ממשק ה-Web Environment Integrity API של Google הוא SafetyNet עבור אתרי אינטרנט

מחשובNov 20, 2023
click fraud protection

ממשק ה-Web Environment Integrity API של גוגל הוא בעצם SafetyNet עבור אתרים, והוא לא נראה טוב.

גוגל הציעה תקן אינטרנט חדש בשם Web Environment Integrity API, והוא בעצם DRM עבור האינטרנט. בהצעה שפורטה על ידי ארבעה עובדי גוגל (אחד מהם, פיליפ פייפנברגר, גם היה חלק מה- ההצעה המקורית ל-Privacy Sandbox של Google), היא מתארת ​​כיצד ה-WEI API יוכל לשמור על האינטרנט "לבטח."

בהקדמה של ההצעה, הצוות שמאחוריו קובע את הדברים הבאים.

"משתמשים תלויים לעתים קרובות באתרי אינטרנט שסומכים על סביבת הלקוח שבה הם פועלים. אמון זה עשוי להניח כי סביבת הלקוח היא כנה לגבי היבטים מסוימים של עצמה, שומרת נתוני המשתמש והקניין הרוחני מאובטחים, ושקופים לגבי האם אדם משתמש או לא זה. אמון זה הוא עמוד השדרה של האינטרנט הפתוח, קריטי לבטיחות נתוני המשתמש ולקיימות של העסק של האתר."

בפועל, זה נשמע הרבה כמו ה-API של SafetyNet (עכשיו הוחלף ב-Play Integrity) בסמארטפונים של אנדרואיד, שהצוות מציין שהוא מהווה השראה. "המסביר הזה שואב השראה מאותות הוכחה מקוריים קיימים כגון אישור אפליקציה וה Play Integrity API," הם כותבים. ממשק ה-API של אנדרואיד מוודא שהמכשיר שלך אינו מושרש, לא משנה למה אתה עשוי להשתמש בגישה השורשית הזו. לא משנה אם אתה משתמש בו כדי להפריע לאפליקציות או פשוט לשנות את המכשיר שלך, מכיוון שה-API יציין שהמכשיר שלך לא עובר את הבדיקות הללו. כתוצאה מכך, משתמשים שורשיים אינם יכולים להשתמש בשירותים רבים בסמארטפונים שלהם, גם אם זה רק מטעמי התאמה אישית בלבד.

במילים אחרות, המטרה העיקרית של ה-API של WEI תהיה לוודא שלא התעסק בדפדפן ושהאדם המשתמש בדפדפן הוא אדם אמיתי.

ההצעה מתארת ​​את הזרימה של אופן הפעולה של חיבור לאתר אינטרנט במקרה זה, והיא דורשת שרת אישורים של צד שלישי שככל הנראה יהיה בבעלות Google במקרה זה. הדפדפן שלך מבקש דף אינטרנט כרגיל ולאחר מכן נדרש לעבור מבחן שבו מאומת "IntegrityToken" ניתן עבור מעבר מבחן זה, המוכיח שהדפדפן אינו שונה ועומד ב דרישות. כל עוד הדף סומך על תוצאה זו, תינתן לך גישה לדף.

בקריאת ההצעה, המחברים מצהירים כי הם "חוששים מאוד" שצריך אי פעם לכלול מזהה מכשיר, מכיוון שהוא יאפשר טביעת אצבע מהמכשיר. עם זאת, יש לכך סתירות בהצעה, כמו הצעה שיכללו "אינדיקטור מאפשר הגבלת קצב כנגד מכשיר פיזי." כיצד זה מיושם ללא טביעת אצבע של המכשיר לא ידוע.

הצעה זו עפה מעט מתחת לרדאר, והיא שותפה ב-HackerNews לאחרונה לאחר שזוהתה בחשבון GitHub האישי של עובד גוגל. למעשה, למרות שגוגל כלל לא משכה את תשומת הלב לכך, יש כבר קוד אב טיפוס שמרכיבים אותו לגרסה עתידית של Chrome. גם מוזילה וגם ויוואלדי מתחו ביקורת על ההצעה, כאשר מוזילה אמרה שהיא "מתנגד להצעה הזו מכיוון שהיא סותרת את העקרונות והחזון שלנו לגבי הרשת," בעוד ויוואלדי התייחס להצעה כ"מְסוּכָּן."

ההצעה מאיימת על האינטרנט החופשי והפתוח במספר דרכים, אך אחת מהגדולות סובבת סביב העובדה שצריך יש שרת מרכזי שמעיד אם אפשר לסמוך על דפדפן או לא, זה אומר שכל דבר לא סטנדרטי לא יהיה מהימן. במילים אחרות, לא ניתן יהיה לסמוך על דפדפנים חדשים, ותוכנות מדור קודם לא יוכלו לגשת להרבה מהאינטרנט לאחר פרק זמן מסוים. בהתחשב בכך שהוא מאמת את תקינות הדפדפן, הוא יכול גם לחסום מבחינה טכנית הרחבות מסוימות (כגון Adblock) אם גוגל תלך בדרך הזו.

אנו נדאג לפקוח עין על הצעת ה-API של Web Environment Integrity של Google, כפי שכבר קיימת שהוכחה שנויה במחלוקת, נראה שהחברה מתקדמת במלוא הקיטור עם יצירת אב טיפוס ממש הכי פחות.