Google Web Environment Integrity API je SafetyNet pro webové stránky

Google navrhl nový webový standard nazvaný Web Environment Integrity API a je to v podstatě DRM pro internet. V návrhu, který podrobně popsali čtyři zaměstnanci společnosti Google (jeden z nich, Philipp Pfeiffenberger, byl také součástí původní návrh pro Privacy Sandbox společnosti Google), nastiňuje, jak bude WEI API schopno zachovat internet "zajistit."

V úvodu návrh, tým za ním uvádí následující.

„Uživatelé jsou často závislí na webech, které důvěřují klientskému prostředí, ve kterém běží. Tato důvěra může předpokládat, že klientské prostředí je upřímné o určitých aspektech sebe sama, udržuje uživatelská data a duševní vlastnictví jsou zabezpečeny a je transparentní ohledně toho, zda je používá člověk či nikoli to. Tato důvěra je páteří otevřeného internetu, zásadní pro bezpečnost uživatelských dat a udržitelnost podnikání na webu.“

V praxi to zní hodně jako SafetyNet API (nyní nahrazené Play Integrity) na chytrých telefonech Android, které tým uvádí jako inspiraci. "Tento vysvětlovač se inspiruje existujícími nativními atestačními signály, jako je např

Atest aplikace a Play Integrity API," Oni píší. Integrity API systému Android ověřuje, že vaše zařízení není zakořeněné, bez ohledu na to, k čemu tento root přístup používáte. Nezáleží na tom, zda jej použijete k zasahování do aplikací nebo jednoduše k úpravě zařízení, protože rozhraní API bude uvádět, že vaše zařízení těmito kontrolami neprošlo. Výsledkem je, že rootovaní uživatelé nemohou na svých smartphonech používat mnoho služeb, i když je to čistě z důvodů přizpůsobení.

Jinými slovy, primárním cílem WEI API by bylo ujistit se, že s prohlížečem nebylo manipulováno a že osoba používající prohlížeč je skutečná osoba.

Návrh popisuje postup, jak by v tomto případě fungovalo připojení k webu, a vyžaduje atestační server třetí strany, který by v tomto případě pravděpodobně vlastnil Google. Váš prohlížeč požaduje webovou stránku jako obvykle a poté musí projít testem, kde je ověřen "IntegrityToken" je dán za absolvování tohoto testu, což dokazuje, že prohlížeč není modifikován a splňuje požadavky. Pokud bude stránka tomuto výsledku důvěřovat, bude vám na stránku udělen přístup.

Při čtení návrhu autoři uvádějí, že „pevně cítí“, že by někdy mělo být zahrnuto ID zařízení, protože by to umožnilo snímání otisků zařízení. V návrhu jsou však rozpory, například návrh, aby obsahovaly „ukazatel povolení omezení rychlosti vůči fyzickému zařízení." Jak by to bylo implementováno bez snímání otisků zařízení, je neznámý.

Tento návrh byl poněkud pod radarem a byl nedávno sdílen na HackerNews poté, co byl spatřen na osobním účtu GitHub zaměstnance společnosti Google. Ve skutečnosti, i když na to Google vůbec neupozornil, už existuje sestavování prototypového kódu pro budoucí verzi Chrome. Jak Mozilla, tak Vivaldi kritizovali návrh, přičemž Mozilla uvedla, že „je proti tomuto návrhu, protože odporuje našim zásadám a vizi webu," zatímco Vivaldi odkazoval na návrh jako "nebezpečný."

Návrh ohrožuje svobodný a otevřený internet mnoha způsoby, ale jeden z největších se točí kolem skutečnosti, že existuje centrální server, který potvrzuje, zda je prohlížeč důvěryhodný nebo ne, to znamená, že nic nestandardního nebude důvěryhodný. Jinými slovy, novým prohlížečům by se nevěřilo a starší software by po určité době již neměl přístup k velké části internetu. Vzhledem k tomu, že ověřuje integritu prohlížeče, může také technicky blokovat některá rozšíření (např Adblock), pokud by se Google vydal touto cestou.

Návrh rozhraní API Web Environment Integrity od Googlu budeme určitě sledovat, stejně jako dosud Ukázalo se, že je to kontroverzní, zdá se, že společnost jde plnou parou vpřed s prototypováním nejméně.