Après les protestations de l'industrie du blocage de publicité, Google procède à des changements de l'API Manifest V3,
qui limite le nombre de règles que les extensions peuvent appliquer à une page Web lors de son chargement

Avec la prochaine version de Chrome, Google va de l'avant avec un plan pour améliorer la confidentialité et la sécurité en limitant certaines capacités des extensions utilisées pour personnaliser le navigateur. Cette décision avait mis en colère certains développeurs qui s'attendaient plus tôt à paralyser les bloqueurs de publicités.

Manifest v3, l'interface de programmation derrière les plans de sécurité de Google, arrivera avec Chrome 88 à la mi-janvier, a annoncé Google mercredi lors du Chrome Dev Summit. Les extensions utilisant l'ancien Manifest v2 fonctionneront toujours pendant au moins un an.

Le mois dernier, Google a indiqué que « Manifest V3 représente l'un des plus grands changements dans la plateforme d'extensions depuis son lancement il y a dix ans. Les extensions utilisant MV3 bénéficieront d'améliorations en matière de sécurité, de confidentialité et de performances; elles peuvent également utiliser des technologies Open Web plus contemporaines adoptées dans MV3, telles que les Services Workers et les Promises. Les développeurs peuvent mettre à jour leurs extensions dès aujourd'hui pour profiter de ces fonctionnalités MV3; cela deviendra obligatoire au fur et à mesure que nous éliminerons MV2 à l'avenir ».

Les extensions peuvent modifier le comportement de Chrome grâce aux capacités que Manifest v3 expose. Entre autres choses, Manifest v3 limite le nombre de « règles » que les extensions peuvent appliquer à une page Web lors de son chargement. Des règles sont utilisées, par exemple, pour vérifier si un élément de site Web provient du serveur d'un annonceur et doit donc être bloqué. Google a annoncé les changements il y a deux ans.

La réduction du nombre de règles a déclenché la colère d'éditeurs d'extensions comme le bloqueur de publicités uBlock Origin et le bloqueur de suivi Ghostery. Ils ont déclaré que les limites des règles empêcheraient leurs extensions d'exécuter leurs listes complètes d'actions pour filtrer les publicités ou bloquer le suivi. Cela pourrait permettre aux sites Web de contourner les extensions - et les préférences des personnes qui les ont installées.

Google a défendu sa technologie et fait valoir que le fait d'accorder trop de liberté aux extensions invite à l'abus. L'entreprise affirme avoir écouté les développeurs et modifié Manifest v3 en réponse. Par exemple, Google a assoupli la limite de règles initialement proposée et ajouté un nouveau mécanisme pour appliquer certaines règles. Eyeo, le développeur de l'une des extensions Adblock Plus largement utilisées, a déclaré qu'il était satisfait de l'approche Manifest V3 de Google.

Les changements soulignent à quel point il peut être difficile pour Google d'équilibrer le fait de donner aux développeurs des outils puissants et de lutter contre les abus. L'équilibre est particulièrement difficile à trouver étant donné que Chrome est l'une des plus grandes plateformes de l'industrie technologique. Plus d'un milliard de personnes utilisent le navigateur, a déclaré Google, et il représente environ 64 % de l'utilisation du Web, selon la société d'analyse StatCounter.

AdGuard, Ghostery mécontent de Manifest V3

Le changement induit par Manifest V3 va s'étendre à tous les navigateurs, au détriment des logiciels de blocage des publicités, a estimé Andrey Meshkov, cofondateur et directeur de la technologie d'AdGuard, une extension de blocage des publicités.

« La principale victime du Manifest V3 est l'innovation », a déclaré Meshkov dans un communiqué. Auparavant, les développeurs de bloqueurs de publicités exploraient des idées telles que l'utilisation de la technologie d'intelligence artificielle (IA) pour améliorer leurs produits. « Ce n'est plus si pertinent. Maintenant, Chrome, Safari et Edge dictent ce qui peut ou ne peut pas être bloqué et comment cela doit être fait ».

Ghostery travaille à la mise à jour de son extension pour Manifest V3, mais préfère passer son temps sur de « vraies innovations en matière de confidentialité », a déclaré mercredi le président Jeremy Tillman dans un communiqué. « Nous doutons toujours que ces changements aient plus à voir avec la protection de ses résultats par Google que dans l'amélioration de la sécurité des utilisateurs de Chrome ».

Google a intégré les commentaires des développeurs de bloqueurs de publicités AdGuard et EasyList, a déclaré la société, et Meshkov a crédité l'équipe des extensions Chrome pour son « désir de l'améliorer ».

Nom : adblock.png
Affichages : 8562
Taille : 17,2 Ko

Manifest V3 maintenant disponible sur M88 Beta

Avec des centaines de millions de personnes utilisant plus de 250 000 articles dans le Chrome Web Store, les extensions sont devenues essentielles pour que nous soyons nombreux à utiliser le Web et à travailler en ligne. Google pense que les extensions doivent être fiables par défaut, «  c'est pourquoi nous avons passé cette année à rendre les extensions plus sûres pour tous ».

« Aujourd'hui, nous annonçons officiellement le déploiement prévu de Manifest V3 pour les extensions Chrome, une nouvelle version de la plateforme d'extensions qui rend les extensions plus sûres, plus performantes et plus privées par défaut ».

Aussi, la nouvelle API Manifest V3 est déjà disponible dans le cadre de Chrome Beta 88, et Google commencera à accepter les extensions V3 une fois que Chrome 88 atteindra la branche stable à la mi-janvier. Il n'y a pas encore de date d'arrêt pour les extensions V2, mais Google indique que « les développeurs peuvent s'attendre à ce que la période de migration dure au moins un an à partir du moment où Manifest V3 arrive dans le canal stable ».

Sécurité

Avec l'introduction de Manifest V3, Google va interdire le code hébergé à distance. Ce mécanisme est utilisé comme vecteur d'attaque par des acteurs malveillants pour contourner les outils de détection de logiciels malveillants de Google et pose un risque important pour la confidentialité et la sécurité des utilisateurs.

La suppression du code hébergé à distance permettra également à Google d'examiner plus en détail et plus rapidement les soumissions au Chrome Web Store. Les développeurs pourront ensuite publier plus rapidement des mises à jour pour leurs utilisateurs.

Au sein de l'équipe des extensions, Google pense qu'une expérience Chrome et une expérience d'extensions dignes de confiance sont non seulement idéales pour les utilisateurs, mais également essentielles pour les développeurs. L'éditeur est persuadé qu'à long terme, Manifest V3 aidera l'écosystème des extensions à continuer d'être un lieu de confiance.

Nom : declaratif.png
Affichages : 3892
Taille : 10,1 Ko

Performance

« Nous savons que les performances sont essentielles à une excellente expérience utilisateur, et lorsque nous avons commencé à travailler sur la troisième itération de notre plateforme d'extension, les performances étaient une considération fondamentale. Deux domaines où cela s'est manifesté sont notre approche de la logique d'arrière-plan et de la conception d'API.

« Tout d'abord, nous introduisons des Services Workers en remplacement des pages d'arrière-plan. Contrairement aux pages d'arrière-plan persistantes, qui restent actives en arrière-plan et consomment des ressources système, que l'extension les utilise ou non activement, les Services Workers sont éphémères. Cette particularité permet à Chrome de réduire l'utilisation globale des ressources système, car le navigateur peut démarrer et supprimer les Services Workers selon les besoins.

« Deuxièmement, nous passons à un modèle plus déclaratif pour les API d'extension en général. En plus des avantages de sécurité, cela offre une garantie de performance plus fiable pour l'utilisateur final à tous les niveaux en éliminant le besoin de sérialisation et de communication interprocessus. Le résultat final est une meilleure performance globale et des garanties de confidentialité améliorées pour la grande majorité des utilisateurs d'extensions ».

Vie privée

« Pour donner aux utilisateurs une plus grande visibilité et un meilleur contrôle sur la façon dont les extensions utilisent et partagent leurs données, nous passons à un modèle d'extensions qui rend plus d'autorisations facultatives et permet aux utilisateurs de refuser des autorisations sensibles au moment de l'installation. À long terme, les développeurs d'extensions doivent s'attendre à ce que les utilisateurs acceptent ou refusent les autorisations à tout moment.

« Pour les extensions qui nécessitent actuellement un accès passif à l'activité Web, nous introduisons et continuons à itérer sur de nouvelles fonctionnalités qui permettent aux développeurs de fournir ces cas d'utilisation tout en préservant la confidentialité des utilisateurs. Par exemple, notre nouvelle API declarativeNetRequest est conçue pour être une méthode de préservation de la confidentialité pour les extensions afin de bloquer les requêtes réseau sans avoir besoin d'accéder à des données sensibles.

« L'API declarativeNetRequest est un exemple de la façon dont Chrome travaille pour permettre aux extensions, y compris les bloqueurs de publicité, de continuer à fournir leurs fonctionnalités de base sans exiger que l'extension ait accès à des données utilisateur potentiellement sensibles. Cela permettra à de nombreuses extensions puissantes de notre écosystème de continuer à offrir une expérience utilisateur transparente tout en respectant la vie privée des utilisateurs ».

Nom : microsoft.png
Affichages : 4052
Taille : 13,8 Ko

Microsoft a déclaré qu'il va adopter Manifest v3

L'importance des choix de l'équipe Chrome est amplifiée par le fait que d'autres navigateurs, notamment Microsoft Edge, Vivaldi, Opera et Brave, reposent sur sa base open source Chromium. Aussi, Microsoft a déjà déclaré qu'il va adopter également Manifest v3.

« Dans le prolongement de notre engagement à réduire la fragmentation du Web pour tous les développeurs et à créer une meilleure compatibilité Web pour nos clients, nous prévoyons de prendre en charge l'API DeclarativeNetRequest et d'autres changements proposés dans le cadre de Manifest V3.

« La décision d'adopter les changements de Manifest V3 est basée sur notre engagement à améliorer la confidentialité, la sécurité et les performances au profit de nos utilisateurs finaux ainsi que de permettre aux développeurs d'étendre et de fournir des expériences riches dans Microsoft Edge ».

Dans un billet de blog publié en octobre, Microsoft a indiqué : « après un examen approfondi des préoccupations soulevées par les bloqueurs de contenu et la communauté, nous pensons qu'une majorité de ces préoccupations ont été résolues ou le seront », a déclaré Microsoft dans un article de blog d'octobre. « Nous reconnaissons la valeur des extensions de blocage de contenu et apprécions le rôle qu'elles jouent pour honorer le choix de l'utilisateur. »

Un autre changement de Manifest v3 est que les extensions ne peuvent plus mettre à jour leurs capacités en téléchargeant du code à partir de sites tiers. L'extension entière doit maintenant être distribuée via le Chrome Web Store, selon Google il s'agit d'une mesure qui va améliorer d'un cran la sécurité et accélérer les examens.

Manifest v3 devrait à terme donner aux utilisateurs de Chrome une meilleure idée de la manière dont les extensions utilisent leurs données et fournir plus de contrôle sur la façon dont cela se produit, a déclaré Google.

Sources : blog Chromium, Manifest V3, Microsoft