Warum es Werbeblocker in Google Chrome bald schwer haben

Google stellt mit «Chrome Manifest V3» im Januar 2023 auf eine neue Schnittstelle um, die besonders den Werbeblocker-Add-ons das Leben erschwert. Wir erklären, was hier passiert und was die Auswirkungen sind. [...]

(Quelle: PCtipp.ch)

Google verpflichtet ab Januar 2023 alle Entwickler von Chrome-Erweiterungen, den neuen, mit der Programmierschnittstelle Manifest V3 (Mv3) eingeführten Standard erfüllen zu müssen. Sonst fliegen sie aus dem Web-Store. Aber was heißt das?

Der Stein des Anstoßes ist der Wechsel von der «webRequest»- zur «declarativeNetRequest»-Programmierschnittstelle. Während Add-ons via «webRequest» die Webseiten-Daten blockieren, umleiten oder verändern durften, sei laut einem Artikel von Golem.de mittels «declarativeNetRequest» nur noch das Lesen erlaubt.

Das führt zwangsläufig dazu, dass besonders Add-ons des Typs «Werbeblocker» es ab dann sehr schwer haben werden, richtig zu funktionieren. Daneben sind aber auch Add-ons von Antivirus- und anderen Sicherheitsanbietern betroffen, die Malware- und besonders auch tausende Phishing-Sites blockieren sollen.

Weitere Kritik kommt von AdGuard, einem Unternehmen aus Zypern, das Werbeblocker für Betriebssysteme wie Windows, Android und Mac, sowie in Form von Add-ons auch für Webbrowser wie Firefox und Chrome entwickelt.

Das Unternehmen hat nun eine Art Beta-Version seines Ad-Blockers in einer mit Manifest V3 kompatiblen Variante bereitgestellt. In einem Blogbeitrag geht das Unternehmen auf die Schwierigkeiten ein, die V3 für Werbeblocker-Entwickler mit sich bringt.

Eines der größten Probleme liegt an der strengen Limitierung der Anzahl Einträge, die ein solcher Filter mit sich bringen darf. Chrome erlaubt 30’000 Regeln pro Erweiterung sowie maximal 330’000 Regeln für sämtliche bei einem User installierten Erweiterungen.

Außerdem sind pro Erweiterung höchstens 1000 Regeln nach RegExp-Prinzip zugelassen (Reguläre Ausdrücke). Das klingt zunächst alles nach recht viel, mit dem die Werbeblocker arbeiten können.

Manche Werbe- und Trackingblocker verwenden derzeit mehrere Listen mit jeweils mehreren zehntausend Einträgen. Hat ein User mehrere Erweiterungen installiert, die viele Filterregeln enthalten, kann es sein, dass vielleicht ein oder zwei Add-ons noch alle ihre Regeln ausschöpfen können, während ab dem dritten Add-on alle Erweiterungen kein Filterkontingent mehr erhalten und damit schlichtweg nicht funktionieren.

Außerdem sei die Syntax (quasi die Sprache, in der die Regeln formuliert sein müssen), offenbar ziemlich kompliziert. Was in einem Firefox-Add-on als einfachste Regel formuliert werden kann, muss für Chrome mit Manifest V3 recht umständlich übersetzt werden. Hierbei bleiben zudem einige Funktionen (wie z. B. Ausschließungen und reguläre Ausdrücke) auf der Strecke. Dies seien nur die wichtigsten der angetroffenen Schwierigkeiten.

Einige Add-ons verwenden externe Filterlisten, die ab ihren Servern geladen werden. Das vereinfacht schnelle Aktualisierungen, wenn neue Domains in die Filter eingepflegt oder andere wieder entfernt werden sollen. Dies sei mit Manifest V3 nicht mehr erlaubt.

Betroffene Browser und User

Alle Chromium-Browser betroffen

Die Einführung von Mv3 betrifft nicht nur Googles eigenen Browser Chrome, sondern findet bereits auf Chromium-Ebene statt, dem Open-Source-Projekt, auf dem nicht nur Chrome selbst, sondern auch andere Browser wie Microsoft Edge, Brave und Vivaldi basieren.

Warum nicht einfach «forken»? Der Vorteil eines Open-Source-Projekts ist, dass man theoretisch von diesem einfach einen «Fork» (hier im Sinne von «Abzweigung») erstellen kann, auf dessen Basis man weiterentwickelt.

Vivaldi, Brave und Opera könnten einen Chromium-Fork weiterpflegen, der die bisherige Schnittstelle Mv2 und damit alle darauf basierenden Add-ons weiterhin unterstützt.

Dieses Szenario ist allerdings nicht realistisch.

Erstens ist der seriöse Unterhalt eines Forks aufwändig. Jeder neue Bugfix und jede neue Funktion im Original-Chromium müsste auf Code-Ebene geprüft und von Fall zu Fall an den Mv2-Fork angepasst und in diesen übernommen werden.

Add-on-Entwickler, die in allen relevanten Browsern daheim sein wollen, müssten fortan nicht zwei (Firefox und Chrome), sondern drei Versionen (zusätzlich Mv2-Chromium) parallel verwalten. In Anbetracht dessen, dass viele kein Geld mit ihren Add-ons verdienen, dürfte das die meisten abschrecken.

Welche User betriffts?

Trotz der geballten Kritik gegenüber den von Google schon aufgegleisten Änderungen wird ein großer Teil der Anwendergemeinde davon wenig mitbekommen.

Einige werden feststellen, dass einzelne Add-ons nächstes Jahr unter Chrome nicht mehr laufen, weil die Entwicklung wegen des Aufwands oder zu großer Hürden eingestellt wurde.

Andere dürften bemerken, dass die Funktionsweise mancher Erweiterungen geändert hat oder deren Funktionsumfang reduziert wurde. Wer mehrere Add-ons benutzt, die umfangreiche Filterungen vornehmen, könnte sich darüber wundern, dass einige davon gar nicht mehr funktionieren, weil die Gesamtanzahl der zulässigen Regeln überschritten wurde.

Kommentar

Google betont ständig, die anstehenden Änderungen dienten der Verbesserung der Webseiten-Performance und der Erhöhung der Sicherheit. Beide Begründungen dünken mich merkwürdig.

Die Ladezeiten von Websites leiden primär unter den vielen Dutzend Scripts, Trackern und Anzeigen, die sich darauf befinden und die nicht immer optimale Antwortzeiten zeigen. Und von diesen stammen schätzungsweise mehr als die Hälfte von Google selbst. Immerhin ist der Konzern der weltgrößte Online-Werbevermarkter. Hat hier jemand «Interessenskonflikt» gesagt?

Die Sache mit der Sicherheit: Zahlreiche Anwenderinnen und Anwender setzen bestimmte Skript- oder Werbeblocker gerade wegen der Sicherheit ein. An Angriffen via Malware, die sich in Form von Drive-by-Downloads auf den PCs installiert haben, waren nicht selten auch infizierte Werbekanäle beteiligt, auf die sich die Kriminellen haben Zugriff verschaffen können.

Außerdem tummeln sich in Online-Werbeanzeigen häufig gefälschte Downloads und höchst dubiose, teils betrügerische Angebote. Und da sollen es primär die «bösen» Add-on-Entwickler sein, vor denen die Nutzerschaft geschützt werden muss?

Verwendete Quellen:

*Gaby Salvisberg: Langjährige Tipps- und Tricks-Lieferantin zu Windows, Office (nicht nur Microsoft), Webbrowsern, E-Mail, Sicherheit und Android. Liebäugelt insgeheim mit Linux. PCtipp-Forums-«Dompteuse», inoffizieller inhouse First-Level-Support.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*