Google wysłuchał krytyki i zaprzestał promowania interfejsu Web Environment Integrity API, usunął jego eksperymentalną implementację z bazy kodu Chromium i przeniósł repozytorium specyfikacji do trybu archiwum. Jednocześnie kontynuowane są eksperymenty na platformie Android z wdrożeniem podobnego API do weryfikacji środowiska użytkownika - WebView Media Integrity, które jest pozycjonowane jako rozszerzenie oparte na Google Mobile Services (GMS). Stwierdzono, że WebView Media Integrity API będzie ograniczone do komponentu WebView i aplikacji związanych z przetwarzaniem treści multimedialnych, np. będzie można go wykorzystać w aplikacjach mobilnych opartych na WebView do strumieniowego przesyłania audio i wideo. Nie ma planów zapewnienia dostępu do tego API poprzez przeglądarkę.
Interfejs Web Environment Integrity API został zaprojektowany, aby zapewnić właścicielom witryn możliwość zapewnienia, że środowisko klienta jest godne zaufania pod względem ochrony danych użytkownika, poszanowania własności intelektualnej i interakcji z prawdziwą osobą. Uważano, że nowe API może być przydatne w obszarach, w których witryna musi mieć pewność, że po drugiej stronie znajduje się prawdziwa osoba i prawdziwe urządzenie, a przeglądarka nie jest modyfikowana ani zainfekowana złośliwym oprogramowaniem. API opiera się na technologii Play Integrity, stosowanej już na platformie Android w celu sprawdzenia, czy żądanie pochodzi z niezmodyfikowanej aplikacji zainstalowanej z katalogu Google Play i działającej na oryginalnym urządzeniu z Androidem.
Jeśli chodzi o interfejs Web Environment Integrity API, można go wykorzystać do filtrowania ruchu pochodzącego od botów podczas wyświetlania reklam; zwalczanie automatycznie wysyłanego spamu i zwiększanie ocen w sieciach społecznościowych; identyfikowanie manipulacji podczas przeglądania treści chronionych prawem autorskim; zwalczanie oszustów i fałszywych klientów w grach online; identyfikowanie tworzenia fikcyjnych kont przez boty; przeciwdziałanie atakom polegającym na zgadywaniu haseł; ochrona przed phishingiem, realizowana przy użyciu złośliwego oprogramowania, które rozsyła dane wyjściowe do prawdziwych witryn.
Aby potwierdzić środowisko przeglądarki, w którym wykonywany jest załadowany kod JavaScript, w interfejsie Web Environment Integrity API zaproponowano użycie specjalnego tokena wydawanego przez zewnętrzny podmiot uwierzytelniający (atestujący), który z kolei mógłby być powiązany łańcuchem zaufania z mechanizmami kontroli integralności na platformie (na przykład Google Play). Token został wygenerowany poprzez wysłanie żądania do zewnętrznego serwera certyfikującego, który po przeprowadzeniu odpowiednich kontroli potwierdził, że środowisko przeglądarki nie zostało zmodyfikowane. Do uwierzytelnienia wykorzystano rozszerzenia EME (Encrypted Media Extensions), podobne do tych używanych w DRM do dekodowania treści multimedialnych chronionych prawem autorskim. Teoretycznie EME jest neutralne w stosunku do dostawcy, ale w praktyce powszechne stały się trzy zastrzeżone implementacje: Google Widevine (używany w przeglądarkach Chrome, Android i Firefox), Microsoft PlayReady (używany w Microsoft Edge i Windows) oraz Apple FairPlay (używany w przeglądarce Safari i produkty Apple).
Próba wdrożenia przedmiotowego API wzbudziła obawy, że może ono podważyć otwarty charakter sieci i doprowadzić do zwiększonego uzależnienia użytkowników od poszczególnych dostawców, a także znacząco ograniczyć możliwość korzystania z alternatywnych przeglądarek i skomplikować promocję nowych przeglądarki na rynek. W rezultacie użytkownicy mogliby uzależnić się od zweryfikowanych, oficjalnie wydanych przeglądarek, bez których straciliby możliwość pracy z niektórymi dużymi witrynami i usługami.
Źródło: opennet.ru