Google je poslušao kritike i prestao promovirati Web Environment Integrity API, uklonio njegovu eksperimentalnu implementaciju iz Chromium kodne baze i premjestio repozitorij specifikacija u arhivski mod. Istodobno se nastavljaju eksperimenti na Android platformi s implementacijom sličnog API-ja za provjeru korisničkog okruženja - WebView Media Integrity, koji je pozicioniran kao ekstenzija temeljena na Google Mobile Services (GMS). Navedeno je da će WebView Media Integrity API biti ograničen na WebView komponentu i aplikacije vezane uz obradu multimedijskog sadržaja, na primjer, može se koristiti u mobilnim aplikacijama temeljenim na WebViewu za strujanje audio i video zapisa. Ne planira se omogućiti pristup ovom API-ju putem preglednika.
Web Environment Integrity API osmišljen je kako bi vlasnicima web-mjesta pružio mogućnost da osiguraju da je korisnikovo okruženje pouzdano u smislu zaštite korisničkih podataka, poštivanja intelektualnog vlasništva i interakcije sa stvarnom osobom. Smatralo se da bi novi API mogao biti koristan u područjima gdje web mjesto treba osigurati da se s druge strane nalaze stvarna osoba i stvarni uređaj, te da preglednik nije modificiran ili zaražen zlonamjernim softverom. API se temelji na tehnologiji Play Integrity, koja se već koristi u platformi Android za provjeru je li zahtjev napravljen od neizmijenjene aplikacije instalirane iz Google Play kataloga i pokrenute na originalnom Android uređaju.
Što se tiče API-ja za integritet web okruženja, mogao bi se koristiti za filtriranje prometa od botova prilikom prikazivanja oglasa; borba protiv automatski slanog spama i podizanje rejtinga na društvenim mrežama; prepoznavanje manipulacija prilikom gledanja sadržaja zaštićenog autorskim pravima; borba protiv varalica i lažnih klijenata u online igrama; identificiranje stvaranja fiktivnih računa od strane botova; suzbijanje napada pogađanjem lozinke; zaštita od krađe identiteta, implementirana pomoću zlonamjernog softvera koji emitira izlaz na stvarna mjesta.
Kako bi se potvrdilo okruženje preglednika u kojem se izvršava učitani JavaScript kod, API za integritet web okruženja predložio je korištenje posebnog tokena koji izdaje autentifikator treće strane (potvrđivač), koji bi zauzvrat mogao biti povezan lancem povjerenja s mehanizmima kontrole integriteta na platformi (na primjer, Google Play) . Token je generiran slanjem zahtjeva certifikacijskom poslužitelju treće strane, koji je nakon određenih provjera potvrdio da okruženje preglednika nije modificirano. Za provjeru autentičnosti korištena su proširenja EME (Encrypted Media Extensions), slična onima koja se koriste u DRM-u za dekodiranje medijskog sadržaja zaštićenog autorskim pravima. U teoriji, EME je neutralan prema dobavljaču, ali u praksi su tri vlasničke implementacije postale uobičajene: Google Widevine (koristi se u Chromeu, Androidu i Firefoxu), Microsoft PlayReady (koristi se u Microsoft Edgeu i Windowsima) i Apple FairPlay (koristi se u Safariju i Proizvodi Apple).
Pokušaj implementacije dotičnog API-ja doveo je do zabrinutosti da bi mogao potkopati otvorenu prirodu weba i dovesti do povećane ovisnosti korisnika o pojedinačnim dobavljačima, kao i značajno ograničiti mogućnost korištenja alternativnih preglednika i zakomplicirati promicanje novih preglednika na tržište. Kao rezultat toga, korisnici bi mogli postati ovisni o provjerenim službeno objavljenim preglednicima, bez kojih bi izgubili mogućnost rada s nekim velikim web stranicama i uslugama.
Izvor: opennet.ru