De Web Environment Integrity API van Google is in feite SafetyNet voor websites, en het ziet er niet goed uit.
Google heeft een nieuwe webstandaard voorgesteld, de Web Environment Integrity API, en het is in wezen DRM voor internet. In een voorstel uitgewerkt door vier Google-medewerkers (waarvan er één, Philipp Pfeiffenberger, ook deel uitmaakte van de oorspronkelijke voorstel voor de Privacy Sandbox van Google), schetst het hoe de WEI API het internet kan behouden "zeker."
Bij de introductie van het voorstel, stelt het team erachter het volgende.
"Gebruikers zijn er vaak afhankelijk van dat websites vertrouwen op de clientomgeving waarin ze draaien. Dit vertrouwen mag ervan uitgaan dat de cliëntomgeving eerlijk over bepaalde aspecten van zichzelf blijft gebruikersgegevens en intellectueel eigendom veilig zijn, en transparant is over de vraag of een mens er wel of niet gebruik van maakt Het. Dit vertrouwen is de ruggengraat van het open internet, van cruciaal belang voor de veiligheid van gebruikersgegevens en voor de duurzaamheid van de activiteiten van de website."
In de praktijk lijkt dit veel op de SafetyNet API (nu vervangen door Play Integrity) op Android-smartphones, waarvan het team zegt dat het een inspiratiebron is. "Deze uitleg is geïnspireerd op bestaande native attestationsignalen zoals App-attest en de Speel Integrity API," zij schrijven. De Integrity API van Android verifieert dat uw apparaat niet is geroot, ongeacht waar u die root-toegang voor gebruikt. Of u het nu gebruikt om apps te verstoren of om eenvoudig uw apparaat aan te passen, het maakt niet uit, omdat de API zal aangeven dat uw apparaat niet aan deze controles voldoet. Als gevolg hiervan kunnen geroote gebruikers veel diensten op hun smartphones niet gebruiken, ook al is het puur om aanpassingsredenen.
Met andere woorden: het primaire doel van de WEI API zou zijn om vast te stellen dat er niet met de browser is geknoeid en dat de persoon die de browser gebruikt een echte persoon is.
Het voorstel schetst de manier waarop verbinding maken met een website in dit geval zou werken, en vereist een attestserver van derden die in dit geval waarschijnlijk eigendom zou zijn van Google. Uw browser vraagt zoals normaal een webpagina op en moet vervolgens een test doorstaan waarbij deze is geverifieerd "IntegrityToken" wordt gegeven voor het slagen voor deze test, wat bewijst dat de browser ongewijzigd is en voldoet aan de vereisten. Zolang de pagina dit resultaat vertrouwt, krijgt u toegang tot de pagina.
Bij het lezen van het voorstel stellen de auteurs dat ze "sterk van mening zijn" dat er ooit een apparaat-ID moet worden opgenomen, omdat dit apparaatvingerafdrukken mogelijk zou maken. Er zitten echter tegenstrijdigheden in het voorstel hierover, zoals de suggestie dat ze een ‘indicator’ zouden opnemen het inschakelen van snelheidsbeperking tegen een fysiek apparaat." Hoe dit zou worden geïmplementeerd zonder vingerafdrukken van apparaten is onbekend.
Dit voorstel is enigszins onder de radar gebleven en werd onlangs gedeeld op HackerNews nadat het was opgemerkt op het persoonlijke GitHub-account van een Google-medewerker. Hoewel Google er helemaal geen aandacht op heeft gevestigd, is dat in feite al het geval prototypecode wordt samengesteld voor een toekomstige Chrome-release. Zowel Mozilla als Vivaldi hebben het voorstel bekritiseerd, waarbij Mozilla zei dat het "is tegen dit voorstel omdat het in tegenspraak is met onze principes en visie op het internet,"terwijl Vivaldi naar het voorstel verwees als"gevaarlijk."
Het voorstel bedreigt het vrije en open internet op een aantal manieren, maar een van de grootste draait om het feit dat er een centrale server is die aangeeft of een browser betrouwbaar is of niet, dit betekent dat alles wat niet-standaard is niet zal worden vertrouwd vertrouwd. Met andere woorden: nieuwe browsers zouden niet vertrouwd worden en oudere software zou na een bepaalde tijd geen toegang meer hebben tot een groot deel van het internet. Aangezien het de integriteit van de browser verifieert, kan het technisch gezien ook bepaalde extensies blokkeren (zoals Advertentieblok) als Google die route zou bewandelen.
We zullen het Web Environment Integrity API-voorstel van Google zeker in de gaten houden, terwijl dat al het geval is controversieel gebleken, lijkt het erop dat het bedrijf op volle kracht vooruit is met het prototypen ervan minst.