blocker

美國聯邦政府 CIO 以資安理由建議安裝 ad block 軟體

Hacker News Daily 上看到的，美國聯邦政府的 CIO Clare Martorana 行文建議行政管理和預算局 (Office of Management and Budget) 安裝 ad block 軟體以確保資訊安全：「The NSA and CIA Use Ad Blockers Because Online Advertising Is So Dangerous」。行文的文件在「Wyden Letter to OMB on Ad-Blocking」這邊可以看到，另外在 Hacker News 上的討論「The NSA and CIA use ad blockers (vice.com)」也可以翻。

有很多惡意軟體 (像是 malware) 會透過合法的 ad network 散布，然後竊取資料，甚至是透過麥克風監聽環境音：

I write to urge the Office of Management and Budget (OMB) to protect federal networks from foreign spies and criminals who misuse online advertising for hacking and surveillance, by setting clear new rules for agencies in its forthcoming “zero trust” cybersecurity policy.

I have pushed successive administrations to respond more appropriately to surveillance threats, including from foreign governments and criminals exploiting online advertisingto hack federal systems. This includes seemingly innocuous online advertisements, which can be used to deliver ‘malware to phones and computers—often without requiring users to click anything. This ‘malware can steal, modify or wipe sensitive government data, or record conversations by remotely enabling a computers built-in microphone.

記得我是從 Firefox 還叫做 Phoenix 的時代就在用 ad blocker 了... 建議大家一定要裝啊，以現在來說應該都是裝 uBlock Origin，在有支援 extension 的瀏覽器都有商店可以直接安裝。

透過 /etc/hosts 擋廣告與追蹤的軟體

在 Hacker News Daily 上看到 Maza ad blocking，這是一個擋廣告與追蹤的軟體，原理就是在 DNS 上檔掉某些網域。

運作方式跟 Pi-hole 接近，其中 Pi-hole 是提供一個 DNS server 擋，這套軟體則是透過 /etc/hosts 來擋。

目前只支援 macOS 與 Linux，不過這樣看起來使用的族群有點怪，因為在 desktop 上有更多手段可以擋，透過 DNS 類的擋法主要還是拿來對手機上無法無天的 app...

不過先關注一下好了，之後也許會在某些場合下用到？

Android 上的 Firefox 可以安裝 uBlock Origin 了

Update：我寫的這篇標題與內容是錯的，請參考 comment 提到的說明。

~~在桌機上擋廣告的神器 uBlock Origin 總算是要被移植到 Android 的 Firefox 上了：「uBlock Origin available soon in new Firefox for Android Nightly」。~~

In the next few weeks, uBlock Origin will be the first add-on to become available in the new Firefox for Android. It is currently available on Firefox Preview Nightly and will soon be available on Firefox for Android Nightly.

手機上的廣告一直都是個頭痛的問題啊，多了一個神器可以用總是好事...

uBlock Origin 的開發版 (Dev) 被 Chrome Web Store 拒絕的事件...

uBlock Origin 是一個在瀏覽器上擋廣告的軟體，以前在推廣的時候都只提到可以過濾掉網站上的廣告，大家興趣其實都不太高 (還會有「留口飯讓別人吃」之類的 XDDD)，但最近跟同事推廣的時候改用「可以擋 YouTube 的影音廣告喔」，大家接受度意外的爆高，不過這有點扯遠了，回到原來的主題上...

先介紹一下 uBlock Origin 的開發模式，除了一般的 stable 版本外 (「uBlock Origin」這組)，另外會有另外一個 dev 版本上傳到 Chrome Web Store (CWS) 上 (「uBlock Origin development build」這組)，這樣讓使用者比較容易安裝與測試，這個方式也可以在 Tampermonkey 上看到。

這次主要維護者 Raymond Hill (gorhill) 在 1.22.5rc1 版上傳到 CWS 上後收到被拒絕上架的通知：「Dev build 1.22.5rc1 "REJECTED" from Chrome Web Store」。

拒絕的原因是 CWS 要求要有套件必須符合「目的單一性」，也就是不能把目的不同的東西強迫使用者綁在一起使用：

Your item did not comply with the following section of our policy: An extension should have a single purpose that is clear to users. Do not create an extension that requires users to accept bundles of unrelated functionality, such as an email notifier and a news headline aggregator. If two pieces of functionality are clearly separate, they should be put into two different extensions, and users should have the ability to install and uninstall them separately. For example, an extension that provides a broad array of functionalities on the New Tab Page/ Start-up Page but also changes the default search are better delivered as separate extensions, so that users can select the services they want. For more information on the new Chrome extensions quality policy, please refer to the FAQ: https://developer.chrome.com/extensions/single_purpose

後續的 1.22.5rc2 也被拒絕，然後他回信詢問了 CWS 官方，得到的仍然是罐頭回應，然後他就決定丟著 (而這個作法還蠻聰明的)，接著這件事情就被丟著變成 PR 事件上了一些媒體，然後昨天就突然解了...

Google 最近的動作愈來愈多了，一方面在嘗試避免觸動反托拉斯法的情況，儘可能打壓這些擋廣告的套件...

擋 Live 與 Podcast 內廣告的工具

看到「An adblocker for live radio streams and podcasts. Machine learning meets Shazam.」這個專案，這個把 machine learning 用到「正途」上了啊...

不過畢竟是比較複雜的演算法，會吃不少 CPU 資源：

On a regular laptop CPU and with the Python time-frequency analyser, computations run at 5-10X for files and at 10-20% usage for live stream.

不過看用法還是偏向 library 性質，如果要大力推廣可能還是需要有其他人包個更好的界面...

Safari 上 uBlock Origin 的情況

uBlock Origin 在 2016 的時候 porting 到 Safari 上，但在 2018 後就沒有再更新了，維護者在「Explanation of the state of uBlock Origin (and other blockers) for Safari #158」這邊說明了目前的情況。

主要就是蘋果要廢掉本來的 Extension API，而替代的框架裡沒有對應的 content filtering 能力，所以在新的框架內無法實做 uBlock Origin 的功能...

維護者的建議是換瀏覽器，但其實可以選擇的瀏覽器愈來愈少了 (因為 Google Chrome 這邊也在搞)，所以維護者的建議就是換成 Firefox。

另外我自己會建議用看看 Brave，因為 Brave 已經決定，如果 Google Chrome 修改 webRequest 的阻擋能力 (也就是這次的 Manifest V3)，他們會繼續維持本來的相容性，所以可以預期 uBlock Origin 應該還是會動 (參考之前寫的「Brave 試用」這篇)。

Brave 試用

目前主力的瀏覽器還是 Google Chrome，會試著用其他的瀏覽器基本上就是「所以 Google 要對 ad blocker 全面宣戰了...」這篇文章提到的事情，然後找看看有什麼方案可以用...

先前測過 Firefox，但目前光是只開著三個 Slack 就會當掉 (三個 tab 都吃滿 100% CPU，所以可以在 top 上看到 300% 的使用率)，另外整理的順暢度還是差了很大一截，實在是找不到什麼好理由換過去...

而這次測的 Brave 是從 Chromium 改出來的，看起來沒有改動太多東西，連 extension 站台都直接吃 Google Chrome 的，基本上都會動。

測了兩天有一些問題：

Shields 與 Social media blocking 是 Brave 包裝起來的功能，但跟我之前的習慣有重複性 (透過設定直接關掉 3rd party cookie，以及用 EFF 提供的套件擋各種 tracker)。
Sync 只有 bookmark 功能而沒有 extension，這在「Extension Syncing」與「[feature request ] Sync other data types rather than just bookmark」這邊都已經有 ticket。

目前來看轉換成本不算太高，之後 Google Chrome 真的動手搞 ad blocker 時可以考慮換過來...

所以 Google 要對 ad blocker 全面宣戰了...

一月的時候 Google 就提出了「Manifest V3」，打算閹掉 extension 透過 webRequest 攔截連線的能力，而這個功能就是 uBlock Origin 這類 ad blocker 的基礎。

當時 Google 宣稱 webRequest 嚴重影響瀏覽器效能，但 Ghostery 的團隊則做了實驗證明影響極小：「Ad blocker performance study in response to Manifest V3 finds that Ghostery's ad blocker beats the competition」、「Google遭證據打臉，廣告封鎖程式幾乎不影響Chrome效能」。

All content-blockers except DuckDuckGo have sub-millisecond median decision time per request.

另外在 Alphabet (Google 母公司) 遞交給美國證管會的資料 (FORM 10-K) 可以看到他們把 ad blocker 視為威脅：「goog10-kq42018.htm」。

New and existing technologies could affect our ability to customize ads and/or could block ads online, which would harm our business.

Technologies have been developed to make customizable ads more difficult or to block the display of ads altogether and some providers of online services have integrated technologies that could potentially impair the core functionality of third-party digital advertising. Most of our Google revenues are derived from fees paid to us in connection with the display of ads online. As a result, such technologies and tools could adversely affect our operating results.

所以後續的行為就很清楚了，他們決定 Manifest V3 還是會閹掉 webRequest (以有效抑制 ad blocker 的能力，反正繼續堅持效能問題，當作沒聽到)，只開放企業版本使用：「Google to restrict modern ad blocking Chrome extensions to enterprise users」。

在 Mozilla 愈來愈不成氣候的情況下，現在要看的戲應該是 Google 是否會因此受到 anti-trust 的挑戰呢...

擋 Facebook 廣告的 Userscript

Facebook 為了反制各種「擋廣告軟體」，用了各種奇怪的 DOM 在擋：

"Why do I need a 4Ghz quadcore to run facebook?" This is why. A single word split up into 11 HTML DOM elements to avoid adblockers. pic.twitter.com/Zv4RfInrL0

— Mike Pan (@themikepan) February 6, 2019

目前看起來 ublock origin 這類擋廣告軟體支援的格式已經擋不住了，得靠其他工具來擋... 用到現在一直有在更新的「Facebook unsponsored」算是還行... 看 source code 可以看到他是直接抓有顯示的字串來分析，所以不會受到 DOM 的干擾，不過最近看起來又開始被搞了... XD

Mozilla 在 iOS 上也出了自己的 Content Blocker

Mozilla 在 iOS 上也出了自己的 Content Blocker，叫做 Focus by Firefox：「Announcing Focus by Firefox, a Content Blocker for iOS」：

Today we’re pleased to announce the launch of Focus by Firefox, a free content blocker for Safari users on iOS 9 that gives users greater control of their mobile Web experience.

沒搞懂 Mozilla 跑出來弄這個的目的...