Расширения для браузеров

_{Источник: GitHub}

Раймонд Хилл (gorhill), разработчик uBlock Origin, недавно объявил, что Google отклонил новую версию расширения для разработчиков. В электронном письме разработчику Google заявил, что расширение нарушает одну из политик Chrome Store, которая запрещает объединение несвязанных функций в расширениях.

«[Расширение] не соответствует нашим правилам и было удалено из интернет-магазина Google Chrome. Ваш товар не соответствует следующему разделу нашей политики: расширение должно иметь единственную цель, понятную пользователям. Не создавайте расширение, которое требует, чтобы пользователи принимали пакеты несвязанных функций, таких как уведомление по электронной почте и агрегатор заголовков новостей. Если две части функциональности четко разделены, их следует поместить в два разных расширения, и пользователи должны иметь возможность устанавливать и удалять их отдельно», — сообщается в электронном письме представителей магазина.

Планы Google ввести новые интерфейсы для расширений в Chrome и ограничить блокировщики рекламы широко обсуждались в интернете и вызвали массовое недовольство пользователй. Однако нечто подобное уже произошло в Safari, и это мало кто заметил, не говоря уже о критике Apple, пишет ZDNet.

В течение последних полутора лет Apple эффективно нейтрализовала блокировщики рекламы в Safari, за что в этом году сильно критиковали Google.

Но в отличие от Google, компания Apple вообще не подверглась обструкции, и вышла из всего процесса с репутацией компании, которая заботится о конфиденциальности пользователей, а не пытается «нейтрализовать блокировщики рекламы». Причин может быть несколько. Это и меньшая пользовательская база Apple, и тот факт, что изменения происходят в течение многих лет, а не месяцев, и то, что Apple не полагается на рекламу для львиной части своей своей прибыли, то есть нет никаких скрытых мотивов за изменениями экосистемы.

Mozilla объявила о перезапуске платформы Test Pilot, которая была закрыта ранее в этом году. На этот раз платформа будет работать с использованием новых функций, среди которых — Firefox Private Network — подобие VPN для публичных сетей.

Test Pilot представляет собой платформу для разработки и написания различных проектов для среды браузера Firefox. Она была закрыта ранее в этом году из-за финансовых и технических проблем без анонсирования даты перезапуска.

Сейчас Mozilla уведомляет пользователей Firefox, которые зарегистрировались для получения учетной записи Firefox и подписались на получение информации о тестировании новых продуктов, о повторном запуске программы Test Pilot. Эти пользователи получат шанс протестировать новые функции платформы. В Mozilla отмечают, что разница между новой и старой версией платформы заключается в том, что продукты и услуги, программы и алгоритмы, разработанные на базе Test Pilot, могут использоваться за пределами браузера Firefox. Кроме того, Test Pilot, по заявлению Mozilla, стала более интерактивной и простой в работе.

Одна из новых функций платформы — Firefox Private Network, которая представляет собой аналог VPN-сервиса для публичных сетей.
«Это расширение, которое предоставляет пользователям безопасный, зашифрованный путь к сети для защиты соединения и личной информации везде, где используется Firefox», — поясняет издание HotHardware.

Всё больше сайтов (особенно медийных) пытаются воспрепятствовать доступу пользователей, у которых установлен блокировщик рекламы. Они обычно показывают всплывающее окно с просьбой оформить подписку или сделать пожертвование, а в некоторых случаях вообще блокируют доступ к сайту, пока вы не внесёте их в белый список блокировщика.

Для обхода этой защиты разработаны отдельные расширения. Например, Nano Defender (для Chrome и Firefox) интегрируется с uBlock Origin или Nano Adblocker, см. инструкции по настройке.

Пользователи сообщают, что в последнее время Nano Defender временно не работал. Хотя проблема уже исправлена, но в таких ситуациях можно легко заблокировать блокировку блокировщиков рекламы вручную.

Три года назад инженер по программному обеспечению Google Али Джума предложил внести изменения в работу браузера Chrome, которые бы позволили защитить пользователей от кликджекинга.

Кликджекинг представляет собой форму онлайн-атаки, при которой злоумышленник может получить доступ к конфиденциальной информации пользователя или даже к его компьютеру, заманив его на нужную страницу. Принцип действия атаки включает в себя изменение элементов веб-страницы: поверх видимого элемента располагается невидимый слой, в который загружается страница, нужная злоумышленнику. Как правило, целью кликджекинга является запуск рекламных страниц или установка вредоносного кода.

Google опубликовала сообщение об утечке сотен тысяч паролей пользователей. При этом, как утверждают в компании, пользователи получали уведомления о нарушении безопасности данных, однако только часть из них озаботилась сменой пароля.

В феврале Google создала службу уведомления о нарушении конфиденциальности и связанное с ней расширение браузера Chrome Password Checkup. Расширение собирает анонимные данные пользователей и хэширует логины. Когда пользователь, установивший расширение, заходит на сайт, данные для входа отправляются обратно в Google. Компания проверяет, совпадают ли данные с информацией, которая ранее попадала в открытый доступ. Если совпадение найдено, пользователь получит уведомление с предложением сменить пароль.

Используя статистику, собранную с 5 февраля по 4 марта 2019 года, в Google обнаружили, что 1,5% из более 21 миллиона логинов и паролей были обнаружены в списках скомпрометированных данных — это более 316,5 тысяч. Всего расширение Password Checkup установили 670 тысяч пользователей.

Ещё в январе Google предложила изменить API браузера Chromium, которые не совместимы с большинством сторонних блокировщиков рекламы и некоторыми другими расширениями. Речь о новых программных интерфейсах declarativeNetRequest API (часть документа Manifest V3). Они лишают возможности полноценно использовать webRequest API. Сейчас расширения вроде uBlock Origin и Ghostery используют webRequest API для блокировки контента на лету во время загрузки страницы. В новой системе блокировщики не cмогут блокировать события, а только просматривать их. Вместо этого расширениям предлагают перейти на declarativeNetRequest API из Manifest V3 — и сообщать браузеру о тех событиях, которые они хотят заблокировать. Это якобы должно ускорить загрузку страниц (потому что расширения больше не будут тормозить основной поток), а также защитит приватность пользователей, по мнению Google.

Разработчики расширений выступили категорически против предлагаемых изменений. Google пошла на попятную и отложила внедрение изменений, когда были опубликованы результаты исследования, насколько разные блокировщики рекламы замедляют работу Chromium (см. выше). Оказалось, что эти задержки настолько мизерные, что их вряд ли можно считать причиной для введения нового API. Через несколько часов после появления этого один из разработчиков Chromium официально огласил решение отложить новые API.

Но сейчас Google немного cкорректировала позицию. Она всё-таки внедрит Manifest V3, а нынешнюю функциональность declarativeNetRequest API оставит только для платных корпоративных пользователей.

Основатель сайта ghacks.net Мартин Брикманн предупреждает пользователей веб-браузера Mozilla о новой угрозе. В официальном магазине стали появляться вредоносные программы, которые маскируются под безобидные расширения.

Корпорация Google в новых версиях браузера Chrome сделает упор на защиту персональной информации. В частности, компания изменит подход к обработке cookie и поддержки атрибута SameSite. Уже в 76 версии, будет по умолчанию включен флаг «same-site-by-default-cookies». Если в заголовке не будет атрибута SameSite, браузер автоматически выставит значение «SameSite=Lax», которое ограничит отправку сookie для вставок со сторонних сайтов. При этом владельцы сайтов смогут снимать это ограничение, прописывая при установке сookie параметр SameSite=None.

Атрибут SameSite дает возможность определить допустимость передачи сookie при поступлении запроса со стороннего ресурса. Сейчас сookie передаются на любой запрос к сайту, для которого обнаружены Cookie, даже в том случае, если открыт один сайт, а обращение осуществляется косвенно при помощи загрузки изображения или через iframe.

Недавно хакеры выложили в открытый доступ коллекции №1-5 — в общей сложности около 2,7 млрд аккаунтов с паролями (magnet-ссылки: коллекция № 1, коллекции № 2-5). Эти пароли многие годы собирались из всех доступных источников, в том числе с российских сайтов. Каждый может проверить наличие своего пароля в базе, введя его хэш на сайте Have I Been Pwned (HIBP) или в сервисе Firefox Monitor. Теперь появился ещё один способ сделать это — через новое расширение Password Checkup для Chrome.