Το Web Environment Integrity API της Google είναι βασικά SafetyNet για ιστότοπους και δεν φαίνεται καλό.
Η Google έχει προτείνει ένα νέο πρότυπο ιστού που ονομάζεται Web Environment Integrity API, και είναι ουσιαστικά DRM για το διαδίκτυο. Σε μια πρόταση που περιγράφεται λεπτομερώς από τέσσερα μέλη του προσωπικού της Google (ένας εκ των οποίων, ο Philipp Pfeiffenberger, ήταν επίσης μέρος του αρχική πρόταση για το Privacy Sandbox της Google), περιγράφει πώς το WEI API θα μπορεί να διατηρήσει το διαδίκτυο "ασφαλής."
Στην εισαγωγή του Η πρόταση, η ομάδα πίσω από αυτό αναφέρει τα εξής.
«Οι χρήστες συχνά εξαρτώνται από τους ιστότοπους που εμπιστεύονται το περιβάλλον πελατών στο οποίο λειτουργούν. Αυτή η εμπιστοσύνη μπορεί να υποθέσει ότι το περιβάλλον του πελάτη είναι ειλικρινές για ορισμένες πτυχές του εαυτού του, κρατά τα δεδομένα χρήστη και η πνευματική ιδιοκτησία είναι ασφαλή και είναι διαφανή σχετικά με το εάν κάποιος χρησιμοποιεί ή όχι το. Αυτή η εμπιστοσύνη είναι η ραχοκοκαλιά του ανοιχτού διαδικτύου, κρίσιμης σημασίας για την ασφάλεια των δεδομένων των χρηστών και για τη βιωσιμότητα της επιχείρησης του ιστότοπου."
Στην πράξη, αυτό μοιάζει πολύ με το SafetyNet API (τώρα αντικαταστάθηκε από το Play Integrity) σε smartphone Android, το οποίο η ομάδα αναφέρει ότι αποτελεί έμπνευση. "Αυτός ο επεξηγητής εμπνέεται από υπάρχοντα εγγενή σήματα βεβαίωσης, όπως π.χ App Attest και το Παίξτε Integrity API," γράφουν. Το Integrity API του Android επαληθεύει ότι η συσκευή σας δεν είναι ριζωμένη, ανεξάρτητα από το για τον οποίο μπορείτε να χρησιμοποιήσετε αυτήν την πρόσβαση root. Είτε το χρησιμοποιείτε για παρεμβολές σε εφαρμογές είτε για απλώς τροποποίηση της συσκευής σας δεν έχει σημασία, καθώς το API θα αναφέρει ότι η συσκευή σας δεν περνάει αυτούς τους ελέγχους. Ως αποτέλεσμα, οι χρήστες με root δεν μπορούν να χρησιμοποιήσουν πολλές υπηρεσίες στα smartphone τους, ακόμα κι αν αυτό είναι καθαρά για λόγους προσαρμογής μόνο.
Με άλλα λόγια, ο πρωταρχικός στόχος του WEI API θα ήταν να εξακριβώσει ότι το πρόγραμμα περιήγησης δεν έχει παραβιαστεί και ότι το άτομο που χρησιμοποιεί το πρόγραμμα περιήγησης είναι πραγματικό πρόσωπο.
Η πρόταση περιγράφει τη ροή του τρόπου λειτουργίας της σύνδεσης σε έναν ιστότοπο σε αυτήν την περίπτωση και απαιτεί έναν διακομιστή πιστοποίησης τρίτου μέρους που πιθανότατα θα ανήκει στην Google σε αυτήν την περίπτωση. Το πρόγραμμα περιήγησής σας ζητά μια ιστοσελίδα κανονικά και, στη συνέχεια, απαιτείται να περάσει μια δοκιμή όπου επαληθεύτηκε Το "IntegrityToken" δίνεται για την επιτυχία αυτής της δοκιμής, αποδεικνύοντας ότι το πρόγραμμα περιήγησης δεν έχει τροποποιηθεί και πληροί τις απαιτήσεις. Εφόσον η σελίδα εμπιστεύεται αυτό το αποτέλεσμα, τότε θα σας παραχωρηθεί πρόσβαση στη σελίδα.
Κατά την ανάγνωση της πρότασης, οι συγγραφείς δηλώνουν ότι «αισθάνονται έντονα» ότι θα πρέπει ποτέ να συμπεριληφθεί ένα αναγνωριστικό συσκευής, καθώς θα επέτρεπε τη λήψη δακτυλικών αποτυπωμάτων της συσκευής. Ωστόσο, υπάρχουν αντιφάσεις στην πρόταση για αυτό, όπως μια πρόταση ότι θα περιλαμβάνουν έναν «δείκτη Ενεργοποίηση περιορισμού ρυθμού σε μια φυσική συσκευή." Πώς θα εφαρμοστεί αυτό χωρίς το δακτυλικό αποτύπωμα της συσκευής είναι άγνωστος.
Αυτή η πρόταση έπεσε κάπως κάτω από το ραντάρ και κοινοποιήθηκε πρόσφατα στο HackerNews αφού εντοπίστηκε στον προσωπικό λογαριασμό GitHub ενός υπαλλήλου της Google. Στην πραγματικότητα, παρόλο που η Google δεν έχει επιστήσει καθόλου την προσοχή σε αυτό, υπάρχει ήδη ο πρωτότυπος κώδικας συντάσσεται για μια μελλοντική έκδοση του Chrome. Τόσο η Mozilla όσο και Βιβάλντι επέκριναν την πρόταση, με τη Mozilla να λέει ότι "αντιτίθεται σε αυτήν την πρόταση επειδή έρχεται σε αντίθεση με τις αρχές και το όραμά μας για τον Ιστό,"ενώ ο Vivaldi αναφέρθηκε στην πρόταση ως "επικίνδυνος."
Η πρόταση απειλεί το ελεύθερο και ανοιχτό διαδίκτυο με διάφορους τρόπους, αλλά ένας από τους μεγαλύτερους περιστρέφεται γύρω από το γεγονός ότι υπάρχει ένας κεντρικός διακομιστής που πιστοποιεί εάν ένα πρόγραμμα περιήγησης μπορεί να είναι αξιόπιστο ή όχι, αυτό σημαίνει ότι οτιδήποτε μη τυπικό δεν θα είναι έμπιστος. Με άλλα λόγια, τα νέα προγράμματα περιήγησης δεν θα ήταν αξιόπιστα και το παλαιού τύπου λογισμικό δεν θα μπορούσε πλέον να έχει πρόσβαση σε μεγάλο μέρος του Διαδικτύου μετά από ένα ορισμένο χρονικό διάστημα. Δεδομένου ότι επαληθεύει την ακεραιότητα του προγράμματος περιήγησης, θα μπορούσε επίσης να αποκλείσει τεχνικά ορισμένες επεκτάσεις (όπως π.χ. Adblock) εάν η Google ακολουθούσε αυτή τη διαδρομή.
Θα παρακολουθούμε σίγουρα την πρόταση του Google Web Environment Integrity API, καθώς είναι ήδη αποδεδειγμένα αμφιλεγόμενο, φαίνεται ότι η εταιρεία προχωρά με το πρωτότυπο της ελάχιστα.