Google escoitou as críticas e deixou de promover a API de integridade do entorno web, eliminou a súa implementación experimental da base de código de Chromium e pasou o repositorio de especificacións ao modo de arquivo. Ao mesmo tempo, continúan os experimentos na plataforma Android coa implementación dunha API similar para verificar o contorno do usuario: WebView Media Integrity, que se posiciona como unha extensión baseada nos servizos móbiles de Google (GMS). Indícase que a API de WebView Media Integrity limitarase ao compoñente WebView e ás aplicacións relacionadas co procesamento de contidos multimedia, por exemplo, pódese utilizar en aplicacións móbiles baseadas en WebView para transmitir audio e vídeo. Non hai plans para proporcionar acceso a esta API a través dun navegador.
A API de integridade do entorno web foi deseñada para ofrecer aos propietarios dos sitios a capacidade de garantir que o ambiente do cliente sexa fiable en canto á protección dos datos dos usuarios, ao respecto da propiedade intelectual e á interacción cunha persoa real. Pensouse que a nova API podería ser útil en áreas nas que un sitio necesita garantir que hai unha persoa real e un dispositivo real no outro lado, e que o navegador non está modificado nin infectado con malware. A API baséase na tecnoloxía Play Integrity, que xa se utiliza na plataforma Android para verificar que a solicitude se realiza desde unha aplicación sen modificar instalada desde o catálogo de Google Play e que se executa nun dispositivo Android xenuíno.
En canto á API Web Environment Integrity, podería usarse para filtrar o tráfico dos bots ao mostrar publicidade; combater o spam enviado automaticamente e aumentar as valoracións nas redes sociais; identificando manipulacións ao ver contido protexido por copyright; loitando contra os tramposos e os clientes falsos nos xogos en liña; identificar a creación de contas ficticias por parte de bots; contrarrestar ataques de adiviñar contrasinal; protección contra o phishing, implementada mediante software malicioso que transmite a saída a sitios reais.
Para confirmar o contorno do navegador no que se executa o código JavaScript cargado, a API de Integridade do Ambiente Web propúxose utilizar un token especial emitido por un autenticador (atestador) de terceiros, que á súa vez podería estar ligado por unha cadea de confianza con mecanismos de control de integridade. na plataforma (por exemplo, Google Play). O token foi xerado enviando unha solicitude a un servidor de certificación de terceiros que, tras realizar determinadas comprobacións, confirmou que non se modificou o contorno do navegador. Para a autenticación, utilizáronse extensións EME (Encrypted Media Extensions), similares ás que se usan en DRM para decodificar contido multimedia protexido por copyright. En teoría, EME é neutral para provedores, pero na práctica son comúns tres implementacións propietarias: Google Widevine (utilizado en Chrome, Android e Firefox), Microsoft PlayReady (utilizado en Microsoft Edge e Windows) e Apple FairPlay (utilizado en Safari). e Produtos Apple).
O intento de implementar a API en cuestión provocou a preocupación de que poida socavar a natureza aberta da Web e levar a unha maior dependencia dos usuarios de provedores individuais, así como limitar significativamente a capacidade de usar navegadores alternativos e complicar a promoción de novos navegadores. navegadores para el mercado. Como resultado, os usuarios poderían depender de navegadores verificados oficialmente, sen os cales perderían a capacidade de traballar con algúns sitios web e servizos grandes.
Fonte: opennet.ru