Google ha ascoltato le critiche e ha smesso di promuovere l'API Web Environment Integrity, ha rimosso la sua implementazione sperimentale dal codice base di Chromium e ha spostato il repository delle specifiche in modalità archivio. Allo stesso tempo, continuano gli esperimenti sulla piattaforma Android con l'implementazione di un'API simile per la verifica dell'ambiente dell'utente: WebView Media Integrity, che si posiziona come un'estensione basata su Google Mobile Services (GMS). Si afferma che l'API WebView Media Integrity sarà limitata al componente WebView e alle applicazioni relative all'elaborazione di contenuti multimediali, ad esempio potrà essere utilizzata nelle applicazioni mobili basate su WebView per lo streaming audio e video. Non è previsto l'accesso a questa API tramite un browser.
L'API Web Environment Integrity è stata progettata per fornire ai proprietari dei siti la possibilità di garantire che l'ambiente del cliente sia affidabile in termini di protezione dei dati dell'utente, rispetto della proprietà intellettuale e interazione con una persona reale. Si pensava che la nuova API potesse essere utile in aree in cui un sito deve garantire che dall'altra parte ci sia una persona reale e un dispositivo reale e che il browser non venga modificato o infettato da malware. L'API si basa sulla tecnologia Play Integrity, già utilizzata nella piattaforma Android per verificare che la richiesta provenga da un'applicazione non modificata installata dal catalogo Google Play e in esecuzione su un dispositivo Android autentico.
Per quanto riguarda l'API Web Environment Integrity, potrebbe essere utilizzata per filtrare il traffico dai bot durante la visualizzazione della pubblicità; combattere lo spam inviato automaticamente e aumentare le valutazioni sui social network; identificare manipolazioni durante la visualizzazione di contenuti protetti da copyright; lotta agli imbroglioni e ai clienti falsi nei giochi online; identificare la creazione di account fittizi da parte dei bot; contrastare gli attacchi che indovinano la password; protezione contro il phishing, implementata utilizzando malware che trasmette l'output a siti reali.
Per confermare l'ambiente del browser in cui viene eseguito il codice JavaScript caricato, la Web Environment Integrity API ha proposto di utilizzare uno speciale token emesso da un autenticatore di terze parti (gattester), che a sua volta potrebbe essere collegato da una catena di fiducia con meccanismi di controllo dell'integrità nella piattaforma (ad esempio, Google Play). Il token è stato generato inviando una richiesta a un server di certificazione di terze parti, il quale, dopo aver effettuato alcuni controlli, ha confermato che l'ambiente del browser non era stato modificato. Per l'autenticazione sono state utilizzate estensioni EME (Encrypted Media Extensions), simili a quelle utilizzate in DRM per decodificare i contenuti multimediali protetti da copyright. In teoria, EME è neutrale rispetto al fornitore, ma in pratica sono diventate comuni tre implementazioni proprietarie: Google Widevine (utilizzato in Chrome, Android e Firefox), Microsoft PlayReady (utilizzato in Microsoft Edge e Windows) e Apple FairPlay (utilizzato in Safari e Prodotti Apple).
Il tentativo di implementare l'API in questione ha fatto temere che essa possa minare la natura aperta del Web e portare ad una maggiore dipendenza degli utenti dai singoli fornitori, oltre a limitare significativamente la capacità di utilizzare browser alternativi e complicare la promozione di nuovi browser sul mercato. Di conseguenza, gli utenti potrebbero diventare dipendenti da browser verificati rilasciati ufficialmente, senza i quali perderebbero la capacità di lavorare con alcuni siti Web e servizi di grandi dimensioni.
Fonte: opennet.ru