Chrome: Google geht auf Adblocker-Entwickler zu

Vorsichtige Entwarnung: Google kommt den Entwicklern von Adblocker-Erweiterungen ein Stück weit entgegen und weitet die Zahl der zulässigen Regeln für Chrome-Erweiterungen (in Manifest V3) stark aus. Zudem erklärt Google, warum die neue Schnittstelle eingeführt wird.


Anzeige

Neue Regeln: Worum geht es genau?

Im Januar 2019 erklärte Google in Chromium die webRequest-Schnittstelle, die von Adblockern wie uBlock Origin verwendet wird, als veraltet. Stattdessen führt Google die neue deklarativeNetRequest-API ein. Diese neue im Manifest V3 beschriebene Schnittstelle ist aber viel weniger leistungsfähig als die alte API. Zudem übernimmt die neue API wieder die Kontrolle über die Filterung (die Adblocker-Extension-Entwickler bisher selbst realisierten). In der neuen API müssen Chrome-Erweiterungen Filterregeln über den Browser umsetzen lassen.

Was die Entwickler der Erweiterungen besonders aufregte: Mit der Einführung der neuen API wollte Google die Anzahl der Regeln, mit denen Entwickler Anzeigen herausfiltern können, auf max. 30.000 begrenzen. Bisherige Adblocker nutzten ein Mehrfaches dieser Regeln, bei Dr. Windows finden sich Zahlen von 75.000 Einträgen für Easy-List und 175.000 für uBlock Origin.

Für die Entwickler von Adblocker-Chrome Extensions bedeutet die neue API gravierende Umbaumaßnahmen, was nicht so einfach werden dürfte. Und durch die begrenzten Filterregeln gibt es weitere Einschränkungen. Was besonders ärgerlich war: Die alte webRequest-Schnittstelle sollte in Zukunft nur noch zahlenden Enterprise-Kunden in Chromium-Browsern zur Verfügung stehen.

Ich hatte den Sachverhalt im Blog-Beitrag Google verhindert Adblocking in Chromium-Engines thematisiert. Google wollte diese Grenze nochmals überdenken, hatte aber Anfang Juni 2019 in diesem Posting vom Chrome-Entwicklerteam wohl nun das finale Statement zum Stand der Entscheidung für Manifest V3 veröffentlicht (auch wenn man weiter mit der Community diskutieren will). Dieser Sachstand war im Blog-Beitrag Ärger wegen Googles Änderungen für Adblocker in Chrome nochmals aufbereitet worden.

Google begründet die Änderungen

ZDnet.com berichtet in diesem Artikel ebenfalls über den oben skizzierten Sachverhalt. Neu für mich war, dass Google begründet, warum man die alte webRequest-Schnittstelle kippt. Laut Google sei diese alte API eine Quelle des Missbrauchs. Gut 42% aller bösartigen Erweiterungen, die das Unternehmen seit Januar 2018 entdeckt hat, verwenden diese alte Schnittstelle für ‘schändliche Zwecke’.

Chrome webRequest-Schnittstelle
(webRequest-Schnittstelle, Quelle: Google)

“Mit Web Request sendet Chrome alle Daten in einer Netzwerkanfrage an die Listening Extension – einschließlich aller sensiblen Daten, die in dieser Anfrage enthalten sind, wie persönliche Fotos oder E-Mails”, schreibt Simeon Vincent, Developer Advocate for Chrome Extensions. – wo auch der obige Screenshot veröffentlicht wurde.


Werbung

Das Datenschutzrisiko ist offensichtlich: “Da alle Anforderungsdaten der Erweiterung ausgesetzt sind, ist es für einen böswilligen Entwickler sehr einfach, diesen Zugriff auf die Anmeldeinformationen, Konten oder persönlichen Daten eines Benutzers zu missbrauchen”, schreibt Vincent.

Mehr Sicherheit und Leistung

Mit der deklarativen Net Request API wird das alles unterbunden. Anstatt dass der Chrome-Browser alle Informationen über eine Anfrage zum Zeitpunkt der Anfrage an die Listening Extensions sendet, wird das Ganze umgedreht. Die Chrome-Extensions müssen im Browser Regeln registrieren, die dem Chrome mitteilen, was zu tun ist, wenn bestimmte Arten von Anfragen von Webseiten empfangen werden.

Chrome Net Request API
(Chrome Net Request API, Quelle: Chrome)

Dieser Ansatz hat, laut Google, sowohl für die Benutzersicherheit und den Datenschutz als auch für die Leistung des Browsers Vorteile. Mit einem deklarativen Ansatz muss Chrome keine sensiblen Daten für die Erweiterung bereitstellen. Der Browser kann die von der Erweiterung angeforderte Aktion ausführen, ohne ihr alle mit der Netzwerkanforderung verbundenen Daten zu senden, da die Erweiterung bereits die Bedingungen angibt, unter denen verschiedene Aktionen durchgeführt werden. Auf diese Weise kann die Erweiterung eine Inhaltsblockierung durchführen, ohne dass auf alle personenbezogenen Daten eines Benutzers zugegriffen werden muss.

Google schreibt, dass dies erhebliche Auswirkungen auf die Leistung habe. Vor allem ist ein persistenter, langlebiger Prozess nicht mehr notwendig, da Regeln registriert werden, bevor Anfragen gestellt werden, anstatt sie zur Laufzeit verarbeiten zu müssen. Dies reduziert auch die Kosten für die Serialisierung aller Anforderungsdaten und das Herunterfahren der prozessübergreifenden Nachrichten an die Lernerweiterungen. Diese Leistungssteigerungen werden Erweiterungen auf ressourcenbeschränkten Plattformen deutlich rentabler machen, so Google.

Google verspricht auf Adblocker-Entwickler zuzugehen

Dann schreibt Google, dass die Umstellung auf Declarative Net Request und das gesamte Manifest V3 noch sehr stark in Design und Entwicklung sind. Man signalisiert, auf das Feedback der Community zu hören. Als erste Maßnahme planen wir derzeit, die Regelgrenze von maximal 30.000 Regeln pro Erweiterung auf ein globales Maximum von 150.000 zu erweitern. Das ist ja schon mal was.

Ähnliche Artikel:
Google verhindert Adblocking in Chromium-Engines 
Ärger wegen Googles Änderungen für Adblocker in Chrome


Anzeige
Dieser Beitrag wurde unter Google Chrome abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Responses to Chrome: Google geht auf Adblocker-Entwickler zu

  1. 1ST1 sagt:

    Die Erklärung für diesen Schritt ließt sich schlüssig und scheint Datenschutzrelevant zu sein. Jetzt müssen sich die Mozilla-Entwickler fragen lassen, ob und wie die netsprechende Schnittstelle in Firefox, die dortige Adblocker-Addons nutzen, dazu benutzt werden kann, private Daten durch Adblocker abzugreifen.

  2. Joerg sagt:

    Auf mich wirkt “Sicherheit und Datenschutz” wie ein vorgeschobenes Argument.
    Wenn ich Software einsetzte, muss ich dem Anbieter Vertrauen entgegen bringen. Da spielt es für mich erstmal eine untergeordnete Rolle, ob das ein Browser oder ein Add-on ist.
    Das Problem besteht doch eher darin, daß es bößartige Erweiterungen gibt bzw. daß diese installiert werden.

    • 1ST1 sagt:

      Das ist genau das Problem. Kann man den Quellcode der Erweiterungen einsehen? Wenn ich nach adblock in der Firefox addon suche, bekomme ich ein paar Ergebnisse mehr, als erwartet. Weiß der Laie, welches adblock das “gute” ist?

      • Mike sagt:

        Hast du mal im Playstore adblock eingegeben ? Da kommen schnell 30 bis 50 Möglichkeiten. Welche ist da die “Richtige” ? Google sollte erst einmal die eigene Umgebung sauber halten. ich habe soweiso nie verstanden, warum sich jemand freiwillig Chrome als Browser installiert.
        Und nicht zu vergessen, Google verdient sein Geld mit Werbung. Da glaube ich kein bisschen an Datenschutz als Argument, das behauptet Google nur, weil Apple ein ähnliches Konstrukt fährt. Nur mit dem Unterschied, das Apple deine Daten eben nicht weiter verhökert wie Google.

        • Red+ sagt:

          Tja das verstehe ich auch nicht wie man sich den Google Chrome Browser Freiwillig installieren kann, gerade auf einem Firmenrechner ist es praktisch ein Datenschutz Problem, neben bei wird diesem Datenschnüffeltool von Googel ja auch noch mehr unterstellt.
          Gleiches gilt aber auch für den Neuen und alten Microsoft Edge der Telefoniert auch nach hause.

          Wie soll ich nun unterscheiden welcher der Richtige Adblock oder uBlock Origin ist? der beste weg ist wahrscheinlich direkt beim Hersteller zu laden und zu hoffen den Originalen zu bekommen.
          Sonst spioniert das addon am ende noch mehr als die Werbung und der Browser.

  3. Werbung

  4. RUTZ-AhA sagt:

    Da lobe ich mir uMatrix im Firefox. Diese Erweiterung von Gorhill schützt gründlich und ist vertrauenswürdig. Er ist auch für uBlock Origin zuständig, und für beides ist der Code auf Github einsehbar. Gorhill ist Fanatiker für Datenschutz, zu ihm habe ich grenzenloses Vertrauen.

  5. tomasoo sagt:

    “Mit Web Request sendet Chrome alle Daten in einer Netzwerkanfrage an die Listening Extension – einschließlich aller sensiblen Daten, die in dieser Anfrage enthalten sind……
    Das Datenschutzrisiko ist offensichtlich: “Da alle Anforderungsdaten der Erweiterung ausgesetzt sind, ist es für einen böswilligen Entwickler sehr einfach, diesen Zugriff auf die Anmeldeinformationen, Konten oder persönlichen Daten eines Benutzers zu missbrauchen”, schreibt Vincent.”

    Aha und wieso ist dieses Risiko durch die geplanten Änderungen entschärft?
    Daran ändert sich doch überhaupt nichts. Die webRequest API wird ja nicht komplett entfernt. Nur das Blockieren von requests wird nicht mehr funktionieren.

  6. Info sagt:

    Meine Meinung:
    ——————-
    (einzelner Client)

    Ein Browser ist “nur” eine Anwendung… in einer Betriebssystem-Umgebung.
    So etwas grundlegendes wie IP Zugriffsverwaltung oder DNS Auflösungs-Beschränkungen “hat dort nichts zu suchen”!

    Das sollte, wenn nicht komfortabel auf Betriebssystemebene möglich, durch für diesen Zweck geeignete Programme(ja, es gibt noch lokal installierbare Programme)geschehen – direkt auf der Schnittstelle zum WAN. Das gilt dann Systemweit.

    “Moderne” Browser machen zwar alles möglich und winken jeden neuen Standard durch, letztendlich schwindet das Vertrauen doch zunehmend. Was App/Plug-In gerade veranstalten, wer weiß das schon. Datenschutz, Google, Mozilla, …kann man nicht grundsätzlich vertrauen – die wollen auch nur Daten sammeln/Telemetrie erfassen und damit Umsatz machen.

    Solange sich sogenannte APP Stores namhafter Hersteller in so desolaten Zuständen befinden – Validierung, Sicherheit, Datenschutz – nein danke es muss ohne gehen.

    • Red+ sagt:

      Ich war dieser Tage bei jemanden um etwas am PC zu manipulieren, dabei habe ich mir mal einige große Webseiten mit Werbung ansehen dürfen/müssen der Arbeitet nämlich in der Werbebranche somit will der die Werbung sehen.
      Es ist erschreckend was Mir da mittlerweile mit Werbeblocker alles entgeht und viel Erschreckender mit welchen mitteln die Werbebranche mittlerweile arbeitet um jeden Platz auszufüllen.

  7. RUTZ-AhA sagt:

    “….und viel Erschreckender mit welchen mitteln die Werbebranche mittlerweile arbeitet um jeden Platz auszufüllen.”

    Je mir die Werbebranche aufmunitioniert und mit immer neuen miesen Tricks arbeitet, umso heftiger wird der Widerstand. Und der ist mehr als gerechtfertigt.

    Unter den Experten gibt es genug feine Menschen. die nicht gewillt sind, diesem ekelhaften Treiben einfach zu zu sehen. Die entwickelten Gegenmittel sind von hoher Effizienz, weil sie gleichzeitig auch Attacken durch Schadsoftware verhindern.

    Sollte dieses Gleichgewicht einmal kippen, hilft nur noch Abstinenz.

    • Günter Born sagt:

      Die Nacht geht leider ein weiterer Blog-Beitrag online, den ich dokumentiert habe. Der zeigt, wie schief Tracking und automatisierte Auswertung der Daten gehen kann – hier im Fall einer zwielichtigen eBay-Werbeanzeige. Schneide mich zwar ins eigene Fleisch – aber nur öffentlicher Druck hilft. Obwohl bezüglich kleiner Blogger gegen eBay sicherlich ‘was kratzt es den Baum, wenn die Ameise an den Stamm pinkelt’ gelten dürfte.

      • RUTZ-AhA sagt:

        … ‘was kratzt es den Baum, wenn die Ameise an den Stamm pinkelt.’

        Auch nicht schlecht :-)

        Aber: nun ersetze Ameise mal durch Borkenkäfer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.