Googlen Web Environment Integrity API on pohjimmiltaan verkkosivustojen SafetyNet, eikä se näytä hyvältä.
Google on ehdottanut uutta verkkostandardia nimeltä Web Environment Integrity API, ja se on pohjimmiltaan DRM Internetiä varten. Neljän Googlen työntekijän esittämässä ehdotuksessa (joista yksi, Philipp Pfeiffenberger, oli myös osa alkuperäinen ehdotus Googlen Privacy Sandboxista), siinä hahmotellaan, kuinka WEI-sovellusliittymä pystyy pitämään Internetin "turvallinen".
Esittelyssä ehdotus, sen takana oleva tiimi toteaa seuraavaa.
"Käyttäjät ovat usein riippuvaisia verkkosivustoista, jotka luottavat asiakasympäristöönsä. Tämä luottamus voi olettaa, että asiakasympäristö on rehellinen tietyistä itsestään, pitää käyttäjätiedot ja immateriaalioikeudet ovat turvallisia, ja se on läpinäkyvä sen suhteen, käyttääkö ihminen vai ei se. Tämä luottamus on avoimen Internetin selkäranka, joka on kriittinen käyttäjätietojen turvallisuuden ja verkkosivuston liiketoiminnan kestävyyden kannalta."
Käytännössä tämä kuulostaa paljon Android-älypuhelimien SafetyNet API: lta (joka on nyt korvattu Play Integrityllä), mikä tiimin mukaan on inspiraatiota. "Tämä selittäjä saa inspiraationsa olemassa olevista alkuperäisistä todistussignaaleista, kuten
Sovellustodistus ja Play Integrity API," he kirjoittavat. Androidin Integrity API varmistaa, että laitteesi ei ole juurtunut riippumatta siitä, mihin tarkoitukseen käytät kyseistä pääkäyttäjän oikeutta. Sillä, käytätkö sitä sovellusten häiritsemiseen vai yksinkertaisesti laitteen muokkaamiseen, ei ole väliä, sillä API ilmoittaa, että laitteesi ei läpäise näitä tarkastuksia. Tämän seurauksena juurtuneet käyttäjät eivät voi käyttää monia palveluita älypuhelimissaan, vaikka se olisi pelkästään mukauttamissyistä.Toisin sanoen WEI API: n ensisijainen tavoite olisi varmistaa, että selainta ei ole peukaloitu ja että selainta käyttävä henkilö on todellinen henkilö.
Ehdotuksessa kuvataan, miten verkkosivustoon yhdistäminen toimisi tässä tapauksessa, ja se vaatii kolmannen osapuolen todistuspalvelimen, joka todennäköisesti olisi Googlen omistuksessa tässä tapauksessa. Selaimesi pyytää verkkosivua normaalisti, ja sen jälkeen sen on läpäistävä testi, jossa varmistetaan "IntegrityToken" annetaan tämän testin läpäisemisestä, mikä osoittaa, että selain on muokkaamaton ja täyttää vaatimukset. Niin kauan kuin sivu luottaa tähän tulokseen, sinulle myönnetään pääsy sivulle.
Ehdotusta lukiessaan kirjoittajat toteavat, että he "tuntevat vahvasti", että laitetunnus tulisi koskaan sisällyttää mukaan, koska se mahdollistaisi laitteen sormenjälkien oton. Sitä koskevassa ehdotuksessa on kuitenkin ristiriitaisuuksia, kuten ehdotus, että niihin sisällytettäisiin "indikaattori mahdollistaa nopeuden rajoittamisen fyysistä laitetta vastaan." Kuinka tämä toteutettaisiin ilman laitteen sormenjälkiä tuntematon.
Tämä ehdotus on lentänyt jonkin verran tutkan alle, ja se jaettiin HackerNewsissa äskettäin sen jälkeen, kun se havaittiin Googlen työntekijän henkilökohtaisella GitHub-tilillä. Itse asiassa, vaikka Google ei ole kiinnittänyt siihen huomiota ollenkaan, on jo olemassa prototyyppikoodia kootaan tulevaa Chrome-julkaisua varten. Sekä Mozilla että Vivaldi ovat kritisoineet ehdotusta, ja Mozilla sanoi, että se "vastustaa tätä ehdotusta, koska se on ristiriidassa verkkoa koskevien periaatteidemme ja visiomme kanssa,"kun taas Vivaldi viittasi ehdotukseen "vaarallinen."
Ehdotus uhkaa ilmaista ja avointa Internetiä monin tavoin, mutta yksi suurimmista liittyy siihen, että siellä on keskuspalvelin, joka todistaa, voiko selaimeen luottaa vai ei, se tarkoittaa, että mikään ei-standardi ei ole luotettu. Toisin sanoen uusiin selaimiin ei luotettaisi, ja vanhat ohjelmistot eivät enää voisi käyttää suurta osaa Internetistä tietyn ajan kuluttua. Koska se varmistaa selaimen eheyden, se voi myös teknisesti estää tietyt laajennukset (esim Adblock), jos Google lähtisi tälle tielle.
Pidämme varmasti silmällä Googlen Web Environment Integrity API -ehdotusta, koska se on jo olemassa osoittautunut kiistanalaiseksi, näyttää siltä, että yritys on täydellä teholla prototyyppien tekemisessä vähiten.