Googles Web Environment Integrity API är i grunden SafetyNet för webbplatser, och det ser inte bra ut.
Google har föreslagit en ny webbstandard som kallas Web Environment Integrity API, och det är i huvudsak DRM för internet. I ett förslag detaljerat av fyra Google-anställda (varav en, Philipp Pfeiffenberger, också var en del av originalförslaget för Googles Privacy Sandbox), beskriver det hur WEI API kommer att kunna behålla internet "säkra."
I inledningen av förslaget, teamet bakom uppger följande.
"Användare är ofta beroende av att webbplatser litar på klientmiljön de körs i. Detta förtroende kan anta att klientmiljön är ärlig om vissa aspekter av sig själv, håller användardata och immateriella rättigheter säker, och är transparent om huruvida en människa använder eller inte Det. Detta förtroende är ryggraden i det öppna internet, avgörande för säkerheten för användardata och för hållbarheten i webbplatsens verksamhet."
I praktiken låter detta mycket som SafetyNet API (nu ersatt av Play Integrity) på Android-smarttelefoner, vilket teamet säger är en inspiration. "Den här förklararen hämtar inspiration från befintliga inhemska attestationssignaler som t.ex
Appintyg och den Spela Integrity API," de skriver. Androids Integrity API verifierar att din enhet inte är rotad, oavsett vad du använder den root-åtkomsten till. Om du använder den för att störa appar eller för att helt enkelt modifiera din enhet spelar ingen roll, eftersom API: et kommer att säga att din enhet inte klarar dessa kontroller. Som ett resultat kan rotade användare inte använda många tjänster på sina smartphones, även om det bara är av anpassningsskäl.Med andra ord, det primära syftet med WEI API skulle vara att säkerställa att webbläsaren inte har manipulerats och att personen som använder webbläsaren är en riktig person.
Förslaget beskriver flödet av hur anslutning till en webbplats skulle fungera i det här fallet, och det kräver en tredjepartsserver som sannolikt skulle ägas av Google i det här fallet. Din webbläsare begär en webbsida som vanligt och måste sedan klara ett test där en verifierad "IntegrityToken" ges för att klara detta test, vilket bevisar att webbläsaren är oförändrad och uppfyller krav. Så länge sidan litar på det här resultatet kommer du att få åtkomst till sidan.
När de läser förslaget säger författarna att de "starkt känner" att ett enhets-ID någonsin borde inkluderas, eftersom det skulle möjliggöra fingeravtryck av enheten. Det finns dock motsägelser i förslaget för det, som ett förslag om att de skulle innehålla en "indikator möjliggör hastighetsbegränsning mot en fysisk enhet." Hur detta skulle implementeras utan enhetsfingeravtryck är okänd.
Detta förslag har flugit under radarn något, och det delades på HackerNews nyligen efter att ha upptäckts på en Google-anställds personliga GitHub-konto. Faktum är att även om Google inte har uppmärksammat det alls, finns det redan prototypkod som sätts ihop för en framtida Chrome-version. Både Mozilla och Vivaldi har kritiserat förslaget, där Mozilla sa att det "motsätter sig detta förslag eftersom det strider mot våra principer och visioner för webben," medan Vivaldi refererade till förslaget som "farlig."
Förslaget hotar det fria och öppna internet på flera sätt, men ett av de största kretsar kring det faktum att det finns en central server som intygar om en webbläsare kan lita på eller inte, det betyder att allt som inte är standard inte kommer att vara betrodd. Med andra ord skulle nya webbläsare inte vara betrodda, och äldre programvara skulle inte längre kunna komma åt mycket av internet efter en viss tid. Med tanke på att den verifierar webbläsarens integritet kan den också tekniskt blockera vissa tillägg (som t.ex. Adblock) om Google skulle gå den vägen.
Vi kommer att se till att hålla ett öga på Googles Web Environment Integrity API-förslag, eftersom det redan är det visat sig vara kontroversiellt verkar det som att företaget är full fart med att ta fram prototyper på minst.