Google hörte sich die Kritik an und stellte die Förderung der Web Environment Integrity API ein, entfernte ihre experimentelle Implementierung aus der Chromium-Codebasis und versetzte das Spezifikations-Repository in den Archivmodus. Gleichzeitig werden die Experimente auf der Android-Plattform mit der Implementierung einer ähnlichen API zur Überprüfung der Benutzerumgebung fortgesetzt – WebView Media Integrity, die als Erweiterung auf Basis von Google Mobile Services (GMS) positioniert ist. Es wird angegeben, dass die WebView Media Integrity API auf die WebView-Komponente und Anwendungen im Zusammenhang mit der Verarbeitung von Multimedia-Inhalten beschränkt sein wird. Beispielsweise kann sie in mobilen Anwendungen basierend auf WebView zum Streamen von Audio und Video verwendet werden. Es ist nicht geplant, den Zugriff auf diese API über einen Browser bereitzustellen.
Die Web Environment Integrity API wurde entwickelt, um Websitebesitzern die Möglichkeit zu geben, sicherzustellen, dass die Umgebung des Kunden im Hinblick auf den Schutz von Benutzerdaten, die Achtung geistigen Eigentums und die Interaktion mit einer realen Person vertrauenswürdig ist. Es wurde angenommen, dass die neue API in Bereichen nützlich sein könnte, in denen eine Website sicherstellen muss, dass es auf der anderen Seite eine echte Person und ein echtes Gerät gibt und dass der Browser nicht verändert oder mit Malware infiziert wird. Die API basiert auf der Play Integrity-Technologie, die bereits auf der Android-Plattform verwendet wird, um zu überprüfen, ob die Anfrage von einer unveränderten Anwendung stammt, die aus dem Google Play-Katalog installiert wurde und auf einem echten Android-Gerät läuft.
Was die Web Environment Integrity API betrifft, könnte sie verwendet werden, um den Datenverkehr von Bots bei der Anzeige von Werbung herauszufiltern; Bekämpfung von automatisch versendetem Spam und Steigerung der Bewertungen in sozialen Netzwerken; Erkennung von Manipulationen beim Betrachten urheberrechtlich geschützter Inhalte; Bekämpfung von Cheatern und Fake-Clients in Online-Spielen; Identifizierung der Erstellung fiktiver Konten durch Bots; Abwehr von Passwort-Erraten-Angriffen; Schutz vor Phishing, implementiert mithilfe von Malware, die die Ausgabe an reale Websites sendet.
Um die Browserumgebung zu bestätigen, in der der geladene JavaScript-Code ausgeführt wird, schlug die Web Environment Integrity API die Verwendung eines speziellen Tokens vor, das von einem externen Authentifikator (Attester) ausgestellt wurde, der wiederum durch eine Vertrauenskette mit Mechanismen zur Integritätskontrolle verbunden sein könnte in der Plattform (zum Beispiel Google Play) . Das Token wurde durch Senden einer Anfrage an einen Zertifizierungsserver eines Drittanbieters generiert, der nach Durchführung bestimmter Prüfungen bestätigte, dass die Browserumgebung nicht verändert wurde. Zur Authentifizierung wurden EME-Erweiterungen (Encrypted Media Extensions) verwendet, ähnlich denen, die in DRM zum Dekodieren urheberrechtlich geschützter Medieninhalte verwendet werden. Theoretisch ist EME herstellerneutral, in der Praxis haben sich jedoch drei proprietäre Implementierungen durchgesetzt: Google Widevine (verwendet in Chrome, Android und Firefox), Microsoft PlayReady (verwendet in Microsoft Edge und Windows) und Apple FairPlay (verwendet in Safari). und Produkte Apple).
Der Versuch, die betreffende API zu implementieren, hat zu Bedenken geführt, dass sie die Offenheit des Webs untergraben und zu einer erhöhten Abhängigkeit der Benutzer von einzelnen Anbietern führen könnte sowie die Möglichkeit, alternative Browser zu verwenden, erheblich einschränkt und die Werbung für neue Browser erschwert Browser auf den Markt. Infolgedessen könnten Benutzer von verifizierten, offiziell freigegebenen Browsern abhängig werden, ohne die sie die Möglichkeit verlieren würden, mit einigen großen Websites und Diensten zu arbeiten.
Source: opennet.ru