Google-ის Web Environment Integrity API არის SafetyNet ვებსაიტებისთვის

Google-მა შემოგვთავაზა ახალი ვებ სტანდარტი, სახელწოდებით Web Environment Integrity API და ის არსებითად არის DRM ინტერნეტისთვის. Google-ის ოთხი თანამშრომლის მიერ დეტალურ წინადადებაში (რომელთაგან ერთი, ფილიპ პფაიფენბერგერი, ასევე იყო ნაწილი ორიგინალური წინადადება Google-ის Privacy Sandbox-ისთვის), იგი ასახავს, ​​თუ როგორ შეძლებს WEI API ინტერნეტის შენარჩუნებას "უსაფრთხო".

შესავალში წინადადება, მის უკან მყოფი გუნდი აცხადებს შემდეგს.

„მომხმარებლები ხშირად არიან დამოკიდებული ვებსაიტებზე, რომლებიც ენდობიან კლიენტის გარემოს, რომელშიც ისინი მუშაობენ. ეს ნდობა შეიძლება ვივარაუდოთ, რომ კლიენტის გარემო პატიოსანია თავის გარკვეულ ასპექტებზე, ინარჩუნებს მომხმარებლის მონაცემები და ინტელექტუალური საკუთრება დაცულია და გამჭვირვალეა იმის შესახებ, იყენებს თუ არა ადამიანი ის. ეს ნდობა არის ღია ინტერნეტის ხერხემალი, რომელიც გადამწყვეტია მომხმარებლის მონაცემების უსაფრთხოებისთვის და ვებსაიტის ბიზნესის მდგრადობისთვის."

პრაქტიკაში, ეს ძალიან ჰგავს SafetyNet API-ს (ახლა შეიცვალა Play Integrity) Android სმარტფონებზე, რაც გუნდის თქმით, შთაგონების წყაროა. ”ეს ახსნა-განმარტება შთაგონებას იღებს არსებული ადგილობრივი ატესტაციის სიგნალებიდან, როგორიცაა App Attest და ითამაშეთ Integrity API," ისინი წერენ. Android-ის Integrity API ადასტურებს, რომ თქვენი მოწყობილობა არ არის დაყენებული, მიუხედავად იმისა, თუ რისთვის შეგიძლიათ გამოიყენოთ ეს root წვდომა. იყენებთ თუ არა მას აპებში ჩარევისთვის თუ თქვენი მოწყობილობის უბრალოდ შესაცვლელად, არ აქვს მნიშვნელობა, რადგან API მიუთითებს, რომ თქვენი მოწყობილობა არ გაივლის ამ შემოწმებას. შედეგად, root მომხმარებლებს არ შეუძლიათ გამოიყენონ ბევრი სერვისი თავიანთ სმარტფონებზე, თუნდაც ეს მხოლოდ პერსონალიზაციის მიზეზების გამო იყოს.

სხვა სიტყვებით რომ ვთქვათ, WEI API-ს მთავარი მიზანი იქნება იმის გარკვევა, რომ ბრაუზერი არ არის გატეხილი და რომ ბრაუზერის მოსარგებლე არის რეალური პიროვნება.

წინადადება ასახავს ნაკადს, თუ როგორ იმუშავებს ვებსაიტთან დაკავშირება ამ შემთხვევაში და ის მოითხოვს მესამე მხარის ატესტაციის სერვერს, რომელიც სავარაუდოდ Google-ის საკუთრება იქნება ამ შემთხვევაში. თქვენი ბრაუზერი ჩვეულებრივ ითხოვს ვებ გვერდს და შემდეგ მოეთხოვება ტესტის გავლა, სადაც დამოწმებულია "IntegrityToken" მოცემულია ამ ტესტის გასავლელად, რაც ადასტურებს, რომ ბრაუზერი არ არის შეცვლილი და აკმაყოფილებს მოთხოვნები. სანამ გვერდი ენდობა ამ შედეგს, თქვენ მოგეცემათ წვდომა გვერდზე.

წინადადების წაკითხვისას ავტორები აცხადებენ, რომ ისინი "მტკიცედ გრძნობენ", რომ მოწყობილობის ID ოდესმე უნდა იყოს ჩართული, რადგან ეს საშუალებას მისცემს მოწყობილობის თითის ანაბეჭდის მოპოვებას. თუმცა, ამის წინადადებაში არის წინააღმდეგობები, როგორიცაა წინადადება, რომ მათში შევიდეს „ინდიკატორი ფიზიკური მოწყობილობის მიმართ სიჩქარის შეზღუდვის ჩართვა." როგორ განხორციელდება ეს მოწყობილობის თითის ანაბეჭდის გარეშე უცნობი.

ეს წინადადება გარკვეულწილად გაფრინდა რადარის ქვეშ და ის ცოტა ხნის წინ გავრცელდა HackerNews-ზე მას შემდეგ, რაც დაფიქსირდა Google-ის თანამშრომლის GitHub-ის პირად ანგარიშზე. სინამდვილეში, მიუხედავად იმისა, რომ გუგლს საერთოდ არ მიუქცევია ამაზე ყურადღება, უკვე არის პროტოტიპის კოდი იკრიბება Chrome-ის მომავალი გამოშვებისთვის. მოზილასაც და ვივალდი გააკრიტიკეს წინადადება, Mozilla-მ თქვა, რომ ეს "ეწინააღმდეგება ამ წინადადებას, რადგან ის ეწინააღმდეგება ჩვენს პრინციპებსა და ხედვას ინტერნეტის შესახებ,"მაშინ როდესაც ვივალდი წინადადებას მოიხსენიებდა როგორც"საშიში."

წინადადება საფრთხეს უქმნის თავისუფალ და ღია ინტერნეტს მრავალი თვალსაზრისით, მაგრამ ერთ-ერთი ყველაზე დიდი ტრიალებს იმ ფაქტს, რომ უნდა არის ცენტრალური სერვერი, რომელიც ადასტურებს ბრაუზერის სანდო თუ არა, ეს ნიშნავს რომ არაფერი არასტანდარტული არ იქნება სანდო. სხვა სიტყვებით რომ ვთქვათ, ახალი ბრაუზერები არ იქნება სანდო და ძველი პროგრამული უზრუნველყოფა ვეღარ შეძლებს ინტერნეტის დიდ ნაწილს გარკვეული დროის შემდეგ. იმის გათვალისწინებით, რომ ის ამოწმებს ბრაუზერის მთლიანობას, მას ასევე შეუძლია ტექნიკურად დაბლოკოს გარკვეული გაფართოებები (მაგ. Adblock) თუ Google ამ მარშრუტს აპირებს.

ჩვენ აუცილებლად მივადევნებთ თვალს Google-ის Web Environment Integrity API წინადადებას, რადგან ის უკვე დადასტურდა, რომ საკამათოა, როგორც ჩანს, კომპანია სრულად აგრძელებს მის პროტოტიპირებას. სულ მცირე.