Googlov API za celovitost spletnega okolja je SafetyNet za spletna mesta

Googlov API za celovitost spletnega okolja je v bistvu SafetyNet za spletna mesta in ni videti dobro.

Google je predlagal nov spletni standard, imenovan Web Environment Integrity API, in je v bistvu DRM za internet. V predlogu, ki so ga podrobno opisali štirje Googlovi uslužbenci (eden izmed njih, Philipp Pfeiffenberger, je bil tudi del prvotni predlog za Googlov peskovnik zasebnosti), opisuje, kako bo API WEI lahko ohranil internet "varno."

V uvodu v predlog, ekipa za tem navaja naslednje.

»Uporabniki so pogosto odvisni od spletnih mest, ki zaupajo odjemalskemu okolju, v katerem delujejo. To zaupanje lahko domneva, da je odjemalsko okolje pošteno glede določenih vidikov samega sebe, ohranja uporabniški podatki in intelektualna lastnina so varni ter pregledni glede tega, ali jih uporablja človek ali ne to. To zaupanje je hrbtenica odprtega interneta, ključnega pomena za varnost uporabniških podatkov in za trajnost poslovanja spletnega mesta."

V praksi to zveni zelo podobno API-ju SafetyNet (ki ga je zdaj nadomestil Play Integrity) na pametnih telefonih Android, za katerega ekipa pravi, da je navdih. "Ta razlagalec se zgleduje po obstoječih izvornih signalih potrdil, kot je npr

App Attest in Play Integrity API," oni pišejo. Androidov Integrity API preveri, ali vaša naprava ni rootana, ne glede na to, za kaj uporabljate ta korenski dostop. Ali ga uporabljate za poseganje v aplikacije ali preprosto za spreminjanje vaše naprave, ni pomembno, saj bo API izjavil, da vaša naprava ne prestane teh preverjanj. Posledično rootani uporabniki ne morejo uporabljati veliko storitev na svojih pametnih telefonih, tudi če gre zgolj za prilagajanje.

Z drugimi besedami, glavni cilj API-ja WEI bi bil zagotoviti, da brskalnik ni bil spremenjen in da je oseba, ki uporablja brskalnik, resnična oseba.

Predlog opisuje potek, kako bi povezovanje s spletnim mestom delovalo v tem primeru, in zahteva strežnik za potrdila tretje osebe, ki bi bil v tem primeru verjetno v lasti Googla. Vaš brskalnik zahteva spletno stran kot običajno, nato pa mora opraviti preizkus, kjer je preverjeno »IntegrityToken« je podan za opravljanje tega preizkusa, kar dokazuje, da je brskalnik nespremenjen in izpolnjuje zahteve. Dokler stran zaupa temu rezultatu, vam bo omogočen dostop do strani.

Avtorji ob branju predloga navajajo, da "močno menijo", da bi moral biti ID naprave kdaj vključen, saj bi omogočil prstni odtis naprave. Vendar pa so v predlogu za to protislovja, na primer predlog, da bi vključili "kazalnik omogočanje omejevanja hitrosti glede na fizično napravo." Kako bi se to izvajalo brez prstnih odtisov naprave neznano.

Ta predlog je nekoliko zletel pod radarjem in je bil nedavno objavljen na HackerNews, potem ko so ga opazili na osebnem računu GitHub zaposlenega pri Googlu. Pravzaprav, čeprav Google na to sploh ni opozoril, že obstaja sestavljanje prototipne kode za prihodnjo izdajo Chroma. Tako Mozilla kot Vivaldi so kritizirali predlog, pri čemer je Mozilla dejala, da je "nasprotuje temu predlogu, ker je v nasprotju z našimi načeli in vizijo spleta," medtem ko je Vivaldi predlog označil kot "nevarno."

Predlog ogroža svoboden in odprt internet na več načinov, a eden največjih se vrti okoli dejstva, da bi morali obstaja osrednji strežnik, ki potrjuje, ali je brskalniku mogoče zaupati ali ne, kar pomeni, da nič nestandardnega ne bo zaupanja vreden. Z drugimi besedami, novim brskalnikom ne bi zaupali, starejša programska oprema pa po določenem času ne bi mogla več dostopati do večjega dela interneta. Glede na to, da preverja integriteto brskalnika, lahko tudi tehnično blokira določene razširitve (npr. Adblock), če bi Google šel po tej poti.

Prepričani bomo, da bomo spremljali Googlov predlog API-ja za celovitost spletnega okolja, saj že obstaja dokazano kontroverzen, se zdi, da podjetje s polno paro napreduje pri izdelavi prototipa že vsaj.