headless 曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された(The Keywordの記事、 The Vergeの記事、 The Next Webの記事、 Android Policeの記事)。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ(Chromium Blogの記事、 FAQ、 Android Policeの記事[2])。