La ruptura se centra en una función llamada Solicitud web, comúnmente utilizada en bloqueadores de anuncios y crucial para cualquier sistema que busque bloquear un dominio al por mayor.
Google ha tenido durante mucho tiempo preocupaciones de seguridad sobre Web Request y ha trabajado para eliminarlo del estándar de extensión más reciente, llamado Manifest V3, o MV3 para abreviar.
Pero, en una publicación de blog reciente, Mozilla dejó en claro que Firefox mantendrá el soporte para solicitudes web, manteniendo la puerta abierta para las formas más sofisticadas de bloqueo de anuncios.
La estrategia de Google ha sido criticada rotundamente por los defensores de la privacidad (la Electronic Frontier Foundation ha sido un opositor vocal), pero la empresa de búsqueda no se ha dejado convencer.
Aunque Firefox tiene una participación mucho menor en el mercado de escritorio que Chrome, podría ser una oportunidad para que el producto de Mozilla realmente se defina. Sin embargo, para Google, quedarse con MV3 tendrá un gran impacto en el papel general del bloqueo de anuncios en la web moderna.
-Comprender el manifiesto v3
Los cambios en Manifest V3 son parte de una revisión planificada de la especificación para el archivo de manifiesto de la extensión del navegador de Chrome, que define los permisos, las capacidades y los recursos del sistema que puede usar cualquier extensión.
Bajo la especificación actualmente activa, Manifest V2, las extensiones del navegador pueden usar una función API llamada Solicitud web para observar el tráfico entre el navegador y un sitio web y para modificar o bloquear solicitudes a ciertos dominios.
El ejemplo que Google proporciona a los desarrolladores muestra una secuencia de comandos de extensión que bloquearía el navegador para que no envíe tráfico a «evil.com»:
La función de solicitud web es potente y flexible, y se puede utilizar tanto para buenos como para malos propósitos. Las extensiones de bloqueo de anuncios utilizan la función para bloquear el tráfico entrante y saliente entre ciertos dominios y el navegador de un usuario. En particular, bloquean los dominios que cargan anuncios y evitan que se envíe información desde el navegador a cualquiera de los miles de dominios de seguimiento que recopilan datos sobre los usuarios de Internet.
Pero la misma función se puede usar maliciosamente para secuestrar las credenciales de inicio de sesión de los usuarios o insertar anuncios adicionales en las páginas web, que ha sido la razón fundamental de Google para cambiar la forma en que funciona en Manifest V3.
Según la nueva especificación, la versión de bloqueo de la API de solicitud web se eliminó y se reemplazó con una API llamada Solicitud de red declarativa. En lugar de monitorear todos los datos en una solicitud de red, la nueva API obliga a los creadores de extensiones a especificar reglas por adelantado sobre cómo se deben manejar ciertos tipos de tráfico, y la extensión puede realizar un conjunto más limitado de acciones cuando se activa una regla. Para algunas extensiones, esto aparentemente no será un problema: Adblock Plus, uno de los bloqueadores de anuncios más populares, se ha pronunciado a favor de los cambios de MV3, aunque vale la pena señalar que la extensión tiene una relación financiera con Google. Otros, sin embargo, pueden verse más gravemente afectados.
Google ha presentado los cambios como un beneficio para la privacidad, la seguridad y el rendimiento, pero los críticos lo ven como un esfuerzo calculado para limitar el impacto del bloqueo de anuncios en una empresa que se financia casi en su totalidad con anuncios. (En sus presentaciones ante la SEC, Google cita constantemente «tecnologías nuevas y existentes que bloquean anuncios en línea» como un factor de riesgo que podría afectar los ingresos).
Pero los creadores de algunas extensiones de bloqueo de anuncios y protección de la privacidad han dicho que el cambio socavará la eficacia de sus productos. Jean-Paul Schmetz, CEO de la extensión de navegador centrada en la privacidad Ghostery, apuntó en particular a la imposición del estándar MV3 por parte de Google a la luz de las declaraciones recientes de la compañía sobre la protección de la privacidad:
«Si bien Google está impulsando un mensaje de ‘privacidad por diseño’ en la superficie, todavía está afirmando un monopolio sobre todo el ecosistema al reprimir a las empresas de privacidad digital que ya están trabajando para devolver a los usuarios el control de sus datos».
La extensión Ghostery es un excelente ejemplo de un producto que se vería seriamente afectado por los cambios de Google. Además de bloquear el contenido de los anuncios, la extensión analiza las comunicaciones entre un sitio web y el navegador de un usuario para buscar datos que podrían identificar involuntariamente a un visitante único del sitio y los reemplaza con datos genéricos antes de que el tráfico de la red abandone el navegador. Hacer esto requiere la capacidad de modificar el tráfico web sobre la marcha y, como tal, se verá severamente restringido por las restricciones de MV3, dicen los desarrolladores.
“SI BIEN GOOGLE ESTÁ IMPULSANDO UN MENSAJE DE ‘PRIVACIDAD POR DISEÑO’ EN LA SUPERFICIE, TODAVÍA ESTÁ AFIRMANDO UN MONOPOLIO SOBRE TODO EL ECOSISTEMA”
Los desarrolladores de bloqueadores de anuncios también están preocupados porque los impactos de esos cambios llegarán mucho más allá del navegador Chrome. La especificación MV3 es parte del proyecto Chromium , un navegador web de código abierto creado por Google que forma la base no solo de Chrome, sino también de Microsoft Edge, el navegador ligero y Brave centrado en la privacidad, Opera, y muchos otros . Dado que Chromium respalda estos proyectos, los navegadores que dependen de él también tendrán que migrar eventualmente al formato de extensión MV3 , y las extensiones para esos navegadores ya no podrán bloquear anuncios mediante Web Request.
-MOZILLA RETROCEDE
Como el desarrollador principal de Chromium, Google ejerce una gran cantidad de poder sobre lo que las extensiones del navegador pueden y no pueden hacer. Esto distingue a los navegadores que no están basados en Chromium, especialmente Firefox y Safari, porque tienen la oportunidad de adoptar un enfoque diferente para el diseño de extensiones y ahora están en condiciones de distinguirse con un enfoque más permisivo para el bloqueo de anuncios.
Por razones de compatibilidad, Mozilla seguirá usando la mayor parte de la especificación Manifest V3 en Firefox para que las extensiones se puedan transferir desde Chrome con cambios mínimos. Pero, lo que es más importante, Firefox seguirá admitiendo el bloqueo a través de Web Request después de que Google lo elimine, lo que permitirá que los bloqueadores de anuncios anti-seguimiento más sofisticados funcionen con normalidad.
Al justificar esa decisión, Mozilla ha sido claro al reconocer que la privacidad es un valor central para las personas que usan sus productos, como dijo el director de seguridad Marshall Erwin:
“Sabemos que el bloqueo de contenido es importante para los usuarios de Firefox y queremos asegurarnos de que tengan acceso a las mejores herramientas de privacidad disponibles”, dijo Erwin. “En Firefox, bloqueamos el seguimiento de forma predeterminada, pero aún permitimos que se carguen anuncios en el navegador. Si los usuarios quieren dar el paso adicional de bloquear los anuncios por completo, creemos que es importante permitirles que lo hagan”.
En cuanto a las afirmaciones de Google sobre los beneficios de seguridad de sus cambios en MV3, Erwin dijo que las ganancias de seguridad inmediatas al evitar el bloqueo de Web Request «no eran obvias», especialmente porque se habían mantenido otras funciones de no bloqueo de Web Request, y no parecían hacer reducciones significativas en la probabilidad de fuga de datos.
Independientemente, Google parece mantener el rumbo. A pesar de la avalancha de críticas de los desarrolladores de bloqueadores de anuncios, el portavoz de Google, Scott Westover, que la compañía apoyaba el bloqueo y solo tenía la intención de limitar el tipo de datos que ciertas extensiones podían recopilar.
“Nos complace ver que Mozilla admite Manifest V3, cuyo objetivo es hacer que las extensiones sean más seguras para todos”, dijo Westover. “Chrome admite y seguirá admitiendo bloqueadores de anuncios. Estamos cambiando la forma en que funciona el bloqueo de solicitudes de red porque estamos realizando cambios fundamentales en el funcionamiento de las extensiones para mejorar las características de seguridad y privacidad de nuestra plataforma de extensiones”.
Google ha escuchado comentarios positivos sobre los cambios de muchos desarrolladores de extensiones de bloqueo de contenido, dijo Westover. Es posible que la postura de Firefox sobre el bloqueo de anuncios anime a más usuarios a cambiar al navegador, que actualmente se estima que representa menos del 8 por ciento del mercado de navegadores de escritorio en comparación con el 67 por ciento de Chrome.
Una vez que finalice el soporte de Manifest V2 en junio de 2023, los cambios en la funcionalidad serán más evidentes para los usuarios de cualquier navegador basado en Chromium. Hasta entonces, Mozilla defenderá pacientemente la privacidad, aunque a veces tendrás que buscarla en profundidad en un blog especializado.