Die Google GmbH hat auf die Kritik reagiert und die Förderung der Web Environment Integrity API eingestellt. Zudem wurde die experimentelle Implementierung aus dem Chromium-Code entfernt und das Repository mit der Spezifikation in den Archivmodus versetzt. Auf der Android-Plattform werden jedoch weiterhin Experimente mit einer ähnlichen API zur Überprüfung der Benutzerumgebung, der WebView Media Integrity, durchgeführt, die als Erweiterung auf Basis der Google Mobile Services (GMS) positioniert wird. Es wird behauptet, dass die WebView Media Integrity API auf die WebView-Komponente und Anwendungen beschränkt sein wird, die mit der Verarbeitung von Multimedia-Inhalten zusammenhängen, etwa in mobilen Anwendungen auf WebView-Basis für die Übertragung von Audio und Video. Der Zugriff auf diese API über einen Browser wird nicht geplant.
Die API-Webumgebungsintegrität wurde entwickelt, um Website-Betreibern die Möglichkeit zu geben, sicherzustellen, dass die Kundenumgebung vertrauenswürdig ist, wenn es um den Schutz von Benutzerdaten, die Einhaltung von Urheberrechten und die Interaktion mit einer realen Person geht. Es wurde angenommen, dass die neue API in Bereichen von Bedeutung sein könnte, in denen die Website sicherstellen muss, dass sich auf der anderen Seite eine echte Person und ein echtes Gerät befinden und dass der Browser nicht modifiziert oder von Malware betroffen ist. Die API basiert auf der Play Integrity-Technologie, die bereits auf der Android-Plattform verwendet wird, um zu bestätigen, dass die Anfrage aus einer nicht modifizierten App stammt, die aus dem Google Play Katalog installiert wurde und auf einem echten Android-Gerät ausgeführt wird.
Die API Web Environment Integrity kann verwendet werden, um den Traffic von Bots bei der Werbung zu filtern; um automatisch versendeten Spam und Manipulationen von Bewertungen in sozialen Medien zu bekämpfen; um Manipulationen beim Zugriff auf urheberrechtlich geschützte Inhalte zu erkennen; um Cheating und gefälschte Kunden in Online-Spielen entgegenzuwirken; um die Erstellung von gefälschten Konten durch Bots zu identifizieren; um Brute-Force-Angriffe abzuwehren; und um sich gegen Phishing-Angriffe zu schützen, die durch schadhafte Programme realisiert werden, welche den Benutzer auf echte Websites umleiten.
Um die Browserumgebung zu bestätigen, in der der heruntergeladene JavaScript-Code ausgeführt wird, wurde in der API Web Environment Integrity vorgeschlagen, ein spezielles Token zu verwenden, das von einem externen Attestierer ausgegeben wird, das seinerseits mit einer Kette von Vertrauensmechanismen innerhalb der Plattform (z. B. Google Play) verbunden sein könnte. Das Token wurde erstellt, indem eine Anfrage an einen externen Dienst gesendet wurde. der Server Die Zertifizierung, die nach Durchführung bestimmter Prüfungen bestätigte, dass die Browserumgebung nicht modifiziert wurde. Zur Verifizierung wurden EME (Encrypted Media Extensions) verwendet, die denen ähneln, die in DRM zum Decodieren von urheberrechtlich geschütztem Medieninhalt eingesetzt werden. In der Theorie ist EME nicht an bestimmte Anbieter gebunden, jedoch haben sich in der Praxis drei proprietäre Implementierungen verbreitet: Google Widevine (verwendet in Chrome, Android und Firefox), Microsoft PlayReady (verwendet in Microsoft Edge und Windows) und Apple FairPlay (verwendet in Safari und in Apple-Produkten).
Der Versuch, die besprochene API einzuführen, führte zu Bedenken, dass sie das offene Wesen des Webs untergraben und die Abhängigkeit der Nutzer von einzelnen Anbietern verstärken könnte. Dies würde die Möglichkeiten zur Nutzung alternativer Browser erheblich einschränken und die Markteinführung neuer Browser erschweren. Letztendlich könnten die Nutzer von offiziell verifizierten Browsern abhängig gemacht werden, wobei der Zugriff auf bestimmte große Websites und Dienste ohne diese Browser verloren ginge.
Quelle: opennet.ru
