Googleov API za integritet web okruženja u osnovi je SafetyNet za web stranice i ne izgleda dobro.
Google je predložio novi web standard pod nazivom Web Environment Integrity API, a to je u biti DRM za internet. U prijedlogu koji su detaljno opisala četiri Googleova zaposlenika (od kojih je jedan, Philipp Pfeiffenberger, također bio dio izvorni prijedlog za Googleov Privacy Sandbox), opisuje kako će WEI API moći zadržati internet "siguran."
U uvodu Prijedlog, tim koji stoji iza njega navodi sljedeće.
"Korisnici često ovise o tome da web stranice vjeruju klijentskom okruženju u kojem rade. Ovo povjerenje može pretpostaviti da je okruženje klijenta iskreno o određenim aspektima sebe, čuva sigurni su korisnički podaci i intelektualno vlasništvo te je transparentno o tome koristi li ih čovjek ili ne to. Ovo povjerenje je okosnica otvorenog interneta, kritično za sigurnost korisničkih podataka i za održivost poslovanja web stranice."
U praksi ovo zvuči dosta poput SafetyNet API-ja (sada zamijenjenog Play Integrityjem) na Android pametnim telefonima, za koji tim navodi da je inspiracija. "Ovaj objašnjavač crpi inspiraciju iz postojećih izvornih signala potvrde kao što su
App Attest i Play Integrity API," pišu. Androidov Integrity API provjerava da vaš uređaj nije rootan, bez obzira za što koristite taj root pristup. Bez obzira na to hoćete li ga koristiti za ometanje aplikacija ili za jednostavnu izmjenu uređaja, API će navesti da vaš uređaj ne prolazi te provjere. Kao rezultat toga, rootani korisnici ne mogu koristiti mnoge usluge na svojim pametnim telefonima, čak i ako je to samo iz razloga prilagodbe.Drugim riječima, primarni cilj WEI API-ja bio bi potvrditi da preglednik nije neovlašteno mijenjan i da je osoba koja koristi preglednik stvarna osoba.
Prijedlog ocrtava tok kako bi povezivanje s web-mjestom funkcioniralo u ovom slučaju i zahtijeva poslužitelj za ovjeru treće strane koji bi u ovom slučaju vjerojatno bio u vlasništvu Googlea. Vaš preglednik zahtijeva web stranicu kao i obično, a zatim mora proći test gdje je potvrđena "IntegrityToken" se daje za prolaz ovog testa, dokazujući da preglednik nije modificiran i zadovoljava zahtjevi. Sve dok stranica vjeruje ovom rezultatu, bit će vam dopušten pristup stranici.
Čitajući prijedlog, autori navode da "snažno smatraju" da bi ID uređaja ikada trebao biti uključen, jer bi omogućio otisak prsta uređaja. Međutim, postoje kontradikcije u prijedlogu za to, kao što je prijedlog da bi uključili "indikator omogućavanje ograničenja brzine prema fizičkom uređaju." Kako bi se to implementiralo bez otiska prsta uređaja nepoznato.
Ovaj prijedlog je donekle prošao ispod radara, a nedavno je podijeljen na HackerNewsu nakon što je uočen na osobnom GitHub računu Googleovog zaposlenika. Zapravo, iako Google uopće nije skrenuo pažnju na to, već postoji prototip koda koji se sastavlja za buduće izdanje Chromea. I Mozilla i Vivaldi kritizirali su prijedlog, a Mozilla je rekla da je "protivi se ovom prijedlogu jer je u suprotnosti s našim načelima i vizijom weba," dok je Vivaldi prijedlog nazvao "opasno."
Prijedlog prijeti slobodnom i otvorenom internetu na više načina, ali jedan od najvećih se vrti oko činjenice da bi trebao postoji središnji poslužitelj koji potvrđuje može li se pregledniku vjerovati ili ne, to znači da ništa nestandardno neće biti vjerovao. Drugim riječima, novi preglednici ne bi bili pouzdani, a naslijeđeni softver više ne bi mogao pristupiti velikom dijelu interneta nakon određenog vremena. S obzirom na to da provjerava integritet preglednika, također bi mogao tehnički blokirati određena proširenja (kao što je Adblock) ako bi Google krenuo tim putem.
Svakako ćemo paziti na Googleov prijedlog API-ja za integritet web okruženja, jer već postoji dokazano kontroverznim, čini se da tvrtka punom parom napreduje s izradom prototipa na samom početku najmanje.