Googles Web Environment Integrity API er i utgangspunktet SafetyNet for nettsteder, og det ser ikke bra ut.
Google har foreslått en ny nettstandard kalt Web Environment Integrity API, og det er egentlig DRM for internett. I et forslag beskrevet av fire Google-ansatte (en av dem, Philipp Pfeiffenberger, også var en del av opprinnelige forslag til Googles Privacy Sandbox), skisserer det hvordan WEI API vil kunne beholde internett "sikre."
I introduksjonen av forslaget, uttaler teamet bak følgende.
"Brukere er ofte avhengige av nettsteder som stoler på klientmiljøet de kjører i. Denne tilliten kan anta at klientmiljøet er ærlig om visse aspekter av seg selv, beholder brukerdata og immaterielle rettigheter er sikre, og er åpen om hvorvidt et menneske bruker eller ikke den. Denne tilliten er ryggraden i det åpne internett, avgjørende for sikkerheten til brukerdata og for bærekraften til nettstedets virksomhet."
I praksis høres dette mye ut som SafetyNet API (nå erstattet av Play Integrity) på Android-smarttelefoner, som teamet sier er en inspirasjon. "Denne forklaringen henter inspirasjon fra eksisterende native attestasjonssignaler som f.eks
Med andre ord vil hovedmålet med WEI API være å sikre at nettleseren ikke har blitt tuklet med og at personen som bruker nettleseren er en ekte person.
Forslaget skisserer flyten av hvordan tilkobling til et nettsted vil fungere i dette tilfellet, og det krever en tredjeparts attestasjonsserver som sannsynligvis vil eies av Google i dette tilfellet. Nettleseren din ber om en nettside som normalt og må deretter bestå en test der en bekreftet "IntegrityToken" gis for å bestå denne testen, som beviser at nettleseren er uendret og oppfyller krav. Så lenge siden stoler på dette resultatet, vil du få tilgang til siden.
Ved å lese forslaget uttaler forfatterne at de "sterkt føler" at en enhets-ID noen gang bør inkluderes, da det ville tillate enhetsfingeravtrykk. Det er imidlertid motsetninger i forslaget for det, for eksempel et forslag om at de vil inkludere en "indikator aktiverer hastighetsbegrensning mot en fysisk enhet." Hvordan dette ville bli implementert uten enhetsfingeravtrykk er ukjent.
Dette forslaget har fløyet litt under radaren, og det ble nylig delt på HackerNews etter å ha blitt oppdaget på en Google-ansatts personlige GitHub-konto. Faktisk, selv om Google ikke har trukket oppmerksomhet til det i det hele tatt, er det det allerede prototypekode settes sammen for en fremtidig Chrome-utgivelse. Både Mozilla og Vivaldi har kritisert forslaget, og Mozilla sa at det "motsetter seg dette forslaget fordi det er i strid med våre prinsipper og visjoner for nettet," mens Vivaldi omtalte forslaget som "farlig."
Forslaget truer det frie og åpne internett på en rekke måter, men en av de største dreier seg om at bør det er en sentral server som attesterer om en nettleser kan stoles på eller ikke, det betyr at alt som ikke er standard ikke vil være klarert. Med andre ord, nye nettlesere ville ikke være klarert, og eldre programvare ville ikke lenger kunne få tilgang til mye av internett etter en viss tid. Gitt at den verifiserer integriteten til nettleseren, kan den også teknisk blokkere visse utvidelser (som f.eks. Annonseblokkering) hvis Google skulle gå ned den ruten.
Vi kommer garantert til å holde øye med Googles Web Environment Integrity API-forslag, som så lenge det allerede er det bevist kontroversielt, ser det ut til at selskapet er i full fart med å lage prototyper på minst.