Des extensions du navigateur Chrome, telles que les bloqueurs de publicité et autres outils de protection de la vie privée, cesseront de fonctionner l'année prochaine si elles dépendent d'une API appelée Manifest v2 (MV2).
Jusqu'à présent, lorsque ces extensions sont réécrites pour fonctionner avec la nouvelle API Manifest v3 (MV3) de Chrome, on a tendance à se retrouver avec des logiciels bridés qui fonctionnent moins bien.
La date butoir pour MV2 est janvier 2023, bien qu'elle puisse être utilisée jusqu'en juin via une politique d'entreprise.
Google a commencé à travailler sur une API révisée, à savoir MV3, pour les extensions de navigateur Chromium en 2018 pour faire face à ce qu'il a qualifié de conséquences sur la sécurité, la vie privée et les performances de son architecture d'extension MV2. Dans l'esprit de Google, les bloqueurs de publicité et les extensions similaires, sous le régime MV2, ont trop de contrôle et d'accès aux pages qui sont ouvertes dans le navigateur. Si l'une de ces extensions est malveillante, elle peut recueillir toutes sortes de données sensibles vous concernant à partir de ces pages lorsque vous les visitez.
La nouvelle version, MV3, est débarrassée de ses capacités puissantes mais potentiellement exploitables, telles que la possibilité d'intercepter et de réécrire les requêtes des pages - une arme utile pour les extensions qui cherchent à préserver votre vie privée et votre sécurité en bloquant les requêtes vers des éléments indésirables, tels que les traqueurs, les logiciels malveillants et les publicités.
Les développeurs qui maintiennent ou créent des extensions destinées à protéger la vie privée et à bloquer le contenu ont constaté qu'ils devaient repenser la manière dont leur code pourrait fonctionner dans le cadre des nouvelles règles et de l'API, si tant est que cela soit possible. Depuis que MV3 a commencé à voir le jour - il s'agit toujours d'une échéance incertaine - les développeurs et les groupes de défense de la vie privée ont prévenu que l'effort manifeste de Google pour promouvoir la vie privée (en limitant l'accès aux données et en appliquant des permissions) finira par nuire aux extensions qui favorisent la vie privée.
Aujourd'hui, deux expériences récentes menées par des créateurs d'extensions de blocage de contenu très populaires ont confirmé que MV3 représente une régression plutôt qu'une avancée en termes de possibilités offertes aux extensions de navigateur.
Raymond Hill, le créateur de uBlock Origin, l'une des extensions de confidentialité les plus réputées, a publié mardi le code source d'une version expérimentale qui repose sur MV3. Dans ce qui peut être interprété comme une indication de son jugement, il appelle cette variante "uBO Minus".
uBO Minus s'appuie sur l'API déclarativeNetRequest de MV3 pour bloquer le contenu. Cette fonction remplace l'API webRequest de MV2, qui permet à un gestionnaire d'événements JavaScript de modifier les requêtes réseau et qui a été le principal mécanisme d'interception du contenu réseau indésirable.
Comme l'explique Hill dans son texte de lancement, son extension utilise declarativeNetRequest pour se conformer à l'objectif déclaré de Google pour MV3 de ne pas exiger la large permission "lire/modifier les données". Cette approche évite de présenter à l'utilisateur de l'extension un avertissement d'installation indiquant que le code installé peut "Lire et modifier toutes vos données sur tous les sites Web" - ce qui peut sembler effrayant mais qui correspond généralement à ce que vous souhaitez lorsque vous utilisez un module complémentaire qui nettoie toutes les pages Web que vous visitez.
Mais cette approche "sans permission" signifie que l'extension ne peut pas effectuer les opérations prises en charge par uBlock Origin, telles que l'injection de JavaScript personnalisé ou le filtrage des redirections, des directives CSP (content security policy), des paramètres d'URL et des éléments cosmétiques de la page.
La conclusion de Hill est que l'adhésion à la vision du géant de la publicité donne une extension de blocage de contenu de qualité inférieure. Il écrit : "À ce stade, je considère que le fait d'être sans permission est le facteur limitatif : si une large permission de 'lecture/modification des données' doit être utilisée, alors il n'y a pas beaucoup d'intérêt pour une version MV3 par rapport à MV2, utilisez simplement la version MV2 si vous voulez bénéficier de toutes les fonctionnalités qui ne peuvent pas être mises en œuvre sans une large permission de 'lecture/modification des données'."
Ce conseil ne sera plus valable à partir de janvier, lorsque les extensions basées sur Manifest v2 cesseront de fonctionner dans Chrome. Ce sera probablement le cas pour Microsoft Edge, qui a adopté MV3. Apple Safari a introduit la prise en charge de MV3 dans la version 15.4 et, bien qu'Apple n'ait pas indiqué si elle avait l'intention d'abandonner la prise en charge de MV2, elle a supprimé l'API WebRequest bloquante il y a plusieurs années. Des entreprises comme Brave et Mozilla ont déclaré qu'elles prévoyaient de continuer à prendre en charge MV2, même si cela nécessitera certaines ressources. Brave, par exemple, devra lancer sa propre boutique d'extensions car le Chrome Web Store ne sera pas une option.
Dmitriy Seregin, d'AdGuard, s'est montré un peu plus optimiste dans sa description des efforts déployés par son entreprise pour créer AdGuard AdBlocker MV3 Experimental.
Bien que MV3 ait forcé les fabricants d'extensions à s'appuyer sur des règles déclaratives (définies à l'avance) plutôt que dynamiques (générées à la volée), Seregin suggère néanmoins qu'AdGuard y parviendra.
"Bien que l'extension expérimentale ne soit pas aussi efficace que son prédécesseur, la plupart des utilisateurs ne sentiront pas la différence", a déclaré Seregin dans un billet de blog il y a un peu plus d'une semaine. "La seule chose que vous pourriez remarquer est le clignotement des publicités en raison du décalage dans l'application des règles cosmétiques."
L'avenir du blocage de contenu dans les navigateurs Web ressemble beaucoup à la façon dont il a été décrit par Alexei Miagkov et Bennet Cyphers de l'EFF en décembre dernier. Ils ont écrit : "Sous le manifeste V2, les extensions sont traitées comme des applications de première classe avec leur propre environnement d'exécution persistant. Mais sous la V3, elles sont traitées comme des accessoires, dotées de privilèges limités et uniquement autorisées à s'exécuter de manière réactive."
source :
https://www.theregister.com/2022/09/08/ad_blockers_chrome_manifest_v3/