以下は、電子フロンティア財団のブログの記事の翻訳です。ChromeのManifest V3については、下記に日本語の記事があります。

Chrome拡張機能の新仕様「Manifest V3」は非常に有害だと電子フロンティア財団が非難(GIGAZINE)

【悲報】Manifest V3が近づいています(AdGuard)

ブラウザ拡張機能の Manifest V3 の問題

---

ダリー・バーネット
2021年12月9日

Manifest V3は、Google Chromeがウェブ・ブラウザ拡張機能の世界に加えようとしている、まもなく決定版となる変更点で、その著者は「プライバシー、セキュリティ、パフォーマンスの方向への一歩」と位置づけている。しかし、私たちは、この変更はユーザーにとっては不利益なものだと考えている。 私たちはManifest V3が発表されたときからそう言ってきたし、その実装が間近に迫っている今もそう言い続けている。これまでのFLoCやPrivacy Sandboxと同様に、Manifest V3は、Googleが主要なウェブブラウザと最大級のインターネット広告ネットワークの両方を支配していることに起因する、本質的な利益相反の例のひとつだ。

Manifest V3（略してMv3）は、プライバシー保護の取り組みにとって、明らかに有害だ。マニフェストV3は、ウェブ拡張機能、特にブラウザが閲覧するウェブサイトとの会話を監視、変更、計算する機能を制限する。新しい仕様では、これらの拡張機能（プライバシー保護のためのトラッカー・ブロッカーなど）の機能は大幅に低下する。特に、Googleが上位100万のウェブサイトの75％にトラッカーを設置していることを考えると、アクセスを制限しようとするGoogleの取り組みは危惧すべきことといえる。

また、Mv3がセキュリティ面で大きな効果を発揮するかどうかも疑問だ。Firefoxは、Chrome以外で最大の拡張機能市場を維持しており、クロスブラウザの互換性のためにMv3を採用すると述べている。しかし、2020年の「AdBlocker Dev Summit」で、Firefoxのアドオン・オペレーション・マネージャーは、拡張機能のセキュリティ審査プロセスについて次のように述べている。「悪意のあるアドオンについては、Firefoxでは管理可能なレベルになっていると感じています….。アドオンは主に悪意あるデータを把握することに関心があり、ブロックされていない現在のwebRequest APIでもそれが可能です。」分かりやすく言うと、悪意のある拡張機能がセキュリティ審査を潜り抜けた場合、その拡張機能は通常、ユーザーのブラウザと訪問したウェブサイトとの間のやりとりを観察することにしか興味がないということだ。悪意のある行為は、データがすでに読み取られた後、別の場所で行われる。より徹底した審査プロセスがあれば、セキュリティを向上させることができるが、Chromeはそれを行うとは言っていない。その代わり、彼らの解決策は、すべての拡張機能を制限することだ。

プリンストン大学とシカゴ大学の研究者による2020年の研究では、Mv3によって妨げられるプライバシー拡張機能が、実際にはブラウザのパフォーマンスを向上させることが明らかにされている。

ウェブブラウザの拡張機能の開発仕様は、一見すると雑多なものに見えるが、より広い意味合いが、すべてのインターネット市民にとって重要なだ。Googleが長年にわたって世界最大の広告会社であることを考えると、この新しい制限は家父長的であり、極めて不気味だ。

しかし、私たちの言葉を鵜呑みにしててはいけないので、ここでは、Manifest V3に対する懸念を共有する技術者、プライバシー擁護者、拡張機能開発者の考えを紹介する。

「ウェブブラウザは、ユーザーのために行動し、ユーザーの利益を尊重するものです。残念ながら、Chromeは現在、ユーザーエージェントではなく、Googleエージェントとしての実績を果している。主要なウェブブラウザの中で唯一、意味のあるプライバシー保護機能をデフォルトで備えておらず、ユーザーの行動をGoogleアカウントとリンクさせることを強要し、侵略的な新しい広告機能を実装しています。Googleの最新の変更は、学術研究によれば変更の必要はないとされているにもかかわらず、Chromeのプライバシー拡張機能を無効にする。これらのユーザーにとって不利な決定はすべて、Googleの監視ビジネスモデルに直接起因するものであり、デスクトップブラウザ市場での優位性によってそれが可能となっているのです。」ジョナサン・メイヤー、プリンストン大学

「マニフェストV3は、Chromeを、どのソフトウェアが生き延び、どのソフトウェアが死ぬかを決定する全権的な裁定者として位置づけ、多様な拡張機能が同じように多様なユーザーの正当な好みや価値観に応えるという理想を打ち砕いています。2017年、GoogleがAdNauseamをChromeストアから追放したことで、何万人ものユーザーは、蓄積データからあっさりと切り離され、オンラインでのプロファイリングや操作に対抗するためのフリーでオープンソースの拡張機能を奪われました。今にして思えば、AdNauseamは炭鉱のカナリアだったのです。Mv3は現在、何百万人とは言わないまでも、何千人ものユーザーが利用している貴重なプライバシーツール（広告ブロッカーを含む）からユーザーを切り離そうとしているのですから。ブラウザの所有者の利益を優先するブラウザは、革新的で独立した開発者を効果的に排除し、個人によるオンライン体験を形成の選択肢を狭めているのです。」ヘレン・ニッセンバウムとダニエル・ハウ（AdNauseamとTrackMeNotの制作者）

「マニフェストV3は、インターネットのプライバシーにとって有害な後退である。」Ghosteryのブログ


「Manifest V3は意見集約型の仕様であり、ユーザーエクスペリエンスを向上させるために制限を課しています。それは紙の上では良く見えますが、現実は全く違います。私たちGhosteryは、GoogleのManifest V3がプライバシーを保護する拡張機能を害すると考えています。

サービスワーカーを必須とし、ブロックするwebRequestを削除する代わりに、Googleはサービスワーカー[訳注：ブラウザが Web ページとは別にバックグラウンドで実行するスクリプトのこと。くわしくはここを参照]とdeclarativeNetRequestをオプションとし、様々なユースケースに適したソリューションを提供するべきです。結局のところ、これはユーザーの選択とイノベーションの問題です。

私たちGhosteryは、物事の再発明をする代わりに、トラッキングを防止する新しい方法を見つけることに集中したいと思います。これこそが、ブラウザ拡張機能のあるべき姿であり、革新のための競技場であり、ブラウザ強化のための早道なのです」Ghosteryのエンジニアリング＆プロダクトディレクター、Krzysztof Modras

「今日ご存知のほぼすべてのブラウザ拡張機能が何らかの影響を受けるでしょう。幸運なものは問題が発生する "だけ "で済みますが、中には機能不全に陥るものや、文字通り存在しなくなるものもあります。」Andrey Meshkov, AdGuard社ブログ

「16年間のNoScript開発の中で見てきたブラウザ拡張APIの革命の中でも、Manifest V3は群を抜いて最悪に不愉快なものである。Manifest V3は、拡張機能を縮小し、ウェブユーザーがブラウジング体験をカスタマイズする自由を奪います。

謳われているプライバシーの改善や理論上のパフォーマンスの向上を疑う理由はたくさんありますが、既存の拡張機能に対する破壊は痛々しいほど現実的です。深刻な場合は、拡張機能を書き直す必要があり、場合によっては基本的な機能を放棄しなければなりません。

しかし、さらに悪いことに、ブラウザ拡張機能の開発者の技術革新能力が著しく低下し、プライバシーやセキュリティ拡張機能の場合は、新たな脅威に迅速かつ創造的に対応できなくなります。開発者にとっても、そして何よりもウェブユーザのオンライン上の安全と選択の自由にとっても、その損失は甚大です」NoScriptの作者、ジョルジオ・マオネ


「SingleFileでは、Manifest V3への移行は、機能的、技術的な観点から大きな後退だと考えています。また、これまでの作業のいくつかが損なわれます。残念ながら、ユーザーには何の見返りもありません。まさにManifest V3が引き起こす巻き添え被害の一例と言えるでしょう。」Gildas、SingleFileの著者

出典：https://www.eff.org/deeplinks/2021/12/chrome-users-beware-manifest-v3-deceitful-and-threatening