Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Manifeste v3 et bloqueurs de publicité dans Chromium : 150 000 règles pour Declarative Net Request

Désolé, ceci n'est pas un titre clickbait
Logiciel 3 min
Manifeste v3 et bloqueurs de publicité dans Chromium : 150 000 règles pour Declarative Net Request
Crédits : BrianAJackson/iStock/Thinkstock

« Google veut mettre à mort les bloqueurs de publicité ». Un discours qui n'a rien de nouveau, mais qui prend plus d'ampleur ces derniers mois à travers le travail autour de la v3 du manifeste des extensions et l'évolution de certaines API. Face aux critiques, Google évolue et détaille à nouveau sa position.

L'équipe de Chromium travaille à la v3 du manifeste de ses extensions et la modification profonde de certaines API depuis des mois. Fin 2018, un point a été mis en lumière concernant l'évolution de Web Request et sa capacité à bloquer des requêtes. Les développeurs du navigateur estiment que son impact sur les performances est néfaste, en plus de poser des problèmes de sécurité et la vie privée pour l'utilisateur.

Faire évoluer un écosystème, c'est compliqué

Elle doit donc être remplacée par Declarative Net Request, aux possibilités moins nombreuses. Mais voilà, cela pose souci à certains concepteurs d'extensions qui voient dans cette API une limitation de leurs possibilités plus qu'une évolution intéressante. C'est notamment le cas des bloqueurs de publicités. La suite était prévisible.

Rapidement, Google a été accusé de vouloir compliquer la vie de ces derniers, voire de signer leur arrêt de mort. Il y a quelques jours, les choses ont repris de plus belle suite à de nouvelles déclarations et l'annonce d'une exception limitée à la version Entreprise de Chrome. Les développeurs d'autres navigateurs basés sur Chromium, interrogés par ZDNet, ont déclaré qu'ils ne suivraient pas cette modification, de quoi initier la création d'un « fork ».

Google ne pouvait donc plus rester dans l'ombre et a décidé de communiquer.

Les risques de Web Request, l'évolution nécessaire de Declarative Net Request

Dans un long billet de blog, l'équipe de développement revient sur le fonctionnement des deux API, ses choix et ses motivations, évoquant « de la confusion et des malentendus » dans cette affaire, notamment par les objectifs visés. Elle y rappelle que, « historiquement, lorsque les développeurs ont eu à faire le choix entre les capacités de leurs extensions et la vie privée, c'est le premier point qui l'a emporté ».

Google ajoute de son côté une couche via son blog dédié à la sécurité. Il faut dire que la société ne veut sans doute pas finir par être accusée de laxisme lorsqu'un scandale éclatera parce que des milliers d'utilisateurs s'apercevront avoir été espionnés en détail par une extension qui utilisait discrètement Web Request.

La position des équipes de Chromium ne change donc pas sur un point : Declarative Net Request prendra le relais à terme,  à la manière des choix d'Apple en la matière, le travail sur le manifeste v3 étant de toute façon loin d'être terminé. Mais des évolutions ont déjà été intégrées ou vont l'être pour répondre aux demandes des développeurs.

  • L'évolution du fonctionnement des API à travers Manifest v3 (l'exemple est intéressé)
  • Le fonctionnement de Web Request
  • Le fonctionnement de Declarative Net Request

Manifest v3 : la négociation continue, des changements prévus

Des éléments de pistages peuvent ainsi être retirés des requêtes (referer, cookies), des règles peuvent être ajoutées ou supprimées de manière dynamique, ces dernières devraient d'ailleurs pouvoir être plus complexes à l'avenir.

Surtout, leur nombre maximal va passer de 30 000 à 150 000 pour s'assurer que des logiciels comme les bloqueurs peuvent continuer de fonctionner. Les extensions devront néanmoins évoluer pour s'adapter à ce changement, dont la mise en place est encore lointaine. Les développeurs d'extensions ne manqueront sans doute pas de réagir à cette déclaration dans les jours qui viennent, il faudra suivre attentivement leur réaction.

Notamment leurs propos concernant des points de blocage qui pourraient encore exister dans la v3 du manifeste. Il faut également s'attendre à ce que certains en profitent pour continuer de pousser les navigateurs tiers à faire scission avec le code de base de Chromium. Alors que Microsoft s'apprête à sortir son nouvel Edge, sa position est attendue.

66 commentaires
Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 13/06/19 à 07:16:39

Actuellement, mon uBlock Origin est réglé ainsi :
« 128 222 filtre(s) réseau et 101 438 filtre(s) esthétique(s) sont actuellement en vigueur » (soit 229 660 cumulés)

Est-ce que, dans ces conditions, ça suffira (quitte à virer les filtres esthétiques) ?

Avatar de SunneX INpactien
Avatar de SunneXSunneX- 13/06/19 à 07:26:42

Vive Firefox

Avatar de David_L Équipe
Avatar de David_LDavid_L- 13/06/19 à 07:31:05

C'est l'objectif ;) 
 

SunneX a écrit :

Vive Firefox

Firefox, comme tout navigateur récent avec des extensions, fait face aux mêmes problème d'équilibre entre les possibilités données aux développeurs et la protection des informations de l'utilisateur ou la question de la performance. WebRequest y existe, ils devront aussi se positionner sur le sujet car ils prennent les mêmes risques que Chromium. Des commentaires peu constructifs n'y changeront rien ;)

Édité par David_L le 13/06/2019 à 07:31
Avatar de Gortix Lab INpactien
Avatar de Gortix LabGortix Lab- 13/06/19 à 07:37:26

Il serait bon aussi d'encadrer plus durement la publicité en ligne, de mettre en place des standards, etc ...
En l'état c'est une jungle ou l'utilisateur est constamment agressé ! l'ARPD se sert absolument à rien ...

Les traceurs, les cookies, les informations collectés, pour le moment tout reste flou, nous ne savons toujours pas ce qui est réellement fait en la matière et ce malgré les avancés de la RGPD ...

Avatar de Tradjincal INpactien
Avatar de TradjincalTradjincal- 13/06/19 à 07:44:41

Si je comprends bien, les extensions devront faire confiance à chrome pour appliquer les filtres voulus donc potentiellement google peut mettre en place une liste blanche (à la adblock plus)?
 
> Il faut dire que la société ne veut sans doute pas finir par être accusée de laxisme lorsqu'un scandale éclatera parce que des milliers d'utilisateurs s'apercevront avoir été espionnés en détail par une extension qui utilisait discrètement Web Request.
 [ironie on] On explique au millier d'utilisateurs qu'ils sont déjà espionnés :mdr2:[ironie off]
 

Édité par Tradjincal le 13/06/2019 à 07:46
Avatar de stratic Abonné
Avatar de straticstratic- 13/06/19 à 07:46:04

Le principe de la délégation du filtrage afin que l'extension ne voient pas les données est une bonne intention et peut s'avérer judicieux si c'est bien fait. Ce qui parait idiot, c'est de fixer une limite sur la quantité de filtres utilisables. Qu'apporte t'elle de plus ? Rien du point de vue de la protection de la vie privée en tout cas.

C'est cette limite le problème, pas le principe.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 13/06/19 à 07:53:06

Il y a déjà des standards dans la publicité en ligne, même plein de label. Cela n'empêche rien. Comme toute industrie, elle abuse des possibilités à sa disposition. Et comme les instances en charge tardent à réellement taper du poing sur la table, ça continue. 

 

stratic a écrit :

Le principe de la délégation du filtrage afin que l'extension ne voient pas les données est une bonne intention et peut s'avérer judicieux si c'est bien fait. Ce qui parait idiot, c'est de fixer une limite sur la quantité de filtres utilisables. Qu'apporte t'elle de plus ? Rien du point de vue de la protection de la vie privée en tout cas.

C'est cette limite le problème, pas le principe.

Au hasard pour éviter d'avoir des chargement dynamique de 2 millions de règles qui vont tout faire planter ? :D Que des limites existent, ça peut être normal. Qu'elles soient bien proportionnées, c'est une autre affaire, le sweet spot pouvant être dur à trouver. Avec les 30 000 c'était clairement un souci, là on est à 150k + 5k en dynamique de mémoire (si ça n'évolue pas), ça laisse de la marge ;)

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 13/06/19 à 08:00:17

Pourquoi ne pas simplement avertir l'utilisateur que l'extension demande à utiliser webrequest ?
Le nombre d'applications doit être relativement limité, non ?

Avatar de Gortix Lab INpactien
Avatar de Gortix LabGortix Lab- 13/06/19 à 08:00:40

David_L a écrit :

Il y a déjà des standards dans la publicité en ligne, même plein de label. Cela n'empêche rien. Comme toute industrie, elle abuse des possibilités à sa disposition. Et comme les instances en charge tardent à réellement taper du poing sur la table, ça continue.

Le problème étant qu'il ne s’agit là que de charte, pas de règle, alors ne parlons même pas de loi !
Yep, il y a du boulot à revendre sur le sujet, et Google ne semble pas aller dans le bon sens, en même temps, la publicité s'élève à combien en pourcentage sur leur chiffre d'affaire ? Une belle somme à n'en point douter.
Du coup la pratique est pas prête de changer

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 13/06/19 à 08:00:45

Sinon vous avez le fichier hosts. Comme ça à vous de voir quel site essaye de vous entourlouper par d'autres moyens sophistiqués.

Google ajoute de son côté une couche via son blog dédié à la sécurité. Il faut dire que la société ne veut sans doute pas finir par être accusée de laxisme lorsqu'un scandale éclatera parce que des milliers d'utilisateurs s'apercevront avoir été espionnés en détail par une extension qui utilisait discrètement Web Request.

J'avais cru comprendre que ces méthodes de voyous étaient normales depuis que modifier les paramètres de localisation sur Android ne changeait rien. Cohérence quand tu nous tiens. :xzombi:

Édité par Idiogène le 13/06/2019 à 08:04
Il n'est plus possible de commenter cette actualité.
Page 1 / 7
  • Introduction
  • Faire évoluer un écosystème, c'est compliqué
  • Les risques de Web Request, l'évolution nécessaire de Declarative Net Request
  • Manifest v3 : la négociation continue, des changements prévus
S'abonner à partir de 3,75 €