Chrome schränkt Werbeblocker & mehr ein: Das steckt hinter Googles Manifest V3

Als Video ansehen
Bereitgestellt über YouTube

Chrome schränkt Werbeblocker & mehr ein: Das steckt hinter Googles Manifest V3

Software, Videobeitrag DMW007

Google hat eine Abneigung gegen Werbeblocker – das ist kein Geheimnis, schließlich liefert Werbung den mit Abstand größten Teil der Einnahmen. Doch mit Manifest V3 geht er nicht nur gegen unliebsame Werbeblocker vor. Es gibt durchaus legitime Gründe dafür, die allerdings tiefer Stecken und bessere Lösungen verdienen. Ansonsten werden Symptome bekämpft, statt Probleme effektiv gelöst.

Dieser Beitrag fasst zusammen, was Manifest V3 ist und welche Konsequenzen dies auf Chromium-Browser hat. Ein eigener Abschnitt widmet sich den Werbeblockern, für die das besonders problematisch ist. Von all diesen Änderungen ist nicht nur Google Chrome betroffen: Mittlerweile nutzen nahezu alle größeren Browser (außer Firefox & Safari) unter der Haube Googles Chromium. Sie sind daher potenziell ebenfalls betroffen, so lange die Entwickler nicht selbst Handeln.

Was ist Manifest V3?

Eine Manifest Datei liefert grundlegende Meta-Informationen (Name, Version, Symbol usw) zu einer Browser-Erweiterung und das Wichtigste: Für welche Webseiten die Erweiterung geladen werden soll.1 Lange Zeit musste jede Browser-Erweiterung diese Daten in Version 2 angeben, bis Google Anfang 2019 den Nachfolger V3 ankündigte. Er soll vor allem Sicherheit und Datenschutz sowie die Leistung verbessern.2 2020 erschien die erste Testversion und 2021 war Manifest V3 in Googles hauseigenem Browser Chrome verfügbar.3

Wie wirkt sich das auf Erweiterungen wie Werbeblocker aus?

Am wichtigsten sind dabei zwei konkrete Änderungen: Die Möglichkeit, auf Inhalte aller Webseiten zugreifen zu können, sowie Veränderungen daran vorzunehmen, wurde durch den Wechsel zu DeclarativeNetRequest (vorher WebRequests) eingeschränkt. Außerdem können Erweiterungen keinen Code mehr nachladen, etwa durch externe Links. Werbeblocker machen von beidem Gebrauch: Mit der neuen DeclarativeNetRequest können sie beispielsweise weniger Filterregeln festlegen. Durch das beschränkte Nachladen von Daten müssen die Filterlisten in die Erweiterung eingebunden werden. Für jede Änderung der Filter muss die komplette Erweiterung aktualisiert werden – das verzögert den Prozess. Außerdem können Nutzer keine eigenen Filterlisten mehr hinzufügen, wie dies bisher per Knopfdruck möglich ist. Schlussendlich werden Werbeblocker in Chromium-Browsern weiterhin funktionieren. Aber weniger gut, wie bisher.

Meist sind Werbeblocker in der Diskussion, weil sie wohl die verbreitetsten und auch nützlichsten Beispiele sind. Grundsätzlich betrifft diese Änderungen sämtliche Erweiterungen, die Einfluss auf alle besuchten Seiten nehmen möchten: Beispielsweise Inhaltsfilter für Kinder oder sogenannte „Sicherheitserweiterungen“.4 Auf letztere kann und sollte definitiv verzichtet werden. Sie stammen oft von Antiviren-Software, einer mehr als fragwürdigen Branche. Ihre Browsererweiterungen sind oft von ähnlich schlechter Qualität und sind z.B. für das (nicht selten stümperhafte) aufbrechen verschlüsselter Verbindungen bekannt. Manch einer wurde gar dabei erwischt, die Browserdaten gesammelt und verkauft zu haben.56 Mit Manifest V2 sind solche Kandidaten tatsächlich eine geringere Gefahr, als bisher.

Nur um mehr Werbung anzuzeigen? Das Problem ist größer

Damit stellt sich die Frage, ob das aus Nutzersucht legitim ist. Auf den ersten Blick leuchtet es natürlich völlig ein: Google würde am meisten davon profitieren, wenn Werbeblocker schlechter werden. Allerdings gibt es auch andere legitime Gründe für diese Änderung. Die Erweiterungen sind sehr mächtig und können mit entsprechendem Seitenzugriff beispielsweise Passwörter oder andere sensible Informationen stehlen.7

Neben solchen Experimenten von Sicherheitsforschern gab es bereits etliche reale Fälle, in denen schädliche Erweiterungen entdeckt wurden. Oft erst, nachdem sie eine beachtliche Verbreitung erreicht haben: Im August 2022 wurden beispielsweise 79 Stück entdeckt, insgesamt 33 Millionen mal heruntergeladen.8 Oft sind sie nicht händisch aus dubiosen Quellen installiert worden, sondern stammen aus dem offiziellen Chrome Web Store von Google. Bereits 2020 wurden Forscher fündig, durch ihre Ergebnisse entfernte Google über 500 Erweiterungen aus ihrem Store.9

Die Liste könnte man noch weiter führen. Sie startete auch nicht erst vor wenigen Jahren: Bereits 2016 bezeichnete der IT-Student Maxime Kjaer den Prozess zur Erkennung von Schadsoftware im Chrome Web Store als Witz („a joke“).10 Erweiterungen können mit einem Klick alle Webseiten einsehen und manipulieren. Neben quelloffener Software und damit mehr Transparenz hat er vor allem Kritisiert, dass Google keinerlei Überprüfungen durchführt.

Die billigste „Lösung“ schlägt zwei Fliegen mit einer Klappe

Das Problem ließe sich relativ einfach lösen, in dem Erweiterungen geprüft werden. Damit kombiniert, wäre das neue Verbot des Nachladens von Code sogar sehr sinnvoll: So könnte man sicher gehen, dass eine schädliche Erweiterung nicht in harmloser Form eingereicht und nach erfolgreicher Prüfung den gefährlichen Code aktiviert. Allerdings möchte Google offensichtlich keine Ressourcen in einen Prüfprozess investieren. Egal ob halbautomatisch oder manuell: In jedem Falle würde das Geld kosten. Der Verkauf eurer Daten ist ein Goldgrab, welches der Konzern gerne für sich behalten möchte.1112

Stattdessen kratzt man an der Oberfläche und schränkt Erweiterungen etwas ein, damit sie weniger Schaden verursachen können. Gleichzeitig werden Werbeblocker entschärft. Das muss nicht mal das primäre Ziel gewesen sein. Geplante Obsoleszenz ist es oft auch nicht, sondern fällt als Nebenprodukt bei etwas anderem heraus: Kostendruck. Um den Gewinn zu steigern oder zumindest zu halten, wird permanent versucht, Kosten zu sparen. Gibt es ein vergleichbares Bauteil von einem anderen Hersteller etwas günstiger, tauscht man das bisherige aus. Damit der das zu einem geringeren Preis anbieten kann, wird oft irgendwo am Material gespart. Also hält das neue vielleicht nur z.B. 9 Jahre, statt den 10 Jahren des vorherigen. Das war nicht die primäre Absicht, aber wenn man dabei auch noch spart, nimmt man das als Bonus gerne mit.

So wird das hier wahrscheinlich ebenfalls gewesen sein. Ich würde auch den Chrome-Entwicklern nicht pauschal unterstellen, dass die sich den ganzen Tag überlegen, wie man den Nutzern am meisten Schaden kann.13 Einzelne negative gibt es sicherlich, wie überall. Der Großteil aller Entwickler möchte dagegen etwas sinnvolles tun und Dinge verbessern. Das sieht man an anderen Funktionen durchaus: Chrome ab 117 informiert beispielsweise betroffene Nutzer, wenn Erweiterungen (u.a. weil sie schädlich sind) aus Googles Store entfernt wurden.14 Auch das löst die Wurzel des Problems nicht. Aber wir kennen die Hintergründe nicht: Wollten das Google-Entwickler schon vor Jahren besser machen, aber die Chefs haben es abgelehnt? Hier könnte man nur spekulieren, was schlussendlich nicht viel bringt.

Wie es 2023/2024 weiter geht

Was wir dagegen wissen: Nach massiver Kritik und einer Pandemie hat Google 2023 die Pläne für Manifest V3 einige Zeit ausgesetzt.15 Aufgegeben wurde der Plan jedoch nie, es sollte ausdrücklich nur eine Pause sein. Mitte November 2023 kündigt Google an, nun mit der Migration fortzufahren. Man habe sich die Rückmeldungen der Entwickler angehört und Detailverbesserungen vorgenommen – etwa beim Limit für die neue API zum Filtern von Anfragen.

Der weitere Zeitplan steht ebenfalls: Ab Juni 2024 werden Manifest V2 Erweiterungen in den Test- und Entwicklerversionen (Dev, Canary & Beta) mit Chrome 127 abgeschaltet. Konkret heißt das: Bereits installierte Erweiterungen funktionieren nicht mehr und auch neue lassen sich nicht installieren. Man plane anschließend etwa einen Monat ein, bis dies produktiv alle Nutzer betrifft. Je nach vorliegenden Daten kann das noch etwas variieren. In jedem Falle soll ab etwa Mitte 2024 für alle Schluss mit V2 sein.16

Google gesteht Werbeblockern in Chrome 120 und 121 höhere Limits zu: 100 statt 50 statische Regelsätze zur Filterung von Inhalten, von denen nun maximal 50 aktiv sein dürfen, statt wie bisher nur 10. Die dynamischen Regeln sollen von 5.000 auf 30.000 erhöht werden – allerdings lediglich für Regeln, die Google als weniger risikoreich einstuft. Sollte Google dies nicht anerkennen, gilt für die restlichen weiterhin das vorherige Limit von maximal 5.000 Stück. Der Hintergrund ist, dass statische Regeln nur über ein Update der Erweiterung im Store verteilt werden können. Dynamische sollen sich durch den Werbeblocker selbst aktualisieren lassen, also unabhängig vom Chrome-Store. Außerdem soll ab Chrome 118 nicht mehr zwischen Groß- und Kleinschreibung unterschieden werden, um hierfür duplizierte Regeln einzusparen.17

Diese Lockerungen werden begrüßt, allerdings bleibt die grundsätzliche Kritik daran bestehen: Das System sei zu restriktiv und Entwickler von Erweiterungen vom Wohlwollen des Konzerns abhängig, um jetzt sowie zukünftig auf Werbung reagieren zu können.18 Um das einzuordnen: Ein frisch installiertes uBlock Origin fügt bereits über 100.000 Netzwerkfilter hinzu, die von rund 50.000 kosmetischen Filtern begleitet werden:

Was bedeutet das konkret für Werbeblocker?

UBlock Origin ist ein bekannter, quelloffener Werbeblocker für alle gängigen Browser. Dort hat das Team recht klar erklärt, dass ihre Erweiterung zwingend Manifest V2 benötigt und nicht mit V3 funktioniert. Eine neue Erweiterung uBlock Origin Light wurde für V3 entwickelt. Sie weist jedoch einige Einschränkungen auf und ist daher nicht dafür gedacht, das vollwertige uBlock Origin zu ersetzen1920:

  • Es gibt keine eigenständig gepflegten Filterlisten mehr. Sie lassen sich nur zusammen mit der gesamten Erweiterung aktualisieren. Das Einbinden von Dritten oder selbst erstellten Listen ist nicht mehr möglich.
  • Eigene Filter (z.B. per Rechtsklick auf ein Element, um es zu blockieren) wurden entfernt
  • Einstellungen können nicht mehr auf Seitenbasis gesetzt werden (z.B. blockieren großer Medien oder Skripte nur auf Seite X)
  • Kein Blockieren ganzer Seiten mehr (wenn man z.B. auf einen Link klickt, der auf geblockte Seiten umleitet)
  • Die verschiedenen Modi (z.B. um JavaSkript oder Drittanbieter-Anfragen zu blockieren) lassen sich nicht mehr nutzen

Damit wird konkreter, welche Einschränkungen V3 im Vergleich zu V2 mit sich bringt.

Es gibt (noch) Alternativen

Wer damit nicht einverstanden ist, kann diese Einschränkungen auf zwei Arten umgehen: Manche Browser wie Brave haben einen Werbeblocker in den Browser eingebaut. Er wird daher nicht als Erweiterung geladen.2122 Grundsätzlich betroffen sind diese Browser jedoch ebenfalls, da sie auf Chromium setzen. Andere Funktionen, die V2 benötigen und nur per Erweiterung nachrüstbar sind, funktionieren daher wahrscheinlich dort ebenfalls nicht mehr.

Mozilla Firefox baut Manifest V3 zwar ein, hält sich aber nicht vollständig an Googles Beschränkungen. Dadurch sollen Inhaltsfilter wie Werbeblocker weiterhin uneingeschränkt funktionieren.23 24 2021 hat sich zudem die Webextensions Community Group gegründet. Sie möchte Manifest V3 grundlegend spezifizieren, den Browsern aber Freiraum für Erweiterungen lassen.25

Chaos von Google

An dieser Stelle sei noch darauf hingewiesen, dass es in den letzten vier Jahren nicht nur kontroverse Diskussionen gab. Das Vorgehen von Google hat auch ein Stück weit für Verunsicherung und Chaos gesorgt. Wie viel Klärungsbedarf es gab, sieht man schon am Zeithorizont. Diese massive Änderung wollte der Konzern längst hinter sich haben. Geklappt hat das jedoch nicht mal bei den eigenen Produkten: Eine Ende 2022 durchgeführte Auswertung von 1.200 Erweiterungen in Chromes Web Store zeigt, dass 2/3 noch auf Manifest V2 basieren.26 Darunter sind 12 hauseigene von Google, lediglich 3 davon unterstützten V3 – die restlichen 9 benötigten weiterhin V2.

Alleine das zeigt schon, dass die Verschiebung dringend nötig war. Wenn nicht mal Google mit gutem Beispiel voran geht, wie soll man das von den ganzen eigenständigen Entwicklern erwarten können? Außerdem gab es vor allem Anfangs diverse Probleme.27 Seit dem lief die Migration zwar konstant weiter, aber schleppend. Am 26.11.2023 waren gerade einmal rund 45,1% der Erweiterungen zu V3 portiert:28

Definitiv gezählt sind damit die Tage von nicht mehr gepflegten Erweiterungen: Sofern sie bis zur Abschaltung von V2 Mitte 2024 nicht doch noch aktualisiert werden, sind sie ab da unbrauchbar.

Fazit

Manifest V3 versucht großteils ein Problem von Hinten zu lösen. Die Kritik daran ist unterschiedlich ausgeprägt: Während uBlock Origin eine eigene Erweiterung für V3 mit deutlichen Einschränkungen heraus brachte, sieht es AdGuard inzwischen weniger kritisch.2930 Doch auch dort stimmt man der Einschätzung zu, dass V3 alleine den Chrome Web Store nicht all zu viel sicherer machen wird. Das ist nachvollziehbar: Was bringt es, wenn kein Schadcode nachgeladen werden kann, wenn man die eingereichten Erweiterungen nicht vernünftig prüft?

Schlussendlich wird sich zeigen, wie stark die Einschränkungen in der Praxis wirklich sind. Selbst wenn sie geringer ausfallen: Die 50% Chrome-Nutzer in Deutschland sind ein erheblicher Markt und sollten sich bewusst sein, dass Google bestimmt, wie ihr Browser funktioniert. Manifest V3 ist dabei nicht die erste kontroverse Veränderung. Auch die Web Environment Integrity API (WEI) bietet Missbrauchspotenzial. Wer Googles Browser nutzt, sollte sich fragen, ob er ein derartiges Monopol weiterhin unterstützen möchte. Oder nicht einen Blick auf Firefox wirft: Er ist inzwischen die einzige relevante und freie Alternative. Alle anderen größeren Browser basieren auf Chromium und sind damit ebenfalls erheblich von Google abhängig.

Man kann sich darüber streiten, ob es Google mehr um Sicherheit, oder die Einschränkung von Werbeblockern geht. Fakt ist: Googles Interesse geht generell klar in Richtung Einflussnahme auf Werbeblocker. Bereits seit 2011 investieren sie in diese Richtung. Damals haben sie etwa AdBlock Plus bezahlt, damit Google-Werbung als „akzeptabel“ eingestuft und damit nicht blockiert wird.31 Weitere Versuche mit einem eigenen Werbeblocker scheiterten bisher.32 Der Konzern hat schon mehrfach bewiesen, dass er bereit ist, den Chrome-Browser für die eigenen Interessen umzubauen. Diese Versuche werden nicht die Letzten gewesen sein.

Quellen

  1. https://developer.chrome.com/docs/extensions/mv3/manifest/ ↩︎
  2. https://developer.chrome.com/docs/extensions/mv3/intro/mv3-overview/ ↩︎
  3. https://www.golem.de/news/adblock-plus-ublock-origin-chrome-fuehrt-umstrittene-api-ein-2012-152779.html ↩︎
  4. https://www.zdnet.com/article/chrome-api-update-will-kill-a-bunch-of-other-extensions-not-just-ad-blockers/ ↩︎
  5. https://www.kuketz-blog.de/browser-add-ons-wie-antiviren-hersteller-ihre-nutzer-ausspionieren/ ↩︎
  6. https://www.faz.net/aktuell/technik-motor/digital/antiviren-software-wirkungslose-waechter-14886195.html ↩︎
  7. https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/ ↩︎
  8. https://www.tomsguide.com/news/chrome-extension-spyware ↩︎
  9. https://www.tomsguide.com/news/google-chrome-malicious-extensions ↩︎
  10. https://www.tomsguide.com/us/chrome-extension-security-problems,news-26082.html ↩︎
  11. https://fourweekmba.com/de/wie-viel-geld-verdient-google-mit-werbung/ ↩︎
  12. https://www.fr.de/kultur/gesellschaft/google-angriff-aufs-internet-seid-nicht-boese-92460300.html ↩︎
  13. https://nerdfunk.ch/nerdfunk-545/ ↩︎
  14. https://developer.chrome.com/en/blog/extension-safety-hub/ ↩︎
  15. https://9to5google.com/2022/09/28/chrome-manifest-v3-transition-timeline/ ↩︎
  16. https://developer.chrome.com/blog/resuming-the-transition-to-mv3/ ↩︎
  17. https://developer.chrome.com/blog/improvements-to-content-filtering-in-manifest-v3 ↩︎
  18. https://www.theverge.com/2023/11/16/23964509/google-manifest-v3-rollout-ad-blockers ↩︎
  19. https://www.reddit.com/r/uBlockOrigin/comments/181g5mw/comment/kacomvz/?context=3 ↩︎
  20. https://github.com/uBlockOrigin/uBOL-home/wiki/Frequently-asked-questions-(FAQ) ↩︎
  21. https://twitter.com/brave/status/1574822798299729925?lang=de ↩︎
  22. https://www.reddit.com/r/brave_browser/comments/xp5ik1/rest_assured_googles_manifest_v3_will_not_impact/ ↩︎
  23. https://blog.mozilla.org/en/products/firefox/extensions-addons/heres-whats-going-on-in-the-world-of-extensions/ ↩︎
  24. https://adguard.com/de/blog/firefox-manifestv3-chrome-adblocking.html ↩︎
  25. https://github.com/w3c/webextensions ↩︎
  26. https://news.ycombinator.com/item?id=33929202 ↩︎
  27. https://developer.chrome.com/docs/extensions/migrating/known-issues/ ↩︎
  28. https://chrome-stats.com/manifest-v3-migration ↩︎
  29. https://adguard.com/de/blog/chrome-manifest-v3-where-we-stand.html ↩︎
  30. https://adguard.com/en/blog/our-comment-on-chrome-ad-blocking.html ↩︎
  31. https://www.magiclasso.co/insights/google-undermines-adblock/ ↩︎
  32. https://www.pcgameshardware.de/Google-Chrome-Software-255519/News/Chrome-Browser-erhaelt-ab-2018-eigenen-Adblocker-1229439/ ↩︎

Leave a Reply