Google lyttet til kritikken og sluttet å promotere Web Environment Integrity API, fjernet den eksperimentelle implementeringen fra Chromium-kodebasen og flyttet spesifikasjonslageret til arkivmodus. Samtidig fortsetter eksperimenter på Android-plattformen med implementering av en lignende API for å verifisere brukerens miljø - WebView Media Integrity, som er posisjonert som en utvidelse basert på Google Mobile Services (GMS). Det er opplyst at WebView Media Integrity API vil være begrenset til WebView-komponenten og applikasjoner knyttet til behandling av multimedieinnhold, for eksempel kan den brukes i mobilapplikasjoner basert på WebView for streaming av lyd og video. Det er ingen planer om å gi tilgang til denne API-en via en nettleser.
Web Environment Integrity API ble utviklet for å gi nettstedeiere muligheten til å sikre at kundens miljø er pålitelig når det gjelder å beskytte brukerdata, respektere åndsverk og samhandle med en ekte person. Man trodde at det nye API-et kunne være nyttig i områder der et nettsted må sikre at det er en ekte person og en ekte enhet på den andre siden, og at nettleseren ikke er modifisert eller infisert med skadelig programvare. API-en er basert på Play Integrity-teknologi, som allerede brukes i Android-plattformen for å bekrefte at forespørselen er laget fra en umodifisert applikasjon installert fra Google Play-katalogen og kjører på en ekte Android-enhet.
Når det gjelder Web Environment Integrity API, kan den brukes til å filtrere ut trafikk fra roboter når du viser reklame; bekjempe automatisk sendt spam og øke vurderinger på sosiale nettverk; identifisere manipulasjoner når du ser på opphavsrettsbeskyttet innhold; bekjempe juksemakere og falske klienter i nettspill; identifisere opprettelsen av fiktive kontoer av roboter; motvirke passord gjette angrep; beskyttelse mot phishing, implementert ved hjelp av skadelig programvare som kringkaster utdata til ekte nettsteder.
For å bekrefte nettlesermiljøet der den innlastede JavaScript-koden kjøres, foreslo Web Environment Integrity API å bruke et spesielt token utstedt av en tredjeparts autentisering (attester), som igjen kan kobles sammen av en tillitskjede med integritetskontrollmekanismer i plattformen (for eksempel Google Play) . Tokenet ble generert ved å sende en forespørsel til en tredjeparts sertifiseringsserver, som, etter å ha utført visse kontroller, bekreftet at nettlesermiljøet ikke ble endret. For autentisering ble EME (Encrypted Media Extensions) utvidelser brukt, lik de som brukes i DRM for å dekode opphavsrettsbeskyttet medieinnhold. I teorien er EME leverandørnøytral, men i praksis har tre proprietære implementeringer blitt vanlige: Google Widevine (brukt i Chrome, Android og Firefox), Microsoft PlayReady (brukt i Microsoft Edge og Windows), og Apple FairPlay (brukt i Safari) og produkter fra Apple).
Forsøket på å implementere det aktuelle API-et har ført til bekymring for at det kan undergrave den åpne naturen til nettet og føre til økt avhengighet av brukere av individuelle leverandører, samt betydelig begrense muligheten til å bruke alternative nettlesere og komplisere markedsføringen av nye nettlesere til markedet. Som et resultat kan brukere bli avhengige av verifiserte offisielt utgitte nettlesere, uten hvilke de ville miste muligheten til å jobbe med noen store nettsteder og tjenester.
Kilde: opennet.ru