Kommentar: Wie Google mit Manifest V3 seine Marktmacht ausnutzt
Manifest V3 von Google ist ähnlich umstritten wie Microsofts Secure Boot. Und auch hinsichtlich Googles Taktik bei der Einführung drängen sich Parallelen auf.
(Bild: Ulf Wittrock/Shutterstock.com)
- Janis König
Bei aller Kritik an der Umsetzung: Secure Boot ist eine Lösung für real existierende Probleme. Um so trauriger ist es zu sehen, wie löchrig es ist und wie Microsoft beim Nachbessern der Zertifikatslisten mal eben diverse Linux-Maschinen kaputt patcht.
Ähnliches gilt für Manifest V3: Hier ist es vollkommen legitim, Bedenken zu haben, wenn eine Browsererweiterung – mehr oder weniger ohne Weiteres – Code in den Browserkontext injizieren und sogar dynamisch nachladen kann, wie es bislang möglich war. Es ist also komplett nachvollziehbar, dass Google einen neuen Standard für Erweiterungen entwickelt, der einerseits deutlich expliziter macht, wenn eine Extension in eine Website eingreifen kann, und andererseits das Nachladen von Code verhindert. Und während ersteres "nur" ein UX-Problem ist und letzteres über sehr häufige Releases von Extensions mit vorkonfigurierten Filterlisten umgangen werden kann – einige Features bleiben auf der Strecke. So erlaubt es Manifest V3 nicht mehr, dynamische Filter hinzuzufügen oder weitere Listen zu abonnieren, und schränkt generell die Filterlogik stark ein.
Kein Problem für das Adblocking, aber für das Vermeiden von Cookiebannern
Adblocking ist im Grunde zwar auch ein Security-Feature. Der Vorwurf, Google gefährde deshalb die Sicherheit, ist dennoch schwer zu belegen, da viele der Einschränkungen kaum das Adblocking selbst betreffen, dafür aber komplexere Features wie das Umgehen von Bezahlschranken, Cookie-Bannern und anderer "Features" moderner Websites. Dass das Google ein Dorn im Auge sein könnte, ist offensichtlich. Der Suchmaschinenanbieter hat mit Manifest V3 also einen Standard abgeliefert, der genau so viel erlaubt, dass aus Sicherheitsperspektive gerade genug Blocking möglich ist, aber kein Fußbreit mehr. Er nutzt also hier seine Marktdominanz, um den Zielkonflikt zu seinem Vorteil zu nutzen.
Sicherheit durch das Ausnutzen von Marktmacht
Ähnlich ist es mit Microsoft und Secure Boot: Während Boot-Security als Sicherheitsziel durchaus wichtig ist, ist es das Design von Secure Boot, das Microsofts Rolle als Zertifikatsautorität alternativlos macht. Dabei gäbe es andere Möglichkeiten: Das ebenfalls auf UEFI-Plattformen implementierte Measured Boot etwa bietet an, für installierte Betriebssysteme eine Art Selbstschutz umzusetzen, ohne das Booten von Fremdsoftware generell zu unterbinden. Dass das gerade Apple besser und offener implementiert hat, ist bemerkenswert.
Eine Welt, in der Secure Boot im reinen "Measured Boot"-Modus der Standard ist, wäre wünschenswert. Genauso eine Welt, wo Manifest V3 in besserer Abstimmung mit Adblocker-Developern vorangetrieben wird, um tatsächlich mehr als das Minimum zu unterstützen und trotzdem die Sicherheit von Browsern nicht komplett zu unterminieren.
Nur gibt es für solch dominante Hersteller keinen Grund, sich damit zu befassen. Echte Konkurrenz existiert nicht, und aus Liebe allein an der Sache machen solche Player selten etwas. Hoffen kann man also vermutlich nur auf Regulierung in diesem Bereich.
(ur)
