L'API Web Environment Integrity de Google est essentiellement SafetyNet pour les sites Web, et cela n'a pas l'air bien.
Google a proposé une nouvelle norme Web appelée Web Environment Integrity API, et il s'agit essentiellement d'un DRM pour Internet. Dans une proposition détaillée par quatre employés de Google (dont l'un, Philipp Pfeiffenberger, faisait également partie du proposition originale pour le Privacy Sandbox de Google), il décrit comment l'API WEI pourra maintenir Internet "sécurisé."
Dans l'introduction de La proposition, l’équipe derrière cela déclare ce qui suit.
"Les utilisateurs dépendent souvent de sites Web qui font confiance à l'environnement client dans lequel ils s'exécutent. Cette confiance peut supposer que l'environnement client est honnête sur certains aspects de lui-même, les données des utilisateurs et la propriété intellectuelle sont sécurisées et sont transparentes quant à savoir si un humain utilise ou non il. Cette confiance est l’épine dorsale de l’Internet ouvert, essentielle à la sécurité des données des utilisateurs et à la pérennité de l’activité du site Web. »
En pratique, cela ressemble beaucoup à l’API SafetyNet (maintenant remplacée par Play Integrity) sur les smartphones Android, dont l’équipe considère qu’elle est une source d’inspiration. "Cet explicatif s'inspire des signaux d'attestation natifs existants tels que Attestation d'application et le API Play Integrity," ils écrivent. L'API Integrity d'Android vérifie que votre appareil n'est pas rooté, quelle que soit la raison pour laquelle vous utilisez cet accès root. Que vous l'utilisiez pour interférer avec des applications ou simplement pour modifier votre appareil n'a pas d'importance, car l'API indiquera que votre appareil ne réussit pas ces contrôles. En conséquence, les utilisateurs rootés ne peuvent pas utiliser beaucoup de services sur leurs smartphones, même si c'est uniquement pour des raisons de personnalisation.
En d’autres termes, l’objectif principal de l’API WEI serait de s’assurer que le navigateur n’a pas été falsifié et que la personne qui utilise le navigateur est une personne réelle.
La proposition décrit le déroulement de la connexion à un site Web dans ce cas et nécessite un serveur d'attestation tiers qui appartiendrait probablement à Google dans ce cas. Votre navigateur demande normalement une page Web et doit ensuite réussir un test où une page Web vérifiée "IntegrityToken" est donné pour réussir ce test, prouvant que le navigateur n'est pas modifié et répond aux exigences. Tant que la page fait confiance à ce résultat, vous aurez alors accès à la page.
À la lecture de la proposition, les auteurs déclarent qu'ils « sont fermement convaincus » qu'un identifiant d'appareil devrait un jour être inclus, car cela permettrait la prise d'empreintes digitales de l'appareil. Cependant, il y a des contradictions dans la proposition à ce sujet, comme la suggestion selon laquelle elles incluraient un « indicateur permettant la limitation du débit sur un appareil physique. " La manière dont cela serait implémenté sans empreinte digitale de l'appareil est inconnu.
Cette proposition est quelque peu passée inaperçue et a été partagée récemment sur HackerNews après avoir été repérée sur le compte GitHub personnel d'un employé de Google. En fait, même si Google n'a pas du tout attiré l'attention sur ce point, il existe déjà code prototype en cours d'élaboration pour une future version de Chrome. Mozilla et Vivaldi ont critiqué la proposition, Mozilla affirmant qu'elle "s'oppose à cette proposition car elle contredit nos principes et notre vision du Web," tandis que Vivaldi qualifiait la proposition de "dangereux."
La proposition menace l'Internet libre et ouvert de plusieurs manières, mais l'une des plus importantes concerne le fait que il y a un serveur central qui atteste si un navigateur est fiable ou non, cela signifie que tout ce qui n'est pas standard ne sera pas de confiance. En d’autres termes, les nouveaux navigateurs ne seraient plus fiables et les logiciels existants ne pourraient plus accéder à une grande partie d’Internet après un certain temps. Etant donné qu'il vérifie l'intégrité du navigateur, il pourrait également bloquer techniquement certaines extensions (telles que Blocage des publicités) si Google empruntait cette voie.
Nous ne manquerons pas de garder un œil sur la proposition d'API Web Environment Integrity de Google, car elle est déjà disponible. s'est révélé controversé, il semble que l'entreprise soit à toute vapeur en train de le prototyper dès le début. moins.