Компания Google прислушалась к критике и прекратила продвижение API Web Environment Integrity, а также удалила его экспериментальную реализацию из кодовой базы Chromium и перевела репозиторий со спецификацией в архивный режим. При этом на платформе Android продолжаются эксперименты c реализацией похожего API для верификации окружения пользователя — WebView Media Integrity, который позиционируется как расширение на базе сервисов Google Mobile Services (GMS). Утверждается, что API WebView Media Integrity ограничится компонентом WebView и применениями, связанными с обработкой мультимедийного контента, например, его можно будет использовать в мобильных приложениях на базе WebView для потокового вещания звука и видео. Предоставлять доступ к данному API через браузер не планируется.
API Web Environment Integrity был разработан для предоставления владельцам сайтов возможности удостовериться, что окружение клиента заслуживает доверия в плане защиты пользовательских данных, соблюдения интеллектуальной собственности и взаимодействия с реальным человеком. Предполагалось, что новый API мог оказаться востребован в областях, в которых сайту необходимо убедиться, что на другой стороне реальный человек и реальное устройство, а браузер не модифицирован и не поражён вредоносным ПО. API базируется на технологии Play Integrity, уже применяемой в платформе Android для подтверждения того, что запрос произведён из немодифицированного приложения, установленного из каталога Google Play и выполняемого на подлинном Android-устройстве.
Что касается API Web Environment Integrity, то он мог применяться для отсеивания трафика от ботов при показе рекламы; борьбы с автоматически рассылаемым спамом и накруткой рейтингов в социальных сетях; выявления манипуляций при просмотре защищённого авторскими правами контента; борьбы с читерами и фейковыми клиентами в online-играх; определения создания фиктивных учётных записей ботами; противостояния атакам по подбору паролей; защите от фишинга, реализуемого при помощи вредоносных программ, транслирующих вывод к реальным сайтам.
Для подтверждения браузерного окружения, в котором выполняется загружаемый JavaScript-код, в API Web Environment Integrityпредлагалось использовать специальный токен, выдаваемый сторонним удостоверителем (attester), который в свою очередь мог быть связан цепочкой доверия с механизмами контроля целостности в платформе (например, Google Play). Токен формировался через отправку запроса на сторонний сервер аттестации, который после выполнения определённых проверок подтверждал, что браузерное окружение не модифицировано. Для проверки подлинности использовались дополнения EME (Encrypted Media Extensions), похожие на те, что применяются в DRM для декодирования медиаконтента, защищённого авторскими правами. В теории EME не привязан к отдельным поставщикам, но на практике распространение получили три проприетарных реализации: Google Widevine (используется в Chrome, Android и Firefox), Microsoft PlayReady (используется в Microsoft Edge и Windows) и Apple FairPlay (используется в Safari и в продуктах Apple).
Попытка внедрения рассматриваемого API привела к опасениям, что он может подорвать открытый характер Web и приведёт к усилению зависимости пользователей от отдельных поставщиков, а также существенно ограничит возможности по использованию альтернативных браузеров и усложнит продвижение новых браузеров на рынок. В итоге, пользователи могли быть поставлены в зависимость от верифицированных официально выпущенных браузеров, без использования которых терялась способность работы с некоторыми крупными web-сайтами и сервисами.
Source: opennet.ru