Google tīmekļa vides integritātes API būtībā ir vietņu drošības tīkls, un tas neizskatās labi.
Google ir ierosinājusi jaunu tīmekļa standartu ar nosaukumu Web Environment Integrity API, un tas būtībā ir DRM internetam. Priekšlikumā, ko sīki izstrādāja četri Google darbinieki (viens no tiem, Filips Feiffenbergers, arī bija daļa no sākotnējais priekšlikums par Google Privacy Sandbox), tajā ir izklāstīts, kā WEI API varēs saglabāt internetu "drošs."
Ievadā priekšlikums, komanda aiz tā norāda sekojošo.
"Lietotāji bieži ir atkarīgi no vietnēm, kas uzticas klientu videi, kurā tie darbojas. Šī uzticēšanās var pieņemt, ka klienta vide ir godīga par noteiktiem sevis aspektiem, saglabā lietotāja dati un intelektuālais īpašums ir drošībā, un tas ir pārskatāms par to, vai to lieto cilvēks to. Šī uzticēšanās ir atvērtā interneta pamats, kas ir ļoti svarīgs lietotāju datu drošībai un vietnes biznesa ilgtspējībai.
Praksē tas izklausās pēc SafetyNet API (tagad aizstāts ar Play Integrity) Android viedtālruņos, kas, pēc komandas domām, ir iedvesmas avots. "Šis skaidrotājs smeļas iedvesmu no esošajiem vietējiem atestācijas signāliem, piemēram,
Lietotnes apliecība un Play Integrity API," viņi raksta. Android integritātes API pārbauda, vai jūsu ierīcei nav saknes tiesības neatkarīgi no tā, kādam nolūkam varat izmantot šo saknes piekļuvi. Nav nozīmes tam, vai to izmantojat, lai traucētu lietotņu darbību vai vienkārši modificētu ierīci, jo API paziņos, ka jūsu ierīce neiztur šīs pārbaudes. Tā rezultātā lietotāji, kuriem ir saknes, nevar izmantot daudz pakalpojumu savos viedtālruņos, pat ja tas ir tikai pielāgošanas iemeslu dēļ.Citiem vārdiem sakot, WEI API galvenais mērķis būtu pārliecināties, vai pārlūkprogrammā nav veiktas manipulācijas un vai pārlūkprogrammas lietotājs ir īsta persona.
Priekšlikumā ir izklāstīta plūsma, kā šajā gadījumā darbotos savienojuma izveide ar vietni, un tam ir nepieciešams trešās puses apliecinājuma serveris, kas šajā gadījumā, visticamāk, piederētu uzņēmumam Google. Jūsu pārlūkprogramma pieprasa tīmekļa lapu kā parasti, un pēc tam tai ir jānokārto pārbaude, kurā tiek pārbaudīta "IntegrityToken" tiek piešķirts par šī testa nokārtošanu, pierādot, ka pārlūkprogramma ir nemodificēta un atbilst prasībām. Kamēr lapa uzticas šim rezultātam, jums tiks piešķirta piekļuve lapai.
Izlasot priekšlikumu, autori norāda, ka viņi "stingri uzskata", ka kādreiz būtu jāiekļauj ierīces ID, jo tas ļautu noņemt ierīces pirkstu nospiedumus. Tomēr priekšlikumā ir pretrunas, piemēram, ierosinājums iekļaut "rādītāju iespējot ātruma ierobežošanu fiziskai ierīcei." Kā tas tiktu īstenots bez ierīces pirkstu nospiedumu noņemšanas nezināms.
Šis priekšlikums ir nedaudz nokļuvis zem radara, un tas nesen tika kopīgots HackerNews pēc tam, kad tas tika pamanīts Google darbinieka personīgajā GitHub kontā. Patiesībā, lai gan Google tam vispār nav pievērsis uzmanību, tas jau ir prototipa kods tiek salikts kopā nākamajam Chrome laidienam. Gan Mozilla, gan Vivaldi ir kritizējuši priekšlikumu, un Mozilla saka, ka tas "iebilst pret šo priekšlikumu, jo tas ir pretrunā mūsu principiem un redzējumam par tīmekli,"kamēr Vivaldi atsaucās uz priekšlikumu kā"bīstami."
Priekšlikums apdraud brīvu un atvērtu internetu vairākos veidos, bet viens no lielākajiem ir saistīts ar faktu, ka ir centrālais serveris, kas apliecina, vai pārlūkprogrammai var uzticēties vai nē, tas nozīmē, ka nekas nestandarta nebūs uzticams. Citiem vārdiem sakot, jaunām pārlūkprogrammām nevarētu uzticēties, un mantotā programmatūra pēc noteikta laika vairs nevarēs piekļūt lielai daļai interneta. Tā kā tas pārbauda pārlūkprogrammas integritāti, tas var arī tehniski bloķēt noteiktus paplašinājumus (piemēram, Adblock), ja Google izvēlētos šo ceļu.
Mēs noteikti sekosim līdzi Google tīmekļa vides integritātes API priekšlikumam, jo tas jau ir spēkā izrādījies pretrunīgs, šķiet, ka uzņēmums ir ar pilnu tvaiku uz priekšu tā prototipēšanai vismazāk.