Google a écouté les critiques et a arrêté de promouvoir l'API Web Environment Integrity, a supprimé son implémentation expérimentale de la base de code Chromium et a déplacé le référentiel de spécifications en mode archive. Parallèlement, les expérimentations se poursuivent sur la plateforme Android avec la mise en place d'une API similaire de vérification de l'environnement de l'utilisateur - WebView Media Integrity, qui se positionne comme une extension basée sur Google Mobile Services (GMS). Il est indiqué que l'API WebView Media Integrity sera limitée au composant WebView et aux applications liées au traitement du contenu multimédia. Par exemple, elle pourra être utilisée dans des applications mobiles basées sur WebView pour le streaming audio et vidéo. Il n'est pas prévu de fournir l'accès à cette API via un navigateur.
L'API Web Environment Integrity a été conçue pour fournir aux propriétaires de sites la possibilité de garantir que l'environnement du client est digne de confiance en termes de protection des données utilisateur, de respect de la propriété intellectuelle et d'interaction avec une personne réelle. On a pensé que la nouvelle API pourrait être utile dans les domaines où un site doit s'assurer qu'il y a une vraie personne et un vrai appareil de l'autre côté, et que le navigateur n'est pas modifié ou infecté par des logiciels malveillants. L'API est basée sur la technologie Play Integrity, déjà utilisée dans la plateforme Android pour vérifier que la demande est effectuée à partir d'une application non modifiée installée à partir du catalogue Google Play et exécutée sur un véritable appareil Android.
Quant à l’API Web Environment Integrity, elle pourrait être utilisée pour filtrer le trafic des robots lors de l’affichage de publicités ; lutter contre les spams envoyés automatiquement et améliorer les notes sur les réseaux sociaux ; identifier les manipulations lors de la visualisation de contenus protégés par le droit d'auteur ; lutter contre les tricheurs et les faux clients dans les jeux en ligne ; identifier la création de comptes fictifs par des robots ; contrer les attaques par devinette de mot de passe ; protection contre le phishing, mise en œuvre à l'aide de logiciels malveillants qui diffusent la sortie vers des sites réels.
Pour confirmer l'environnement du navigateur dans lequel le code JavaScript chargé est exécuté, l'API Web Environment Integrity a proposé d'utiliser un jeton spécial émis par un authentificateur tiers (attester), qui à son tour pourrait être lié par une chaîne de confiance avec des mécanismes de contrôle d'intégrité. sur la plateforme (par exemple, Google Play) . Le jeton a été généré en envoyant une requête à un serveur de certification tiers qui, après avoir effectué certaines vérifications, a confirmé que l'environnement du navigateur n'avait pas été modifié. Pour l'authentification, des extensions EME (Encrypted Media Extensions) ont été utilisées, similaires à celles utilisées dans DRM pour décoder le contenu multimédia protégé par le droit d'auteur. En théorie, EME est indépendant du fournisseur, mais en pratique, trois implémentations propriétaires sont devenues courantes : Google Widevine (utilisé dans Chrome, Android et Firefox), Microsoft PlayReady (utilisé dans Microsoft Edge et Windows) et Apple FairPlay (utilisé dans Safari). et produits Apple).
La tentative de mise en œuvre de l'API en question a fait craindre qu'elle ne porte atteinte à la nature ouverte du Web et conduise à une dépendance accrue des utilisateurs à l'égard de fournisseurs individuels, ainsi qu'à limiter considérablement la possibilité d'utiliser des navigateurs alternatifs et à compliquer la promotion de nouveaux navigateurs sur le marché. En conséquence, les utilisateurs pourraient devenir dépendants de navigateurs officiellement vérifiés, sans lesquels ils perdraient la possibilité de travailler avec certains grands sites Web et services.
Source: opennet.ru