Die Web Environment Integrity API von Google ist im Grunde SafetyNet für Websites und sieht nicht gut aus.
Google hat einen neuen Webstandard namens Web Environment Integrity API vorgeschlagen, bei dem es sich im Wesentlichen um DRM für das Internet handelt. In einem Vorschlag, der von vier Google-Mitarbeitern detailliert beschrieben wurde (einer davon, Philipp Pfeiffenberger, war auch Teil des (Originalvorschlag für Googles Privacy Sandbox) beschreibt er, wie die WEI-API das Internet schützen kann "sicher."
In der Einleitung von der Antrag, erklärt das Team dahinter Folgendes.
„Benutzer sind oft darauf angewiesen, dass Websites der Client-Umgebung vertrauen, in der sie ausgeführt werden. Dieses Vertrauen kann davon ausgehen, dass die Kundenumgebung in Bezug auf bestimmte Aspekte ihrer selbst ehrlich bleibt Benutzerdaten und geistiges Eigentum sind sicher und es ist transparent, ob ein Mensch sie nutzt oder nicht Es. Dieses Vertrauen ist das Rückgrat des offenen Internets und entscheidend für die Sicherheit der Benutzerdaten und für die Nachhaltigkeit des Website-Geschäfts.“
In der Praxis klingt das stark nach der SafetyNet-API (jetzt ersetzt durch Play Integrity) auf Android-Smartphones, die das Team als Inspiration bezeichnet. „Dieser Erklärer lässt sich von vorhandenen nativen Bestätigungssignalen inspirieren, z App-Attest und das Spielen Sie die Integrity-API," Sie schreiben. Die Integrity API von Android überprüft, ob Ihr Gerät nicht gerootet ist, unabhängig davon, wofür Sie diesen Root-Zugriff verwenden. Ob Sie damit in Apps eingreifen oder einfach nur Ihr Gerät modifizieren, spielt keine Rolle, da die API angibt, dass Ihr Gerät diese Prüfungen nicht besteht. Dies führt dazu, dass gerootete Benutzer viele Dienste auf ihren Smartphones nicht nutzen können, selbst wenn dies nur aus Gründen der Individualisierung erfolgt.
Mit anderen Worten: Das Hauptziel der WEI-API besteht darin, sicherzustellen, dass der Browser nicht manipuliert wurde und dass es sich bei der Person, die den Browser verwendet, um eine reale Person handelt.
Der Vorschlag beschreibt den Ablauf, wie die Verbindung zu einer Website in diesem Fall funktionieren würde, und erfordert einen Zertifizierungsserver eines Drittanbieters, der in diesem Fall wahrscheinlich Google gehört. Ihr Browser fordert wie gewohnt eine Webseite an und muss dann einen Test bestehen, bei dem eine Verifizierung erfolgt Für das Bestehen dieses Tests wird ein „IntegrityToken“ vergeben, das beweist, dass der Browser unverändert ist und die Anforderungen erfüllt Anforderungen. Solange die Seite diesem Ergebnis vertraut, erhalten Sie Zugriff auf die Seite.
Bei der Lektüre des Vorschlags geben die Autoren an, dass sie „der festen Überzeugung sind“, dass jemals eine Geräte-ID enthalten sein sollte, da dies die Erfassung von Geräte-Fingerabdrücken ermöglichen würde. Der diesbezügliche Vorschlag enthält jedoch Widersprüche, beispielsweise den Vorschlag, einen „Indikator“ aufzunehmen Aktivieren der Ratenbegrenzung für ein physisches Gerät.“ Wie dies ohne Geräte-Fingerprinting implementiert werden würde, ist Unbekannt.
Dieser Vorschlag ist etwas unter dem Radar geflogen und wurde kürzlich auf HackerNews geteilt, nachdem er auf dem persönlichen GitHub-Konto eines Google-Mitarbeiters entdeckt wurde. Auch wenn Google überhaupt nicht darauf aufmerksam gemacht hat, gibt es sie bereits Prototyp-Code wird zusammengestellt für eine zukünftige Chrome-Version. Sowohl Mozilla als auch Vivaldi haben den Vorschlag kritisiert, wobei Mozilla sagte, dass er „lehnt diesen Vorschlag ab, weil er unseren Prinzipien und unserer Vision für das Web widerspricht,„während Vivaldi den Vorschlag als „gefährlich."
Der Vorschlag stellt eine Bedrohung für das freie und offene Internet in vielerlei Hinsicht dar, aber eine der größten ist die Tatsache, dass dies der Fall sein sollte Es gibt einen zentralen Server, der bestätigt, ob ein Browser vertrauenswürdig ist oder nicht. Dies bedeutet, dass alles, was nicht dem Standard entspricht, nicht vertrauenswürdig ist Vertrauenswürdige. Mit anderen Worten: Neue Browser würden nicht mehr vertrauenswürdig sein und ältere Software wäre nach einer gewissen Zeit nicht mehr in der Lage, auf einen Großteil des Internets zuzugreifen. Da es die Integrität des Browsers überprüft, könnte es auch bestimmte Erweiterungen technisch blockieren (z. B Adblocker), wenn Google diesen Weg einschlagen würde.
Wir werden den Web Environment Integrity API-Vorschlag von Google auf jeden Fall im Auge behalten, da er bereits vorliegt Es hat sich zwar als kontrovers erwiesen, aber es scheint, dass das Unternehmen derzeit mit Hochdruck an der Prototypenentwicklung arbeitet am wenigsten.