Google het na die kritiek geluister en opgehou om die Web Environment Integrity API te bevorder, die eksperimentele implementering daarvan van die Chromium-kodebasis verwyder en die spesifikasiebewaarplek na argiefmodus geskuif. Terselfdertyd gaan eksperimente voort op die Android-platform met die implementering van 'n soortgelyke API om die gebruiker se omgewing te verifieer - WebView Media Integrity, wat geposisioneer is as 'n uitbreiding gebaseer op Google Mobile Services (GMS). Dit word gestel dat die WebView Media Integrity API beperk sal word tot die WebView-komponent en toepassings wat verband hou met die verwerking van multimedia-inhoud, dit kan byvoorbeeld gebruik word in mobiele toepassings gebaseer op WebView vir die stroom van oudio en video. Daar is geen planne om toegang tot hierdie API deur 'n blaaier te verskaf nie.
Die Web Environment Integrity API is ontwerp om webwerf-eienaars te voorsien van die vermoë om te verseker dat die kliënt se omgewing betroubaar is in terme van die beskerming van gebruikersdata, respek vir intellektuele eiendom en interaksie met 'n regte persoon. Daar is gedink dat die nuwe API nuttig kan wees in gebiede waar 'n webwerf moet verseker dat daar 'n regte persoon en 'n regte toestel aan die ander kant is, en dat die blaaier nie gewysig of met wanware besmet is nie. Die API is gebaseer op Play Integrity-tegnologie, wat reeds in die Android-platform gebruik word om te verifieer dat die versoek gemaak word vanaf 'n ongewysigde toepassing wat vanaf die Google Play-katalogus geïnstalleer is en op 'n eg Android-toestel loop.
Wat die Web Environment Integrity API betref, kan dit gebruik word om verkeer van bots uit te filter wanneer advertensies vertoon word; bekamping van outomaties gestuurde strooipos en die bevordering van graderings op sosiale netwerke; identifisering van manipulasies wanneer kopieregbeskermde inhoud gekyk word; bekamping van bedrieërs en vals kliënte in aanlyn speletjies; identifisering van die skep van fiktiewe rekeninge deur bots; teen wagwoord-raai-aanvalle; beskerming teen uitvissing, geïmplementeer met behulp van wanware wat uitvoer na regte werwe uitsaai.
Om die blaaier-omgewing waarin die gelaaide JavaScript-kode uitgevoer word te bevestig, het die Web Environment Integrity API voorgestel om 'n spesiale teken te gebruik wat uitgereik is deur 'n derdeparty-verifiërer (attester), wat op sy beurt deur 'n ketting van vertroue met integriteitbeheermeganismes gekoppel kan word. in die platform (byvoorbeeld Google Play) . Die teken is gegenereer deur 'n versoek na 'n derdeparty-sertifiseringsbediener te stuur, wat, nadat sekere kontroles uitgevoer is, bevestig het dat die blaaieromgewing nie gewysig is nie. Vir verifikasie is EME (Encrypted Media Extensions) uitbreidings gebruik, soortgelyk aan dié wat in DRM gebruik word om kopieregbeskermde media-inhoud te dekodeer. In teorie is EME verkoper-neutraal, maar in die praktyk het drie eie implementerings algemeen geword: Google Widevine (gebruik in Chrome, Android en Firefox), Microsoft PlayReady (gebruik in Microsoft Edge en Windows), en Apple FairPlay (gebruik in Safari) en produkte Apple).
Die poging om die betrokke API te implementeer het tot kommer gelei dat dit die oop aard van die web kan ondermyn en kan lei tot groter afhanklikheid van gebruikers van individuele verskaffers, asook die vermoë om alternatiewe blaaiers te gebruik aansienlik beperk en die bevordering van nuwe blaaiers na die mark. Gevolglik kan gebruikers afhanklik raak van geverifieerde amptelik vrygestelde blaaiers, waarsonder hulle die vermoë sal verloor om met sommige groot webwerwe en dienste te werk.
Bron: opennet.ru