Developpez.com

Le Club des Développeurs et IT Pro

Navigateur Chromium : des changements annoncés dans l'API pourrait désactiver une panoplie d'autres extensions

Et pas seulement uBlock Origin

Le 2019-02-04 09:48:26, par Patrick Ruiz, Chroniqueur Actualités
La nouvelle est tombée à la fin du mois de janvier 2019 : L'équipe de développement de Chromium – la version open source de Google Chrome – est lancée sur certaines modifications de la plateforme d'extensions du navigateur. La dernière mise à jour de la version 3 du draft du Manifest remonte à novembre 2018 et l’auteur de l’extension uBlock Origin dédiée au blocage de publicités était l’un des premiers à s’exprimer sur la question.

Envoyé par Raymond Hill
Si cette API déclarativeNetRequest (assez limitée) finit par être le seul moyen pour les bloqueurs de contenu d'accomplir leur tâche, cela signifie essentiellement que deux bloqueurs de contenu que j'ai maintenus pendant des années, uBlock Origin ("uBO" et uMatrix, ne peuvent plus exister.
Son propos faisait suite à la publication de Google qui précisait que « dans la version 3 du Manifest, nous allons nous efforcer à limiter la version bloquante de l’API webRequest, ce, en procédant à une potentielle suppression des options de blocage de la plupart des événements.L’implémentation non bloquante de l’API qui permet aux extensions d’observer les requêtes, mais pas de les modifier, rediriger ou bloquer (et donc n’empêche pas Chrome de poursuivre avec le traitement de la requête) ne sera pas modifiée. Comme alternative, nous prévoyons de fournir l’API declarativeNetRequest. »

Faisant suite à la sortie de Raymond Hill, d’autres développeurs d’extensions sont montés au créneau pour livrer leurs inquiétudes. De façon brossée, il faudra noter que la liste des bloqueurs de publicités s’allonge. En sus, il faudra compter avec des addons pour les produits antivirus, le renforcement du contrôle parental et divers services de gestion de la vie privée.

Envoyé par AdGuard

Je suis un autre développeur de bloqueur de publicité (AdGuard) et de notre point de vue, le changement proposé sera encore plus invalidant pour tous les bloqueurs publicitaires que ce qui a été fait par Apple quand ils ont introduit leur API déclarative de blocage de contenu.
Envoyé par Jouni Korte – développeur chez F-Secure
Je voudrais également soulever une préoccupation à ce sujet. En plus du blocage des publicités, cela semble affecter également des logiciels de sécurité qui s'appuient sur les capacités d'une extension à bloquer de façon dynamique du trafic https considéré comme malveillant ou nuisible pour l'utilisateur. Cela inclut les pages diffusant des n’importe quel maliciel, mais aussi, par exemple, les fonctions de contrôle parental, c'est-à-dire la protection de l'utilisateur (enfant) contre les contenus catégorisés comme nuisibles ou non désirés pour ce dernier.
Envoyé par Claudio Garnieri
Je voudrais également me faire l'écho de ce que Jouni vient de dire. Je pense que ces changements empêcheront de nombreuses extensions de sécurité de fonctionner correctement. Amnesty International a également travaillé sur l'extension de son navigateur pour aider les communautés à risque à se protéger contre les attaques ciblées. En outre, je me fais également l'écho des préoccupations exprimées par Daniel Glazman, en particulier les dommages potentiels aux progrès réalisés en matière de compatibilité entre navigateurs.
Envoyé par Stefano Traverso – CTO Ermes Security
Je voudrais faire remarquer que les API de blocage de contenu ont un certain nombre d'applications qui vont bien au-delà du blocage des publicités. Nous les utilisons pour des raisons de sécurité, par exemple pour empêcher le navigateur de contacter des URLs associées à l'activité de phishing ou utilisées pour diffuser des logiciels malveillants.
Deux points nous préoccupent particulièrement :
1) la limite de la règle des 30 000 filtres. En effet, certaines listes anti-hameçonnage peuvent contenir à elles seules des millions d'entrées.
2) l'impossibilité de mettre à jour la liste de blocage de contenu en temps réel entraîne des retards qui sont intolérables dans les normes de sécurité actuelles. Les nouvelles règles doivent être fournies aux extensions dès qu'elles sont définies.Enfin, je voudrais vous demander d'expliquer en détail comment les utilisateurs bénéficieraient de ce changement sur le plan de la sécurité. Au-delà des limites les plus strictes semblent dictées par des motivations de performance qui, comme nous le savons tous, ne se combinent pas bien avec les politiques de sécurité.
Enfin, Giorgio Maone, l’éditeur de l'additif NoScript pour Firefox, a également fait remarquer que si cette nouvelle API est déployée, il ne sera pas en mesure de sortir la version Chrome de NoScript sur laquelle il travaille depuis plus d'un an. Le module complémentaire NoScript Firefox a une réputation mythique parmi les professionnels de la sécurité et beaucoup demandent une version Chrome à Maone depuis des années.

Les discussions entre développeurs, utilisateurs finals et l’équipe de développement de Chromium battent leur plein sur la liste de diffusion dans le contexte de l’annonce de la disponibilité (dès juillet 2019) pour tous les utilisateurs de Chrome du bloqueur de publicité fait maison de la firme de Mountain View. Andrew Meyer de l’équipe de développement de Chromium a réagi et sa sortie laisse penser que les futurs développements à ce sujet pourraient aller dans le sens de satisfaire les développeurs.

Envoyé par Andrew Meyer

Ce changement N'EST PAS destiné à estropier les bloqueurs de publicité. Il est plutôt conçu pour les rendre plus rapides et plus sûrs, ce, même en dépit des limitations qui pourraient avoir un impact sur uBlock. La nouvelle API de blocage de contenu proposée n'est pas finale et peut (ou sera) modifiée.
Sources : Dev AdGuard, Korte, Garnieri, Traverso

Et vous ?

Qu’en pensez-vous ?

Peut-on y voir une tentative de Google de mettre son propre bloqueur de pubs en avant ?

Voir aussi :

C'est officiel, Microsoft Edge sera désormais basé sur Chromium et enfin disponible sur Windows 7, Windows 8 et d'autres plateformes comme macOS

Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ?

Comme Microsoft Edge, Brave adopte à son tour Chromium avec Brave 0.57 et assure que la nouvelle version de son navigateur est plus rapide de 22%
  Discussion forum
19 commentaires
  • herr_wann
    Membre confirmé
    c'est pour cela qu'il faut absolument éviter la domination d'un seul moteur, fût-il open source. Sans alternative crédible comme c'est encore le cas avec Firefox, ils ne se priveront pas de faire ce qu'ils veulent. Il est évident que les bloqueurs publicitaires sont dans le collimateur de Google puisque c'est son gagne pain
    le 04/02/2019 à 11:25
  • StraToN
    Membre actif
    J'ai du mal à entrevoir comment Google, qui est parmi les plus gros fournisseurs de publicité online avec Adsense, peut être digne de confiance pour faire du blocage de publicité. C'est comme donner les clés du commissariat de police aux trafiquants de drogue.
    le 14/06/2019 à 9:53
  • Uther
    Expert éminent sénior
    Envoyé par CaptainDangeax
    /ME se dit qu'il va devoir se pencher sur la configuration de DNSMASQ pour bloquer les sites pourvoyeurs de publicité.
    C'est malheureusement loin d'être suffisant pour filtrer tous les contenus publicitaires et de tracage qui sont de plus en plus ingénieux.

    Envoyé par CaptainDangeax
    Le moteur de firefox n'a aucune plus value. Il n'apporte rien.
    Lorsque Chrome est apparu, Mozilla ne l'a pas pris au sérieux. Ben oui, car après tout, c'est un navigateur du méchant Google.
    Au contraire, il me semble que Mozilla a immédiatement senti la menace, c'est juste ils ne pouvaient pas cracher publiquement sur Google qui était leur principale source d'argent.
    Mozilla savait bien que Google a de très gros moyens en termes de développeurs, de puissance marketing, et surtout un très gros intérêt à maitriser le développement du web. Ça n'est pas pour rien qu'ils ont cherché autant que possible de se rendre indépendant de Google, quitte risquer de désorienter certains utilisateurs (sponsoring, Firefox OS, ...).

    Envoyé par CaptainDangeax
    Qu'on ne vienne pas me dire, qu'il est impossible de créer un groupe de travail pour forker chromium. L'affaire avec openoffice nous à bien montré le contraire quant bien même ce dernier à la domination sur toute les distribution linux et que cela ne choque personne.
    Je crois que tu n'as pas idée de la différence en terme de complexité entre un navigateur moderne et LibreOffice. Forker Chromium est faisable. le maintenir à niveau nécessiterait énormément de travail. Il faudrait monter une équipe dédiée, complexe a financer...

    Et pour quoi faire, à part disperser comme tu t'en plaint, alors que Mozilla est déjà là pour fournir une alternative ?
    le 04/02/2019 à 15:54
  • herr_wann
    Membre confirmé
    Un fork est toujours possible mais cela prend du temps. Aujourd'hui, celui qui n'est pas satisfait des choix effectués par Google pour Chromium peut changer en quelques minutes. S'il faut attendre des semaines voire des mois qu'un concurrent s'organise, l'impact est bien différent.
    le 04/02/2019 à 13:37
  • melka one
    Membre expérimenté
    il faut ce rappelé qu'a la base chrome a utilisées les norme définit pas le w3c pour être construit et maintenant ils veulent se substitué a eux, et il faut aussi ce rappelé que c'est le fait d'utiliser un moteur différent du navigateur IE qui a l'époque était a peut près dans la mème position que chrome actuelement et noublions pas aussi mozilla qui rapelons le était le seule navigateur a promouvoir le html5 et c'est donc dans ce contexte (et la pub sans parlé des c'est bizarre j'ai chrome d’installé) que chrome a percé et c'est imposé.

    et puis dans l'ensemble des navigateurs qui supporte webkit a moins que ce soit blink blink le fork du coup je sais plus aucuns n'est exactement pareil

    mais du coup chrome === chromium ou non
    le 04/02/2019 à 14:08
  • CaptainDangeax
    Membre expérimenté
    /ME se dit qu'il va devoir se pencher sur la configuration de DNSMASQ pour bloquer les sites pourvoyeurs de publicité.
    le 04/02/2019 à 10:58
  • xarkam
    Membre éprouvé
    Envoyé par herr_wann
    c'est pour cela qu'il faut absolument éviter la domination d'un seul moteur, fût-il open source. Sans alternative crédible comme c'est encore le cas avec Firefox, ils ne se priveront pas de faire ce qu'ils veulent. Il est évident que les bloqueurs publicitaires sont dans le collimateur de Google puisque c'est son gagne pain
    Encore une fois, la preuve de l’incompréhension de l'opensource.

    Le moteur de firefox n'a aucune plus value. Il n'apporte rien.
    Lorsque Chrome est apparu, Mozilla ne l'a pas pris au sérieux. Ben oui, car après tout, c'est un navigateur du méchant Google.
    Et même au fil des ans, lorsque Chrome montait, chez Mozilla, on est resté son gros cul bien au chaud dans son fauteuil.

    2019, la part de Firefox à fondu comme neige au soleil, nous avons Chromium/blink utilisé dans plein d'autres browser (brawe, vivaldi, ect...), nous avons plein d'application en electronjs (atom, vscode, slack, discord, wordpress, et la liste est longue).

    Tout ce laïus pour dire une chose, si la direction prise ne convient plus, au vu du travail colossal de re-coder des browser sur le moteur de Mozilla, de voir si il serait possible de faire pareil qu'Electronjs mais avec quantum, le plus simple est de créer un groupe de travail qui ferait un fork de chromium pour aller dans la direction qui convient à tout le monde.

    Chez les libristes, il manque un mot dans le dictionnaire qui à son importance, c'est "consensus".

    C'est d’ailleurs pour cette raison qu'il existe moult fork de distrib qui parfois ne changent que le thème, ou encore moult fork de projets par ce que "ouin ouin, on à pas voulu intégrer ma ligne de code".

    Tout n'est pas tout blanc ou tout noir. Avec des projets qui impacte aussi fort notre écosystème informatique, on se situe plutôt dans le gris.

    Qu'on ne vienne pas me dire, qu'il est impossible de créer un groupe de travail pour forker chromium. L'affaire avec openoffice nous à bien montré le contraire quant bien même ce dernier à la domination sur toute les distribution linux et que cela ne choque personne.
    le 04/02/2019 à 12:33
  Poster une réponse