Pembuat pemblokir iklan dan ekstensi privasi browser khawatir kiamat sudah dekat

Pembuat pemblokir iklan dan ekstensi privasi browser khawatir kiamat sudah dekat

Tujuh bulan dari sekarang, dengan asumsi semuanya berjalan sesuai rencana, Google Chrome akan menghentikan dukungan untuk platform ekstensi lawasnya, yang dikenal sebagai Manifest v2 (Mv2). Ini penting jika Anda menggunakan ekstensi browser untuk, misalnya, menyaring jenis konten tertentu dan menjaga privasi Anda.

Toko Web Chrome Google seharusnya berhenti menerima pengiriman ekstensi Mv2 sekitar bulan ini. Mulai Januari 2023, Chrome akan berhenti menjalankan ekstensi yang dibuat menggunakan Mv2, dengan pengecualian terbatas untuk Chrome versi perusahaan yang beroperasi berdasarkan kebijakan perusahaan. Dan pada Juni 2023, bahkan Chrome versi perusahaan akan mencegah ekstensi Mv2 berjalan.

Hasil yang diantisipasi akan menjadi lebih sedikit ekstensi dan lebih sedikit inovasi, menurut beberapa pengembang ekstensi.

Ekstensi browser seperti Ghostery Privacy Ad Blocker, uBlock Origin, dan Privacy Badger, bersama dengan ekstensi skrip termasuk TamperMonkey, yang masing-masing dirancang untuk memblokir iklan dan konten lain dan/atau melindungi privasi seseorang secara online, diharapkan berfungsi kurang efektif, jika ekstensi tersebut bahkan dapat melakukan transisi dari Mv2 ke pendekatan baru: Manifest v3.

Manifest v3 membatasi kemampuan ekstensi tertentu dan memotong potensi inovasi

“Jika Anda bertanya kepada saya apakah kami dapat memiliki versi Manifest v3 dari Privacy Badger, jawaban saya adalah ya, kami bisa dan kami akan melakukannya,” kata Alexei Miagkov, staf teknologi senior di Electronic Frontier Foundation, dalam sebuah wawancara telepon dengan The Register. “Tapi masalahnya lebih berbahaya. Manifest v3 membatasi kemampuan ekstensi tertentu dan memotong potensi inovasi.”

Google berpendapat sebaliknya dan mempertahankan renovasi platformnya akan memenuhi kebutuhan pengembang, termasuk yang membuat alat untuk pemblokiran konten dan privasi. Raksasa internet, yang menolak mengomentari catatan tersebut, menyatakan bahwa Mv3 bertujuan untuk meningkatkan privasi dengan membatasi akses ekstensi ke data sensitif dan telah bekerja dengan pengembang ekstensi untuk menyeimbangkan kebutuhan mereka dengan pengguna.

Google menunjuk pada dukungan sebelumnya, seperti pernyataan yang diberikan oleh Sofia Lindberg, pimpinan teknologi ad amelioration biz Eyeo, yang membuat Adblock Plus. “Kami sangat senang dengan kolaborasi erat yang terjalin antara Tim Ekstensi Chrome Google dan tim teknik kami sendiri untuk memastikan bahwa ekstensi pemblokiran iklan akan tetap tersedia setelah Manifest v3 berlaku.”
Permainan angka

Perkiraan jumlah ekstensi browser di Toko Web Chrome pada dua tahun lalu berkisar antara sekitar 156.000 dan 190.000. Hari ini, angka itu dikatakan hampir 114.000. Membandingkan angka-angka ini tidak mudah – Google tidak mempublikasikan data penyimpanan sehingga pihak ketiga merancang metode penghitungan mereka sendiri.

Sekitar dua lusin ekstensi Chrome memiliki lebih dari 10 juta pengguna, tetapi sebagian besar (sekitar 87 persen) memiliki kurang dari 1.000 pemasangan pada 2019, menurut Extension Monitor, layanan yang sekarang tidak berfungsi. Ketidaktertarikan Google pada metrik Toko Web Chrome mungkin ada hubungannya dengan tidak menjadi pusat laba seperti Apple App Store atau Google Play – yang dirayakan oleh Apple dan Google untuk menghasilkan pendapatan mereka. Ketika Google menghentikan API pembayaran Toko Web Chrome pada September 2020, hanya sekitar sembilan persen dari ekstensi yang dibayar atau diimplementasikan pembelian dalam aplikasi.

Menurut Chrome Stats, ekstensi Chrome paling populer memblokir iklan di Google dan YouTube, menjadikannya semacam lubang pemasukan.

Google mulai mengerjakan Manifest v3, penerus Mv2, pada akhir 2018, seolah-olah membuat ekstensi lebih aman, berkinerja, dan pribadi. Renovasi platform ekstensi perusahaan diperlukan – karena masalah keamanan ekstensi merajalela – dan langsung kontroversial. Perusahaan iklan yang membuat klaim keamanan yang, secara kebetulan, menghalangi konten yang disebarkan pengguna dan pertahanan privasi terlihat seperti kepentingan pribadi.

Dan Mv3 tetap menjadi bahan perdebatan yang sedang berlangsung karena kemampuan platform ekstensi dan API terus dikembangkan. Tapi itu telah diadopsi, dengan beberapa peringatan, oleh pembuat browser lain, termasuk Apple dan Mozilla. Pembuat browser berbasis Chromium mewarisi Mv3 dan Microsoft telah mendukung spesifikasi baru.

Lainnya membangun di atas Chromium seperti Brave, Opera, dan Vivaldi telah menunjukkan minat untuk terus mendukung Mv2, meskipun tidak jelas apakah itu akan praktis setelah Juni tahun depan. Jika Google menghapus kode Mv2 dari Chromium, mempertahankan kode di garpu Chromium terpisah mungkin terbukti terlalu merepotkan.

Perubahan yang paling banyak dicatat di Mv3 – dan ada banyak yang memiliki implikasi signifikan – adalah penghapusan versi pemblokiran dari webRequest API, yang digantikan oleh API yang disebut declarativeNetRequest.

Google menegaskan perubahan itu bukan tentang menghalangi pemblokir konten.

Ada banyak kebingungan dan kesalahpahaman seputar motivasi dan implikasi dari perubahan ini, termasuk spekulasi bahwa perubahan ini dirancang untuk mencegah atau melemahkan pemblokir iklan

“Ada banyak kebingungan dan kesalahpahaman seputar motivasi dan implikasi dari perubahan ini, termasuk spekulasi bahwa perubahan ini dirancang untuk mencegah atau melemahkan pemblokir iklan,” kata Simeon Vincent, advokat pengembang Chrome, dalam posting blog 2019. “Ini sama sekali bukan tujuannya. Sebenarnya, perubahan ini dimaksudkan untuk memberi pengembang cara membuat pemblokir iklan yang lebih aman dan berkinerja lebih baik.”
Permintaan, dan lebih banyak permintaan

Versi pemblokiran webRequest API memungkinkan ekstensi untuk melihat semua data dalam permintaan jaringan sebelum dikirim – dan mungkin memblokir atau mengubahnya – dan untuk melihat semua data dalam respons jaringan – dan mungkin memblokir atau mengubahnya – sebelum merendernya ke halaman web.

Mengingat bahwa sandi dan informasi akun dapat disadap dengan cara ini, API webRequest dapat dengan mudah disalahgunakan oleh ekstensi yang buruk. Menurut Vincent, pada Januari 2018, 42 persen ekstensi berbahaya mengeksploitasi webRequest API.

API declarativeNetRequest bekerja secara berbeda, menerapkan aturan – dideklarasikan sebelumnya atau, dalam jumlah terbatas, saat runtime – yang mengambil tindakan saat mereka melihat permintaan jaringan tertentu. Hasilnya adalah pengembang ekstensi memiliki API yang kurang mampu tetapi lebih aman sehubungan dengan penyadapan permintaan jaringan.

Diminta untuk mengutip Mv3 API yang membuat pemblokiran iklan dan ekstensi privasi lebih efektif, Google menunjuk declarativeNetRequest sebagai lebih berperforma dan lebih aman daripada webRequest.

Mozilla tahun lalu mengatakan sebaliknya dalam posting blog yang membahas Mv3: “Kami akan mendukung pemblokiran webRequest sampai ada solusi yang lebih baik yang mencakup semua kasus penggunaan yang kami anggap penting, karena DNR [declarativeNetRequest] seperti yang saat ini diterapkan oleh Chrome belum memenuhi kebutuhan pengembang ekstensi.”

Raymond Hill, pencipta uBlock Origin, Desember lalu menawarkan penilaian negatif yang sama terhadap declarativeNetRequest:

Contoh bahwa declarativeNetRequest (“DNR”) API merupakan penghambat inovasi dalam pemblokir konten.

Dalam diskusi dengan daftar filter mai

ntainers, tahun lalu saya menerapkan fitur baru, kemampuan untuk menggunakan “entitas” di domain= opsi.[1] API DNR mendukung opsi domain=, tetapi tidak mendukung “entitas”, yang merupakan kemampuan untuk menggunakan karakter pengganti sebagai pengganti TLD yang efektif, untuk menghindari daftar semua domain milik entitas.[2]

Saya dapat menghitung lebih dari 420 filter saat ini di filterset default yang menggunakan fitur ini, jelas merupakan keuntungan bagi pengelola daftar filter. Filter ini tidak akan ada lagi di pemblokir berbasis DNR.

Masalah intinya adalah tutupnya inovasi, yang merupakan kunci agar pemblokir konten tetap dapat diandalkan. Jika DNR API telah dirancang pada tahun 2014 sesuai dengan persyaratan saat itu, pemblokir konten akan sangat diperlengkapi untuk menangani lanskap saat ini dengan baik. API DNR seperti yang dirancang sekarang tidak hanya [untuk] mengatur kembali pemblokir konten, tetapi [untuk] mengutuk pemblokir konten untuk mandek dalam hal inovasi.

Pendekatan Google terhadap kinerja dan keamanan dalam konteks ini – mensterilkan webRequest API – bukanlah satu-satunya pilihan. Pengembang aplikasi asli, aplikasi web, dan pustaka perangkat lunak/SDK yang bermaksud jahat dapat menyalahgunakan kepercayaan orang dengan sama baiknya tanpa webRequest API – menggunakan JavaScript untuk mengambil data formulir sebelum pengiriman, misalnya.

Keamanan aplikasi untuk platform lain umumnya melibatkan analisis kode untuk melihat fungsinya, daripada menolak akses ke API. Tetapi Google membuat keputusan untuk membatasi API daripada memperkuat tinjauan dan penegakan kode Toko Web Chrome.
Hantu di dalam mesin

Dalam sebuah wawancara dengan The Register, Jean-Paul Schmetz, CEO Ghostery, menjelaskan bagaimana ekstensi browser perusahaannya telah menggunakan webRequest untuk menonaktifkan pelacakan Facebook.

“Ketika Facebook meluncurkan tombol Suka – itu pada dasarnya adalah gambar dari logo Facebook,” kata Schmetz. “Dan sebagian dari permintaan [jaringan] itu tidak berbahaya. Itu hanya ID halaman dari halaman tempat permintaan itu ditempatkan. Dan separuh lainnya dari permintaan itu adalah ID pengguna yang sama sekali tidak berbahaya karena pada dasarnya memberi Facebook ping yang Anda sedang melihat halaman tertentu, yang dapat membantu mereka melakukan banyak hal penargetan.”

“Dan apa yang kami lakukan adalah menjaga bagian permintaan yang tidak berbahaya, tetapi menghapus atau memodifikasi bagian yang berbahaya darinya,” katanya. “Yang memungkinkan pengguna untuk tetap memiliki tombol Suka terlihat dan jika Anda mengkliknya, itu akan berfungsi seperti yang diharapkan, kecuali bahwa Facebook tidak akan dapat melacak semua yang Anda baca di web. Dan itu pasti sesuatu yang terjadi. untuk pergi dengan Manifest v3, kemampuan untuk mengubah permintaan saat meninggalkan browser.”

Schmetz dan pengembang ekstensi lainnya telah mengamati bahwa ekstensi dulu sangat penting untuk adopsi browser, tetapi sekarang menjadi kurang penting karena Google memiliki apa yang dia gambarkan sebagai monopoli.

Salah satu konsekuensi dari Chromium menjadi browser monopoli, dan Firefox akan ditiadakan, adalah ekstensi tidak memainkan peran yang biasa mereka mainkan

“Salah satu konsekuensi dari Chromium menjadi browser monopoli, dan Firefox akan dihapus, adalah ekstensi tidak memainkan peran yang biasa mereka mainkan, “Sebelumnya, Anda tahu, orang akan berpindah dari Chrome ke Firefox jika ekstensi tidak tersedia. Dan itu berhenti terjadi.

“Saya pikir ekstensi pada dasarnya dilihat oleh browser – kecuali anehnya, untuk Safari saat ini – sebagai semacam kejahatan yang setengah perlu. Padahal sebelumnya – saya tidak tahu apakah Anda ingat hari-hari itu – tetapi pada dasarnya, Chrome adalah berjuang untuk menerapkan ekstensi pada satu titik dan tahu bahwa jika mereka tidak memiliki ekstensi, mereka tidak akan pernah bisa bersaing dengan Firefox.

“Jadi ekstensilah yang benar-benar mendorong kreativitas ekosistem browser. Dan sayangnya, dengan monopoli infrastruktur browser, hal ini menjadi berkurang. Dan saya pikir ini adalah masalah besar karena memperluas browser adalah satu-satunya cara untuk pastikan browser monopolistik tidak menghentikan semuanya. Sepertinya kamu masih bisa menyesuaikannya, kan?”

Schmetz mengatakan ekstensi dulu mampu mengubah cara kerja browser secara mendasar dan sekarang, karena kebijakan Google, ekstensi hanya diizinkan untuk melakukan satu hal.

Wladimir Palant, yang mengembangkan ekstensi Adblock Plus yang menjadi dasar bagi Eyeo, bisnis iklan yang dapat diterima yang ia dirikan bersama, juga menyebutkan cara ekstensi telah beralih dari pembuat raja menjadi pemohon.

“Secara historis, ekstensi browser telah menjadi faktor utama di balik adopsi Firefox,” kata Palant. “Saya tidak mengatakan bahwa kebanyakan orang beralih ke Firefox karena ekstensi. Tetapi ekstensibilitasnya membuat Firefox sangat menarik bagi pengguna yang kuat dan pengguna awal. Dan ini adalah orang-orang yang cenderung membawa keluarga dan teman mereka karena mereka memainkan dukungan TI untuk mereka semua.

“Namun, ekstensi memerlukan biaya. Ekstensi mengancam keamanan dan stabilitas browser, dan merupakan beban pemeliharaan yang besar. Jadi, kami telah melihat Chrome menjadi sukses dengan kompromi yang sama sekali berbeda: gagasan ekstensi mereka jauh lebih sedikit.

s dari Mozilla, dengan ekstensi yang sangat terbatas dalam apa yang bisa mereka lakukan. Tapi itu memungkinkan mereka untuk mengirimkan produk yang lebih stabil dan berinovasi lebih cepat, yang pada akhirnya membuat Firefox mengadopsi model ekstensi yang sama.”

Palant mengatakan sekarang bahwa ekstensibilitas tidak lagi menjadi faktor penentu dalam adopsi browser, Chrome mampu membuat perubahan dengan risiko kehilangan pengguna yang lebih kecil.

“webRequest adalah pilihan yang jelas untuk dipotong, itu menjadi fitur yang diterapkan cukup terlambat karena pengguna Chrome terus menuntut pemblokir iklan yang mumpuni,” katanya. “Saya ragu pengembang Chrome pernah senang dengannya, karena kinerjanya yang buruk.”

Palant mengatakan Mv3 memerlukan berbagai perubahan yang dimaksudkan untuk meningkatkan keamanan dan memperbaiki keputusan buruk yang dibuat selama tahap awal pengembangan Chrome.

“Masalah utama di sini adalah melanggar kompatibilitas ke belakang secara tiba-tiba,” katanya. “Banyak ekstensi tidak akan membuat lompatan. Tetapi kehilangan bahkan setengah dari ekstensi mereka adalah sesuatu yang Google mampu sekarang. Pengguna tidak akan lagi berpindah browser karena ekstensi.”

Miagkov dari EFF melihat prioritas Google terhadap iklan online sebagai sumber masalah Chrome.

Segala sesuatu yang terjadi di Chrome setidaknya diwarnai oleh prioritas yang didorong oleh iklan

“Chrome, browser, milik perusahaan periklanan,” katanya. “Dan saya pikir ini adalah masalah besar. Segala sesuatu yang terjadi di Chrome setidaknya diwarnai oleh prioritas yang didorong oleh iklan.”

Dan bukan hanya Manifest v3 tetapi juga berbagai inisiatif Privacy Sandbox dan spesifikasi web yang berdekatan yang mencerminkan agenda ini. Misalnya, Google telah mengusulkan standar web yang disebut WebBundles yang menurut saingannya seperti Brave akan membantu situs web menghindari pemblokiran konten. Teknologi ini telah diperdebatkan selama beberapa tahun tetapi masalah privasi yang diangkat tetap tidak terjawab.

“Google tidak ingin membayangkan web yang berbeda,” kata Miagkov. “Google tidak ingin membayangkan sebuah web di mana pelacakan pribadi nonconsensual dilarang, titik, seperti Anda tidak bisa melakukannya. Ketika Anda melihat Manifest v3, dalam konteks semua hal lain yang terjadi, maka menjadi jauh lebih jelas bahwa itu sama sekali tidak didorong oleh apa yang penting bagi pengembang ekstensi dan akibatnya, pengguna ekstensi. Ini didorong oleh prioritas Google perusahaan.”

Itu akan baik-baik saja jika Chrome adalah salah satu opsi di antara banyak opsi, kata Miagkov, tetapi Chrome memiliki monopoli di desktop di mana ekstensi paling relevan. Menurut gugatan antimonopoli [PDF] Departemen Kehakiman AS 2020 terhadap Google, “Di Amerika Serikat, Google Chrome adalah peramban komputer terkemuka, dengan hampir 60 persen pangsa pasar,” dan “lebih dari 85 persen dari semua penggunaan peramban di Amerika Serikat terjadi di browser Chrome milik Google atau [browser lain yang memiliki perjanjian bagi hasil dengan Google].”
Tindakan dan konsekuensi

Salah satu konsekuensi dari dominasi itu adalah jika Chrome gagal memperbaiki jalan penyalahgunaan privasi yang diketahui, maka sejumlah besar pengguna tidak terlindungi. Itulah yang terjadi dengan penyelubungan CNAME, cara penerbit dapat mendelegasikan kontrol subdomain ke perusahaan pihak ketiga untuk mengaktifkan pelacakan pengunjung web. Sementara browser lain seperti Brave, Firefox, dan Safari telah menerapkan pertahanan, Chrome telah membiarkan masalah tersebut tidak terselesaikan selama dua tahun terakhir.

Ada harapan Juni lalu bahwa pembentukan W3C WebExtensions Community Group (WECG), di mana pembuat browser dan pihak berkepentingan lainnya dapat mendiskusikan masa depan ekstensi dapat mengubah dinamika Google yang menyatakan perubahan teknis sebelum keterlibatan komunitas. Tapi menurut Miagkov, itu belum terjadi.

“Saya pikir grup W3C memiliki potensi besar,” katanya. “Ini sudah membantu pengembang ekstensi didengar sedikit, karena ada pertemuan dua mingguan di mana siapa pun dapat datang dan berbicara tentang masalah apa yang mereka miliki.

“Namun, apa yang saya lihat – dan saya menghadiri setiap pertemuan selama beberapa bulan terakhir – saya belum melihat satu pun tanda bahwa Google mengubah apa pun, termasuk pendekatannya terhadap masukan – dari grup atau dari orang lain.”

Google menegaskan telah memasukkan perubahan ke dalam Chrome sebagai hasil dari umpan balik pengembang dari WECG dan mengatakan diskusi WECG telah mempengaruhi desain proposal Dokumen Offscreen Chrome dan telah membantu diskusi lintas vendor tentang ekstensi browser. Menurut Google, obrolan ini telah mencakup topik termasuk mengizinkan ekstensi untuk:

Deklarasikan izin host opsional dengan bidang optional_host_permissions di manifest.json
Deklarasikan kebijakan keamanan konten khusus yang memungkinkan ekstensi menggunakan WebAssembly
Tentukan apakah skrip konten harus dijalankan di dunia terisolasi ekstensi atau di dunia laman
Buka popup mereka sendiri menggunakan action.openPopup() (saat ini dalam pengembangan)

Google juga telah membuat perubahan lain dalam menanggapi umpan balik pengembang, seperti meningkatkan jumlah aturan statis yang dapat diterapkan menggunakan declarativeNetRequest menjadi minimal 30.000, pengenalan aturan sesi, dan aturan regex, antara lain. Selain itu, Goo

glers telah membuat perubahan pada API lain, seperti scripting.executeScript, dan memperkenalkan storage.session untuk service worker. Dan The Register memahami bahwa para insinyur Google bermaksud untuk terus melakukannya.

Schmetz berpendapat bahwa perubahan platform ekstensi Google membuat browser lebih menjadi saluran bagi penerbit daripada alat yang melayani pengguna internet.

“Browser secara teknis disebut agen pengguna,” kata Schmetz. “Dan dengan [membuat ekstensi kurang mampu], saya pikir Anda membuatnya kurang sebagai agen pengguna dan Anda membuatnya lebih seperti agen halaman atau agen penerbit. Atau agen produsen browser.”

Schmetz melihat klaim keamanan Google sebagai kedok untuk apa yang mereka lakukan.

“Jelas bahwa platform yang kuat seperti ekstensi telah menciptakan beberapa aktor jahat yang telah menggunakan ekstensi untuk melakukan hal-hal buruk. Jadi Google selalu dapat berkata, ‘Kami membuat pengguna kami lebih aman.’ Tapi, tahukah Anda, di balik semua itu, itu juga berarti bahwa browser bukan lagi agen pengguna.”

Malware Windows menggunakan PowerShell untuk menyuntikkan ekstensi Chrome berbahaya
Kembalinya Gopher: Layanan hypertext pra-web masih ada
Safari melumpuhkan pasar seluler, dan kami bahkan tidak pernah menyadarinya
Mozilla membuka pengujian untuk ekstensi Manifest v3 di Firefox
Microsoft mundur karena kurangnya pilihan browser Windows yang mudah
Firefox memperkenalkan pembersihan cookie, pencetakan bebas kekacauan, sistem masuk tunggal Microsoft… jadi di mana semua pengguna?

Schmetz mengharapkan Ghostery akan berhasil mengadaptasi ekstensinya tetapi khawatir tentang apa yang akan terjadi selanjutnya.

“Saya pikir satu-satunya hal yang tidak dapat kami lakukan di masa depan adalah modifikasi permintaan ini,” katanya. “Saya pikir membuat pelacakan terlihat akan terus menjadi mungkin. Sekali lagi, kami tidak tahu persis seperti apa bentuk Manifest v3 pada akhirnya, tetapi tampaknya baik-baik saja pada saat ini bagi kami. Tetapi kami khawatir tentang Manifest v4 .”

Ghostery telah melindungi taruhannya dengan memiliki browser sendiri, berdasarkan Firefox, di mana ia dapat terus menawarkan alat privasinya jika tidak dapat dipertahankan di dalam Chrome. Namun dilihat dari tren browser terkini, Chrome terus mempertahankan dominasi pasarnya.

Schmetz percaya bahwa sangat penting bagi orang untuk terus memiliki akses ke alat anti-pelacakan yang efektif, terutama untuk memblokir skrip sidik jari.

“Kami pasti melihat banyak sidik jari terjadi,” katanya, mencatat bahwa industri iklan telah bergerak melampaui pelacakan berbasis cookie.

“Pada dasarnya skrip ini mencoba membuat angka yang unik untuk Anda dan sedang ditransfer dalam permintaan. Mereka tidak disimpan di mesin Anda, tetapi dibuat dengan prediksi setiap kali Anda mengunjungi situs web. … Sangat penting untuk memiliki alat yang dapat memblokir itu karena jika tidak, Anda akan dilacak dengan benar. Tidak ada cara untuk menghindarinya.

Komputer