Google vyslyšel kritiku a přestal propagovat rozhraní Web Environment Integrity API, odstranil jeho experimentální implementaci z kódové základny Chromium a přesunul úložiště specifikací do režimu archivace. Zároveň pokračují experimenty na platformě Android s implementací podobného API pro ověřování uživatelského prostředí – WebView Media Integrity, které je umístěno jako rozšíření založené na Google Mobile Services (GMS). Uvádí se, že WebView Media Integrity API bude omezeno na komponentu WebView a aplikace související se zpracováním multimediálního obsahu, lze jej například použít v mobilních aplikacích založených na WebView pro streamování audia a videa. Neplánuje se poskytovat přístup k tomuto API prostřednictvím prohlížeče.
Web Environment Integrity API bylo navrženo tak, aby vlastníkům stránek poskytlo možnost zajistit, aby prostředí zákazníka bylo důvěryhodné z hlediska ochrany uživatelských dat, respektování duševního vlastnictví a interakce se skutečnou osobou. Předpokládalo se, že nové API by mohlo být užitečné v oblastech, kde web potřebuje zajistit, aby na druhé straně byla skutečná osoba a skutečné zařízení a že prohlížeč nebyl upraven nebo infikován malwarem. Rozhraní API je založeno na technologii Play Integrity, která se již používá na platformě Android k ověření, že požadavek pochází z neupravené aplikace nainstalované z katalogu Google Play a spuštěné na originálním zařízení Android.
Pokud jde o Web Environment Integrity API, mohlo by být použito k odfiltrování provozu od robotů při zobrazování reklamy; boj proti automaticky zasílanému spamu a zvyšování hodnocení na sociálních sítích; identifikace manipulací při prohlížení obsahu chráněného autorským právem; boj proti podvodníkům a falešným klientům v online hrách; identifikace vytváření fiktivních účtů roboty; čelit útokům na hádání hesel; ochrana proti phishingu, implementovaná pomocí malwaru, který vysílá výstup na skutečné stránky.
Aby se potvrdilo prostředí prohlížeče, ve kterém se načtený kód JavaScript spouští, navrhlo rozhraní Web Environment Integrity API použití speciálního tokenu vydaného autentizátorem třetí strany (attesterem), který by zase mohl být propojen řetězem důvěry s mechanismy kontroly integrity. na platformě (například Google Play) . Token byl vygenerován odesláním požadavku na certifikační server třetí strany, který po provedení určitých kontrol potvrdil, že prostředí prohlížeče nebylo upraveno. Pro autentizaci byla použita rozšíření EME (Encrypted Media Extensions), podobná těm, která se používají v DRM k dekódování mediálního obsahu chráněného autorským právem. Teoreticky je EME neutrální vůči prodejcům, ale v praxi se staly běžnými tři proprietární implementace: Google Widevine (používá se v Chrome, Androidu a Firefoxu), Microsoft PlayReady (používá se v Microsoft Edge a Windows) a Apple FairPlay (používá se v Safari a produkty Apple).
Pokus o implementaci předmětného API vedl k obavám, že by mohlo podkopat otevřenou povahu webu a vést ke zvýšené závislosti uživatelů na jednotlivých prodejcích, stejně jako výrazně omezit možnost používat alternativní prohlížeče a zkomplikovat propagaci nových prohlížečů. prohlížečů na trh. Uživatelé by se tak mohli stát závislí na ověřených oficiálně vydaných prohlížečích, bez kterých by přišli o možnost pracovat s některými velkými weby a službami.
Zdroj: opennet.ru