Interfejs API integralności środowiska internetowego firmy Google to w zasadzie SafetyNet dla witryn internetowych i nie wygląda dobrze.
Google zaproponował nowy standard internetowy o nazwie Web Environment Integrity API i jest to w zasadzie DRM dla Internetu. We wniosku szczegółowo przedstawionym przez czterech pracowników Google (z których jeden, Philipp Pfeiffenberger, również był częścią projektu pierwotna propozycja piaskownicy prywatności Google), opisuje, w jaki sposób interfejs API WEI będzie w stanie utrzymać Internet "bezpieczne."
We wstępie propozycja, stojący za nim zespół stwierdza, co następuje.
„Użytkownicy często polegają na witrynach internetowych, które ufają środowisku klienckiemu, w którym działają. Zaufanie to może zakładać, że środowisko klienta jest uczciwe w stosunku do pewnych aspektów siebie dane użytkownika i własność intelektualna są bezpieczne i jest jasne, czy z nich korzysta człowiek, czy nie To. Zaufanie to stanowi podstawę otwartego Internetu, mającą kluczowe znaczenie dla bezpieczeństwa danych użytkowników i zrównoważonego rozwoju witryny internetowej”.
W praktyce przypomina to API SafetyNet (obecnie zastąpione przez Play Integrity) na smartfonach z Androidem, co zdaniem zespołu stanowi inspirację. „Ten wyjaśniacz czerpie inspirację z istniejących natywnych sygnałów atestacyjnych, takich jak Atest aplikacji i Zagraj w interfejs API integralności," piszą. Interfejs API Integrity systemu Android sprawdza, czy Twoje urządzenie nie jest zrootowane, niezależnie od tego, do czego możesz używać tego dostępu root. To, czy użyjesz go do ingerencji w aplikacje, czy po prostu do modyfikacji urządzenia, nie ma znaczenia, ponieważ interfejs API stwierdzi, że Twoje urządzenie nie przeszło tych kontroli. W rezultacie zrootowani użytkownicy nie mogą korzystać z wielu usług na swoich smartfonach, nawet jeśli dzieje się to wyłącznie ze względów dostosowywania.
Innymi słowy, głównym celem WEI API byłoby sprawdzenie, czy przeglądarka nie została naruszona i czy osoba korzystająca z przeglądarki jest prawdziwą osobą.
We wniosku opisano sposób działania połączenia z witryną internetową w tym przypadku i wymagano serwera atestacyjnego innej firmy, który w tym przypadku prawdopodobnie należałby do Google. Twoja przeglądarka normalnie żąda strony internetowej, a następnie musi przejść test, który zostaje zweryfikowany Za zaliczenie tego testu przyznawany jest „IntegrityToken”, potwierdzający, że przeglądarka jest niezmodyfikowana i spełnia wymagania wymagania. Dopóki strona ufa temu wynikowi, będziesz mieć dostęp do strony.
Po zapoznaniu się z propozycją autorzy stwierdzają, że „zdecydowanie uważają”, że należy kiedykolwiek uwzględnić identyfikator urządzenia, ponieważ umożliwiłoby to pobieranie odcisków palców urządzenia. We wniosku w tym zakresie występują jednak sprzeczności, takie jak sugestia, że obejmowałby on „wskaźnik”. umożliwienie ograniczenia szybkości w stosunku do urządzenia fizycznego.” Jak można by to wdrożyć bez pobierania odcisków palców urządzenia nieznany.
Ta propozycja przeszła nieco niezauważona i została niedawno udostępniona w HackerNews po tym, jak została zauważona na osobistym koncie GitHub pracownika Google. Tak naprawdę, choć Google w ogóle nie zwrócił na to uwagi, to już jest składany jest prototypowy kod dla przyszłej wersji przeglądarki Chrome. Zarówno Mozilla, jak i Vivaldiego skrytykowali tę propozycję, a Mozilla stwierdziła, że „sprzeciwia się tej propozycji, ponieważ jest ona sprzeczna z naszymi zasadami i wizją Internetu,„podczas gdy Vivaldi odniósł się do propozycji jako”niebezpieczny."
Propozycja zagraża wolnemu i otwartemu internetowi na wiele sposobów, ale jeden z największych dotyczy faktu, że powinien istnieje centralny serwer, który poświadcza, czy danej przeglądarce można zaufać, czy nie, oznacza to, że nic niestandardowego nie będzie zaufany. Innymi słowy, nowym przeglądarkom nie będzie można ufać, a starsze oprogramowanie nie będzie już w stanie uzyskać dostępu do dużej części Internetu po pewnym czasie. Biorąc pod uwagę, że weryfikuje integralność przeglądarki, może również technicznie blokować niektóre rozszerzenia (takie jak Blok reklam), gdyby Google poszło tą drogą.
Będziemy z pewnością zwracać uwagę na propozycję Google Web Environment Integrity API, o ile już ją mamy okazał się kontrowersyjny, wygląda na to, że firma już pełną parą idzie do przodu z prototypowaniem go najmniej.