API-ul Google Web Environment Integrity este practic SafetyNet pentru site-uri web și nu arată bine.
Google a propus un nou standard web numit Web Environment Integrity API și, în esență, este DRM pentru internet. Într-o propunere detaliată de patru angajați ai Google (dintre care unul, Philipp Pfeiffenberger, a făcut, de asemenea, parte din propunere inițială pentru Privacy Sandbox de la Google), acesta prezintă modul în care API-ul WEI va putea menține internetul "sigur."
În introducerea lui propunerea, echipa din spatele ei afirmă următoarele.
„Utilizatorii depind adesea de site-urile web care au încredere în mediul client în care rulează. Această încredere poate presupune că mediul client este sincer cu privire la anumite aspecte ale lui însuși, păstrează datele utilizatorului și proprietatea intelectuală sunt securizate și este transparentă dacă o persoană folosește sau nu aceasta. Această încredere este coloana vertebrală a internetului deschis, critică pentru siguranța datelor utilizatorilor și pentru sustenabilitatea afacerii site-ului.”
În practică, acest lucru seamănă foarte mult cu API-ul SafetyNet (înlocuit acum de Play Integrity) pe smartphone-urile Android, despre care echipa afirmă că este o inspirație. „Acest explicator se inspiră din semnalele native de atestare existente, cum ar fi App Attest si Play Integrity API," ei scriu. API-ul Android Integrity verifică dacă dispozitivul dvs. nu este rootat, indiferent pentru ce puteți utiliza acel acces root. Indiferent dacă îl folosiți pentru a interfera cu aplicațiile sau pur și simplu pentru a vă modifica dispozitivul, nu contează, deoarece API-ul va indica că dispozitivul dvs. nu trece aceste verificări. Drept urmare, utilizatorii rootați nu pot folosi o mulțime de servicii pe smartphone-urile lor, chiar dacă este doar din motive de personalizare.
Cu alte cuvinte, scopul principal al API-ului WEI ar fi să se asigure că browserul nu a fost modificat și că persoana care folosește browserul este o persoană reală.
Propunerea subliniază modul în care ar funcționa conectarea la un site web în acest caz și necesită un server de atestare terță parte care ar fi probabil deținut de Google în acest caz. Browserul dvs. solicită o pagină web în mod normal și apoi trebuie să treacă un test în cazul în care este verificat „IntegrityToken” este dat pentru trecerea acestui test, dovedind că browserul este nemodificat și îndeplinește cerințe. Atâta timp cât pagina are încredere în acest rezultat, vi se va acorda acces la pagină.
Citind propunerea, autorii afirmă că „simt cu tărie” că un ID de dispozitiv ar trebui să fie vreodată inclus, deoarece ar permite amprentarea dispozitivului. Cu toate acestea, există contradicții în propunerea în acest sens, cum ar fi o sugestie că ar include un „indicator activarea limitării ratei împotriva unui dispozitiv fizic." Cum ar fi implementat acest lucru fără amprentarea dispozitivului necunoscut.
Această propunere a trecut oarecum sub radar și a fost distribuită recent pe HackerNews, după ce a fost văzută pe contul personal GitHub al unui angajat Google. De fapt, chiar dacă Google nu a atras deloc atenția asupra acestui lucru, există deja codul prototip fiind alcătuit pentru o viitoare versiune Chrome. Atât Mozilla, cât și Vivaldi au criticat propunerea, Mozilla spunând că „se opune acestei propuneri deoarece contrazice principiile și viziunea noastră pentru web," în timp ce Vivaldi s-a referit la propunere ca "periculos."
Propunerea amenință internetul liber și deschis în mai multe moduri, dar unul dintre cele mai mari se învârte în jurul faptului că ar trebui să există un server central care atestă dacă un browser poate fi de încredere sau nu, înseamnă că orice nu este standard nu va fi de încredere. Cu alte cuvinte, noile browsere nu ar fi de încredere, iar software-ul moștenit nu ar mai putea accesa o mare parte a internetului după o anumită perioadă de timp. Având în vedere că verifică integritatea browserului, ar putea bloca din punct de vedere tehnic și anumite extensii (cum ar fi Adblock) dacă Google ar urma acea cale.
Vom fi siguri că vom fi cu ochii pe propunerea API-ului de integritate a mediului web de la Google, deoarece este deja dovedit a fi controversat, se pare că compania este cu abur înainte cu prototiparea lui chiar de la început cel mai puţin.