A Google Web Environment Integrity API alapvetően a webhelyekhez készült SafetyNet, és nem néz ki jól.
A Google új webszabványt javasolt, a Web Environment Integrity API néven, és ez lényegében az internet DRM-je. A Google négy munkatársa által részletezett javaslatban (amelyek egyike, Philipp Pfeiffenberger is része volt a a Google Privacy Sandboxra vonatkozó eredeti javaslata), felvázolja, hogy a WEI API hogyan tudja megtartani az internetet "biztonságos".
Bevezetőjében A javaslatot, a mögötte álló csapat a következőket állítja.
"A felhasználók gyakran függenek attól, hogy a webhelyek megbíznak abban a klienskörnyezetben, amelyben futnak. Ez a bizalom feltételezheti, hogy az ügyfélkörnyezet őszinte önmaga bizonyos aspektusaival kapcsolatban, megtartja a felhasználói adatok és a szellemi tulajdon biztonságos, és átlátható, hogy ember használja-e vagy sem azt. Ez a bizalom a nyílt internet gerince, amely kritikus a felhasználói adatok biztonsága és a webhely üzleti tevékenységének fenntarthatósága szempontjából."
A gyakorlatban ez nagyon úgy hangzik, mint a SafetyNet API (amelyet most a Play Integrity váltott fel) az Android okostelefonokon, ami a csapat szerint inspirációt jelent. "Ez a magyarázó a meglévő natív tanúsítási jelekből merít ihletet, mint pl App Attest és a Play Integrity API," ők írnak. Az Android Integrity API ellenőrzi, hogy eszköze nincs-e rootolva, függetlenül attól, hogy mire használja ezt a root hozzáférést. Nem számít, hogy alkalmazások zavarására vagy egyszerűen csak az eszköz módosítására használja, mivel az API azt jelzi, hogy az eszköz nem felel meg ezeken az ellenőrzéseken. Ennek eredményeként a gyökeres felhasználók nem használhatnak sok szolgáltatást okostelefonjukon, még akkor sem, ha ez pusztán testreszabási okokból történik.
Más szóval, a WEI API elsődleges célja az lenne, hogy megbizonyosodjon arról, hogy a böngészőt nem manipulálták, és hogy a böngészőt használó személy valódi személy-e.
A javaslat felvázolja a webhelyhez való kapcsolódás folyamatát ebben az esetben, és egy harmadik fél tanúsító szerverére van szükség, amely ebben az esetben valószínűleg a Google tulajdona. Az Ön böngészője a szokásos módon kér egy weboldalt, majd át kell mennie egy teszten, ahol egy ellenőrzött Az "IntegrityToken" a teszt sikeres teljesítése esetén igazolja, hogy a böngésző változatlan, és megfelel a követelményeknek. Mindaddig, amíg az oldal megbízik ebben az eredményben, hozzáférést kap az oldalhoz.
A javaslatot olvasva a szerzők kijelentik, hogy "erősen úgy érzik", hogy valaha is szerepeltetni kell egy eszközazonosítót, mivel ez lehetővé tenné az eszköz ujjlenyomatának levételét. A javaslatban azonban vannak ellentmondások, például az a javaslat, hogy tartalmaznának egy „mutatót sebességkorlátozás engedélyezése fizikai eszközökkel szemben." Hogyan valósítható meg ez az eszköz ujjlenyomata nélkül ismeretlen.
Ez a javaslat némileg a radar alá került, és a közelmúltban megosztották a HackerNews-on, miután észrevették egy Google-alkalmazott személyes GitHub-fiókjában. Sőt, bár a Google egyáltalán nem hívta fel rá a figyelmet, már van prototípus kód összeállítása egy jövőbeli Chrome-kiadáshoz. A Mozilla és a Vivaldi bírálták a javaslatot, a Mozilla pedig azt mondta, hogy "ellenzi ezt a javaslatot, mert az ellentmond a webre vonatkozó elveinknek és elképzeléseinknek,"miközben Vivaldi így hivatkozott a javaslatra"veszélyes."
A javaslat számos módon veszélyezteti a szabad és nyitott internetet, de az egyik legnagyobb az a tény, hogy van egy központi szerver, amely tanúsítja, hogy egy böngésző megbízható-e vagy sem, ez azt jelenti, hogy semmi nem szabványos nem lesz megbízott. Más szóval, az új böngészők nem lennének megbízhatóak, és a régi szoftverek egy bizonyos idő elteltével már nem férnének hozzá az internet nagy részéhez. Tekintettel arra, hogy ellenőrzi a böngésző integritását, technikailag is blokkolhat bizonyos kiterjesztéseket (pl Adblock), ha a Google ezen az úton haladna.
Biztosan figyelni fogjuk a Google Web Environment Integrity API-javaslatát, mivel az már van ellentmondásosnak bizonyult, úgy tűnik, hogy a vállalat gőzerővel halad a prototípus elkészítésében. legkevésbé.