Google의 웹 환경 무결성 API는 웹사이트용 SafetyNet입니다.

Google은 Web Environment Integrity API라는 새로운 웹 표준을 제안했으며 이는 본질적으로 인터넷을 위한 DRM입니다. 4명의 Google 직원(그 중 한 명인 Philipp Pfeiffenberger도 Google의 개인 정보 보호 샌드박스에 대한 원래 제안) WEI API가 인터넷을 유지할 수 있는 방법을 간략하게 설명합니다. "안전한."

소개에서는 제안, 그 뒤에 있는 팀은 다음과 같이 말합니다.

"사용자는 자신이 실행하는 클라이언트 환경을 신뢰하는 웹사이트에 의존하는 경우가 많습니다. 이러한 신뢰는 클라이언트 환경이 자신의 특정 측면에 대해 정직하고 사용자 데이터와 지적 재산은 안전하며, 사람이 사용하는지 여부는 투명합니다. 그것. 이러한 신뢰는 개방형 인터넷의 중추이며 사용자 데이터의 안전과 웹사이트 비즈니스의 지속 가능성에 매우 중요합니다."

실제로 이는 Android 스마트폰의 SafetyNet API(현재 Play Integrity로 대체됨)와 매우 유사하며 팀에서는 이것이 영감을 주었다고 말합니다. "이 설명자는 다음과 같은 기존 기본 증명 신호에서 영감을 얻었습니다. 앱 증명 그리고 Play 무결성 API," 그들이 적다. Android의 Integrity API는 루트 액세스를 어떤 용도로 사용하든 관계없이 기기가 루팅되지 않았는지 확인합니다. API를 사용하여 앱을 방해하거나 단순히 장치를 수정하는 데 사용하는지는 중요하지 않습니다. API는 장치가 이러한 검사를 통과하지 못했다고 명시하기 때문입니다. 결과적으로 루팅된 사용자는 순전히 사용자 정의 목적이라 하더라도 스마트폰에서 많은 서비스를 사용할 수 없습니다.

즉, WEI API의 주요 목표는 브라우저가 변조되지 않았는지, 브라우저를 사용하는 사람이 실제 사람인지 확인하는 것입니다.

제안서는 이 경우에 웹사이트에 연결하는 방법의 흐름을 간략하게 설명하며, 이 경우 Google이 소유할 가능성이 있는 제3자 증명 서버가 필요합니다. 귀하의 브라우저는 정상적으로 웹페이지를 요청한 다음 확인된 테스트를 통과해야 합니다. 이 테스트를 통과하면 "IntegrityToken"이 제공되어 브라우저가 수정되지 않았으며 다음 사항을 충족함을 증명합니다. 요구 사항. 페이지가 이 결과를 신뢰하는 한 페이지에 대한 액세스 권한이 부여됩니다.

제안서를 읽으면서 저자는 장치 지문 채취를 허용하기 때문에 장치 ID가 포함되어야 한다고 "강하게 느낀다"고 말했습니다. 그러나 이에 대한 제안에는 '지표'를 포함하자는 제안 등 모순이 있다. 물리적 장치에 대한 속도 제한을 활성화합니다." 장치 핑거프린팅 없이 이를 구현하는 방법은 다음과 같습니다. 알려지지 않은.

이 제안은 다소 주목을 받지 못했으며, Google 직원의 개인 GitHub 계정에서 발견된 후 최근 HackerNews에서 공유되었습니다. 사실 구글은 전혀 관심을 기울이지 않았음에도 불구하고 이미 프로토타입 코드가 합쳐지고 있다 향후 Chrome 릴리스를 위해. 모질라와 비발디 Mozilla는 "라고 말하면서 이 제안을 비판했습니다.웹에 대한 우리의 원칙과 비전에 위배되기 때문에 이 제안에 반대합니다." 비발디는 그 제안을 "위험한."

이 제안은 여러 가지 방법으로 자유롭고 개방된 인터넷을 위협하지만 가장 큰 것 중 하나는 다음과 같습니다. 브라우저를 신뢰할 수 있는지 여부를 증명하는 중앙 서버가 있습니다. 즉, 비표준은 브라우저를 신뢰할 수 없음을 의미합니다. 신뢰할 수 있습니다. 즉, 새로운 브라우저는 신뢰할 수 없으며, 레거시 소프트웨어는 일정 시간이 지나면 더 이상 인터넷의 대부분에 액세스할 수 없게 됩니다. 브라우저의 무결성을 확인한다는 점을 고려하면 기술적으로 특정 확장 프로그램(예: 애드블록) Google이 그 길을 따라 간다면.

우리는 Google의 Web Environment Integrity API 제안을 계속 주시할 것입니다. 논란의 여지가 있는 것으로 입증되었으나, 회사는 바로 프로토타입 제작에 전력을 다하고 있는 것으로 보입니다. 최소.