手机版
你好,游客 登录 注册
背景:
阅读新闻

Chrome Manifest V3将影响TamperMonkey扩展

[日期:2019-01-30] 来源:Linux公社  作者:醉落红尘 [字体: ]

Google网上论坛帖子中,TamperMonkey扩展程序的作者Jan Biniok表示,如果实施Chrome Manifest V3版本,TamperMonkey将受到严重影响。 Tampermonkey使您可以非常轻松地管理用户脚本,并提供诸如运行脚本的清晰概述,内置编辑器,基于ZIP的导入和导出,自动更新检查以及基于浏览器和云存储的同步等功能。

Chrome Manifest V2管理的Chrome扩展程序可以使用哪些功能和权限。即将发布的V3版本对扩展执行权限施加了新的限制,如果限制生效,则某些扩展将不再有用,例如uBlock广告拦截扩展。

V3版本还建议阻止扩展使用远程托管脚本。这样做是为了增强安全性并保护用户免受恶意软件的攻击,恶意软件通常导入外部脚本这样做还可以让Google更好地审核扩展程序。

在Chromium Extensions小组的一篇文章中,TamperMonkey开发人员Jan Biniok说这种改变会影响他的扩展工作正常,因为加载远程脚本是插件核心功能的一部分。

Hi Chromium开发人员,Hi Devlin

我是Tampermonkey的开发人员,我还没有详细研究过所有计划的更改,但这是我最担心的一个。

>从Manifest V3开始,我们将禁止扩展使用远程托管代码。这将要求扩展程序执行的所有代码都存在于上传到Webstore的扩展程序包中。仍然允许服务器通信(可能改变的扩展行为)。这有助于我们更好地审核上传的扩展程序,并确保用户的安全。我们将利用最低要求的CSP来帮助实施(虽然它不会100%不可避免,我们也需要执行政策和人工审核)。

虽然上面的文字可能会被解释为像Tampermonkey这样的扩展可以继续存在,但我在电子邮件中从Devlin得到了以下解释:

>请注意,我们将限制所有上下文中的远程托管/任意代码执行。我们的目标是,我们应该能够对扩展程序进行深入的安全审查,并对其功能以及是否对用户构成安全或隐私风险(这也可能通过网页上下文)充满信心。但是,让我们将这个对话转移到另一个线程。 🙂

我理解安全性的必要性,但这意味着V3 P1按照目前的计划,将阻止Tampermonkey完全工作,因为任意代码执行是Tampermonkey的主要功能。然后每个小用户都必须成为自己的扩展。任何想要这样做的人必须支付5美元才能发布扩展。用户脚本有很多用例,所以我希望重新考虑这个计划的更改。

一种可能性是例如一个新的权限,放宽了这个约束,并允许再次远程执行代码。然后,可以向具有此权限的所有扩展提供特殊警告,并进行更深入的检查。你怎么看?

自Chrome 4或5版以来,我一直在研究Tampermonkey,我不能没有它了。 🙂

谢谢,

一月

TamperMonkey拥有超过400,00个脚本和超过1000万用户,是一个非常受欢迎的扩展。由于Google认识到使用远程托管脚本可能会被滥用,因此Jan Biniok会请求新的权限以避免对扩展程序产生影响,并希望通过此权限对扩展程序进行更严格的审核以及安装扩展程序时用户会发出警告。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156644.htm

linux
相关资讯       Chrome Manifest V3  TamperMonkey 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款