最近,Google 的 Chrome 浏览器团队一直在努力显着提高使用 Chrome 扩展程序时的安全性。这包括将我们的工程团队规模扩大 300% 以上,以打击扩展滥用,并将审计员数量增加 400% 以上。
据 Google 称,自 2018 年初以来,这已帮助将包含恶意内容的扩展程序的安装率降低了至少 89%。目前,每月约有 1,800 个恶意上传内容被阻止并防止分发给毫无戒心的用户。新的 Manifest V3 还对平台本身进行了相应的更改,以确保它不是由员工运行,并且是阻止包含恶意内容的扩展程序远离 Chrome 及其用户的唯一方法。
这使用户可以更好地了解和控制他们与扩展程序共享的数据。据谷歌称,这应该通过一组定制的 API 来确保。
与其让用户向每个扩展授予对所有敏感数据的访问权限,不如为开发人员创建一种仅访问实现相同功能所需的数据的方法。
例如,Google 指出了新的 Declarative Net Request API。它旨在替换以前的 Web 请求 API 的部分内容并更改用户数据的处理方式,以便扩展程序不需要访问用户的所有敏感数据。阻止内容。您可能还记得有关 Chrome 广告拦截器的讨论。目前,Web Requests API 需要 Chrome 扩展程序获得权限才能访问有关网络请求的所有信息,包括电子邮件、照片和其他个人信息。
相比之下,声明式网络请求 API 允许扩展程序阻止内容,而无需请求用户访问敏感信息的权限。这应该会带来比网络请求更好的系统级性能(至少谷歌是这么声称的)。
目前,许多现有的 Chrome 扩展程序(包括广告拦截器)都依赖于 Web 请求 API。然而,谷歌有意识地强调,它不想以任何方式阻碍此类拦截器。相反,他们希望支持相应的扩展开发者,以便他们的软件能够更好地保护用户隐私。当然,新的Declarative Net Request API将不得不重新审视并取代旧的API,这肯定需要付出努力。
然而,我们相信,允许用户设计自己的浏览体验,同时限制他们与第三方共享的敏感数据是正确的选择。
