Google luisterde naar de kritiek en stopte met het promoten van de Web Environment Integrity API, verwijderde de experimentele implementatie ervan uit de Chromium-codebase en verplaatste de specificatieopslagplaats naar de archiefmodus. Tegelijkertijd gaan de experimenten door op het Android-platform met de implementatie van een vergelijkbare API voor het verifiëren van de gebruikersomgeving: WebView Media Integrity, die is gepositioneerd als een extensie op basis van Google Mobile Services (GMS). Er wordt gesteld dat de WebView Media Integrity API beperkt zal zijn tot de WebView-component en applicaties die verband houden met de verwerking van multimedia-inhoud. Het kan bijvoorbeeld worden gebruikt in mobiele applicaties op basis van WebView voor het streamen van audio en video. Er zijn geen plannen om via een browser toegang tot deze API te bieden.
De Web Environment Integrity API is ontworpen om site-eigenaren de mogelijkheid te bieden ervoor te zorgen dat de omgeving van de klant betrouwbaar is wat betreft het beschermen van gebruikersgegevens, het respecteren van intellectueel eigendom en de interactie met een echt persoon. Er werd gedacht dat de nieuwe API nuttig zou kunnen zijn op gebieden waar een site ervoor moet zorgen dat er een echte persoon en een echt apparaat aan de andere kant zijn, en dat de browser niet wordt aangepast of geïnfecteerd met malware. De API is gebaseerd op Play Integrity-technologie, die al op het Android-platform wordt gebruikt om te verifiëren dat het verzoek wordt gedaan vanuit een ongewijzigde applicatie die is geïnstalleerd vanuit de Google Play-catalogus en draait op een echt Android-apparaat.
Wat de Web Environment Integrity API betreft, deze zou kunnen worden gebruikt om verkeer van bots uit te filteren bij het weergeven van advertenties; het bestrijden van automatisch verzonden spam en het verhogen van de beoordelingen op sociale netwerken; het identificeren van manipulaties bij het bekijken van auteursrechtelijk beschermde inhoud; het bestrijden van valsspelers en valse klanten in online games; het identificeren van het aanmaken van fictieve accounts door bots; het tegengaan van aanvallen op het raden van wachtwoorden; bescherming tegen phishing, geïmplementeerd met behulp van malware die uitvoer naar echte sites uitzendt.
Om de browseromgeving te bevestigen waarin de geladen JavaScript-code wordt uitgevoerd, stelde de Web Environment Integrity API voor om een speciaal token te gebruiken dat is uitgegeven door een externe authenticator (attester), die op zijn beurt kan worden gekoppeld door een vertrouwensketen met mechanismen voor integriteitscontrole. op het platform (bijvoorbeeld Google Play). Het token werd gegenereerd door een verzoek te sturen naar een certificeringsserver van een derde partij, die na het uitvoeren van bepaalde controles bevestigde dat de browseromgeving niet was gewijzigd. Voor authenticatie werden EME-extensies (Encrypted Media Extensions) gebruikt, vergelijkbaar met die welke in DRM worden gebruikt om auteursrechtelijk beschermde media-inhoud te decoderen. In theorie is EME leveranciersneutraal, maar in de praktijk zijn drie propriëtaire implementaties gemeengoed geworden: Google Widevine (gebruikt in Chrome, Android en Firefox), Microsoft PlayReady (gebruikt in Microsoft Edge en Windows) en Apple FairPlay (gebruikt in Safari en producten Apple).
De poging om de API in kwestie te implementeren heeft geleid tot bezorgdheid dat deze het open karakter van het web zou kunnen ondermijnen en zou kunnen leiden tot een grotere afhankelijkheid van gebruikers van individuele leveranciers, en de mogelijkheid om alternatieve browsers te gebruiken aanzienlijk zou beperken en de promotie van nieuwe browsers zou kunnen bemoeilijken. browsers op de markt. Als gevolg hiervan zouden gebruikers afhankelijk kunnen worden van geverifieerde, officieel uitgebrachte browsers, zonder welke zij de mogelijkheid zouden verliezen om met een aantal grote websites en diensten te werken.
Bron: opennet.ru