Déjà 3 ans que Google a annoncé des changements majeurs au sein du Manifest – un document au sein duquel l’entreprise donne des détails sur les capacités des extensions pour son navigateur. Une version 3 est en cours de gestation et les débats à son propos sont plutôt houleux. L'Electronic Frontier Foundation fait une nouvelle sortie sur le sujet pour préciser à nouveau quel est son avis : « la version 3 du manifeste d'extensions est trompeuse et constitue une menace. »« La version 3 du manifeste d'extensions est carrément nuisible aux efforts de protection de la vie privée. Elle limitera les capacités des extensions web, en particulier celles qui sont conçues pour surveiller, modifier et calculer en parallèle la conversation que le navigateur entretient avec les sites web que vous visitez. Dans le cadre des nouvelles spécifications, les extensions de ce type - comme certains bloqueurs de suivi de protection de la vie privée - verront leurs capacités considérablement réduites. Les efforts de Google pour limiter cet accès sont préoccupants, surtout si l'on considère que des traceurs sont installés sur 75 % du million de sites Web les plus visités », indique l'organisation.
Le problème en toile de fond est celui de la mise en touche de l'API web Request au profit de l’API declarativeNetRequest. L'API web Request originale interrompt le chargement d'une page pendant la scrutation de son contenu pour rechercher des annonces ou d'autres contenus susceptibles de faire l'objet de blocage ou de modification par l'extension.
L’API declarativeNetRequest fonctionne sur une approche différente. Au lieu que l'extension basée sur cette dernière arrête les requêtes web et inspecte la totalité du contenu, cette dernière établit des règles que le navigateur lit et applique à chaque page web avant son chargement. Avec cette nouvelle API, les extensions ne reçoivent jamais les données d'une page et le navigateur n'apporte toutes les modifications à une page que lorsqu'une ou plusieurs règles déclarées sont respectées. De cette façon, toutes les données sensibles qui peuvent être incluses dans une page (e-mails, photos, mots de passe, etc.) restent au niveau du navigateur et ne sont jamais transmises aux extensions. D'après Google, la nouvelle API est meilleure en termes de confidentialité, mais aussi de vitesse, car le code hautement optimisé de Chrome gère tout le filtrage des requêtes web au lieu de laisser cette opération au code JavaScript d'une extension.
La crainte mise en avant par les développeurs : la nouvelle API risque d’empêcher leurs extensions d’inspecter les pages web avec la même efficacité. Google de son côté souligne que l’ancienne API était une source d’abus. « Avec web Request, Chrome envoie toutes les données d'une requête réseau à l'extension d'écoute - y compris toutes les données sensibles contenues dans cette requête, comme les photos personnelles ou les e-mails », précise Google à propos du risque en matière de vie privée. « Comme toutes les données d'une requête sont exposées à l'extension, il est très facile pour un développeur malveillant d'en abuser pour avoir accès aux informations d'identification, aux comptes ou aux informations personnelles d'un utilisateur », ajoute l’entreprise.
Jusqu'à ce que la version 2 du manifeste d'extensions soit mise au rebut de façon totale, Google va travailler à amener le nouveau manifeste à la parité de fonctionnalités avec l'ancienne version et à répondre aux demandes formulées par les développeurs.
« Dans les mois à venir, nous lancerons également la prise en charge des scripts de contenu configurables dynamiquement et une option de stockage en mémoire, parmi d'autres nouvelles fonctionnalités. Ces changements ont été élaborés en tenant compte des commentaires de la communauté, et nous continuerons à construire des fonctionnalités d'API d'extension plus puissantes à mesure que les développeurs partageront plus d'informations sur leurs défis de migration et leurs besoins commerciaux. La société prévoit également de partager des informations supplémentaires sur la façon dont ces changements entrants affecteront les utilisateurs et les développeurs d'extensions.», indique Google.
Source : EFF
Et vous ?
Qu’en pensez-vous ? Quel commentaire faites-vous de l’approche avec l’API declarativeNetRequest ? Les débats autour de Chrome peuvent-il permettre à Firefox d'émerger encore plus ?Voir aussi :
La part de marché de Firefox augmente pour la deuxième fois consécutive en 2 mois. Le navigateur libre pourrait-il survivre auprès de Chrome ? C'est officiel, Microsoft Edge sera désormais basé sur Chromium et enfin disponible sur Windows 7, Windows 8 et d'autres plateformes comme macOS Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ? Comme Microsoft Edge, Brave adopte à son tour Chromium avec Brave 0.57 et assure que la nouvelle version de son navigateur est plus rapide de 22 %