1 puan yazan GN⁺ 2023-11-18 | 1 yorum | WhatsApp'ta paylaş
  • Chrome uzantıları için yeni çerçeve olan Manifest V3, gizlilik, güvenlik ve performans iyileştirmeleri vaat ediyor; ancak EFF, bunu kullanıcıların kontrol edebildiği uzantı işlevlerini azaltan bir değişiklik olarak eleştiriyor
  • Yeni spesifikasyon, tarayıcı ile web siteleri arasındaki iletişimi izleme, değiştirme ve hesaplama yeteneklerini kısıtlayarak izleyici engelleme gibi gizlilik uzantılarının kapasitesini zayıflatabilir
  • Güvenlik gerekçesi de tartışmalı; Firefox’tan bir yetkilinin, kötü amaçlı uzantıların blocking webRequest olmadan da yalnızca okunabilir webRequest API ile veri alabileceği yönündeki açıklaması buna dayanak gösteriliyor
  • Performans açısından da Princeton ve University of Chicago’nun 2020 tarihli araştırması, Mv3 ile kısıtlanacak gizlilik uzantılarının aslında tarayıcı performansını iyileştirdiğini belirtiyor
  • Google’ın hem baskın tarayıcıyı hem de büyük bir reklam ağını kontrol ettiği bir ortamda Mv3, kullanıcıların seçim hakkını ve uzantı geliştiricilerinin tepki verme kabiliyetini daraltan bir değişiklik olarak değerlendiriliyor

Manifest V3 etrafındaki temel meseleler

  • Manifest V3(Mv3), Google Chrome uzantı ekosistemine uygulanması planlanan bir değişiklikler bütünüdür; Google bunu gizlilik, güvenlik ve performansa yönelik bir adım olarak açıklıyor
  • EFF, Mv3’ün kullanıcıların aleyhine olduğu görüşünü ilk duyurulduğu zamandan beri sürdürüyor
  • Mv3, FLoC ve Privacy Sandbox gibi, Google’ın baskın web tarayıcısını ve büyük bir internet reklam ağını aynı anda kontrol etmesinden doğan çıkar çatışmasının bir örneği olarak ele alınıyor

Gizlilik uzantılarına getirilen kısıtlamalar

  • Mv3, web uzantılarının işlevlerini kısıtlıyor; özellikle kullanıcıların ziyaret ettiği web siteleri ile tarayıcı arasındaki iletişimi izleyen, değiştiren ve hesaplayan uzantıları etkiliyor
  • Bazı gizlilik odaklı izleyici engelleyiciler gibi bu şekilde çalışan uzantıların, yeni spesifikasyon altında kapasiteleri önemli ölçüde azalabilir
  • Google’ın en büyük 1 milyon web sitesinin %75’ine izleyici yerleştirdiğini gösteren veriler alıntılanıyor; bu koşullarda Google’ın uzantıların erişim yetkilerini sınırlaması endişeleri artırıyor

Güvenlik ve performans gerekçelerine itirazlar

  • Mv3’ün güvenliği kayda değer ölçüde iyileştirip iyileştirmeyeceği belirsiz
    • Firefox, Chrome tabanlı olmayan en büyük uzantı pazarını işletiyor ve tarayıcılar arası uyumluluk için Mv3’ü benimseyeceğini açıkladı
    • 2020 AdBlocker Dev Summit’te Firefox Add-On Operations Manager, kötü amaçlı bir eklentinin güvenlik incelemesinden geçmesi durumunda genellikle kullanıcının tarayıcısı ile web siteleri arasındaki konuşmayı gözlemleyerek veri almaya ilgi duyduğunu söyledi
    • Açıklamaya göre bu tür kötü amaçlı davranışlar, blocking olmayan mevcut webRequest API ile de mümkün
  • EFF, daha kapsamlı bir uzantı incelemesinin güvenliği iyileştirebileceğini, ancak Chrome’un bu yaklaşım yerine tüm uzantıların işlevlerini kısıtlayan bir çözümü seçtiğini eleştiriyor
  • Performans açısından da Princeton ve University of Chicago araştırmacılarının 2020 tarihli çalışması, Mv3 ile kısıtlanacak gizlilik uzantılarının gerçekte tarayıcı performansını iyileştirdiğini belirtiyor

Geliştiricilerin ve gizlilik savunucularının tepkileri

  • Jonathan Mayer, Chrome’un kullanıcı aracısı değil Google aracısı gibi davrandığını eleştiriyor; temel gizlilik korumasının zayıf olduğunu, Google hesabı bağlantısını teşvik ettiğini ve istilacı reklam özellikleri uyguladığını söylüyor
  • AdNauseam ve TrackMeNot’un yaratıcıları Helen Nissenbaum ve Daniel Howe, Mv3’ün Chrome’u hangi yazılımların ayakta kalacağına karar veren güçlü bir arabulucu konumuna yerleştirdiğini eleştiriyor
    • 2017’de Google, AdNauseam’ı Chrome Store’dan yasakladı; on binlerce kullanıcı biriktirdikleri verileri ve açık kaynak uzantıya erişimi kaybetti
    • Mv3’ün, reklam engelleyiciler dahil çeşitli gizlilik araçlarını kullanıcılardan uzaklaştırabileceği düşünülüyor
  • Ghostery, Manifest V3’ü internet gizliliği için zararlı bir geri adım olarak değerlendiriyor
  • Ghostery’den Krzysztof Modras, service workers ve declarativeNetRequest’ü zorunlu kılmak yerine isteğe bağlı bırakıp farklı kullanım senaryolarına uygun çözümler sunmak gerektiğini söylüyor
  • AdGuard, neredeyse tüm tarayıcı uzantılarının bir şekilde etkileneceğini; bazılarının sorun yaşayacağını veya işlevlerinin bozulacağını, bazılarının ise varlığını sürdüremeyebileceğini söylüyor
  • NoScript geliştiricisi Giorgio Maone, 16 yıldır gördüğü tarayıcı uzantısı API değişiklikleri içinde Manifest V3’ün en kötü örnek olduğunu; mevcut karmaşık uzantıların yeniden yazılması ya da temel işlevlerinden vazgeçmesi gerekebileceğini söylüyor
  • SingleFile geliştiricisi Gildas, Manifest V3’ü işlevsel ve teknik açıdan büyük bir geri adım olarak görüyor ve kullanıcılara dönen bir fayda olmadığını söylüyor

Çevrimiçi seçim hakkı ve uzantı ekosistemi açısından sonuçlar

1 yorum

 
GN⁺ 2023-11-18
Hacker News yorumları
  • Google'ı savunmaya çalışmıyorum ama bu değişiklik, Apple'ın 2016 civarında getirdiği tarayıcı/içerik API'siyle neredeyse örtüşüyor
    Web eklentileri, kullanıcıların pek farkında olmadan kabul ettiği devasa bir gizlilik ve güvenlik açığıdır. Makalenin kendisi de eklentilerin ne kadar tehlikeli olabileceğini anlatıyor: Manifest V3'ün, eklentilerin tarayıcının ziyaret edilen web siteleriyle gönderip aldığı şeyleri izleme, değiştirme ve hesaplama yeteneğini sınırladığını söylüyor. Evet, mesele tam da bu. Eklentilerin, kullanıcının gördüğü tüm web sitelerinin içeriğini izleme, gözetleme ve çalma yeteneğini sınırlamak

    • Apple'ın değişikliği de aynı derecede kötü; bunu, bu tür kısıtlamaların iyi işleyebileceğine dair bir kanıt olarak değil, nasıl ters gidebileceğini gösteren bir kanıt olarak görmek gerekir
      Safari'nin reklam engelleme yeteneği Chrome veya Firefox'tan açıkça daha zayıf. Bunu söyleyince bazen sinirlenenler oluyor ama pek tartışmalı bir konu değil. uBlock Origin'in Safari'de olmamasının bir nedeni var; Safari için en iyi reklam engelleme uygulamalarının masaüstü uygulaması olarak çalışıp sonra eklentiyle iletişim kurmasının da bir nedeni var
      Safari'nin pek çok harika gizlilik özelliği var ama reklam engelleme bunlardan biri değil. Bu yüzden Manifest V3'ün reklam engelleyicilere zarar vereceğini söylerken elimizde yeterli dayanak var. Çünkü Safari aynı şeyi yaptığında ne olduğunu görebiliyoruz
      Manifest V3'teki değişikliklerin çoğu aslında oldukça iyi; özellikle izin modeli değişiklikleri iyi. Etkin tıklama izni de harika, isteğe bağlı izinlerdeki iyileştirmeler de fena değil
      İnsanların buna “Manifest V3” demesinin, bir ada ihtiyaç duyulmasından kaynaklandığını anlıyorum; ancak Firefox'un da kendi Manifest V3 uygulaması üzerinde çalıştığı ve gizlilik iyileştirmelerinin çoğunu içerirken olumsuz yanlarının neredeyse hiç olmadığı gerçeğinin arada kaynamamasını isterim
      Engelleyici istek işleyicilerini kaldırmak gizliliği pek iyileştirmez. Etkin sekme izni ve çalıştırma sırasında izin seçimi gizliliği iyileştirir. İnsanlar Manifest V3'ün kötü olduğunu söylediğinde genellikle kastettikleri şey, Google'ın gizlilik unsurlarının üzerine eklediği ek kısıtlamalardır. Bu kısıtlamalar gizliliği iyileştirmeye neredeyse hiç yardımcı olmuyor; buna rağmen Chrome'un Manifest V3'ünde bile tüm sitelerde kullanıcıyı gözetlemek hâlâ önemsiz denecek kadar kolay, üstelik reklam engelleyicileri bozuyor
      Olumsuz yanları üstlenmeden de gizlilik iyileştirmelerini almak mümkün
    • Gerçekten öyle mi? MV3'te webRequest API hâlâ var, ama salt okunur. Her şeyi gözetlemek istiyorsanız hâlâ mümkün
      Manifest V3, eklentilerin kullanabileceği gözlem amaçlı API'leri değiştirmiyor. Eklenti geliştiricileri açısından bu, Manifest V3'ün chrome.webRequest'in gözlem kısmını değiştirmediği anlamına geliyor. Yani Manifest V3'te de eklentiler öncekiyle aynı verileri görebilir; buna kullanıcının ziyaret ettiği URL'ler ve ziyaret edilen sayfaların içeriği de dahil[1]
      [1] https://www.eff.org/deeplinks/2019/07/googles-plans-chrome-e...
    • Ya ziyaret ettiğim web sitelerinden çok kullandığım eklentilere güveniyorsam? Eklenti sayısı birkaç tane, web siteleri ise yüzlerce, binlerce
    • Asıl tarayıcının kendisi, kullanıcının kendi seçimiyle içine girdiği devasa bir gizlilik ve güvenlik açığıdır. Manifest V2 web eklentileri kurulu tarayıcım, eklentisiz sizin tarayıcınızdan daha özel ve güvenli bile olabilir
    • Geç bir yanıt olacak ama bunu aynen kabul etsek bile, uBlock Origin geliştiricisinin 2 yıl önce derlediği kısıtlama listesi hâlâ uzun ve MV3 geliştiricileri bunları açıkça çözmedi
      Filtre sayısına getirilen keyfî sınır, işlev gerilemeleri, Google'ın Chrome for Android için eklenti sunmayı tamamen reddetmesi gibi şeyler var. Üstelik MV3 sürümü reklam engelleyicileri bizzat kullanınca, eski hâlinin soluk bir gölgesi gibi kalıyor. uBlock Origin Lite reklamları engelliyor ama açılır pencere önce açılıyor, sonra engellendiğine dair mesaj gösteriyor; pencere açıldıktan sonra bildirmek en baştaki amacı boşa çıkarıyor. AdGuard ise inanılmaz miktarda reklamın geçmesine izin veriyor. Sonuçta bozuk bir deneyim ve bundan kazançlı çıkan tek taraf Google'ın reklam bölümü
  • Reklam engellemenin nihai biçimi, kullanıcıya gösterilmeden hemen önceki son işlenmiş web sayfası karesini bir sinir ağının inceleyip reklamların üzerini boyaması olacak

    • Web bütünlüğü DRM'i, reklamın gerçekten görüntüleme cihazına kadar ulaştırılmasını garanti edecek. O zaman bu sinir ağı reklam engelleyicisinin akıllı gözlüğün içine girip reklamların üzerini orada boyaması gerekebilir
  • Chrome'da reklam engelleyici olmadan işle ilgili aramalarda kullanmak zorlaşıyor
    2. sayfaya falan geçmediğiniz sürece man page ya da ilgili API dokümanlarını bulmak zor; ilk sonuçlar bazen işe yarıyor ama özellikle frontend işi yapmanız gerektiğinde uBlock olmadan iyi siteler bile fiilen kullanılamaz hâle geliyor
    O zaman muhtemelen Google aramayı bırakıp Stack Overflow ya da Reddit'te doğrudan arama yapacağım veya man page ve doküman kısayolları oluşturacağım. Gerekirse GPT yardımıyla bunları ayrıştırabilirim. Ya da şirket Chrome'u bırakır. Gerçekten reklam engelleyici olmadan çalışamam

  • Privacy Badger geliştiricisiyim ve EFF’nin MV3 ile ilgili birkaç yazısını birlikte kaleme aldım. Birkaç düşüncem var.
    Birkaç yıl önce https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st... adresinde şunu talep etmiştik:
    Google’ın service worker geçişini iptal etmesi, engelleyici webRequest’i geri getirmesi ve tüm işlev gerilemeleri çözülene kadar Manifest V2’yi kullanımdan kaldırmayı durdurması gerektiğini söylemiştik.
    Kabul edilmesi gereken noktalar var. Google gerçekten de MV2’yi kullanımdan kaldırmayı durdurdu, hataları düzeltti ve işlev boşluklarını kapattı. Örneğin userScripts API ve Offscreen API gibi yamalar var. Ayrıca güçlü ve esnek webRequest API’sini bilinçli olarak sınırlayarak yerine koyduğu DNR üzerinde de çeşitli iyileştirmeler yaptı. Google, başlangıçtaki tamamen mantıksız service worker ömür gereksinimlerini de gevşetti.
    Peki şimdi service worker’lar ve DNR nerede duruyor?
    Uzantıların service worker tabanlı yapılması gerekliliği geliştiricilere karmaşıklık ve baş ağrısı ekliyor; ancak çeşitli politika değişiklikleri ve geçici çözümler sayesinde iki yıl önceki kadar büyük bir sorun olmaktan çıktı. Google, service worker’ların uzantılarda idare eder şekilde çalışması için çok emek harcadı. Nihai sonuçta tarayıcı uzantısı yapmak daha zorlaştı, ancak service worker’ların artık ölümcül bir engel olmadığını düşünüyorum.
    Buna karşılık engelleyici webRequest hâlâ büyük ölçüde ortadan kalkmış durumda; belirli proxy kimlik doğrulama kullanımları dışında kullanılamıyor ve DNR hâlâ kabul edilebilir bir ikame değil.
    Hâlâ https://github.com/w3c/webextensions/issues/302 gibi işlev boşlukları var. İlginç olan, gizlilik uzantılarının artık düzgün biçimde ele alamadığı takip faaliyetlerinin önemli bir kısmının Google tarafından yapılması.
    Daha önemlisi, DNR temelde webRequest’in yeterli bir ikamesi değil.
    https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st... adresinde yazdığımız gibi, engelleyici webRequest’i kaldırmak kötü niyetli uzantıları durdurmaz; yalnızca gizlilik ve güvenlik uzantılarına zarar verir. Manifest V3 daha “güvenli”, yani daha kısıtlı bir uzantı deneyimine giden bir adımsa Manifest V4 nasıl görünecek? Yanıt, “güvenlik” gerekçesiyle daha az ve daha zayıf API’lerse sonunda zarar gören kullanıcı olur. Mümkün olan uzantıların kapsamı Google’ın açıkça izin verdikleriyle sınırlı kalır ve yaratıcı geliştiriciler inovasyon yapacak araçları kaybeder. Bu arada web’deki çeşitli tehditlere karşı kullanıcıların gizliliğini ve güvenliğini koruyan uzantılar geçmişe bağlı kalır; tehditler evrilse bile onlara ayak uyduramaz.
    Özetle artık hepimiz, reklamverenlere ve takipçilere yetişebilmek için Google’ın API’leri sürekli geliştirmesine bağımlı hâle geldik. Google devasa bir reklam şirketi. Chrome uzantıları, Manifest V3 önerisine kadar pek değişiklik yaşanmayan kayıp bir 10 yıl dönemini zaten bir kez yaşadı.
    Takip karşıtı teknolojinin anahtarlarını Google’a vermek iyi bir fikir değil.

  • Chrome kullanıcısıysanız dikkatli olmalısınız. Chrome, Google’ın web üzerindeki kontrolünü korumak ve genişletmek için kullandığı araçlardan biri.
    Google’a, sizin ya da çoğu insanın yararına olmayan şüpheli işler yapma gücü veriyorsunuz.

  • Önceki tartışma: https://news.ycombinator.com/item?id=29502439

  • Bu 2021 tarihli bir yazı.
    EFF, 2019-2021 arasında MV3’ün zararları hakkında bir sürü yazı yayımladı, sonra sessiz kaldı. Sonraki geliştirme sürecinin onların haksız mı yoksa haklı mı olduğunu kanıtladığını merak ediyorum. Vivaldi’de Chrome uzantıları kullanan biri olma konumum dışında bu alanı yakından takip etmiyorum.

  • 2021 tarihli bir yazı olduğu için biraz eski. Firefox da Manifest V3’ü benimsedi ya da en azından onunla uyumlu hâle getirdi.

    • Anladığım kadarıyla Firefox, webRequest API üzerinden engelleme işlevini korudu; buradaki en büyük tartışma noktalarından biri de bu.
  • Artık Firefox’un yapması gereken tek şey hiçbir şey yapmamak. V2 uzantılarını korursa, Chrome’da reklam engelleyiciler reklamları engelleyememeye başladığında kullanıcılar kaçacaktır.
    Chrome’un takvimi agresif biçimde öne çekmesini umuyorum.

  • Google gerçekten Chrome’da reklam engellemenin etkisini anlamlı ölçüde düşürecek bir değişikliği zorla hayata geçirirse, paradoksal biçimde epey çok kullanıcıyı Firefox’a ya da başka alternatiflere taşıyan bir tetikleyici olabilir.
    Firefox, birçok insanın gerçekten önemsediği bir açıdan IE’den çok daha iyi olduğunda kazandı: sekmeleri vardı. Ardından Chrome, birçok insanın önemsediği bir açıdan Firefox’tan çok daha iyi olduğunda kazandı: hızlıydı ve bir sekme çöktüğünde tüm tarayıcı birlikte çökmüyordu.
    Uzun süre boyunca Chrome’dan, çok sayıda insanın önemseyeceği bir açıdan çok daha iyi olan bir tarayıcı yoktu. Manifest V3’ün herkesin söylediği kadar kötü olup olmadığını bilmiyorum; ama gerçekten öyleyse yeterince büyük bir farklılaştırıcı unsur yaratabilir.

    • Bir Firefox destekçisinin gözünden bakarsak, Chrome’un kazanma nedeni bence 1) Firefox’un uzun süre bellek kullanımı ve kararlılık sorunlarıyla boğuşması, 2) Chrome’un ilk kurulumunun neredeyse hiç çaba gerektirmemesi ve 3) sürekli pazarlama ve yerleştirme yoluyla doygunluk yaratmasıydı.
      Chrome’un da kendi bellek sorunları vardı ama 3. madde bunu bastırdı. Bugün Chrome’da bir kilitlenme etkisi varsa bunun nedeni A) 3. madde, B) Gmail ile entegre daha iyi senkronizasyon süreci, C) daha iyi kurumsal dağıtım ortamı.
      Kurumsal müşterilerim Firefox’a kıyasla Chrome’u yaklaşık 4:1 oranında daha fazla kullanıyor. Hoşuma gitmiyor ama müşteri deneyimini önceliklendirmek zorundayım.
      Ancak Firefox’un kararlılığı ciddi ölçüde iyileşti; Chrome için de aynı şey geçerli. Chrome giderek daha az kullanıcı dostu hâle geliyor. Senkronizasyon kullanılmayan yerlerde, önümüzdeki yıl civarında kullanıcıları taşımak için bir yol görüyorum.