La API de integridad del entorno web de Google es básicamente SafetyNet para sitios web y no tiene buena pinta.
Google ha propuesto un nuevo estándar web llamado Web Environment Integrity API, y es esencialmente DRM para Internet. En una propuesta detallada por cuatro empleados de Google (uno de los cuales, Philipp Pfeiffenberger, también formó parte del propuesta original para Privacy Sandbox de Google), describe cómo la API WEI podrá mantener Internet "seguro."
En la introducción de la propuesta, el equipo detrás afirma lo siguiente.
"Los usuarios a menudo dependen de que los sitios web confíen en el entorno del cliente en el que se ejecutan. Esta confianza puede suponer que el entorno del cliente es honesto acerca de ciertos aspectos de sí mismo, mantiene Los datos del usuario y la propiedad intelectual son seguros y es transparente sobre si un ser humano está usando o no. él. Esta confianza es la columna vertebral de una Internet abierta, fundamental para la seguridad de los datos de los usuarios y para la sostenibilidad del negocio del sitio web".
En la práctica, esto se parece mucho a la API SafetyNet (ahora reemplazada por Play Integrity) en los teléfonos inteligentes Android, que según el equipo es una inspiración. "Esta explicación se inspira en las señales de certificación nativas existentes, como Testimonio de aplicación y el API de integridad de juego," escriben. La API Integrity de Android verifica que su dispositivo no esté rooteado, sin importar para qué pueda usar ese acceso de root. No importa si lo usa para interferir con aplicaciones o simplemente para modificar su dispositivo, ya que la API indicará que su dispositivo no pasa esas comprobaciones. Como resultado, los usuarios rooteados no pueden utilizar muchos servicios en sus teléfonos inteligentes, incluso si es únicamente por razones de personalización.
En otras palabras, el objetivo principal de la API WEI sería comprobar que el navegador no ha sido manipulado y que la persona que lo utiliza es una persona real.
La propuesta describe el flujo de cómo funcionaría la conexión a un sitio web en este caso y requiere un servidor de certificación de terceros que probablemente sería propiedad de Google en este caso. Su navegador solicita una página web de forma normal y luego debe pasar una prueba en la que se verifica una Se otorga "IntegrityToken" por pasar esta prueba, lo que demuestra que el navegador no está modificado y cumple con los requisitos. Siempre que la página confíe en este resultado, se le concederá acceso a la página.
Al leer la propuesta, los autores afirman que "creen firmemente" que alguna vez debería incluirse una identificación del dispositivo, ya que permitiría la toma de huellas digitales del dispositivo. Sin embargo, hay contradicciones en la propuesta al respecto, como la sugerencia de que incluirían un "indicador permitir la limitación de velocidad contra un dispositivo físico". Cómo se implementaría esto sin la toma de huellas digitales del dispositivo es desconocido.
Esta propuesta ha pasado un poco desapercibida y se compartió recientemente en HackerNews después de ser detectada en la cuenta personal de GitHub de un empleado de Google. De hecho, aunque Google no ha llamado la atención sobre ello, ya existe código prototipo en proceso de elaboración para una futura versión de Chrome. Tanto Mozilla como vivaldi han criticado la propuesta, y Mozilla dijo que "se opone a esta propuesta porque contradice nuestros principios y visión de la Web," mientras que Vivaldi se refirió a la propuesta como "peligroso."
La propuesta amenaza la Internet libre y abierta de varias maneras, pero una de las más importantes gira en torno al hecho de que debería Si hay un servidor central que certifica si se puede confiar en un navegador o no, significa que cualquier cosa que no sea estándar no será válida. confiable. En otras palabras, no se confiaría en los nuevos navegadores y el software heredado ya no podría acceder a gran parte de Internet después de un cierto período de tiempo. Dado que verifica la integridad del navegador, técnicamente también podría bloquear ciertas extensiones (como bloque de publicidad) si Google siguiera ese camino.
Nos aseguraremos de estar atentos a la propuesta de API de integridad del entorno web de Google, ya que ya está probado controvertido, parece que la compañía está a todo vapor con la creación de prototipos en el mismo momento. el menos.