1 पॉइंट द्वारा GN⁺ 2023-11-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Chrome extensions की नई प्रणाली Manifest V3 को privacy, security और performance सुधार के नाम पर पेश किया गया है, लेकिन EFF ने इसकी आलोचना इस रूप में की है कि यह उन extensions को कमज़ोर करती है जिन्हें उपयोगकर्ता अपने नियंत्रण में रख सकते हैं
  • नई specification browser और website के बीच होने वाले संचार को monitor, modify और compute करने वाली क्षमताओं को सीमित करती है, जिससे tracker blockers जैसे privacy extensions की क्षमता कमज़ोर हो सकती है
  • security का तर्क भी विवादित है; Firefox से जुड़े एक अधिकारी के बयान का हवाला दिया गया है कि malicious extensions, blocking webRequest के बिना भी, केवल readable webRequest API से डेटा ले जा सकते हैं
  • performance के मामले में भी Princeton और University of Chicago के 2020 के शोध में कहा गया कि privacy extensions, जिन पर Mv3 के तहत पाबंदियाँ लगेंगी, वास्तव में browser performance को बेहतर बनाती हैं
  • जब Google एक प्रमुख browser और बड़े ad network दोनों को नियंत्रित करता है, तब Mv3 को ऐसा बदलाव माना गया है जो उपयोगकर्ताओं की पसंद और extension developers की प्रतिक्रिया क्षमता को सीमित करता है

Manifest V3 को लेकर बुनियादी विवाद

  • Manifest V3(Mv3) Google Chrome extension ecosystem में लागू होने वाले बदलावों का एक समूह है, और Google इसे privacy, security और performance के लिए उठाया गया कदम बताता है
  • EFF शुरू से ही पहली घोषणा के समय से यह रुख़ रखता आया है कि Mv3 उपयोगकर्ताओं के हित में नहीं है
  • Mv3 को FLoC और Privacy Sandbox की तरह उस हितों के टकराव के उदाहरण के रूप में देखा जाता है, जो तब पैदा होता है जब Google एक प्रमुख web browser और बड़े internet ad network दोनों को नियंत्रित करता है

privacy extensions पर लगने वाली पाबंदियाँ

  • Mv3 web extensions की क्षमताओं को सीमित करता है, खासकर उन extensions को जो उपयोगकर्ता द्वारा देखी जाने वाली websites और browser के बीच के संचार को monitor, modify और compute करती हैं
  • कुछ privacy-केंद्रित tracker blockers, जो इसी तरीके से काम करते हैं, नई specification के तहत अपनी बड़ी क्षमता खो सकते हैं
  • यह भी उद्धृत किया गया है कि Google ने शीर्ष 10 लाख websites में से 75% पर trackers लगाए हैं, और ऐसे में extensions की access permissions को सीमित करना चिंता और बढ़ाता है

security और performance के तर्कों पर आपत्ति

  • यह भी स्पष्ट नहीं है कि Mv3 security को वास्तव में बहुत बेहतर बनाएगा या नहीं
    • Firefox, जो Chrome-आधारित नहीं है, सबसे बड़े extension markets में से एक चलाता है और browser compatibility के लिए Mv3 अपनाने की बात कह चुका है
    • 2020 AdBlocker Dev Summit में Firefox Add-On Operations Manager ने कहा था कि अगर कोई malicious add-on security review पार कर ले, तो वह आमतौर पर उपयोगकर्ता के browser और websites के बीच की बातचीत को देखकर डेटा निकालने में रुचि रखता है
    • उनके अनुसार ऐसी malicious activity blocking के बिना, मौजूदा webRequest API से भी संभव है
  • EFF का कहना है कि अधिक सख़्त extension review security सुधार सकता है, लेकिन Chrome ने उस रास्ते के बजाय सभी extensions की क्षमताएँ सीमित करने वाला समाधान चुना
  • performance के लिहाज़ से भी Princeton और University of Chicago के शोधकर्ताओं के 2020 के अध्ययन में कहा गया कि वे privacy extensions, जो Mv3 से प्रभावित होंगी, वास्तव में browser performance को बेहतर बनाती हैं

developers और privacy समर्थकों की प्रतिक्रिया

  • Jonathan Mayer ने आलोचना की कि Chrome उपयोगकर्ता के agent की तरह नहीं बल्कि Google agent की तरह व्यवहार करता रहा है; उनके अनुसार इसकी default privacy कमज़ोर है, यह Google account linking को बढ़ावा देता है, और intrusive ad features लागू करता है
  • AdNauseam और TrackMeNot के निर्माता Helen Nissenbaum और Daniel Howe ने कहा कि Mv3, Chrome को ऐसा शक्तिशाली मध्यस्थ बना देता है जो तय करता है कि कौन-सा software बचेगा
    • 2017 में Google ने AdNauseam को Chrome Store से प्रतिबंधित किया, और हज़ारों उपयोगकर्ताओं ने अपना संचित डेटा और open source extension तक पहुँच खो दी
    • उनका मानना है कि Mv3, users को ad blockers सहित कई privacy tools से दूर कर सकता है
  • Ghostery ने Manifest V3 को internet privacy के लिए हानिकारक पीछे हटना बताया
  • Ghostery के Krzysztof Modras ने कहा कि service workers और declarativeNetRequest को अनिवार्य बनाने के बजाय वैकल्पिक रखा जाना चाहिए, ताकि अलग-अलग use cases के लिए समाधान दिए जा सकें
  • AdGuard का कहना है कि लगभग सभी browser extensions किसी न किसी रूप में प्रभावित होंगी; कुछ में समस्याएँ आएँगी या उनकी कार्यक्षमता टूटेगी, और कुछ पूरी तरह समाप्त भी हो सकती हैं
  • NoScript के developer Giorgio Maone ने कहा कि 16 वर्षों में browser extension API में जो बदलाव उन्होंने देखे हैं, उनमें Manifest V3 सबसे बुरा उदाहरण है, और मौजूदा जटिल extensions को फिर से लिखना पड़ सकता है या उन्हें अपनी मुख्य क्षमताएँ छोड़नी पड़ सकती हैं
  • SingleFile के developer Gildas ने Manifest V3 को functional और technical दृष्टि से बड़ा पीछे हटना बताया और कहा कि इससे उपयोगकर्ता को कोई वास्तविक लाभ नहीं मिलता

online choice और extension ecosystem पर असर

  • browser extension specifications जैसे सूक्ष्म तकनीकी बदलाव भी सभी internet users को प्रभावित कर सकते हैं
  • Google कई वर्षों तक दुनिया की सबसे बड़ी advertising company रहा है; इस संदर्भ में Mv3 की नई पाबंदियों को ऐसा एक और कदम माना गया है जिसमें Google यह तय करता है कि उपयोगकर्ता online कैसे रहेंगे
  • extension developers को चिंता है कि Mv3 user choice और extension-आधारित innovation को घटाएगा, और privacy तथा security extensions की नई खतरों पर तेज़ और रचनात्मक प्रतिक्रिया देने की क्षमता कम करेगा
  • संबंधित सामग्री:

1 टिप्पणियां

 
GN⁺ 2023-11-18
Hacker News की राय
  • मैं Google का बचाव नहीं करना चाहता, लेकिन यह बदलाव लगभग उसी तरह का है जैसा Apple ने 2016 के आसपास browser/content API के साथ पेश किया था
    web extension एक बहुत बड़ा privacy/security hole है जिसे उपयोगकर्ता अक्सर ठीक से समझे बिना स्वीकार कर लेते हैं। लेख खुद भी बताता है कि extension कितने खतरनाक हो सकते हैं: Manifest V3 extension की उस क्षमता को सीमित करता है जिससे वे browser द्वारा विज़िट की जाने वाली वेबसाइटों के साथ होने वाले आदान-प्रदान की निगरानी, संशोधन और प्रोसेसिंग कर सकें। हाँ, यही तो असल बात है। यह extension की उस क्षमता को सीमित करता है जिससे वे उपयोगकर्ता द्वारा देखी जाने वाली हर वेबसाइट की सामग्री की निगरानी, जासूसी और चोरी कर सकते हैं

    • Apple का बदलाव भी उतना ही बुरा है, और इसे इस बात के सबूत की तरह नहीं देखना चाहिए कि ऐसी पाबंदियाँ अच्छी तरह काम कर सकती हैं, बल्कि इस बात के सबूत की तरह देखना चाहिए कि यह कैसे गलत हो सकता है
      Safari की ad blocking क्षमता Chrome या Firefox की तुलना में साफ़ तौर पर कमजोर है। यह कहने पर कुछ लोग कभी-कभी नाराज़ हो जाते हैं, लेकिन इसमें बहस की ज़्यादा गुंजाइश नहीं है। uBlock Origin Safari पर नहीं है, इसके पीछे वजह है, और Safari के लिए सबसे अच्छे ad blocker apps desktop application की तरह चलकर फिर extension से communicate करते हैं, इसके पीछे भी वजह है
      Safari में कई शानदार privacy features हैं, लेकिन ad blocking उनमें से एक नहीं है। इसलिए जब कहा जाता है कि Manifest V3 ad blockers को नुकसान पहुँचाएगा, तो उसके लिए पर्याप्त आधार है। क्योंकि हम देख सकते हैं कि Safari ने वही काम किया तो क्या हुआ
      Manifest V3 के ज़्यादातर बदलाव वास्तव में काफ़ी अच्छे हैं, खासकर permissions model में बदलाव अच्छे हैं। active click permission भी शानदार है और optional permissions में सुधार भी ठीक है
      मैं समझता हूँ कि लोग इसे “Manifest V3” क्यों कहते हैं, क्योंकि किसी नाम की ज़रूरत होती है, लेकिन यह बात दबनी नहीं चाहिए कि Firefox भी अपना Manifest V3 implementation आगे बढ़ा रहा है, जिसमें privacy improvements का ज़्यादातर हिस्सा है और नुकसान लगभग नहीं के बराबर हैं
      blocking request handlers को हटाने से privacy में खास सुधार नहीं होता। active tab permission और runtime पर चुनी जाने वाली permission privacy को बेहतर बनाती हैं। जब लोग कहते हैं कि Manifest V3 बुरा है, तो आमतौर पर उनका मतलब उन अतिरिक्त पाबंदियों से होता है जिन्हें Google ने privacy वाले हिस्सों के ऊपर जोड़ा है। ये पाबंदियाँ privacy सुधारने में लगभग कोई मदद नहीं करतीं, जबकि Chrome के Manifest V3 में भी हर साइट पर उपयोगकर्ता की जासूसी करना तुच्छ रूप से आसान बना रहता है, और ad blockers टूट जाते हैं
      नुकसान उठाए बिना भी privacy improvements लाई जा सकती हैं
    • क्या सच में? MV3 में webRequest API अब भी है, बस read-only है। अगर सब कुछ झाँकना हो, तो वह अब भी संभव है
      Manifest V3 उन observational APIs को नहीं बदलता जिनका extension इस्तेमाल कर सकते हैं। extension developers के नज़रिए से इसका मतलब है कि Manifest V3 chrome.webRequest के observational हिस्से को नहीं बदलता। यानी Manifest V3 में भी extension वही डेटा देख सकते हैं जो पहले देखते थे, जिसमें उपयोगकर्ता द्वारा विज़िट किए गए URL और विज़िट किए गए पेज की सामग्री भी शामिल है[1]
      [1] https://www.eff.org/deeplinks/2019/07/googles-plans-chrome-e...
    • अगर मैं जिन वेबसाइटों पर जाता हूँ, उनसे ज़्यादा भरोसा अपने इस्तेमाल किए हुए extension पर करता हूँ, तो क्या? extension तो बस कुछ ही हैं, जबकि वेबसाइटें सैकड़ों-हज़ारों हैं
    • browser ही वह बहुत बड़ा privacy/security hole है जिसमें उपयोगकर्ता खुद अपनी मर्ज़ी से प्रवेश करते हैं। मेरे browser में इंस्टॉल Manifest V2 web extensions वाला browser, आपके बिना extension वाले browser से भी ज़्यादा private और सुरक्षित हो सकता है
    • देर से जवाब दे रहा हूँ, लेकिन अगर उस बात को ज्यों का त्यों मान भी लें, तब भी uBlock Origin के developer ने 2 साल पहले जिन limitations की सूची दी थी, वह अब भी लंबी है और MV3 developers ने उन्हें खुलकर हल नहीं किया है
      इनमें filters की संख्या पर मनमानी limits, functionality में गिरावट, और Chrome for Android पर extensions देने से Google का पूरी तरह इनकार करना जैसी बातें शामिल हैं। ऊपर से अगर MV3 version वाले ad blockers को खुद इस्तेमाल करें, तो वे पुराने के फीके साये जैसे लगते हैं। uBlock Origin Lite ads तो रोकता है, लेकिन popup window पहले खुल जाती है और उसके बाद blocked होने का संदेश दिखाता है, जबकि window खुलने के बाद बताना तो मूल उद्देश्य को ही बिगाड़ देता है। AdGuard बहुत बड़ी संख्या में ads को निकल जाने देता है। कुल मिलाकर अनुभव टूटा हुआ है, और इसका फायदा सिर्फ Google के ad division को मिलता है
  • ad blocking का अंतिम रूप शायद यह होगा कि उपयोगकर्ता को दिखाए जाने से ठीक पहले rendered web page frame को एक neural network जाँचे, और ads पर रंग चढ़ाकर उन्हें ढक दे

    • web integrity DRM यह सुनिश्चित करेगा कि ads वास्तव में display device तक पहुँचें। तब यह neural network ad blocker शायद smart glasses के भीतर जाकर वहीं ads को ढके
  • Chrome में ad blocker न हो तो उसे काम से जुड़ी खोजों के लिए इस्तेमाल करना मुश्किल हो जाता है
    जब तक दूसरे पेज तक न पहुँचे, man page या संबंधित API docs ढूँढना मुश्किल होता है, और पहले नतीजे कभी-कभी उपयोगी होते हैं, लेकिन खासकर जब frontend काम करना हो, तो uBlock के बिना अच्छे साइट भी व्यावहारिक रूप से इस्तेमाल नहीं हो पाते
    तब शायद Google search छोड़कर Stack Overflow या Reddit पर सीधे खोजूँ, या man page और docs के shortcuts बना लूँ। ज़रूरत पड़े तो GPT की मदद से उसे parse भी कर सकता हूँ। नहीं तो कंपनी Chrome को छोड़ देगी। सच में ad blocker के बिना काम नहीं हो सकता

  • मैं Privacy Badger का डेवलपर हूँ और EFF की MV3 पर कई पोस्ट सह-लेखित कर चुका हूँ। मेरे कुछ विचार हैं
    कुछ साल पहले https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st... में हमने यह मांग की थी
    कि Google service worker migration को वापस ले, blocking webRequest को बहाल करे, और जब तक सभी functionality regressions ठीक न हो जाएँ तब तक Manifest V2 की deprecation रोक दे।
    मानना पड़ेगा कि कुछ बातों में Google ने सुधार किया है। Google ने सचमुच MV2 deprecation रोकी, bugs ठीक किए, और feature gaps भरे। उदाहरण के लिए userScripts API और Offscreen API जैसे patchwork उपाय हैं। और DNR में भी कई सुधार किए गए, जो ताकतवर और flexible webRequest API को जानबूझकर सीमित करके उसका replacement बनाया गया था। Google ने शुरू में service worker lifetime पर जो पूरी तरह अव्यावहारिक requirements रखी थीं, उन्हें भी ढीला किया।
    तो अब service worker और DNR कहाँ खड़े हैं?
    extension को service worker-based बनाने की शर्त डेवलपर्स के लिए complexity और सिरदर्द बढ़ाती है, लेकिन कई policy changes और workarounds की वजह से यह दो साल पहले जितनी बड़ी समस्या नहीं रही। Google ने service workers को extensions में किसी तरह काम करने लायक बनाने के लिए काफी मेहनत की है। अंतिम नतीजा यह है कि browser extension बनाना पहले से कठिन हो गया है, लेकिन service workers अब घातक रुकावट नहीं रह गए हैं।
    लेकिन blocking webRequest अब भी लगभग पूरी तरह गायब है, और खास proxy authentication use case को छोड़कर इसका उपयोग नहीं किया जा सकता, जबकि DNR अब भी स्वीकार्य replacement नहीं है।
    अभी भी https://github.com/w3c/webextensions/issues/302 जैसे feature gaps बाकी हैं। दिलचस्प बात यह है कि privacy extensions अब जिस tracking का बड़ा हिस्सा ठीक से handle नहीं कर पाते, उसमें काफी कुछ Google द्वारा किया गया tracking है।
    इससे भी अधिक महत्वपूर्ण बात यह है कि DNR मूल रूप से webRequest का पर्याप्त replacement नहीं है।
    जैसा कि हमने https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st... में लिखा था, blocking webRequest को हटाने से malicious extensions नहीं रुकते, बल्कि privacy और security extensions को ही नुकसान पहुँचता है। अगर Manifest V3 एक अधिक “safe”, यानी अधिक restricted extension experience की ओर कदम है, तो Manifest V4 कैसा दिखेगा? अगर जवाब यह है कि “safety” के नाम पर और कमज़ोर व कम APIs, तो आखिरकार नुकसान users को होगा। संभव extensions की सीमा Google जो स्पष्ट रूप से अनुमति दे, उसी तक सिमट जाएगी, और creative developers innovation के tools खो देंगे। इस बीच, वे extensions जो users की privacy और safety को web की तरह-तरह की threats से बचाते हैं, अतीत में जकड़ कर रह जाएँगे और threats के evolve होने के साथ चल नहीं पाएँगे।
    सार यह है कि अब हम सब advertising industry और trackers की बराबरी करने के लिए Google पर निर्भर हो गए हैं कि वह APIs को आगे बढ़ाता रहे। Google एक बहुत बड़ी advertising company है। Chrome extensions पहले भी Manifest V3 proposal से पहले तक बदलाव न होने वाले खोए हुए 10 साल झेल चुके हैं।
    anti-tracking technology की चाबी Google को देना अच्छा विचार नहीं है

  • अगर आप Chrome user हैं, तो सावधान रहें। Chrome उन tools में से एक है जिनसे Google web पर अपना control बनाए रखता और बढ़ाता है।
    इससे Google को ऐसी संदिग्ध चीजें करने की ताकत मिलती है जो न तो आपके लिए और न ही अधिकांश लोगों के लिए फायदेमंद हैं।

  • पिछली चर्चा: https://news.ycombinator.com/item?id=29502439

  • यह 2021 की पोस्ट है।
    EFF ने 2019~2021 के दौरान MV3 की हानियों पर बहुत सारी पोस्ट लिखीं, और उसके बाद से चुप है। उत्सुकता है कि बाद की development direction ने उन्हें गलत साबित किया या सही। मैं इस क्षेत्र को बहुत करीब से follow नहीं करता, सिवाय इसके कि Vivaldi में Chrome extensions इस्तेमाल करता हूँ।

  • यह 2021 की पोस्ट है, इसलिए थोड़ी पुरानी है। Firefox ने भी Manifest V3 अपना लिया है, या कम से कम उसे compatible बना दिया है।

    • मेरी समझ के अनुसार Firefox ने webRequest API के ज़रिए blocking capability बनाए रखी है, और यही यहाँ के सबसे बड़े मुद्दों में से एक है।
  • अब Firefox को बस कुछ न करना है। अगर वह V2 extensions बनाए रखता है, तो जब Chrome में ad blockers ads ब्लॉक करना बंद कर देंगे, users वहाँ से निकलना शुरू कर देंगे।
    उम्मीद है Chrome अपना timeline आक्रामक ढंग से आगे बढ़ाए।

  • अगर Google सचमुच Chrome में ad-blocking effectiveness को अर्थपूर्ण रूप से घटाने वाले changes लागू करता है, तो विडंबना यह हो सकती है कि इससे काफी users Firefox या अन्य alternatives पर चले जाएँ।
    Firefox तब जीता था जब वह IE से उन तरीकों से कहीं बेहतर था जिनकी लोगों को सचमुच परवाह थी। क्योंकि उसमें tabs थे। फिर Chrome तब जीता जब वह Firefox से उन तरीकों से कहीं बेहतर था जिनकी लोगों को सचमुच परवाह थी। वह तेज़ था, और एक tab crash होने पर पूरा browser साथ में crash नहीं होता था।
    लंबे समय तक ऐसा कोई browser नहीं रहा जो Chrome से उन तरीकों में बहुत बेहतर हो जिनकी लोगों को परवाह हो। मुझे नहीं पता Manifest V3 उतना बुरा है जितना सब कहते हैं, लेकिन अगर यह सचमुच वैसा है, तो यह काफी बड़ा differentiator बन सकता है।

    • Firefox समर्थक के नज़रिए से देखें तो Chrome इसलिए जीता क्योंकि 1) Firefox लंबे समय तक memory usage और stability समस्याओं से जूझता रहा, 2) Chrome की शुरुआती setup में लगभग कोई मेहनत नहीं लगती थी, और 3) लगातार marketing और distribution के जरिए उसने saturation पैदा कर दी।
      Chrome की अपनी memory समस्याएँ भी थीं, लेकिन 3 नंबर की वजह उन पर भारी पड़ गई। अगर आज Chrome में lock-in है, तो वह A) 3 नंबर, B) Gmail के साथ integrated बेहतर sync process, और C) बेहतर enterprise deployment environment की वजह से है।
      मेरे enterprise clients Firefox की तुलना में लगभग 4:1 अनुपात में Chrome ज़्यादा इस्तेमाल करते हैं। यह मुझे पसंद नहीं, लेकिन customer experience को प्राथमिकता देनी पड़ती है।
      फिर भी Firefox की stability बहुत बेहतर हुई है, और Chrome की भी। Chrome धीरे-धीरे कम user-friendly होता जा रहा है। जहाँ sync उपयोग में नहीं है, वहाँ अगले साल तक users को migrate कराने का रास्ता दिखता है।