API целостности веб-среды Google — это, по сути, SafetyNet для веб-сайтов, и выглядит он не очень хорошо.
Google предложил новый веб-стандарт под названием Web Environment Integrity API, и по сути это DRM для Интернета. В предложении, подробно изложенном четырьмя сотрудниками Google (один из которых, Филипп Пфайффенбергер, также входил в состав оригинальное предложение по Google Privacy Sandbox), в нем описывается, как WEI API сможет обеспечить безопасность Интернета. "безопасный."
Во введении предложение, команда, стоящая за этим, заявляет следующее.
«Пользователи часто зависят от веб-сайтов, доверяя клиентской среде, в которой они работают. Это доверие может предполагать, что клиентская среда честна в отношении определенных аспектов самой себя, сохраняет пользовательские данные и интеллектуальная собственность в безопасности, а также прозрачность в отношении того, использует ли человек это. Это доверие является основой открытого Интернета, критически важным для безопасности пользовательских данных и устойчивости бизнеса веб-сайта».
На практике это очень похоже на API SafetyNet (теперь замененный Play Integrity) на смартфонах Android, который, по словам команды, является источником вдохновения. «Этот объяснитель основан на существующих собственных сигналах аттестации, таких как Аттестация приложения и Воспроизвести API целостности," они пишут. API Integrity Android проверяет, что ваше устройство не имеет root-прав, независимо от того, для чего вы можете использовать этот root-доступ. Не имеет значения, используете ли вы его для вмешательства в работу приложений или просто для модификации вашего устройства, поскольку API сообщит, что ваше устройство не проходит эти проверки. В результате пользователи с root-доступом не могут использовать многие сервисы на своих смартфонах, даже если это делается исключительно из соображений настройки.
Другими словами, основная цель WEI API — убедиться, что браузер не был взломан и что человек, использующий браузер, является реальным человеком.
В предложении описывается порядок работы подключения к веб-сайту в этом случае, и для него требуется сторонний сервер аттестации, который, скорее всего, в этом случае будет принадлежать Google. Ваш браузер запрашивает веб-страницу как обычно, а затем должен пройти тест, в котором проверенный За прохождение этого теста выдается «IntegrityToken», подтверждающий, что браузер не модифицирован и соответствует требованиям. требования. Если страница доверяет этому результату, вам будет предоставлен доступ к ней.
Прочитав предложение, авторы заявляют, что они «твёрдо убеждены», что идентификатор устройства должен когда-либо быть включен, поскольку это позволит снять отпечатки пальцев устройства. Однако в этом предложении есть противоречия, например, предложение о включении «показателя включение ограничения скорости для физического устройства». Как это будет реализовано без снятия отпечатков пальцев с устройства, неизвестно. неизвестный.
Это предложение в некоторой степени осталось незамеченным, и недавно оно было опубликовано на HackerNews после того, как оно было замечено в личном аккаунте сотрудника Google на GitHub. На самом деле, хотя Google вообще не обратил на это внимания, уже есть код прототипа собирается вместе для будущей версии Chrome. И Мозилла, и Вивальди раскритиковали это предложение, а Mozilla заявила, что оно "выступает против этого предложения, поскольку оно противоречит нашим принципам и видению Интернета,«а Вивальди назвал это предложение «опасный."
Это предложение угрожает свободному и открытому Интернету по ряду причин, но одно из самых важных связано с тем, что оно должно есть центральный сервер, который удостоверяет, можно ли доверять браузеру или нет, то есть ничего нестандартного не будет доверял. Другими словами, новым браузерам не будут доверять, а устаревшее программное обеспечение больше не сможет получить доступ к большей части Интернета через определенный промежуток времени. Учитывая, что он проверяет целостность браузера, он также может технически блокировать определенные расширения (например, Адблок), если Google пойдет по этому пути.
Мы обязательно будем следить за предложением Google по API целостности веб-среды, поскольку оно уже оказалось спорным, похоже, что компания на всех парах работает над его прототипированием с самого начала. наименее.