Google'ın Web Ortamı Bütünlüğü API'si temelde web siteleri için SafetyNet'tir ve pek iyi görünmüyor.
Google, Web Ortamı Bütünlüğü API'si adı verilen yeni bir web standardı önerdi ve bu, esasen internet için DRM'dir. Dört Google çalışanı tarafından ayrıntılı olarak açıklanan bir teklifte (bunlardan biri Philipp Pfeiffenberger de vardı) Google'ın Özel Korumalı Alanı için orijinal teklif), WEI API'sinin interneti nasıl koruyabileceğini özetlemektedir. "güvenli."
tanıtımında teklif, arkasındaki ekip şunları belirtiyor.
"Kullanıcılar genellikle web sitelerine, çalıştıkları istemci ortamına güvenerek güvenirler. Bu güven, müşteri ortamının kendisinin belirli yönleri konusunda dürüst olduğunu varsayabilir. kullanıcı verileri ve fikri mülkiyeti güvenlidir ve bir insanın kullanıp kullanmadığı konusunda şeffaftır. BT. Bu güven, açık internetin omurgasıdır ve kullanıcı verilerinin güvenliği ve web sitesinin işinin sürdürülebilirliği açısından kritik öneme sahiptir."
Pratikte bu, Android akıllı telefonlardaki SafetyNet API'sine (şimdi Play Integrity ile değiştirildi) çok benziyor ve ekibin bunun bir ilham kaynağı olduğunu belirtiyor. "Bu açıklayıcı, aşağıdaki gibi mevcut yerel doğrulama sinyallerinden ilham almaktadır:
Başka bir deyişle WEI API'nin temel amacı, tarayıcıya müdahale edilmediğini ve tarayıcıyı kullanan kişinin gerçek bir kişi olduğunu tespit etmektir.
Teklif, bu durumda bir web sitesine bağlanmanın nasıl çalışacağının akışını özetlemektedir ve bu durumda büyük olasılıkla Google'a ait olacak bir üçüncü taraf doğrulama sunucusu gerektirir. Tarayıcınız normal şekilde bir web sayfası ister ve ardından doğrulanmış bir testi geçmesi gerekir. "IntegrityToken" bu testi geçmek için verilir, tarayıcının değiştirilmediğini ve gereksinimleri karşıladığını kanıtlar. Gereksinimler. Sayfa bu sonuca güvendiği sürece size sayfaya erişim izni verilecektir.
Teklifi okuyan yazarlar, cihazın parmak izinin alınmasına izin vereceği için bir cihaz kimliğinin de dahil edilmesi gerektiğini "güçlü bir şekilde hissettiklerini" belirtiyorlar. Ancak teklifte "gösterge" içermesi gibi çelişkiler var. fiziksel bir cihaza karşı hız sınırlamasını etkinleştirme." Cihaz parmak izi olmadan bunun nasıl uygulanacağı Bilinmeyen.
Bu teklif bir şekilde gözden kaçmış ve yakın zamanda bir Google çalışanının kişisel GitHub hesabında görüldükten sonra HackerNews'te paylaşılmıştı. Aslına bakılırsa Google buna hiç dikkat çekmemiş olsa da zaten var. prototip kodu bir araya getiriliyor gelecekteki bir Chrome sürümü için. Hem Mozilla'da hem de Vivaldi Mozilla'nın "Web'e ilişkin ilkelerimiz ve vizyonumuzla çeliştiği için bu öneriye karşı çıkıyor," Vivaldi tekliften şu şekilde bahsederken "tehlikeli."
Teklif, özgür ve açık interneti çeşitli şekillerde tehdit ediyor, ancak en büyüklerinden biri, internetin internete bağlanması gerektiği gerçeği etrafında dönüyor. Bir tarayıcının güvenilir olup olmadığını doğrulayan merkezi bir sunucunun bulunması, standart olmayan hiçbir şeyin güvenilir olmayacağı anlamına gelir. güvenilir. Başka bir deyişle, yeni tarayıcılara güvenilmeyecek ve eski yazılımlar belirli bir süre sonra artık internetin büyük bir kısmına erişemeyecektir. Tarayıcının bütünlüğünü doğruladığı göz önüne alındığında, belirli uzantıları da teknik olarak engelleyebilir (ör. Reklam engelleyici) eğer Google bu rotayı izleseydi.
Halihazırda olduğu gibi, Google'ın Web Ortamı Bütünlüğü API teklifini de mutlaka takip edeceğiz tartışmalı olduğu kanıtlanmış olsa da, şirketin prototip oluşturma konusunda tam gaz ilerlediği görülüyor en az.