作者danny0838 (道可道非常道)
看板Browsers
标题[情报] 2023年一月将无法使用油猴类套件
时间Thu Jan 27 07:52:48 2022
相关的资料在
#1XiiUezf (Browsers) 等 Manifest V3 的相关帖子都有提到,
只是非开发者可能不会留意,所以换个比较能引起注意的标题。XD
2023 年一月开始 Chromium 将无法执行 Manifest V2 套件,
而 Manifest V3 套件禁止执行远端脚本,
(所谓远端脚本就是一切套件可以主动从远端抓来的 JS 程式码)
换言之
所有油猴类自订脚本的套件都会死掉,
包括
Greasemonkey、Violentmonkey、Tampermonkey 等等。
Google 对 MV3 套件有明确额外规范:
Additional requirements for Manifest V3
Extensions using Manifest V3 must meet additional requirements
related to the extension's code. Specifically, the full functionality
of an extension must be easily discernible from its submitted code.
This means that the logic of how each extension operates should be
self contained. The extension may reference and load data and other
information sources that are external to the extension, but these
external resources must not contain any logic.
Some common violations include:
* Including a <script> tag that points to a resource that is not
within the extension's package
* Using JavaScript's eval() method or other mechanisms to execute a
string fetched from a remote source
* Building an interpreter to run complex commands fetched from a
remote source, even if those commands are fetched as data
换言之,有些人想过的用 evaljs 或 WASM 等绕道方式,都会被视为违规。
Chromium 系列如此,那 Firefox 呢?
根据情报,Firefox 的 Manifest V3 也会跟进 Choromium 做法。
虽然 Firefox 目前还不支援 Manifest V3,
也尚未提出明确开始支援 MV3 和停止支援 MV2 的时程,
但长远来看,结果一样。
Firefox 和 Chromium 有个差别是 Firefox 本来就支援 user chrome JS,
但无法使用一般套件 API,
只能使用旧套件的类 XUL/XPCOM 技术,写起来比较麻烦,且可能升级就不相容。
油猴类套件废掉,短期内冲击可能不小,
但长远来看,我个人对此政策没有太大意见。
禁止远端脚本的理由很明显,就是有被滥用的风险,
今天某套件可以下载一段远端的脚本执行,
明天就会有攻击者架设有恶意脚本的远端网站,
且任何套件都有可能主动抓恶意脚本搞恐怖攻击,
这对浏览器使用者的数位安全非常没有保障。
技术上来说,所有油猴类脚本都可以改写成套件,
而套件起码会通过 Google、Firefox 站方审核和监管,
安全性比较有保障。
虽然说套件和油猴脚本相比,
开发上的确麻烦一点,效能也可能差一点,
但这就是未来的趋势,除非有能力自己写个全新浏览器来反垄断。
开发者倒是可以抓紧时机,抢先把各种实用油猴脚本改写成套件,
早发表早卡位早得流量。XD
除此之外,一些比较简单的脚本,其实可以写成书签小工具。
或许未来会有人写个简单的书签小工具管理套件。XD
顺便在以下开放大家分享常用、实用的使用者脚本,
及可以替代的套件或书签小工具(如果能找到),
也许可以得到使用者和一些开发者的关切:)
相关资料:
Violent monkey 的 issue:
https://github.com/violentmonkey/violentmonkey/issues/505
Tampermonkey 的 issue:
https://github.com/Tampermonkey/tampermonkey/issues/644
里面有提到 Google 有计画让 power user 设定 user script 或 CSS,
但目前八字没有一撇,也没看到相关的 API 和文件。
其他讨论:
https://groups.google.com/a/chromium.org/g/chromium-extensions/c/hQeJzPbG-js
各种使用者抱怨XD
--
《终结内容农场》浏览器套件
Chrome:
http://bit.ly/CFTGC (桌机 & Kiwi Browser on Android)
Firefox:
http://bit.ly/CFTFx (桌机 & Firefox for Android)
真相:
http://bit.ly/CFTss1、
http://bit.ly/CFTss2
详细介绍:
http://bit.ly/CFTinfo
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.115.60.81 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1643241171.A.243.html
1F:推 PRODIGALEX: 推说明!01/27 08:04
2F:推 topcdmouse: 推说明,希望能找到共存的道路。毕竟用stylus写了一些01/27 08:26
3F:→ topcdmouse: 挡广告or碍眼项目的内容01/27 08:27
4F:→ abc0922001: Stylus 也不能喔,哭阿01/27 08:51
5F:推 abc0922001: 我只想改掉 Chrome Windows 上难看的字体01/27 08:54
更新资讯,
Manifest V3 有新 API 支援 inject/remove CSS:
https://developer.chrome.com/docs/extensions/reference/scripting/
所以 user CSS 类套件还是可以使用。
※ 编辑: danny0838 (59.115.60.81 台湾), 01/27/2022 09:30:03
6F:推 t7yang: CSS 可以用就好,script 我自己是很少用01/27 09:35
7F:推 vul81320: 推详细01/27 09:35
※ 编辑: danny0838 (59.115.60.81 台湾), 01/27/2022 10:14:39
8F:→ sicao: 晴天霹雳01/27 10:21
9F:→ kyrc: 禁止执行远端脚本 = 所有油猴类自订脚本的套件都会死掉01/27 10:54
10F:→ kyrc: 怎麽推导出来的阿?01/27 10:54
这类套件的主要功能就是从第三方网站下载脚本执行,
这就是所谓的执行远端脚本啊,
有很难理解吗?XD
更多资讯请爬本版 MV3 相关讨论,
本文贴的几篇 ref 也都有提到。
※ 编辑: danny0838 (223.140.102.60 台湾), 01/27/2022 12:03:10
11F:→ xvid: Userscript 可以本地执行啊 未必需要远端 01/27 12:50
以套件的角度来说,
所有不是一开始包在套件里的程式码都在 MV3 禁止之列,
如果觉得「远端」不精准,改成「外部」、「第三方」也可以,
问题的本质不会因此改变。
12F:推 NiGHTsC: Google Darkest Fusion, 巴哈深色主题, FaviconizeGoogle01/27 13:11
13F:→ NiGHTsC: PTT Imgur Fix, PTT Push Count,01/27 13:12
Imgur fix 现在还有需要吗?
push count 应该前面讨论的 PTT web enhanced 就有提供。
14F:→ NiGHTsC: XXXBG - XXX and magnet links,01/27 13:12
15F:→ NiGHTsC: Reddit expand media and comments, 百度简易下载助手01/27 13:12
16F:→ NiGHTsC: 有些简易的小脚本要写成套件反而会变困扰吧?01/27 13:13
其实还好,简单脚本就是个 content script,加个制式 manifest 就好。
17F:推 NiGHTsC: Google确实有人手和资源可以搞定这些,FF应该会再缓缓?01/27 13:17
18F:→ NiGHTsC: 我无法想像没有Greasyfork的那一天…01/27 13:17
19F:→ NiGHTsC: 至於userstyles…嘛…网页卡到爆这问题几年来都没进展…01/27 13:19
※ 编辑: danny0838 (223.140.102.60 台湾), 01/27/2022 13:32:54
20F:→ zhtw: 强制 Script 都要弄成套件 开发者帐号开通要 5 美元01/27 13:56
21F:→ zhtw: 如果整站的 Script 都弄成套件 google 赚翻噜01/27 13:57
我倒是没想到这点,哈哈。
不然大家一起抵制 Google,只上架 Fx、Edge、Opera 吧XD
22F:推 rgbff: Youtube聊天室显示PTT推文要死去了吗01/27 14:15
※ 编辑: danny0838 (223.140.102.60 台湾), 01/27/2022 14:43:46
23F:推 abc0922001: 那就好,感谢01/27 14:46
24F:→ alchemy123: 脚本套件发展历史跟延伸套件差不多了吧 有出过什麽安01/27 14:49
25F:→ alchemy123: 全性大事吗 不如说这东西不都完全开源的 商业考量还差01/27 14:49
26F:→ alchemy123: 不多吧01/27 14:49
27F:→ alchemy123: 反倒是套件漏洞的新闻看到不少喔 真棒01/27 14:54
这问题不是这样看的,
我们当然都知道 monkey 类套件有不错的开放审核机制,
问题在於,只要套件 API 允许执行外部脚本,
就有可能被恶意套件滥用,
而且好套件坏套件要的都是同样的「存取所有网站」权限,防不胜防,
而相关的 case 都会算在「套件漏洞」的锅上,不是算在 user scripts 的锅。
※ 编辑: danny0838 (223.140.102.60 台湾), 01/27/2022 16:24:01
28F:推 stucode: 个人目前用 userscript 的一大原因是不需要走签署流程, 01/27 22:50
29F:→ stucode: 对於上一些私人甚至是临时用的自制脚本很方便。 01/27 22:51
30F:→ stucode: 希望到时候会留选项给进阶使用者来规避这些限制。如果 01/27 22:51
31F:→ stucode: userscript 真的全面死去,就只能转战 unbranded 版了。 01/27 22:51
目前看到的是 API 拿掉,并不存在保留的一手。
Chromium 方面,除非 Google 未来有增加新 API,
有可能会像 webRequestBlocking 一样必须用管理员设定登录档的方式才能安装使用。
但是这条路超麻烦,也只能安装发布在 Chrome 商店的套件。
Firefox 方面没有类似先例(Fx 在 MV3 会保留 webRequestBlocking),
如果要我提议,
可以比照 Chromium 加入新 API 但必须在 manifest.json 加入特殊的设定值,
而该设定值一律不会在审核套件时给过,也就是只能用在未签署套件的意思。
如果没有,另一个选择是走 userChrome JS 路线。
(如果只用到 content script 而不涉及套件 API,应该不会太复杂)
再不然,就是写成私人套件。
这方面 Chromium 大概比较方便,用开发模式载入未打包套件就可以一直用;
还有一个我不晓得是不是 bug 的方式是,把套件拖放到管理页面就能安装。
Firefox 如果用开发模式载入未打包套件,浏览器重启後会全部消失,
若要持续使用,
要嘛到 AMO 发布成非公开套件(现在没太大疑虑的都是机器审核,速度很快),
要嘛包成未签署的套件用 Beta/Developer/Nightly/ESR/Unbranded 发行版安装。
※ 编辑: danny0838 (59.115.60.81 台湾), 01/28/2022 00:23:51
32F:推 g8y: 百度盘没得白嫖罗 01/28 02:57
33F:→ hsparrot: 我有百来个自己写的小script,这对我来说超困扰,虽然可 01/28 14:35
34F:→ hsparrot: 以转移到AdGuard上,不过编修起来比较麻烦,有些GM函式 01/28 14:36
35F:→ hsparrot: 和metadata也不支援 01/28 14:36
36F:→ hsparrot: 然後Fx果然又要跟哦... 你们要不要乾脆像MS说的改用 01/28 14:37
37F:→ hsparrot: Chromium核算了? 然後专心搞搞UI、开开一些3年後会中止 01/28 14:38
38F:→ hsparrot: 的专案或服务 01/28 14:38
39F:→ legnaleurc: 自己包就要弄开发环境, 没像userscript那麽方便 01/28 17:55
40F:→ tck01: 好用的东西一点一点的被改被拔掉 限制越来越多 又没替代品 01/28 19:37
41F:→ tck01: 搞到我对浏览器的未来好悲观= = 01/28 19:38
42F:推 th: FF要变成GC的形状了,唉… 01/29 03:25
43F:推 Kagero: 火狐早就是chromium的形状了 01/29 16:56
44F:→ Kagero: 除了核心外基本上差没多少 01/29 16:57
45F:→ MK47: Chromium舔狗 01/29 23:52
46F:推 dosiris: FX也跟 到底如何跟Chromium区别化 01/31 05:41
47F:推 olduck: 未来某天大概心死用edge算了 01/31 23:53
48F:推 romber: …这真的影响很大啊,大多自用的script都只是一时需要写的 02/03 02:52
49F:→ romber: ,根本不适合上架,真的要砍我只能跳槽到不砍的浏览器了, 02/03 02:52
50F:→ romber: 再不然…改用 Selenium? 02/03 02:52
51F:推 dx90c: Script可以放到AdGuard里面吗,难怪我现在下载油猴脚本都 02/03 04:53
52F:→ dx90c: 会被跳转引导到AdGuard 02/03 04:53
53F:→ MK47: 有选项可以让adguard选择要不要接手script 02/03 09:37
55F:推 ajang: 吐血了,我一堆论坛都自动签到打卡的。 02/03 15:33
56F:推 SigmundFreud: 最重要的只有ytber block,要开始找替代了 02/04 17:23
57F:→ SigmundFreud: 不然到时候一堆低能推荐 02/04 17:23
58F:推 dx90c: @MK47 感谢教学 02/07 10:03
59F:→ hn9480412: 看来以後Mac只能用Safari和Edge了 02/10 20:40
60F:推 MK47: 不客气~ 02/10 22:28
61F:推 Gold740716: 主要就是方便,套件要另外写、打包、安装,流程复杂 02/20 15:52
62F:→ Gold740716: 小书签某些场合还行,但每次都要手动点就很麻烦 02/20 15:53