1 ポイント 投稿者 GN⁺ 2023-11-18 | 1件のコメント | WhatsAppで共有
  • Chrome拡張機能の新しい仕組みである Manifest V3 は、プライバシー・セキュリティ・性能改善を掲げているが、EFFはユーザーが制御できる拡張機能を減らす変更だと批判している
  • 新仕様は、ブラウザとウェブサイトの間の通信を監視・修正・計算する機能を制限し、トラッカー遮断 のようなプライバシー保護拡張の能力を弱める可能性がある
  • セキュリティの名目も議論の余地がある; 悪意ある拡張機能は blocking webRequest がなくても、読み取り可能な webRequest API だけでデータを持ち出せるという Firefox関係者の発言が根拠として示されている
  • 性能面でも、Princeton と University of Chicago の2020年研究は、Mv3によって制約を受ける プライバシー保護拡張 がむしろブラウザ性能を改善すると明らかにしている
  • Googleが支配的ブラウザと大規模広告ネットワークを同時に統制する状況で、Mv3はユーザーの選択肢と拡張開発者の対応力を狭める変更だと評価されている

Manifest V3をめぐる基本的な争点

  • Manifest V3(Mv3) は Google Chrome 拡張機能エコシステムに適用予定の変更群であり、Googleはこれをプライバシー・セキュリティ・性能に向けた施策だと説明している
  • EFFは、Mv3がユーザーに不利だという立場を 最初の発表時から 維持してきた
  • Mv3は FLoCPrivacy Sandbox と同様に、Googleが支配的ウェブブラウザと大規模インターネット広告ネットワークを同時に統制するときに生じる 利益相反 の事例として扱われている

プライバシー保護拡張が受ける制約

  • Mv3はウェブ拡張の機能を制限し、とくにユーザーが訪問するウェブサイトとブラウザの間の通信を 監視・修正・計算 する拡張に影響を与える
  • 一部のプライバシー重視の トラッカー遮断ツール のように、この方式で動作する拡張は新仕様の下で能力が大きく低下する可能性がある
  • Googleが上位100万ウェブサイトの75%にトラッカーを設置しているという資料が引用されており、そのような条件下でGoogleが拡張のアクセス権を制限する点が懸念を強めている

セキュリティ・性能の名目への反論

  • Mv3がセキュリティを大幅に改善するかも不確かである
    • Firefoxは Chromeベースではない最大の拡張市場を運営しており、ブラウザ間互換性のために Mv3 を採用すると明らかにしている
    • 2020年の AdBlocker Dev Summit で、Firefox Add-On Operations Manager は、悪意あるアドオンがセキュリティ審査を通過した場合、通常はユーザーのブラウザとウェブサイト間のやり取りを観察してデータを取得することに関心があると述べた
    • このような悪意ある行為は blocking ではなく、現在の webRequest API だけでも可能だという説明である
  • EFFは、より徹底した 拡張機能審査 がセキュリティを改善しうる一方で、Chromeはそのようなアプローチではなく、すべての拡張機能の能力を制限する解決策を選んだと批判している
  • 性能面でも、Princeton と University of Chicago の研究者による 2020年の研究 は、Mv3で制約を受けるプライバシー保護拡張が実際には ブラウザ性能を改善 すると明らかにしている

開発者とプライバシー擁護者たちの反応

  • Jonathan Mayer は、Chromeがユーザーエージェントではなく Googleエージェント のように振る舞ってきたと批判し、デフォルトのプライバシー保護が弱く、Googleアカウント連携を誘導し、侵襲的な広告機能を実装していると述べている
  • AdNauseam と TrackMeNot の制作者である Helen Nissenbaum と Daniel Howe は、Mv3がどのソフトウェアが生き残るかを決める強力な仲裁者として Chrome を位置づけると批判している
    • 2017年、Googleは AdNauseam を Chromeストアから禁止し、数万人のユーザーは蓄積したデータとオープンソース拡張へのアクセスを失った
    • Mv3は広告ブロッカーを含むさまざまなプライバシー保護ツールからユーザーを引き離しかねないと見ている
  • Ghostery は Manifest V3 をインターネットプライバシーに有害な後退だと評価している
  • Ghostery の Krzysztof Modras は、service workers と declarativeNetRequest を強制するのではなく選択肢として残し、さまざまなユースケースに合った解決策を提供すべきだと述べている
  • AdGuard は、ほぼすべてのブラウザ拡張が何らかの形で影響を受け、一部は問題を抱えたり機能が損なわれたりし、一部は存在できなくなる可能性があると述べている
  • NoScript 開発者の Giorgio Maone は、16年間で見てきたブラウザ拡張APIの変化の中で Manifest V3 は最悪の事例であり、既存の複雑な拡張は書き直しを迫られるか、コア機能を放棄しなければならない可能性があると述べている
  • SingleFile 開発者の Gildas は、Manifest V3 を機能面・技術面の両方で大きな後退と見なし、ユーザーにもたらされる利益はないと述べている

オンラインの選択肢と拡張エコシステムへの影響

1件のコメント

 
GN⁺ 2023-11-18
Hacker News の意見
  • Googleを擁護するつもりはないが、この変更は2016年ごろにAppleが導入したブラウザ/コンテンツAPIとほぼ同じ線上にある
    Web拡張機能は、ユーザーがよく分からないまま受け入れている巨大なプライバシー・セキュリティ上の穴だ。記事自体も、拡張機能がどれほど危険かを説明している。Manifest V3は、ブラウザが訪問したWebサイトとの間で送受信する内容を拡張機能が監視・変更・計算する能力を制限するという。そう、その通りで、まさにそこが核心だ。拡張機能が、ユーザーの見るあらゆるWebサイトのコンテンツを監視し、のぞき見し、盗み取る能力を制限するものだ

    • Appleの変更も同じくらい悪く、こうした制限がうまくいき得る根拠ではなく、どのように失敗し得るかを示す根拠として見るべきだ
      Safariの広告ブロック能力はChromeやFirefoxより明らかに弱い。こう言うと時々怒る人がいるが、議論の余地はあまりない。uBlock OriginがSafariに存在しないのには理由があり、Safari向けの最高の広告ブロックアプリがデスクトップアプリケーションとして動作したうえで拡張機能と通信しているのにも理由がある
      Safariには優れたプライバシー保護機能がたくさんあるが、広告ブロックはその一つではない。だからManifest V3が広告ブロッカーに害を及ぼすと言うときには、十分な根拠がある。Safariが同じことをしたときに何が起きたかを見られるからだ
      Manifest V3の変更の大半は実際かなり良く、特に権限モデルの変更は良い。アクティブクリック権限も素晴らしく、任意権限の改善も悪くない
      人々がこれを「Manifest V3」と呼ぶのは、名前が必要だからだというのは理解するが、Firefoxも独自のManifest V3実装を進めており、プライバシー改善の大半を含みながら欠点はほとんどない、という点が埋もれないでほしい
      ブロッキング型リクエストハンドラをなくしても、プライバシー保護はあまり改善しない。アクティブタブ権限と実行時の任意権限がプライバシーを改善するのだ。人々がManifest V3は悪いと言うとき、普通意味しているのは、Googleがプライバシー保護要素の上に追加で載せた制限のことだ。これらの制限はプライバシー改善にはほとんど役立たない一方で、ChromeのManifest V3でもなお全サイトでユーザーをスパイするのは取るに足りないほど簡単で、広告ブロッカーは壊してしまう
      欠点を引き受けなくても、プライバシー改善は取り入れられる
    • 本当にそうだろうか。MV3にもwebRequest APIは残っているが、読み取り専用だ。すべてをのぞき見したいなら、今でも可能だ
      Manifest V3は、拡張機能が使える観察用APIを変えない。拡張機能開発者の立場では、Manifest V3はchrome.webRequestの観察部分を変えないという意味だ。つまりManifest V3でも拡張機能は以前と同じデータを見ることができ、ユーザーが訪問したURLや訪問したページの内容まで含まれる[1]
      [1] https://www.eff.org/deeplinks/2019/07/googles-plans-chrome-e...
    • 訪問するWebサイトより、自分が使う拡張機能のほうを信頼している場合はどうだろう。拡張機能は数個だけで、Webサイトは何百、何千とある
    • ブラウザこそ、ユーザーが自ら選んで入り込む巨大なプライバシー・セキュリティ上の穴だ。Manifest V2のWeb拡張機能をインストールした自分のブラウザのほうが、拡張機能なしのあなたのブラウザより、むしろプライベートで安全かもしれない
    • 遅い返信だが、その話をそのまま受け入れるとしても、uBlock Originの開発者が2年前にまとめた制限リストは今なお長く、MV3の開発者たちはそれを公然と解決していない
      フィルタ数への恣意的な制限、機能後退、Chrome for Android向け拡張機能の提供をGoogleが完全に拒否していることなどがある。さらにMV3版の広告ブロッカーを実際に使ってみると、昔のものの青ざめた影のようなレベルだ。uBlock Origin Liteは広告はブロックするが、ポップアップウィンドウがいったん開いた後でブロックされたというメッセージを表示する。ウィンドウが開いてから知らせるのでは、そもそもの目的を台無しにしている。AdGuardは非常に多くの広告を通してしまう。結局は壊れた体験であり、得をするのはGoogleの広告部門だけだ
  • 広告ブロックの最終形態は、ユーザーに表示される直前の最終的にレンダリングされたWebページのフレームをニューラルネットワークが検査し、広告を塗りつぶす方式になるだろう

    • Web Integrity DRMが、広告が実際に表示デバイスまで届けられることを保証するだろう。そうなると、このニューラルネットワーク広告ブロッカーはスマートグラスの中に入り、そこで広告を塗りつぶさなければならないかもしれない
  • Chromeで広告ブロッカーがなければ、仕事関連の検索に使いにくくなる
    2ページ目あたりまで行かない限り、man pageや関連APIドキュメントを見つけるのは難しく、最初の結果は役に立つこともあるが、特にフロントエンド作業をしなければならないときは、uBlockなしではまともなサイトでさえ事実上使えない
    そうなるとGoogle検索を捨てて、Stack OverflowやRedditを直接検索するか、man pageやドキュメントへのショートカットを作っておくことになりそうだ。必要ならGPTの助けを借りてそれをパースすることもできる。あるいは会社がChromeを捨てるだろう。本当に広告ブロッカーなしでは仕事にならない

  • Privacy Badger の開発者で、EFF の MV3 関連記事を何本も共同執筆した。いくつか考えがある
    数年前、https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st...で次のように求めた
    Google はサービスワーカーへの移行を取り消し、ブロッキング型 webRequest を復元し、すべての機能退行が解決されるまで Manifest V2 の廃止を中止すべきだ、と述べた
    認めるべき点はある。Google は実際に MV2 の廃止を止め、バグを修正し、機能の空白を埋めた。たとえば userScripts API や Offscreen API というつぎはぎがある。そして、強力で柔軟な webRequest API を意図的に制限して置き換えた DNR にも、いくつもの改善を加えた。Google は、当初のまったく理不尽だったサービスワーカーの寿命要件も緩和した
    では、現在サービスワーカーと DNR はどのあたりまで来ているのか?
    拡張機能をサービスワーカー基盤で作らなければならないという要件は、開発者に複雑さと悩みの種を増やすが、いくつものポリシー変更や回避策のおかげで、2年前ほどの問題ではなくなった。Google は、サービスワーカーが拡張機能でそれなりに動くようにするため多大な努力を払った。最終的な結果としては、ブラウザ拡張機能を作るのは難しくなったが、サービスワーカーはもはや致命的な障害ではない状態だと思う
    しかし、ブロッキング型 webRequest は依然としてほとんど消えており、特定のプロキシ認証用途を除けば使えず、DNR はいまだに受け入れられる代替物ではない
    まだ https://github.com/w3c/webextensions/issues/302 のような機能の空白が残っている。興味深いのは、プライバシー保護拡張機能がもはや適切に処理できないトラッキングのかなりの部分が、Google によるものだという点だ
    さらに重要なのは、DNR は根本的に webRequest の十分な代替ではないということだ
    https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st...で書いたように、ブロッキング型 webRequest をなくしても悪意ある拡張機能は止められず、プライバシー・セキュリティ拡張機能を傷つけるだけだ。Manifest V3 が、より「安全な」、つまりより制限された拡張機能体験へ向かう一段階なのだとしたら、Manifest V4 はどんな姿になるのか? 答えが「安全」を名目にした、より少なく、より弱い API だとすれば、結局被害を受けるのはユーザーだ。可能な拡張機能の範囲は Google が明示的に許可するものに限られ、創造的な開発者は革新するための道具を失う。その間、ウェブ上のさまざまな脅威からユーザーのプライバシーと安全を守る拡張機能は過去に縛られ、脅威が進化しても追随できなくなる
    要するに、広告主やトラッカーに追いつくために、私たちは皆 Google が API を発展させ続けてくれることに依存するようになった、ということだ。Google は巨大な広告会社だ。Chrome 拡張機能はすでに、Manifest V3 の提案までほとんど変化のなかった 失われた10年 を一度経験している
    Google にトラッキング対策技術の鍵を握らせるのは、良い考えではない

  • Chrome ユーザーなら注意すべきだ。Chrome は、Google がウェブに対する支配力を維持し、拡大するために使う道具の一つだ
    ユーザー自身や大多数の人にとって有益ではない怪しいことをする力を、Google に与えている

  • 以前の議論: https://news.ycombinator.com/item?id=29502439

  • 2021年の記事である
    EFF は 2019〜2021年に MV3 の害について大量に記事を出し、その後は静かになった。その後の開発の流れが、彼らが間違っていたことを証明したのか、正しかったことを証明したのか気になる。Vivaldi で Chrome 拡張機能を使うユーザーという立場以外では、この分野を詳しく追ってはいない

  • 2021年の記事なので、やや古い。Firefox も Manifest V3 を採用したか、少なくとも互換性を持たせた

    • 私の理解では、Firefox は webRequest API によるブロッキング機能を残しており、これがここで最大の争点の一つだ
  • これから Firefox がやるべきことは、何もしないことだけだ。V2 拡張機能 を維持していれば、Chrome で広告ブロッカーが広告をブロックできなくなり始めたときに、ユーザーは流出するだろう
    Chrome がスケジュールを前倒しで強引に進めてくれることを願っている

  • Google が本当に Chrome で広告ブロックの効果を意味のある形で低下させる変更を押し通すなら、皮肉にもかなり多くのユーザーを Firefox や他の代替ブラウザへ移行させるきっかけになり得る
    Firefox は、多くの人が実際に気にする点で IE よりはるかに優れていたときに勝った。タブがあったからだ。次に Chrome は、多くの人が気にする点で Firefox よりはるかに優れていたときに勝った。高速で、1つのタブが落ちてもブラウザ全体が一緒に落ちなかったからだ
    長い間、多くの人が気にするような点で Chrome よりはるかに優れたブラウザはなかった。Manifest V3 が皆の言うほど悪いのかはわからないが、本当にそうなら、十分に大きな 差別化要因 になり得る

    • Firefox 支持者の立場から見ると、Chrome が勝った理由は、1) Firefox が長い間メモリ使用量と安定性の問題に苦しんでいたこと、2) Chrome の初期設定がほとんど手間いらずだったこと、3) 絶え間ないマーケティングとバンドル配置で飽和状態を作り出したこと、だと思う
      Chrome にも独自のメモリ問題はあったが、3番がそれを上回った。今 Chrome にロックインがあるとすれば、A) 3番、B) Gmail と統合されたより優れた同期プロセス、C) より優れた企業向け展開環境、のためだ
      私の法人顧客は Firefox より Chrome を約 4:1 の割合で多く使っている。気に入ってはいないが、顧客体験を優先しなければならない
      ただし Firefox の安定性は大きく向上し、Chrome も同様だ。Chrome は次第に使い勝手が悪くなっている。同期を使っていないところでは、来年あたりにユーザーを移行させる道筋が見えている