Google escuchó las críticas y dejó de promocionar la API de integridad del entorno web, eliminó su implementación experimental del código base de Chromium y movió el repositorio de especificaciones al modo de archivo. Al mismo tiempo, continúan los experimentos en la plataforma Android con la implementación de una API similar para verificar el entorno del usuario: WebView Media Integrity, que se posiciona como una extensión basada en Google Mobile Services (GMS). Se afirma que la API WebView Media Integrity se limitará al componente WebView y a las aplicaciones relacionadas con el procesamiento de contenido multimedia; por ejemplo, se puede utilizar en aplicaciones móviles basadas en WebView para transmisión de audio y vídeo. No hay planes para proporcionar acceso a esta API a través de un navegador.
La API de integridad del entorno web fue diseñada para brindar a los propietarios de sitios la capacidad de garantizar que el entorno del cliente sea confiable en términos de protección de los datos del usuario, respeto de la propiedad intelectual e interacción con una persona real. Se pensó que la nueva API podría ser útil en áreas donde un sitio necesita garantizar que hay una persona real y un dispositivo real en el otro lado, y que el navegador no se modifica ni se infecta con malware. La API se basa en la tecnología Play Integrity, ya utilizada en la plataforma Android para verificar que la solicitud se realiza desde una aplicación no modificada instalada desde el catálogo de Google Play y ejecutándose en un dispositivo Android genuino.
En cuanto a la API de integridad del entorno web, podría usarse para filtrar el tráfico de los bots al mostrar publicidad; combatir el spam enviado automáticamente y aumentar las calificaciones en las redes sociales; identificar manipulaciones al ver contenido protegido por derechos de autor; combatir a los tramposos y clientes falsos en los juegos en línea; identificar la creación de cuentas ficticias por parte de bots; contrarrestar los ataques de adivinación de contraseñas; protección contra phishing, implementada mediante malware que transmite resultados a sitios reales.
Para confirmar el entorno del navegador en el que se ejecuta el código JavaScript cargado, la API Web Environment Integrity propuso utilizar un token especial emitido por un autenticador externo (attester), que a su vez podría estar vinculado por una cadena de confianza con mecanismos de control de integridad. en la plataforma (por ejemplo, Google Play). El token se generó enviando una solicitud a un servidor de certificación de terceros, que, tras realizar determinadas comprobaciones, confirmó que el entorno del navegador no había sido modificado. Para la autenticación, se utilizaron extensiones EME (Encrypted Media Extensions), similares a las utilizadas en DRM para decodificar contenido multimedia protegido por derechos de autor. En teoría, EME es neutral en cuanto a proveedores, pero en la práctica tres implementaciones propietarias se han vuelto comunes: Google Widevine (usado en Chrome, Android y Firefox), Microsoft PlayReady (usado en Microsoft Edge y Windows) y Apple FairPlay (usado en Safari). y Productos Apple).
El intento de implementar la API en cuestión ha generado preocupaciones de que podría socavar la naturaleza abierta de la Web y conducir a una mayor dependencia de los usuarios de proveedores individuales, además de limitar significativamente la capacidad de utilizar navegadores alternativos y complicar la promoción de nuevos. navegadores al mercado. Como resultado, los usuarios podrían volverse dependientes de navegadores verificados lanzados oficialmente, sin los cuales perderían la capacidad de trabajar con algunos sitios web y servicios grandes.
Fuente: opennet.ru