إن واجهة برمجة تطبيقات Web Environment Integrity API من Google هي في الأساس شبكة SafetyNet لمواقع الويب، ولا تبدو جيدة.
اقترحت Google معيارًا جديدًا للويب يسمى Web Environment Integrity API، وهو في الأساس إدارة الحقوق الرقمية (DRM) للإنترنت. في اقتراح مفصل قدمه أربعة من موظفي Google (أحدهم، فيليب فايفنبرجر، كان أيضًا جزءًا من الاقتراح الأصلي لـ Google Privacy Sandbox)، فهو يوضح كيف ستتمكن واجهة برمجة تطبيقات WEI من الحفاظ على الإنترنت "يؤمن."
في مقدمة الإقتراح أو العرض، يذكر الفريق الذي يقف وراءه ما يلي.
"يعتمد المستخدمون غالبًا على مواقع الويب التي تثق في بيئة العميل التي يعملون فيها. قد تفترض هذه الثقة أن بيئة العميل صادقة بشأن جوانب معينة من نفسها بيانات المستخدم والملكية الفكرية آمنة، وتتسم بالشفافية بشأن ما إذا كان الإنسان يستخدمها أم لا هو - هي. هذه الثقة هي العمود الفقري للإنترنت المفتوح، وهو أمر بالغ الأهمية لسلامة بيانات المستخدم واستدامة أعمال الموقع."
من الناحية العملية، يبدو هذا مشابهًا إلى حد كبير لواجهة برمجة تطبيقات SafetyNet (التي تم استبدالها الآن بـ Play Integrity) على الهواتف الذكية التي تعمل بنظام Android، والتي يقول الفريق إنها مصدر إلهام. "يستلهم هذا الشرح من إشارات التصديق الأصلية الموجودة مثل
يشهد التطبيق و ال لعب النزاهة API،" يكتبون. تتحقق واجهة برمجة تطبيقات Integrity API الخاصة بنظام Android من أن جهازك ليس له حق الوصول إلى الجذر، بغض النظر عن الغرض الذي قد تستخدم الوصول إلى الجذر من أجله. لا يهم سواء كنت تستخدمه للتدخل في التطبيقات أو لتعديل جهازك ببساطة، حيث ستشير واجهة برمجة التطبيقات إلى أن جهازك لم يجتاز عمليات التحقق هذه. ونتيجة لذلك، لا يمكن للمستخدمين الجذر استخدام الكثير من الخدمات على هواتفهم الذكية، حتى لو كان ذلك لأسباب التخصيص فقط.بمعنى آخر، سيكون الهدف الأساسي لـ WEI API هو التأكد من عدم التلاعب بالمتصفح وأن الشخص الذي يستخدم المتصفح هو شخص حقيقي.
يوضح الاقتراح كيفية عمل الاتصال بموقع ويب في هذه الحالة، ويتطلب خادم تصديق تابع لجهة خارجية والذي من المحتمل أن يكون مملوكًا لشركة Google في هذه الحالة. يطلب متصفحك صفحة ويب كالمعتاد ومن ثم يطلب منه اجتياز اختبار حيث تم التحقق منه يتم منح "IntegrityToken" لاجتياز هذا الاختبار، مما يثبت أن المتصفح لم يتم تعديله ويلبي متطلبات متطلبات. وطالما أن الصفحة تثق بهذه النتيجة، فسيتم منحك حق الوصول إلى الصفحة.
عند قراءة الاقتراح، ذكر المؤلفون أنهم "يشعرون بقوة" أنه يجب تضمين معرف الجهاز على الإطلاق، لأنه سيسمح بأخذ بصمات الجهاز. لكن هناك تناقضات في الاقتراح بشأن ذلك، مثل اقتراح تضمينها "مؤشرا". تمكين تحديد المعدل على جهاز فعلي." كيف سيتم تنفيذ ذلك دون أخذ بصمات الجهاز مجهول.
لقد ظل هذا الاقتراح تحت الرادار إلى حد ما، وتمت مشاركته على HackerNews مؤخرًا بعد رصده على حساب GitHub الشخصي لأحد موظفي Google. في الواقع، على الرغم من أن جوجل لم تلفت الانتباه إليها على الإطلاق، إلا أنها موجودة بالفعل يتم تجميع رمز النموذج الأولي معًا لإصدار Chrome المستقبلي. كل من موزيلا و فيفالدي انتقدوا الاقتراح، حيث قالت موزيلا إنه "نعارض هذا الاقتراح لأنه يتعارض مع مبادئنا ورؤيتنا للويب،"بينما أشار فيفالدي إلى الاقتراح بأنه"خطير."
ويهدد الاقتراح شبكة الإنترنت الحرة والمفتوحة بعدة طرق، ولكن واحدة من أكبرها تدور حول حقيقة أنه ينبغي يوجد خادم مركزي يشهد على ما إذا كان المتصفح يمكن الوثوق به أم لا، فهذا يعني أنه لن يتم الوثوق بأي شيء غير قياسي موثوق به. بمعنى آخر، لن يتم الوثوق بالمتصفحات الجديدة، ولن تتمكن البرامج القديمة من الوصول إلى جزء كبير من الإنترنت بعد فترة زمنية معينة. ونظرًا لأنه يتحقق من سلامة المتصفح، فيمكنه أيضًا حظر بعض الملحقات من الناحية الفنية (مثل ادبلوك) إذا سلكت Google هذا الطريق.
سنكون على يقين من مراقبة اقتراح Google Web Environment Integrity API، كما هو الحال بالفعل ثبت أنه مثير للجدل، ويبدو أن الشركة تتقدم بكامل قوتها في إنشاء نموذج أولي لها في الوقت الحالي الأقل.