分析Google は水曜日、拡張機能がウェブ広告やその他のコンテンツをフィルタリングする方法を変更する予定の Chrome の進行中のアップデートを擁護した。
米国のIT大手は、まだ不透明なブラウザ拡張機能API改訂版「Manifest v3」は広告ブロッカーを廃止するものではなく、より安全になると主張したが、広告ブロック拡張機能が具体的に脅威となる証拠は示さなかった。
もちろん、広告ブロッカーは身近な問題、つまりGoogleの収益に脅威を与えています。これはGoogle自身の財務報告書にも記されています。オンライン広告大手であるGoogleは、広告ブロック拡張機能を収益リスクと捉えているのは正しいものの、セキュリティリスクであるとは断言できません。実際、これらの拡張機能は、悪質な広告によって読み込まれる悪質なJavaScriptコードをブロックすることで防御できます。
代わりに、Googleの拡張機能チームは、強力なAPIの一つ、特にコンテンツフィルタリング機能がwebRequest、セキュリティとプライバシーに関する潜在的な問題を引き起こす可能性があるという、より一般的な主張を展開しています。このインターフェースは、ブロッカーがページコンテンツへのリクエストを検査し、不要なコンテンツをリアルタイムで排除するために使用されています。
しかし、プラグインがユーザーをスパイしたりページデータを改ざんしたりするのを防ぐために、この API は将来、あなたや私のような拡張機能では使用できないようにすることが提案されています。
しかし、Google は、「企業のソフトウェア スイートと Chrome の間に緊密な統合が存在する可能性があるため」、この機能を企業管理の拡張機能として認める予定です。
Google は、Chrome を使用する企業の管理者は独自のセキュリティ決定を下せると信頼できるのに、Chrome を使用する一般ユーザーは信頼できない理由を説明していません。
Chrome 拡張機能チームの Devlin Cronin 氏と Chrome 拡張機能の開発者アドボケートの Simeon Vincent 氏は、1 つではなく 2 つのブログ投稿で、当初提案された Manifest v3 では、コンテンツ ブロッキング拡張機能などが著しく阻害されるという報道 ( El Reg 氏が何らかの関係がある可能性あり) に反論しました。
「この変更の動機と影響については、多くの混乱と誤解が生じています。例えば、これらの変更は広告ブロッカーを阻止したり、弱体化させたりするために設計されたという憶測も含まれています」とヴィンセント氏は述べている。「これは決して目的ではありません。実際、この変更は開発者がより安全でパフォーマンスの高い広告ブロッカーを開発するための手段を提供することを目的としているのです。」
Googleは広告ブロッカーの取り締まりをやや緩和 – 有料の企業向けChromeユーザー向けだが、それ以外のユーザー向けはそれほどでもない
続きを読む
安全性に関する議論には、少なくとも、2 月の調査で反論され、1 月に uBlock Origin の開発者である Raymond Hill 氏によって否定されたパフォーマンスに関する主張よりは、ある程度のメリットがあります。「パフォーマンスとプライバシーの問題は、uBO ではなく Web サイトにあります。そのため、declarativeNetRequestよりも を使用することの利点として挙げられているプライバシーと効率の問題については、私は懸念していませんwebRequest。」 (declarativeNetRequestは の意図された置き換えですwebRequest。)
主な摩擦の原因は、APIの変更案ですwebRequest。これらの変更案は、拡張機能をより制限が多く安全なAPIへと誘導し、WebリクエストAPIdeclarativeNetRequestから遠ざけようとしています。webRequest確かに、WebリクエストAPIの力はwebRequest悪用される可能性があり、ヴィンセント氏は実際に悪用されたと主張しています。「2018年1月以降、悪質な拡張機能の42%がWebリクエストAPIを使用しています」と彼は述べています。
Googleの目標は広告ブロッカーの安全性を高めることであるため、The RegisterはGoogleに対し、実際に広告ブロッカーが悪用されているかどうかを尋ねたwebRequest。回答は得られていない。
実際にそうした拡張機能がいくつか存在しても不思議ではありません。広告ブロッカーを謳う多くの拡張機能は、広告のホワイトリスト化によって収益を得ており、信頼できるブラウザアドオンと寄生的なアドオンを見分けるのは困難です。しかし、事実として、現在、あらゆる拡張機能がwebRequestユーザーの許可を得て、その信頼を悪用することが可能です。
だからこそ、拡張機能全般をより安全にできると言っても過言ではありません。Googleは、その実現に向けて投資を行っています。クロニン氏によれば、「拡張機能の悪用に対処するエンジニアリングチームの規模は300%以上、レビュアーの数も400%以上増加しました」とのことです。
その結果、2018 年以降、悪質な拡張機能のインストール率が 89% 減少しました。
Chromeウェブストアは現在、月に約1,800件の悪質な拡張機能のアップロードをブロックしています。しかし、クロニン氏によると、審査プロセスではすべての不正行為を検出できないため、プラットフォームの変更とManifest v3の形での制限が必要だとのことです。
多くの Chrome 拡張機能開発者はセキュリティ強化を歓迎していますが、Google がセキュリティ問題に対処する方法を喜んではいません。
