Mozilla har publisert en plan for å implementere versjon 3 av Chrome-manifestet i Firefox, som definerer funksjonene og ressursene som tilbys tillegg. Versjon 3 av manifestet har blitt kritisert for å bryte mange innholdsblokkerende og sikkerhetstillegg.
Firefox har til hensikt å implementere nesten alle funksjonene og begrensningene i det nye manifestet, inkludert det deklarative API-et for innholdsfiltrering (declarativeNetRequest), men i motsetning til Chrome vil ikke Firefox droppe støtten for den gamle blokkeringsmodusen til webRequest API-et, i hvert fall ikke før det nye API-et er fullt kompatibelt med behovene til tilleggsutviklere som bruker webRequest API-et. Denne tilnærmingen vil sikre kompatibilitet med Chrome-tillegg uten å bryte kompatibiliteten med tillegg som er avhengige av webRequest API-et.
La oss huske at den største misnøyen med det nye manifestet er knyttet til overgangen til skrivebeskyttet modus for webRequest API, som tillot tilkobling av tilpassede behandlere med full tilgang til nettverksforespørsler og i stand til å endre trafikk underveis. Dette API-et brukes i uBlock Origin og mange andre tilleggsprogrammer for å blokkere uønsket innhold og sikre sikkerhet. I stedet for webRequest API er det foreslått et deklarativt NetRequest API med begrensede funksjoner, som gir tilgang til en innebygd filtreringsmotor som uavhengig behandler blokkeringsregler, ikke tillater bruk av tilpassede filtreringsalgoritmer og ikke tillater å sette komplekse regler som overlapper hverandre avhengig av forholdene.
Firefox planlegger å gi ut støtte for den tredje versjonen av Chrome-manifestet for testing sent i 2021, og det nye manifestet skal rulles ut tidlig i 2022. Følgende er noen av funksjonene i den nye manifestimplementeringen i Firefox:
- Tilbyr declarativeNetRequest API-et, men tillater fortsatt bruk av det gamle webRequest API-et.
- Endringer i håndtering av forespørsler på tvers av opprinnelser – I følge det nye manifestet vil skript for innholdshåndtering være underlagt de samme tillatelsesbegrensningene som hovedsiden de er innebygd i (for eksempel, hvis siden ikke har tilgang til Location API, vil tilleggsskriptet heller ikke ha denne tilgangen). Noen av endringene knyttet til begrensninger av forespørsler på tvers av opprinnelser er allerede tilgjengelige for testing i nattlige versjoner av Firefox (utviklet som en del av Fission-prosjektet, som kan inkluderes i about:preferences#experimental) og er planlagt for generell distribusjon i 2021. kvartal XNUMX.
- Bakgrunnssider vil bli erstattet av tjenestearbeidere, som kjører som bakgrunnsprosesser. Endringen er ennå ikke klar for testing.
- Promise-basert API. Firefox støtter allerede denne typen API i navnerommet «browser.*» og vil flytte det til navnerommet «chrome.*» for den tredje versjonen av manifestet.
- Ny modell for detaljerte tillatelsesforespørsler – tillegget vil ikke kunne aktiveres for alle sider samtidig (tillatelsen «all_urls» er fjernet), men vil bare fungere i konteksten av den aktive fanen, dvs. brukeren må bekrefte at tillegget fungerer for hvert nettsted. Mozilla jobber med å styrke tilgangskontrollen, men har til hensikt å gi brukerne muligheten til å bestemme selv om de vil tillate tillegg å fungere med forskjellige faner.
- Forhindre kjøring av kode lastet ned fra eksterne kilder servere (Dette refererer til situasjoner der et tillegg laster inn og kjører ekstern kode.) Firefox implementerer allerede blokkering av ekstern kode, og Mozilla-utviklere er klare til å legge til ytterligere teknikker for sporing av kodenedlasting som foreslått i den tredje versjonen av manifestet. En egen innholdssikkerhetspolicy (CSP) vil bli introdusert for innholdsbehandlingsskript, og de eksisterende userScripts- og contentScripts-API-ene vil bli omarbeidet for å støtte tjenestearbeiderbaserte utvidelser.
Kilde: opennet.ru
