z důvodů odložení ukončení podpory pro V2, na Google se totiž snesla vlna kritiky od vývojářů, podle kterých současný běh kódu na pozadí umožňuje mnohem více možností, které service worker nenabízí, anebo je řešení zbytečně komplikované.

Na stranu druhou, podle Googlu je to v pořádku, kód běžící na pozadí je totiž opět určitým potenciálním nebezpečím pro uživatele a případně i baterii jejich laptopů, takže vše, co běží na pozadí, musí mít nějakou štábní kulturu.

K čemu je to dobré? Google chce zajistit lepší štábní kulturu pro běžící procesy doplňků na pozadí. Je to podobné jako s politikou služeb na pozadí na Androidu. Služby na telefonu si spouštějí aplikace, které skrze ně zůstanou „naživu,“ i když spustíte nějaký jiný program. Díky tomu může sportovní aplikace stále zaznamenávat polohu, i když si zároveň v prohlížeči čtete Živě.cz apod. Aplikace je sice uspaná, ale její služba běží dál. Podobné služby ale mají přísnější podmínky provozu, protože díky setrvalému běhu mohou vybít baterii, zatěžovat procesor a tak podobně. Teď to chce Google pomocí service workers více sjednotit i v případě doplňků pro Chrome.

Novinka, která zkomplikuje život slídilům i blokátorům reklam

Ze všech nejdůležitější je ale až třetí pravidlo, jenž může mít velmi zajímavé dopady na trh s doplňky, které dnes filtrují webový obsah. Ano, správně, týká se to i rozšíření, která některé HTTP požadavky blokují na základě vlastních blacklistů – tedy blokátorů reklam.



Úvodní stránka Googlu vypadá na první pohled prostě, ale ve skutečnosti se skládá z 46 HTTP požadavků (requestů) na různé webové servery. Doplněk může všechny tyto požadavky sledovat a filtrovat

Vývojář doplňku měl doposud prakticky absolutní přístup k tomu, co se snaží stáhnout webová stránka v okně prohlížeče. Doplněk mohl fungovat jako MITM (Man In The Middle) – prostředník, který se teprve rozhodl, jestli takový HTTP požadavek pustí dál, anebo zahodí.

Namísto muže uprostřed deklarativní filtry

Přesně tento přímočarý přístup mohl používat jak blokovač reklam, tak nějaké jiné rozšíření, které mohlo podrobně auditovat, co přesně na stránce děláme. Googlu se to ale nelíbí, a tak jej chce v Manifestu V3 nahradit již zmíněnou technikou declarativeNetRequest.

Namísto toho, aby doplněk sám auditoval (anebo také odposlouchával) HTTP požadavek za HTTP požadavkem, vývojář bude muset dopředu stanovit pravidla, jak má prohlížeč reagovat na konkrétní požadavky – třeba že má zahodit HTTP GET požadavek:

https://nějakýošklivýweb.cz/skript_který_děsně_zpomaluje_načítání.js

Čili vývojář může stále vytvořit blacklist, který doplněk předá prohlížeči, ale ztrácí kontrolu nad vším ostatním, což jistě zkomplikuje život mnoha specifickým rozšířením, kde si je uživatel takového odposlechu vědomý, nicméně podle Googlu stejně tak existuje zástup rozšíření, které stejné funkce divoce zneužívají, sledují naši aktivitu a tak podobně.

Příklad deklarace filtru v JSON, který zablokuje všechny požadavky skriptů pocházejících z můjweb.cz na jakoukoliv adresu URL, která obsahuje řetězec nějakýošklivýweb.cz:

{ "id" : 1, "priority": 1, "action" : { "type" : "block" }, "condition" : { "urlFilter" : "nějakýošklivýweb.cz", "domains" : ["můjweb.cz"], "resourceTypes" : ["script"] } }

Druhou nesnází oproti současnému stavu je pak to, že seznam omezujících pravidel pro nový declarativeNetRequest má množstevní limity, takže jej nelze použít pro některé extrémně dlouhé blacklisty blokovačů reklam. Budou muset najít jiný způsob.

K čemu je to dobré? Omezení velmi širokého přístupu doplňků k aktivitě na stránce má zajistit vyšší bezpečnost a soukromí uživatele a omezit odposlech. Doplňky mohou i nadále filtrovat HTTP požadavky, ale neměly by je podle nového principu sledovat. Musejí dopředu jasně sdělit (deklarovat), co chtějí blokovat, no a o zbytek se postará prohlížeč.

Manifest V3 je zrádný a hrozivý, píše EFF

No, a to už na řadu nastupují zmíněné lidskoprávní organizace – třeba Electronics Frontier Foundation –, která se už na sklonku loňského roku nechala slyšet, že je chystaný Manifest V3 zrádný a hrozivý.

EFF kritizuje Google hlavně za to, že namísto toho, aby lépe auditoval chování skutečně škodlivých doplňků ve svém katalogu, jak to prý dělá Firefox, raději omezí technologii jako takovou.



Nová pravidla pro doplňky Chromu mohou omezit blokátory reklam, což je podle EFF střet zájmů, protože Google reklama zároveň živí

EEF si nakonec všímá i potenciálního střetu zájmů, Google je totiž nejen výrobce Chromu, ale také největší prodejce reklamního prostoru na internetu.

Pokud tedy bude vedlejším efektem zavedení MV3 nutnost zcela přepsat doplňky, které blokují reklamu (pokud to v jejich současné podobě bude vůbec možné), bude to pro něj jistě dobrá zpráva. A ruku na srdce, i pro webové vydavatele.

Všimne si toho všeho běžný Franta uživatel?

Google sice pozastavil přechod na novou specifikací doplňků a slibuje, že upravený harmonogram představí až v březnu příštího roku, nicméně se nezdá, že by byly důvodem právě tyto obecné obavy, ale opravdu jen pomalejší migrace ze strany vývojářů.



Používám naprosté minimum doplňků, změnu tedy nijak nepocítím. A kolik rozšíření máte vy? Hlasujte v anketě níže

Chce jim prostě dát jen více času, ovšem nehodlá rušit to, na čem pracuje už roky. Manifest V3 tedy dříve či později přijde. Jak tuto změnu skutečně zaregistrují běžní uživatelé, ale zůstává otázkou.

Nejviditelnějším dopadem bude nakonec dost možná opravdu jen to, že se pročistí katalog rozšíření a zmizí z něj ty nejstarší aplikace, které dnes jejich vývojáři už dále nevyvíjejí.

A ano, zmizí i hromada těch opravdu kontroverzních doplňků na hraně šedé zóny a malwaru.