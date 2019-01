Anvisierte Änderungen am Erweiterungssystem sorgen für Aufregung – Google will nachbessern

Harsche Kritik vom Entwickler von uBlock Origin, die Androhung einer Kartellklage durch Ghostery: Aktuell diskutierte Änderungen an Googles Chrome-Browser haben zu einem wahren Sturm der Empörung geführt. Der Vorwurf: Google wolle aus wirtschaftlichem Interesse gezielt Adblocker und Anti-Tracking-Tools aussperren. Bei näherer Betrachtung ist die Angelegenheit freilich etwas komplizierter – und auch längst noch nicht fix.

Schnittstellen

Doch von Anfang an: Unter dem Namen Manifest V3 arbeitet Google derzeit an einer neuen Generation seiner Schnittstellen für Chrome-Erweiterungen. Ziel sei es dabei vor allem deren Sicherheit zu verbessern und gleichzeitig den Nutzern mehr Kontrolle darüber zu geben, was Extensions alles tun dürfen. Auch eine Verbesserung der Performance wird anvisiert. Umgesetzt werden soll dies nicht zuletzt über neue Beschränkungen: So dürfen Erweiterungen künftig etwa keinen Code mehr aus dem Netz nachladen. Damit soll verhindert werden, dass Erweiterungen erfolgreich die Sicherheitschecks des Chrome Webstores passieren, nur um dann später problematische Funktionen nachzuladen.

Dreh- und Angelpunkt der Kontroverse ist aber eine mächtige Programmierschnittstelle namens webRequest: Diese erlaubt es Erweiterungen bisher jede einzelne Netzwerkanfrage nach Belieben zu manipulieren. Genau das wirft aber einige Sicherheitsprobleme auf, wie Chrome-Sicherheitsentwickler Justin Schuh auf Twitter erläutert. So könnte eine bösartige Erweiterung problemlos alle Cookies der Nutzer stehlen. Also soll diese Schnittstelle mit Manifest V3 entfernt werden. Genau hier steht entsteht nun der Konflikt: Wird das webRequest API doch auch von vielen Adblockern genutzt, um das Herunterladen und Anzeigen von Werbung zu verhindern.

Alternativen

Allerdings will Google die umstrittene Schnittstelle nicht ersatzlos streichen: Stattdessen soll ein neues API namens declarativeNetRequest eingeführt werden, das einen anderen Ansatz verfolgt. Anstatt direkt Eingriffe in den Datenstrom vorzunehmen, sollen Erweiterungen künftig dem Browser mitteilen, welche Anfragen dieser für sie blockieren soll. Dies würde die Möglichkeiten von Adblockern signifikant beschränken, da entsprechende Anfragen lediglich über recht simple Parameter gestellt werden könnten.

Gleichzeitig sollte eine solch geordnete Abwicklung entsprechender Manipulationen aber auch eine bessere Performance sowie eine gesteigerte Privatsphäre bringen. Immerhin hätten die Erweiterungen damit keinen Zugriff mehr auf die Cookies oder andere sensible Daten der Nutzer.

Reaktionen

Trotzdem bleibt natürlich der Umstand, dass eine solche Änderung manchen Blocking-Tools einiges Ungemach bescheren könnte. So müssten sie ihre Entwicklungen massiv umarbeiten, um mit Manifest V3 zu funktionieren. Zudem gäbe es gewisse funktionelle Einschränkungen. So beklagen etwa die Entwickler von uBlock Origin oder auch von NoScript, dass die geplanten Schnittstellen für ihre Erweiterungen nicht ausreichend seien. Von Seiten von Adblock Plus heißt es hingegen, dass man schon jetzt ein ähnliches Konzept verfolgt, die eigene Erweiterung mit gewissen Anpassungen also auch weiterhin funktionieren sollte.

Aber auch die Entwickler mancher Anti-Phishing-Tools verweisen auf Defizite am aktuellen Stand von Manifest V3: Schreibt dieses doch vor, dass alle Webseitenadressen im Klartext gespeichert werden, um einsehbar zu sein. Bei blockade.io verwendet man aber absichtlich eine mit einem Hash verschleierte Speicherung, um zu verhindern, dass die Betreiber von Phishing- und Malware-Seiten allzu leicht sehen können, dass sie auf einer Blacklist stehen.

Die schärfsten Worte findet Ghostery-Entwickler Cliqz: Das Unternehmen sieht in den anvisierten Änderungen nichts anders als eine "unverschämte Ausnutzung der Marktmacht" durch Google, das damit sein Werbegeschäft schützen wolle. Insofern überlege man für den Fall, dass die Änderungen am Erweiterungssystem von Chrome wirklich kommen, eine Kartellklage einzureichen.

Nix ist fix

Google reagiert auf all die Kritik mit dem Hinweis, dass Manifest V3 noch nicht finalisiert ist. Man wolle mit den Erweiterungsentwicklern zusammenarbeiten, um einen Weg zu finden, der garantiert, dass die betreffenden Extensions auch künftig funktionieren, gleichzeitig aber auch die Sicherheit und Privatsphäre der Nutzer verbessert. Insofern könnte sich bis zur finalen Version der neuen Erweiterungsgeneration also noch einiges ändern. (Andreas Proschofsky, 24.1.2019)