Google の Web 環境整合性 API は Web サイト向けの SafetyNet です

コンピューティングNov 20, 2023

Google の Web 環境整合性 API は基本的に Web サイト用の SafetyNet であり、見た目は良くありません。

Google は、Web Environment Integrity API と呼ばれる新しい Web 標準を提案しました。これは本質的にはインターネット用の DRM です。 4人のGoogleスタッフ(そのうちの1人、フィリップ・ファイフェンバーガー氏もまた、 Google のプライバシー サンドボックスの最初の提案)、WEI API がどのようにインターネットを維持できるかを概説しています。 "安全な。"

の紹介では、 提案、その背後にいるチームは次のように述べています。

「ユーザーは多くの場合、自分が実行しているクライアント環境を信頼する Web サイトに依存しています。 この信頼は、クライアント環境がそれ自体の特定の側面について誠実であることを前提としています。 ユーザーデータと知的財産は安全であり、人間が使用しているかどうかは透明です。 それ。 この信頼はオープン インターネットの根幹であり、ユーザー データの安全性と Web サイトのビジネスの持続可能性にとって重要です。」

実際には、これは Android スマートフォンの SafetyNet API (現在は Play Integrity に置き換えられています) によく似ており、チームはこれがインスピレーションであると述べています。 「この説明者は、次のような既存のネイティブ認証信号からインスピレーションを得ています。 アプリの認証 そしてその Play Integrity API、" あの人たちは書く。 Android の Integrity API は、root アクセスを何に使用するかに関係なく、デバイスが root 化されていないことを検証します。 API はデバイスがこれらのチェックに合格しないと通知するため、アプリを妨害するために使用するか、単にデバイスを変更するために使用するかは問題ではありません。 その結果、root化されたユーザーは、たとえ純粋にカスタマイズのためだけであっても、スマートフォンで多くのサービスを使用できなくなります。

言い換えれば、WEI API の主な目的は、ブラウザが改ざんされていないこと、およびブラウザを使用している人が本物であることを確認することです。

この提案では、この場合に Web サイトへの接続がどのように機能するかというフローの概要が説明されており、この場合はおそらく Google が所有するサードパーティの認証サーバーが必要になります。 ブラウザは通常どおり Web ページをリクエストし、検証されたテストに合格する必要があります。 「IntegrityToken」はこのテストに合格するために与えられ、ブラウザが変更されておらず、次の条件を満たしていることを証明します。 要件。 ページがこの結果を信頼する限り、ページへのアクセスが許可されます。

この提案を読んだ著者らは、デバイスのフィンガープリンティングが可能になるため、デバイス ID を必ず含めるべきだと「強く感じている」と述べています。 しかし、そのための提案には「指標」を含めるとの提案など矛盾がある。 物理デバイスに対するレート制限を有効にします。」デバイスのフィンガープリントを使用せずにこれを実装する方法は次のとおりです。 未知。

この提案はあまり知られておらず、Google 従業員の個人 GitHub アカウントで発見された後、最近 HackerNews で共有されました。 実際、Google はまったく注目していませんが、すでに存在しています。 プロトタイプコードをまとめ中 将来の Chrome リリースに向けて。 Mozilla と ヴィヴァルディ はこの提案を批判しており、Mozilla は「私たちの Web に対する原則とビジョンに反するため、この提案に反対します。「一方、ヴィヴァルディはこの提案を次のように言及しました。」危険な."

この提案は、さまざまな面で自由でオープンなインターネットを脅かしていますが、最も大きなものの 1 つは、次の事実を中心に展開しています。 ブラウザが信頼できるかどうかを証明する中央サーバーが存在するため、標準以外のものはすべて信頼できないことになります。 信頼されています。 言い換えれば、新しいブラウザは信頼されなくなり、レガシー ソフトウェアは一定時間が経過するとインターネットの大部分にアクセスできなくなります。 ブラウザの整合性を検証することを考慮すると、特定の拡張機能 (たとえば、 広告ブロック)もしGoogleがその道を歩むとしたら。

Google の Web 環境整合性 API の提案には今後も注目していきます。 物議を醸していることが証明されているが、同社は現在プロトタイピングに全力で取り組んでいるようだ。 少しでも。