Googles Web Environment Integrity API er grundlæggende SafetyNet til websteder, og det ser ikke godt ud.
Google har foreslået en ny webstandard kaldet Web Environment Integrity API, og det er i bund og grund DRM til internettet. I et forslag beskrevet af fire Google-medarbejdere (hvoraf den ene, Philipp Pfeiffenberger, også var en del af originale forslag til Googles Privacy Sandbox), det skitserer, hvordan WEI API vil være i stand til at bevare internettet "sikker."
I introduktionen af forslaget, holdet bag oplyser følgende.
"Brugere er ofte afhængige af, at websteder har tillid til det klientmiljø, de kører i. Denne tillid kan antage, at klientmiljøet er ærligt om visse aspekter af sig selv, holder brugerdata og intellektuel ejendom er sikker og er gennemsigtig omkring, hvorvidt et menneske bruger eller ej det. Denne tillid er rygraden i det åbne internet, afgørende for sikkerheden af brugerdata og for bæredygtigheden af hjemmesidens forretning."
I praksis lyder dette meget som SafetyNet API (nu erstattet af Play Integrity) på Android-smartphones, hvilket teamet oplyser er en inspiration. "Denne forklaring tager inspiration fra eksisterende native attestationssignaler som f.eks
App Attest og Spil Integrity API," de skriver. Androids Integrity API verificerer, at din enhed ikke er rootet, uanset hvad du måtte bruge denne root-adgang til. Om du bruger den til at forstyrre apps eller til blot at ændre din enhed er lige meget, da API'en vil angive, at din enhed ikke består disse kontroller. Som et resultat kan rootede brugere ikke bruge en masse tjenester på deres smartphones, selvom det kun er af tilpasningsmæssige årsager.Med andre ord ville det primære formål med WEI API være at sikre, at browseren ikke er blevet pillet ved, og at den person, der bruger browseren, er en rigtig person.
Forslaget skitserer strømmen af, hvordan forbindelse til et websted ville fungere i dette tilfælde, og det kræver en tredjeparts-attesteringsserver, som sandsynligvis ville være ejet af Google i dette tilfælde. Din browser anmoder om en webside som normalt og skal derefter bestå en test, hvor en verificeret "IntegrityToken" gives for at bestå denne test, hvilket beviser, at browseren er uændret og opfylder krav. Så længe siden har tillid til dette resultat, vil du få adgang til siden.
Ved læsning af forslaget udtaler forfatterne, at de "stærkt føler", at et enheds-id nogensinde bør inkluderes, da det ville give mulighed for enhedsfingeraftryk. Det er der dog modsætninger i forslaget om, såsom et forslag om, at de ville indeholde en "indikator aktiverer hastighedsbegrænsning mod en fysisk enhed." Hvordan dette ville blive implementeret uden enhedsfingeraftryk er ukendt.
Dette forslag er fløjet lidt under radaren, og det blev delt på HackerNews for nylig efter at være blevet set på en Google-medarbejders personlige GitHub-konto. Faktisk, selvom Google slet ikke har gjort opmærksom på det, er der allerede prototypekode bliver sat sammen til en fremtidig Chrome-udgivelse. Både Mozilla og Vivaldi har kritiseret forslaget, hvor Mozilla sagde, at det "er imod dette forslag, fordi det er i modstrid med vores principper og vision for nettet," mens Vivaldi omtalte forslaget som "farligt."
Forslaget truer det frie og åbne internet på en række måder, men en af de største drejer sig om, at der er en central server, der attesterer, om en browser kan stole på eller ej, det betyder, at alt, der ikke er standard, ikke vil være betroet. Med andre ord ville man ikke stole på nye browsere, og ældre software ville ikke længere være i stand til at få adgang til meget af internettet efter et vist tidsrum. Da det verificerer browserens integritet, kan det også teknisk blokere visse udvidelser (f.eks. Adblock), hvis Google skulle gå den vej.
Vi vil sørge for at holde øje med Googles Web Environment Integrity API-forslag, som mens det allerede er bevist kontroversielt, ser det ud til, at virksomheden er fuld fart på med at lave prototyper på det mindst.