A Google meghallgatta a kritikát, és leállította a Web Environment Integrity API népszerűsítését, eltávolította annak kísérleti megvalósítását a Chromium kódbázisból, és archiválási módba helyezte a specifikációs tárat. Ugyanakkor az Android platformon is folytatódnak a kísérletek egy hasonló API bevezetésével a felhasználói környezet ellenőrzésére - a WebView Media Integrity, amely a Google Mobile Services (GMS) alapú bővítményként van pozicionálva. Közölték, hogy a WebView Media Integrity API a WebView komponensre és a multimédiás tartalom feldolgozásával kapcsolatos alkalmazásokra korlátozódik, például a WebView alapú mobilalkalmazásokban használható hang és videó streamelésére. Nem terveznek hozzáférést biztosítani ehhez az API-hoz böngészőn keresztül.
A Web Environment Integrity API célja, hogy biztosítsa a webhelytulajdonosok számára annak biztosítását, hogy az ügyfél környezete megbízható legyen a felhasználói adatok védelme, a szellemi tulajdon tiszteletben tartása és a valós személlyel való interakció szempontjából. Úgy gondolták, hogy az új API hasznos lehet azokon a területeken, ahol az oldalnak biztosítania kell, hogy egy valódi személy és egy valódi eszköz legyen a másik oldalon, és a böngészőt ne módosítsák vagy fertőzzék meg kártevők. Az API a Play Integrity technológián alapul, amelyet az Android platformon már használnak annak ellenőrzésére, hogy a kérés a Google Play katalógusból telepített, és egy eredeti Android-eszközön futó változatlan alkalmazásból származik-e.
Ami a Web Environment Integrity API-t illeti, a reklámok megjelenítésekor a robotok forgalmának kiszűrésére használható; az automatikusan küldött spamek elleni küzdelem és a közösségi hálózatokon az értékelések növelése; manipulációk azonosítása szerzői joggal védett tartalom megtekintésekor; csalók és hamis ügyfelek elleni küzdelem online játékokban; a fiktív fiókok botok általi létrehozásának azonosítása; jelszókitaláló támadások leküzdése; adathalászat elleni védelem, amelyet olyan rosszindulatú programok segítségével valósítanak meg, amelyek valós webhelyekre sugározzák a kimenetet.
Annak ellenőrzésére, hogy a böngészőkörnyezetben, amelyben a betöltött JavaScript-kód végrehajtásra kerül, a Web Environment Integrity API egy harmadik féltől származó hitelesítő (tanúsító) által kiadott speciális token használatát javasolta, amelyet viszont egy bizalmi lánc köthet össze integritás-ellenőrző mechanizmusokkal. a platformon (például a Google Playen) . A tokent úgy hozták létre, hogy egy kérést küldtek egy harmadik fél hitelesítési szerverének, amely bizonyos ellenőrzések elvégzése után megerősítette, hogy a böngésző környezete nem módosult. A hitelesítéshez EME (Encrypted Media Extensions) kiterjesztéseket használtak, hasonlóan a DRM-ben használthoz a szerzői jog által védett médiatartalom dekódolására. Elméletileg az EME gyártósemleges, de a gyakorlatban három szabadalmaztatott megvalósítás vált általánossá: a Google Widevine (Chrome-ban, Android-ban és Firefoxban), Microsoft PlayReady (Microsoft Edge-ben és Windows-ban) és Apple FairPlay (Safariban használatos). és Apple termékek).
A szóban forgó API bevezetésére tett kísérlet aggodalomra adott okot, hogy alááshatja a web nyitott természetét, és a felhasználók fokozott függőségét eredményezheti az egyes szállítóktól, valamint jelentősen korlátozhatja az alternatív böngészők használatának lehetőségét, és megnehezítheti az új böngészők népszerűsítését. böngészők a piacra. Ennek eredményeként a felhasználók függővé válhatnak az ellenőrzött, hivatalosan kiadott böngészőktől, amelyek nélkül elveszítenék egyes nagy webhelyekkel és szolgáltatásokkal való együttműködés lehetőségét.
Forrás: opennet.ru