Navigateur Chromium : des changements annoncés dans l'API pourrait désactiver une panoplie d'autres extensions
Et pas seulement uBlock Origin

Le , par Patrick Ruiz

121PARTAGES

13  0 
La nouvelle est tombée à la fin du mois de janvier 2019 : L'équipe de développement de Chromium – la version open source de Google Chrome – est lancée sur certaines modifications de la plateforme d'extensions du navigateur. La dernière mise à jour de la version 3 du draft du Manifest remonte à novembre 2018 et l’auteur de l’extension uBlock Origin dédiée au blocage de publicités était l’un des premiers à s’exprimer sur la question.

Citation Envoyé par Raymond Hill
Si cette API déclarativeNetRequest (assez limitée) finit par être le seul moyen pour les bloqueurs de contenu d'accomplir leur tâche, cela signifie essentiellement que deux bloqueurs de contenu que j'ai maintenus pendant des années, uBlock Origin ("uBO" et uMatrix, ne peuvent plus exister.
Son propos faisait suite à la publication de Google qui précisait que « dans la version 3 du Manifest, nous allons nous efforcer à limiter la version bloquante de l’API webRequest, ce, en procédant à une potentielle suppression des options de blocage de la plupart des événements.L’implémentation non bloquante de l’API qui permet aux extensions d’observer les requêtes, mais pas de les modifier, rediriger ou bloquer (et donc n’empêche pas Chrome de poursuivre avec le traitement de la requête) ne sera pas modifiée. Comme alternative, nous prévoyons de fournir l’API declarativeNetRequest. »

Faisant suite à la sortie de Raymond Hill, d’autres développeurs d’extensions sont montés au créneau pour livrer leurs inquiétudes. De façon brossée, il faudra noter que la liste des bloqueurs de publicités s’allonge. En sus, il faudra compter avec des addons pour les produits antivirus, le renforcement du contrôle parental et divers services de gestion de la vie privée.

Citation Envoyé par AdGuard

Je suis un autre développeur de bloqueur de publicité (AdGuard) et de notre point de vue, le changement proposé sera encore plus invalidant pour tous les bloqueurs publicitaires que ce qui a été fait par Apple quand ils ont introduit leur API déclarative de blocage de contenu.
Citation Envoyé par Jouni Korte – développeur chez F-Secure
Je voudrais également soulever une préoccupation à ce sujet. En plus du blocage des publicités, cela semble affecter également des logiciels de sécurité qui s'appuient sur les capacités d'une extension à bloquer de façon dynamique du trafic https considéré comme malveillant ou nuisible pour l'utilisateur. Cela inclut les pages diffusant des n’importe quel maliciel, mais aussi, par exemple, les fonctions de contrôle parental, c'est-à-dire la protection de l'utilisateur (enfant) contre les contenus catégorisés comme nuisibles ou non désirés pour ce dernier.
Citation Envoyé par Claudio Garnieri
Je voudrais également me faire l'écho de ce que Jouni vient de dire. Je pense que ces changements empêcheront de nombreuses extensions de sécurité de fonctionner correctement. Amnesty International a également travaillé sur l'extension de son navigateur pour aider les communautés à risque à se protéger contre les attaques ciblées. En outre, je me fais également l'écho des préoccupations exprimées par Daniel Glazman, en particulier les dommages potentiels aux progrès réalisés en matière de compatibilité entre navigateurs.
Citation Envoyé par Stefano Traverso – CTO Ermes Security
Je voudrais faire remarquer que les API de blocage de contenu ont un certain nombre d'applications qui vont bien au-delà du blocage des publicités. Nous les utilisons pour des raisons de sécurité, par exemple pour empêcher le navigateur de contacter des URLs associées à l'activité de phishing ou utilisées pour diffuser des logiciels malveillants.
Deux points nous préoccupent particulièrement :
1) la limite de la règle des 30 000 filtres. En effet, certaines listes anti-hameçonnage peuvent contenir à elles seules des millions d'entrées.
2) l'impossibilité de mettre à jour la liste de blocage de contenu en temps réel entraîne des retards qui sont intolérables dans les normes de sécurité actuelles. Les nouvelles règles doivent être fournies aux extensions dès qu'elles sont définies.Enfin, je voudrais vous demander d'expliquer en détail comment les utilisateurs bénéficieraient de ce changement sur le plan de la sécurité. Au-delà des limites les plus strictes semblent dictées par des motivations de performance qui, comme nous le savons tous, ne se combinent pas bien avec les politiques de sécurité.
Enfin, Giorgio Maone, l’éditeur de l'additif NoScript pour Firefox, a également fait remarquer que si cette nouvelle API est déployée, il ne sera pas en mesure de sortir la version Chrome de NoScript sur laquelle il travaille depuis plus d'un an. Le module complémentaire NoScript Firefox a une réputation mythique parmi les professionnels de la sécurité et beaucoup demandent une version Chrome à Maone depuis des années.

Les discussions entre développeurs, utilisateurs finals et l’équipe de développement de Chromium battent leur plein sur la liste de diffusion dans le contexte de l’annonce de la disponibilité (dès juillet 2019) pour tous les utilisateurs de Chrome du bloqueur de publicité fait maison de la firme de Mountain View. Andrew Meyer de l’équipe de développement de Chromium a réagi et sa sortie laisse penser que les futurs développements à ce sujet pourraient aller dans le sens de satisfaire les développeurs.

Citation Envoyé par Andrew Meyer

Ce changement N'EST PAS destiné à estropier les bloqueurs de publicité. Il est plutôt conçu pour les rendre plus rapides et plus sûrs, ce, même en dépit des limitations qui pourraient avoir un impact sur uBlock. La nouvelle API de blocage de contenu proposée n'est pas finale et peut (ou sera) modifiée.
Sources : Dev AdGuard, Korte, Garnieri, Traverso

Et vous ?

Qu’en pensez-vous ?

Peut-on y voir une tentative de Google de mettre son propre bloqueur de pubs en avant ?

Voir aussi :

C'est officiel, Microsoft Edge sera désormais basé sur Chromium et enfin disponible sur Windows 7, Windows 8 et d'autres plateformes comme macOS

Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ?

Comme Microsoft Edge, Brave adopte à son tour Chromium avec Brave 0.57 et assure que la nouvelle version de son navigateur est plus rapide de 22%

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de CaptainDangeax
Membre confirmé https://www.developpez.com
Le 04/02/2019 à 10:58
/ME se dit qu'il va devoir se pencher sur la configuration de DNSMASQ pour bloquer les sites pourvoyeurs de publicité.
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 04/02/2019 à 11:25
c'est pour cela qu'il faut absolument éviter la domination d'un seul moteur, fût-il open source. Sans alternative crédible comme c'est encore le cas avec Firefox, ils ne se priveront pas de faire ce qu'ils veulent. Il est évident que les bloqueurs publicitaires sont dans le collimateur de Google puisque c'est son gagne pain
Avatar de xarkam
Membre confirmé https://www.developpez.com
Le 04/02/2019 à 12:33
Citation Envoyé par herr_wann Voir le message
c'est pour cela qu'il faut absolument éviter la domination d'un seul moteur, fût-il open source. Sans alternative crédible comme c'est encore le cas avec Firefox, ils ne se priveront pas de faire ce qu'ils veulent. Il est évident que les bloqueurs publicitaires sont dans le collimateur de Google puisque c'est son gagne pain
Encore une fois, la preuve de l’incompréhension de l'opensource.

Le moteur de firefox n'a aucune plus value. Il n'apporte rien.
Lorsque Chrome est apparu, Mozilla ne l'a pas pris au sérieux. Ben oui, car après tout, c'est un navigateur du méchant Google.
Et même au fil des ans, lorsque Chrome montait, chez Mozilla, on est resté son gros cul bien au chaud dans son fauteuil.

2019, la part de Firefox à fondu comme neige au soleil, nous avons Chromium/blink utilisé dans plein d'autres browser (brawe, vivaldi, ect...), nous avons plein d'application en electronjs (atom, vscode, slack, discord, wordpress, et la liste est longue).

Tout ce laïus pour dire une chose, si la direction prise ne convient plus, au vu du travail colossal de re-coder des browser sur le moteur de Mozilla, de voir si il serait possible de faire pareil qu'Electronjs mais avec quantum, le plus simple est de créer un groupe de travail qui ferait un fork de chromium pour aller dans la direction qui convient à tout le monde.

Chez les libristes, il manque un mot dans le dictionnaire qui à son importance, c'est "consensus".

C'est d’ailleurs pour cette raison qu'il existe moult fork de distrib qui parfois ne changent que le thème, ou encore moult fork de projets par ce que "ouin ouin, on à pas voulu intégrer ma ligne de code".

Tout n'est pas tout blanc ou tout noir. Avec des projets qui impacte aussi fort notre écosystème informatique, on se situe plutôt dans le gris.

Qu'on ne vienne pas me dire, qu'il est impossible de créer un groupe de travail pour forker chromium. L'affaire avec openoffice nous à bien montré le contraire quant bien même ce dernier à la domination sur toute les distribution linux et que cela ne choque personne.
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 04/02/2019 à 13:37
Un fork est toujours possible mais cela prend du temps. Aujourd'hui, celui qui n'est pas satisfait des choix effectués par Google pour Chromium peut changer en quelques minutes. S'il faut attendre des semaines voire des mois qu'un concurrent s'organise, l'impact est bien différent.
Avatar de melka one
Membre éprouvé https://www.developpez.com
Le 04/02/2019 à 14:08
il faut ce rappelé qu'a la base chrome a utilisées les norme définit pas le w3c pour être construit et maintenant ils veulent se substitué a eux, et il faut aussi ce rappelé que c'est le fait d'utiliser un moteur différent du navigateur IE qui a l'époque était a peut près dans la mème position que chrome actuelement et noublions pas aussi mozilla qui rapelons le était le seule navigateur a promouvoir le html5 et c'est donc dans ce contexte (et la pub sans parlé des c'est bizarre j'ai chrome d’installé) que chrome a percé et c'est imposé.

et puis dans l'ensemble des navigateurs qui supporte webkit a moins que ce soit blink blink le fork du coup je sais plus aucuns n'est exactement pareil

mais du coup chrome === chromium ou non
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 04/02/2019 à 15:54
Citation Envoyé par CaptainDangeax Voir le message
/ME se dit qu'il va devoir se pencher sur la configuration de DNSMASQ pour bloquer les sites pourvoyeurs de publicité.
C'est malheureusement loin d'être suffisant pour filtrer tous les contenus publicitaires et de tracage qui sont de plus en plus ingénieux.

Citation Envoyé par CaptainDangeax Voir le message
Le moteur de firefox n'a aucune plus value. Il n'apporte rien.
Lorsque Chrome est apparu, Mozilla ne l'a pas pris au sérieux. Ben oui, car après tout, c'est un navigateur du méchant Google.
Au contraire, il me semble que Mozilla a immédiatement senti la menace, c'est juste ils ne pouvaient pas cracher publiquement sur Google qui était leur principale source d'argent.
Mozilla savait bien que Google a de très gros moyens en termes de développeurs, de puissance marketing, et surtout un très gros intérêt à maitriser le développement du web. Ça n'est pas pour rien qu'ils ont cherché autant que possible de se rendre indépendant de Google, quitte risquer de désorienter certains utilisateurs (sponsoring, Firefox OS, ...).

Citation Envoyé par CaptainDangeax Voir le message
Qu'on ne vienne pas me dire, qu'il est impossible de créer un groupe de travail pour forker chromium. L'affaire avec openoffice nous à bien montré le contraire quant bien même ce dernier à la domination sur toute les distribution linux et que cela ne choque personne.
Je crois que tu n'as pas idée de la différence en terme de complexité entre un navigateur moderne et LibreOffice. Forker Chromium est faisable. le maintenir à niveau nécessiterait énormément de travail. Il faudrait monter une équipe dédiée, complexe a financer...

Et pour quoi faire, à part disperser comme tu t'en plaint, alors que Mozilla est déjà là pour fournir une alternative ?
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 18/02/2019 à 1:36
Extensions Chrome : Google pourrait renoncer aux modifications annoncées
une analyse révèle que des extensions sont conformes au Manifest V3

Google l’avait annoncé depuis la fin de l’année dernière qu’en début de cette année, une nouvelle version du manifeste des extensions Chrome sera disponible, le Manifest V3. La firme indiquait que le Manifest v3 entraînerait des changements supplémentaires sur la plateforme, visant à renforcer la sécurité, la confidentialité et les garanties de performance. « Nous voulons aider tous les développeurs à œuvrer pour le succès. Écrire une extension sécurisée et performante dans Manifest v3 devrait être facile, tandis que l'écriture d'une extension non sécurisée ou non performante devrait être difficile », avait-elle annoncé dans un billet de blogue en octobre 2018. Certains objectifs clés du Manifeste V3 incluaient :

  • des API déclaratives de portée plus restreinte, pour réduire le besoin d'un accès trop large et permettre une implémentation plus performante du navigateur, tout en préservant des fonctionnalités importantes ;
  • des mécanismes supplémentaires plus simples permettant aux utilisateurs de contrôler les autorisations accordées aux extensions ;
  • un modernisme pour s'aligner sur les nouvelles capacités Web, par exemple en supportant Service Workers comme nouveau type de processus d'arrière-plan.

Depuis la mise jour de ce manifeste, les bruits ne cessent de courir. Beaucoup de développeurs d’extensions semblent être contre quelques points clés évoqués par Google dans son Manifest v3. Plusieurs parmi ces derniers soulignent le fait que les changements au sein des API notamment l’API WebRequest pourrait désactiver une panoplie extensions de la plateforme d’extensions de Chrome. « Si cette API declarativeNetRequest (assez limitée) finit par être le seul moyen pour les bloqueurs de contenu d'accomplir leur tâche, cela signifie essentiellement que, deux bloqueurs de contenu que j'ai maintenus pendant des années, uBlock Origin ("uBO" et uMatrix, ne peuvent plus exister », avait écrit Raymond Hill, développeur de l’extension uBlock Origin en début de ce mois.

Ses propos faisaient suite à la publication de Google qui précisait que « dans la version 3 du manifeste, nous allons nous forcer à limiter la version bloquante de l’API webRequest en procédant à une potentielle suppression des options de blocage de la plupart des événements. L’implémentation non bloquante de l’API qui permet aux extensions d’observer les requêtes, mais pas de les modifier, rediriger ou bloquer (et donc, n’empêche pas Chrome de poursuivre avec le traitement de la requête) ne sera pas modifiée. Comme alternative, nous prévoyons de fournir l’API declarativeNetRequest ». Beaucoup d’autres avis contre ce changement se sont fait entendre, la plupart des développeurs d’extensions.

À ce jour, les discussions entre développeurs, utilisateurs finaux et l’équipe de développement de Chromium battent le plein sur la liste de diffusion dans le contexte de l’annonce de la disponibilité (dès juillet 2019) pour tous les utilisateurs de Chrome du bloqueur de publicité fait maison de la firme de Mountain View. Andrew Meyer de l’équipe de développement de Chromium a réagi et sa sortie laisse penser que les futurs développements à ce sujet pourraient aller dans le sens de satisfaire les développeurs. « Ce changement n'est pas destiné à estropier les bloqueurs de publicité. Il est plutôt conçu pour les rendre plus rapides et plus sûrs même en dépit des limitations qui pourraient avoir un impact sur uBlock. La nouvelle API de blocage de contenu proposée n'est pas finale et peut (ou sera) modifiée », s’est justifié Andrew Meyer.

Ainsi, c'est pour faire la lumière sur ces différentes incompréhensions entre l’équipe de développement de Google Chrome et les développeurs d’extensions que la firme a procédé à ce qu’elle appelle une analyse de performance des extensions les plus populaires du Chrome Store avec la nouvelle version du manifeste. Elle dit alors avoir fait trois remarques importantes selon lesquelles les bloqueurs de contenu populaires sont très efficaces avec un temps de décision médian inférieur à une milliseconde par demande ; les allégations de performance manifeste v3 ne sont pas valables d’après certaines mesures et, pour finir, l’adblocker utilisé par Cliqz et Ghostery fonctionne toujours aussi bien, voire mieux que les autres bloqueurs de contenu populaires.


L’étude de Google, faisait une comparaison entre quelques bloqueurs de contenus populaires tels que l’Adblocker de Ghostery et Cliqz, le bloqueur de Brave, l’Adblocker de DuckDuckGo, uBlock Origin et Adblock Plus. La plupart de ces bloqueurs à l’exception de uBlock sont disponibles sous forme de bibliothèques JavaScript et peuvent être chargés dans Node.js, précise Google. Pour ce qui est du fait que l’étude n’a pas pris en compte les bloqueurs natifs de Safari et des projets Chromium, Google a expliqué que cela nécessiterait des efforts importants pour les conditionner de manière à pouvoir les comparer avec les autres bibliothèques. Il dit vouloir aborder ce point dans ses prochains travaux.

Les différentes analyses menées tournent autour de sept points essentiels qui sont : la compositions d’une demande (chaque demande de réseaux peut soit être bloquée ou soit autorisée par le bloqueur de contenu), le temps nécessaire pour répondre à toutes les demandes, le temps nécessaire pour apparier les demandes qui ne sont pas bloquées et celui nécessaire pour les demandes bloquées, la sérialisation et la désérialisation, la consommation de mémoire au démarrage et les listes d’analyse des bloqueurs. Les mesures sur le temps nécessaire pour apparier les demandes bloquées montrent que Ghostery surpasse les autres bibliothèques en matière de vitesse d'adaptation. Sans entrer dans trop de détails, voici quelques optimisations pouvant expliquer ces résultats :

  • Ghostery utilise un index inversé associant des jetons à des filtres. « Contrairement aux autres bibliothèques, nous nous assurons de choisir le meilleur jeton pour chaque filtre au moment de la construction (il est préférable de définir le jeton le moins vu ). Cela entraîne des coûts supplémentaires non récurrents, mais optimise les capacités de répartition », ajoute Google ;
  • les filtres sont stockés sous une forme très compacte, dans des tableaux typés, et ne sont chargés que dans la mémoire, quand ils risquent d'être bloqués (si nous rencontrons des jetons identiques dans les URL) ;
  • les filtres chargés en mémoire sont optimisés à la volée et plusieurs filtres peuvent être combinés pour une efficacité accrue. Les optimisations ont été soigneusement élaborées en fonction des cas courants observés dans Easylist.


Google précise en conclusion s’être concentré dans son étude sur l’efficacité du moteur de filtrage réseau des bloqueurs, qui représente la tâche la plus intensive en ressources CPU. Il (Google) profite donc de l’occasion pour répondre à quelques controverses formuler dans la proposition du manifeste v3 comme celle-ci : “l’extension exécute un code JavaScript arbitraire (potentiellement très lent)”. Voici ce que répond Google à propos :

Citation Envoyé par Google
D'après les mesures, nous ne pensons pas que cette affirmation soit valable, car tous les bloqueurs de contenu courants sont déjà très efficaces et ne devraient entraîner aucun ralentissement notable de la part des utilisateurs. De plus, l'efficacité des bloqueurs de contenu ne cesse de s'améliorer , grâce à des approches plus innovantes ou à l'utilisation de technologies telles que WebAssembly pour atteindre les performances natives. Bien que la plupart des bloqueurs de contenu soient effectivement efficaces, ils ne sont pas équivalents et nous avons observé que Ghostery fonctionne toujours aussi bien, voire mieux, dans toutes les dimensions, dépassant souvent les autres bibliothèques. Nous espérons que ces tests permettront aux développeurs de bloqueurs de contenu de mesurer leurs propres progrès par rapport à d'autres bibliothèques populaires. Ces progrès sont bénéfiques à tous les utilisateurs, quelle que soit l’extension qu’ils utilisent, à mesure que l’efficacité des bloqueurs de contenu s’améliore.
Source : Whotrackme

Et vous ?

Que pensez-vous de cette analyse de Google ?

Voir aussi

Extensions Chrome : Google annonce des changements à venir qui visent à améliorer la sécurité ainsi que l'expérience utilisateur

Navigateur Chromium : des changements annoncés dans l'API pourrait désactiver une panoplie d'autres extensions et pas seulement uBlock Origin

C'est officiel, Microsoft Edge sera désormais basé sur Chromium et enfin disponible sur Windows 7, Windows 8 et d'autres plateformes comme macOS

Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ?

Comme Microsoft Edge, Brave adopte à son tour Chromium avec Brave 0.57 et assure que la nouvelle version de son navigateur est plus rapide de 22%
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web