Web Environment Integrity API ของ Google คือ SafetyNet สำหรับเว็บไซต์

คอมพิวเตอร์Nov 20, 2023
click fraud protection

Web Environment Integrity API ของ Google นั้นเป็น SafetyNet สำหรับเว็บไซต์และมันดูไม่ดี

Google ได้เสนอมาตรฐานเว็บใหม่ที่เรียกว่า Web Environment Integrity API และถือเป็น DRM สำหรับอินเทอร์เน็ตเป็นหลัก ในข้อเสนอที่ให้รายละเอียดโดยเจ้าหน้าที่ Google สี่คน (หนึ่งในนั้นคือ Philipp Pfeiffenberger ก็เป็นส่วนหนึ่งของ ข้อเสนอดั้งเดิมสำหรับ Privacy Sandbox ของ Google) โดยสรุปว่า WEI API จะสามารถรักษาอินเทอร์เน็ตได้อย่างไร "ปลอดภัย."

ในการแนะนำของ ข้อเสนอทีมงานที่อยู่เบื้องหลังระบุดังต่อไปนี้

"ผู้ใช้มักขึ้นอยู่กับเว็บไซต์ที่ไว้วางใจสภาพแวดล้อมไคลเอ็นต์ที่พวกเขาใช้งาน ความไว้วางใจนี้อาจถือว่าสภาพแวดล้อมของลูกค้ามีความซื่อสัตย์เกี่ยวกับบางแง่มุมของตัวเอง ข้อมูลผู้ใช้และทรัพย์สินทางปัญญามีความปลอดภัย และมีความโปร่งใสว่ามนุษย์กำลังใช้งานอยู่หรือไม่ มัน. ความไว้วางใจนี้เป็นหัวใจสำคัญของอินเทอร์เน็ตแบบเปิด ซึ่งมีความสำคัญอย่างยิ่งต่อความปลอดภัยของข้อมูลผู้ใช้และเพื่อความยั่งยืนของธุรกิจของเว็บไซต์"

ในทางปฏิบัติ ฟังดูคล้ายกับ SafetyNet API มาก (ปัจจุบันแทนที่ด้วย Play Integrity) บนสมาร์ทโฟน Android ซึ่งทีมงานระบุว่าเป็นแรงบันดาลใจ "ผู้อธิบายรายนี้รับแรงบันดาลใจจากสัญญาณการรับรองดั้งเดิมที่มีอยู่ เช่น

การรับรองแอป และ เล่น API ความสมบูรณ์," พวกเขาเขียน. Integrity API ของ Android จะตรวจสอบว่าอุปกรณ์ของคุณไม่ได้ถูกรูท ไม่ว่าคุณจะใช้การเข้าถึงรูทนั้นเพื่ออะไรก็ตาม ไม่ว่าคุณจะใช้เพื่อรบกวนแอปหรือเพียงแก้ไขอุปกรณ์ของคุณก็ไม่สำคัญ เนื่องจาก API จะระบุว่าอุปกรณ์ของคุณไม่ผ่านการตรวจสอบเหล่านั้น เป็นผลให้ผู้ใช้รูทไม่สามารถใช้บริการจำนวนมากบนสมาร์ทโฟนของตนได้ แม้ว่าจะเป็นเพียงเหตุผลในการปรับแต่งเท่านั้นก็ตาม

กล่าวอีกนัยหนึ่ง จุดมุ่งหมายหลักของ WEI API คือการตรวจสอบให้แน่ใจว่าเบราว์เซอร์ไม่ได้ถูกดัดแปลง และบุคคลที่ใช้เบราว์เซอร์นั้นเป็นบุคคลจริง

ข้อเสนอนี้สรุปขั้นตอนการทำงานของการเชื่อมต่อกับเว็บไซต์ในกรณีนี้ และต้องใช้เซิร์ฟเวอร์รับรองบุคคลที่สามซึ่ง Google มีแนวโน้มว่าจะเป็นเจ้าของในกรณีนี้ เบราว์เซอร์ของคุณร้องขอหน้าเว็บตามปกติ จากนั้นจะต้องผ่านการทดสอบที่ได้รับการยืนยัน "IntegrityToken" มอบให้เมื่อผ่านการทดสอบนี้ เพื่อพิสูจน์ว่าเบราว์เซอร์ไม่มีการแก้ไขและตรงตามข้อกำหนด ความต้องการ. ตราบใดที่เพจเชื่อถือผลลัพธ์นี้ คุณก็จะได้รับสิทธิ์ในการเข้าถึงเพจ

ในการอ่านข้อเสนอ ผู้เขียนระบุว่าพวกเขา "รู้สึกอย่างยิ่ง" ว่าควรรวม ID อุปกรณ์ไว้ด้วย เนื่องจากจะทำให้สามารถพิมพ์ลายนิ้วมือของอุปกรณ์ได้ อย่างไรก็ตามมีข้อขัดแย้งในข้อเสนอดังกล่าว เช่น ข้อเสนอแนะว่าจะรวม "ตัวบ่งชี้" การเปิดใช้งานการจำกัดอัตรากับอุปกรณ์ทางกายภาพ" วิธีนี้จะนำไปใช้โดยไม่ต้องพิมพ์ลายนิ้วมือของอุปกรณ์ได้อย่างไร ไม่ทราบ

ข้อเสนอนี้ได้รับความสนใจค่อนข้างมาก และมีการแชร์บน HackerNews เมื่อเร็ว ๆ นี้ หลังจากพบเห็นในบัญชี GitHub ส่วนตัวของพนักงาน Google ในความเป็นจริง แม้ว่า Google จะไม่ได้ดึงดูดความสนใจเลย แต่ก็มีอยู่แล้ว รหัสต้นแบบถูกนำมารวมกัน สำหรับการเปิดตัว Chrome ในอนาคต ทั้งมอซิลล่าและ วิวัลดี ได้วิพากษ์วิจารณ์ข้อเสนอดังกล่าว โดย Mozilla บอกว่า "คัดค้านข้อเสนอนี้เนื่องจากขัดแย้งกับหลักการและวิสัยทัศน์ของเราสำหรับเว็บ" ในขณะที่ วิวาลดี กล่าวถึงข้อเสนอว่า "อันตราย."

ข้อเสนอดังกล่าวคุกคามอินเทอร์เน็ตที่เสรีและเปิดกว้างในหลายๆ ด้าน แต่ข้อเสนอที่ใหญ่ที่สุดประการหนึ่งเกี่ยวข้องกับข้อเท็จจริงที่ว่าควร มีเซิร์ฟเวอร์กลางที่ยืนยันว่าเบราว์เซอร์สามารถเชื่อถือได้หรือไม่ หมายความว่าสิ่งใดก็ตามที่ไม่ได้มาตรฐานจะไม่ถูกเชื่อถือ ที่เชื่อถือ. กล่าวอีกนัยหนึ่ง เบราว์เซอร์ใหม่จะไม่น่าเชื่อถือ และซอฟต์แวร์รุ่นเก่าจะไม่สามารถเข้าถึงอินเทอร์เน็ตจำนวนมากได้อีกต่อไปหลังจากช่วงระยะเวลาหนึ่ง เนื่องจากเป็นการตรวจสอบความสมบูรณ์ของเบราว์เซอร์ จึงอาจบล็อกส่วนขยายบางอย่างในทางเทคนิคได้ (เช่น บล็อกโฆษณา) หาก Google ลงเส้นทางนั้น

เราจะจับตาดูข้อเสนอ Web Environment Integrity API ของ Google อย่างแน่นอน ในขณะที่ตอนนี้ ได้รับการพิสูจน์แล้วว่าเป็นที่ถกเถียงกันอยู่ ดูเหมือนว่าบริษัทจะเดินหน้าสร้างต้นแบบอย่างเต็มที่ น้อยที่สุด.