„Google“ žiniatinklio aplinkos vientisumo API iš esmės yra „SafetyNet“, skirta svetainėms, ir ji neatrodo gerai.
„Google“ pasiūlė naują žiniatinklio standartą, vadinamą Web Environment Integrity API, ir tai iš esmės yra DRM internetui. Keturių „Google“ darbuotojų pateiktame pasiūlyme (vienas iš jų, Philippas Pfeiffenbergeris, taip pat buvo projekto dalis pradinis pasiūlymas dėl „Google“ privatumo smėlio dėžės), jame aprašoma, kaip WEI API galės išlaikyti internetą "saugus".
Įžangoje Pasiūlymas, už jį dirbanti komanda teigia taip.
„Vartotojai dažnai priklauso nuo svetainių, pasitikinčių klientų aplinka, kurioje veikia. Šis pasitikėjimas gali daryti prielaidą, kad kliento aplinka yra sąžininga dėl tam tikrų savo aspektų, išlaiko naudotojų duomenys ir intelektinė nuosavybė yra saugūs ir aiškiai parodo, ar žmogus naudojasi, ar ne tai. Šis pasitikėjimas yra atviro interneto pagrindas, labai svarbus vartotojų duomenų saugai ir svetainės verslo tvarumui.
Praktiškai tai skamba panašiai kaip „SafetyNet“ API (dabar pakeista „Play Integrity“) „Android“ išmaniuosiuose telefonuose, o tai, komandos teigimu, yra įkvėpimas. "Šis paaiškinimas įkvėpimo semiasi iš esamų vietinių patvirtinimo signalų, tokių kaip
Programos patvirtinimas ir Play Integrity API," jie rašo. „Android“ vientisumo API patikrina, ar jūsų įrenginys neįsišaknijęs, nesvarbu, kam tą šakninę prieigą naudojate. Nesvarbu, ar naudojate jį norėdami trukdyti programoms, ar tiesiog modifikuoti įrenginį, nes API nurodys, kad jūsų įrenginys neatitiko šių patikrinimų. Dėl to įsišakniję vartotojai negali naudotis daugybe paslaugų savo išmaniuosiuose telefonuose, net jei tai daroma tik dėl pritaikymo priežasčių.Kitaip tariant, pagrindinis WEI API tikslas būtų įsitikinti, kad naršyklė nebuvo sugadinta ir ar naršyklę naudojantis asmuo yra tikras asmuo.
Pasiūlyme aprašoma, kaip šiuo atveju veiktų prisijungimas prie svetainės, ir tam reikalingas trečiosios šalies patvirtinimo serveris, kuris šiuo atveju greičiausiai priklausytų „Google“. Jūsų naršyklė prašo tinklalapio, kaip įprasta, ir tada privalo išlaikyti testą, kai patikrinama „IntegrityToken“ suteikiamas už šio testo išlaikymą, įrodantį, kad naršyklė yra nepakeista ir atitinka reikalavimus. Kol puslapis pasitiki šiuo rezultatu, jums bus suteikta prieiga prie puslapio.
Skaitydami pasiūlymą autoriai teigia, kad jie „stipriai jaučia“, kad kada nors turėtų būti įtrauktas įrenginio ID, nes tai leistų paimti įrenginio pirštų atspaudus. Tačiau pasiūlyme dėl to yra prieštaravimų, pavyzdžiui, siūlymas įtraukti „rodiklį įgalinant greičio ribojimą fiziniame įrenginyje." Kaip tai būtų įgyvendinta be įrenginio pirštų atspaudų nežinomas.
Šis pasiūlymas šiek tiek nukrito po radarą ir neseniai buvo pasidalytas „HackerNews“, kai buvo pastebėtas „Google“ darbuotojo asmeninėje „GitHub“ paskyroje. Tiesą sakant, nors „Google“ į tai visiškai neatkreipė dėmesio, jau yra sujungiamas prototipo kodas būsimam „Chrome“ leidimui. Tiek „Mozilla“, tiek Vivaldi sukritikavo pasiūlymą, o „Mozilla“ teigė, kad „nepritaria šiam pasiūlymui, nes jis prieštarauja mūsų principams ir žiniatinklio vizijai,tuo tarpu Vivaldi pasiūlymą pavadinopavojingas."
Pasiūlymas kelia grėsmę laisvam ir atviram internetui įvairiais būdais, tačiau vienas didžiausių yra susijęs su tuo, kad yra centrinis serveris, kuris patvirtina, ar naršykle galima pasitikėti, ar ne, tai reiškia, kad nieko nestandartinio nebus pasitikėjo. Kitaip tariant, naujomis naršyklėmis nepasitikėtų, o senoji programinė įranga po tam tikro laiko nebegalės pasiekti didelės interneto dalies. Atsižvelgiant į tai, kad ji patikrina naršyklės vientisumą, ji taip pat gali techniškai blokuoti tam tikrus plėtinius (pvz., Adblock), jei „Google“ eitų šiuo keliu.
Mes būtinai stebėsime Google Web Environment Integrity API pasiūlymą, nes jis jau yra įrodyta prieštaringai vertinama, atrodo, kad bendrovė visu smarkumu siekia jo prototipų kūrimo mažiausiai.