Xakep #305. Многошаговые SQL-инъекции
В конце января мы рассказывали о серьезной проблеме, которая обеспокоила разработчиков расширений для блокировки контента в браузерах. Дело в том, что в настоящее время инженеры Google готовят третью версию манифеста, который, в сущности, определяет возможности и ограничения для расширений.
Напомню, что в Google планировали ограничить работу webRequest API, что могло негативно сказаться на функционировании блокировщиков контента и других расширений. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest. Разумеется, в Google считают, что эти улучшения направлены на повышение безопасности и производительности.
Первым внимание к этой проблеме привлек разработчик популярных блокировщиков uBlock Origin и uMatrix Реймонд Хил (Raymond Hill). Он предупредил, что отказ от webRequest станет «смертью» для его продуктов, а также выразил опасение, что переход на API declarativeNetRequest может пагубно сказаться на множестве других решений. В итоге точку зрения разработчика поддержали множество его «коллег по цеху», включая создателей NoScript, tampermonkey и множества защитных решений.
Теперь команда разработчик Ghostery опубликовала интересное исследование, в котором наглядно показано, что работа блокировщиков рекламы практически не сказывается на производительности Chrome, хотя разработчики Google утверждали обратное в комментариях к третьей версии манифеста.
Исследование демонстрирует бенчмарк-тесты uBlock Origin, Adblock Plus, Brave, DuckDuckGo и Ghostery, которые доказывают, что блокировщики практически не влияют на скорость загрузки страниц. Напомню, что ранее уже было доказано, что порой страницы без рекламы грузятся даже быстрее, чем с рекламой.
Вскоре публикации этого доклада инженеры Google поспешили прокомментировать ситуацию. По их словам, никто не собирается полностью отказываться от webRequest API, и команда Chrome вовсе не пытается усложнить жизнь разработчикам расширений и, тем более, не пытается вывести из строя сторонние блокировщики контента.
Стоит сказать, что инженеры Google сами инициировали публичное обсуждение текущей редакции манифеста, перед тем окончательно принять его и внести важные изменения в код. Хочется верить, что в Google действительно прислушаются к мнению сообщества и специалистов и третья версия манифеста будет основательно отредактирована.