L'API Web Environment Integrity di Google è fondamentalmente SafetyNet per i siti Web e non ha un bell'aspetto.
Google ha proposto un nuovo standard Web chiamato API di integrità dell'ambiente Web ed è essenzialmente DRM per Internet. In una proposta dettagliata da quattro staff di Google (uno dei quali, Philipp Pfeiffenberger, faceva anche parte del Proposta originale per la sandbox sulla privacy di Google), delinea come l'API WEI sarà in grado di mantenere Internet "sicuro."
In the introduction of la proposta, il team dietro di esso afferma quanto segue.
"Gli utenti dipendono spesso dai siti Web fidati dell'ambiente del cliente in cui eseguono. Questa fiducia può presupporre che l'ambiente del cliente sia onesto su alcuni aspetti di se stesso i dati degli utenti e la proprietà intellettuale sono protetti ed è trasparente riguardo al fatto che un essere umano li stia utilizzando o meno Esso. Questa fiducia è la spina dorsale di Internet aperto, fondamentale per la sicurezza dei dati degli utenti e per la sostenibilità dell'attività del sito Web ".
In pratica, assomiglia molto all'API SafetyNet (ora sostituita da Play Integrity) sugli smartphone Android, che secondo il team è un'ispirazione. "Questa spiegazione si ispira ai segnali di attestazione nativi esistenti come App Attest e il Play Integrity API," loro scrivono. L'API di integrità di Android verifica che il tuo dispositivo non sia rootato, indipendentemente da ciò per cui puoi utilizzare l'accesso alla root. Non importa se lo usi per interferire con le app o semplicemente per modificare il tuo dispositivo, poiché l'API dichiarerà che il tuo dispositivo non supera tali controlli. Di conseguenza, gli utenti radicati non possono utilizzare molti servizi sui loro smartphone, anche se è puramente per motivi di personalizzazione.
In other words, the primary aim of the WEI API would be to ascertain that the browser has not been tampered with and that the person using the browser is a real person.
La proposta delinea il flusso di come funzionerebbe la connessione a un sito Web in questo caso e richiede un server di attestazione di terze parti che probabilmente sarebbe di proprietà di Google in questo caso. Il tuo browser richiede una pagina web normalmente e quindi è tenuto a superare un test di verifica "IntegrityToken" viene assegnato per aver superato questo test, dimostrando che il browser non è stato modificato e soddisfa i requisiti requisiti. Finché la pagina si fida di questo risultato, ti verrà concesso l'accesso alla pagina.
Leggendo la proposta, gli autori affermano di essere "fortemente convinti" che un ID del dispositivo dovrebbe mai essere incluso, in quanto consentirebbe l'impronta digitale del dispositivo. Tuttavia, la proposta contiene contraddizioni, come ad esempio il suggerimento di includere un "indicatore abilitare la limitazione della velocità su un dispositivo fisico." Come potrebbe essere implementato senza il rilevamento delle impronte digitali del dispositivo sconosciuto.
Questa proposta è passata in qualche modo sotto il radar ed è stata recentemente condivisa su HackerNews dopo essere stata individuata sull'account GitHub personale di un dipendente di Google. In effetti, anche se Google non ha attirato affatto l'attenzione su questo, c'è già codice prototipo in fase di realizzazione per una futura versione di Chrome. Both Mozilla and Vivaldi hanno criticato la proposta, con Mozilla che ha affermato che "si oppone a questa proposta perché contraddice i nostri principi e la nostra visione del Web," mentre Vivaldi si riferiva alla proposta come "pericoloso."
La proposta minaccia l’internet libera e aperta in diversi modi, ma uno dei più grandi riguarda il fatto che ciò dovrebbe avvenire c'è un server centrale che attesta se un browser può essere considerato attendibile o meno, significa che qualsiasi cosa non standard non sarà fidato. In altre parole, i nuovi browser non sarebbero considerati affidabili e il software legacy non sarebbe più in grado di accedere a gran parte di Internet dopo un certo periodo di tempo. Dato che verifica l'integrità del browser, potrebbe anche bloccare tecnicamente alcune estensioni (come Blocco annunci) se Google dovesse intraprendere questa strada.
Terremo sicuramente d'occhio la proposta dell'API Web Environment Integrity di Google, poiché mentre è già dimostrato controverso, sembra che la società sia a pieno ritmo con la prototipazione meno.