API цілісності веб-середовища Google — це, по суті, SafetyNet для веб-сайтів, і виглядає він не дуже добре.
Google запропонував новий веб-стандарт під назвою Web Environment Integrity API, і це, по суті, DRM для Інтернету. У пропозиції, деталізовані чотирма співробітниками Google (один із яких, Філіп Пфайффенбергер, також був частиною оригінальна пропозиція для Google Privacy Sandbox), у ній описано, як WEI API зможе підтримувати Інтернет "безпечний".
У вступі Пропозицію, команда, що стоїть за ним, заявляє наступне.
«Користувачі часто залежать від того, що веб-сайти довіряють клієнтському середовищу, в якому вони працюють. Ця довіра може припускати, що клієнтське середовище чесне щодо певних аспектів себе, зберігає дані користувачів та інтелектуальна власність захищені та прозорі щодо того, використовує людина чи ні це. Ця довіра є основою відкритого Інтернету, критично важливою для безпеки даних користувачів і стабільності бізнесу веб-сайту».
На практиці це дуже схоже на API SafetyNet (тепер замінений на Play Integrity) на смартфонах Android, який, як стверджує команда, є джерелом натхнення. «Цей пояснювач черпає натхнення з існуючих рідних сигналів атестації, таких як
Іншими словами, основна мета WEI API полягала б у тому, щоб переконатися, що веб-переглядач не було підроблено та що особа, яка використовує веб-переглядач, є реальною людиною.
Пропозиція описує процес підключення до веб-сайту в цьому випадку, і для цього потрібен сервер атестації третьої сторони, який, імовірно, належатиме Google у цьому випадку. Ваш веб-переглядач запитує веб-сторінку, як зазвичай, а потім повинен пройти перевірку, де перевірено "IntegrityToken" надається за проходження цього тесту, доводячи, що браузер не змінений і відповідає вимоги. Поки сторінка довіряє цьому результату, вам буде надано доступ до сторінки.
Прочитавши пропозицію, автори заявляють, що вони «переконливо вважають», що ідентифікатор пристрою коли-небудь повинен бути включений, оскільки це дозволить знімати відбитки пальців пристрою. Однак у пропозиції щодо цього є протиріччя, наприклад, припущення про те, що вони включатимуть «індикатор увімкнення обмеження швидкості для фізичного пристрою." Як це було б реалізовано без відбитків пальців пристрою невідомий.
Ця пропозиція дещо пройшла поза увагою, і нещодавно її поділили на HackerNews після того, як її помітили в особистому обліковому записі GitHub співробітника Google. Насправді, хоча Google взагалі не звернув на це увагу, це вже є код прототипу збирається разом для майбутнього випуску Chrome. І Mozilla, і Вівальді розкритикували пропозицію, а Mozilla заявила, що це "виступає проти цієї пропозиції, оскільки вона суперечить нашим принципам і баченню Інтернету," тоді як Вівальді назвав пропозицію "небезпечний."
Ця пропозиція загрожує вільному та відкритому Інтернету кількома способами, але один із найбільших полягає в тому, що слід є центральний сервер, який засвідчує, чи можна довіряти браузеру чи ні, це означає, що нічого нестандартного не буде довіряють. Іншими словами, новим браузерам не можна довіряти, а застаріле програмне забезпечення більше не матиме доступу до більшої частини Інтернету через певний проміжок часу. Оскільки він перевіряє цілісність веб-переглядача, він також може технічно блокувати певні розширення (наприклад, Adblock), якби Google пішов цим шляхом.
Ми обов’язково стежимо за пропозицією API цілісності веб-середовища Google, оскільки вона вже є виявилося суперечливим, схоже, що компанія повною мірою працює над створенням прототипу на самому найменше.