O Google ouviu as críticas e parou de promover a API Web Environment Integrity, removeu sua implementação experimental da base de código do Chromium e moveu o repositório de especificações para o modo de arquivo. Ao mesmo tempo, continuam os experimentos na plataforma Android com a implementação de uma API semelhante para verificação do ambiente do usuário - WebView Media Integrity, que se posiciona como uma extensão baseada no Google Mobile Services (GMS). Afirma-se que a API WebView Media Integrity será limitada ao componente WebView e aplicações relacionadas ao processamento de conteúdo multimídia, por exemplo, pode ser utilizada em aplicações móveis baseadas em WebView para streaming de áudio e vídeo. Não há planos para fornecer acesso a esta API através de um navegador.
A API Web Environment Integrity foi projetada para fornecer aos proprietários de sites a capacidade de garantir que o ambiente do cliente seja confiável em termos de proteção de dados do usuário, respeito à propriedade intelectual e interação com uma pessoa real. Pensou-se que a nova API poderia ser útil em áreas onde um site precisa garantir que haja uma pessoa real e um dispositivo real do outro lado, e que o navegador não seja modificado ou infectado por malware. A API é baseada na tecnologia Play Integrity, já utilizada na plataforma Android para verificar se a solicitação é feita a partir de um aplicativo não modificado instalado do catálogo do Google Play e rodando em um dispositivo Android genuíno.
Quanto à API Web Environment Integrity, ela poderia ser usada para filtrar o tráfego de bots ao exibir publicidade; combate ao spam enviado automaticamente e aumento de audiência nas redes sociais; identificar manipulações ao visualizar conteúdo protegido por direitos autorais; combater trapaceiros e clientes falsos em jogos online; identificar a criação de contas fictícias por bots; combater ataques de adivinhação de senhas; proteção contra phishing, implementada por meio de malware que transmite resultados para sites reais.
Para confirmar o ambiente do navegador no qual o código JavaScript carregado é executado, a API Web Environment Integrity propôs o uso de um token especial emitido por um autenticador de terceiros (atestador), que por sua vez poderia ser vinculado por uma cadeia de confiança com mecanismos de controle de integridade na plataforma (por exemplo, Google Play). O token foi gerado através do envio de uma solicitação a um servidor de certificação terceirizado, que, após realizar algumas verificações, confirmou que o ambiente do navegador não foi modificado. Para autenticação, foram utilizadas extensões EME (Encrypted Media Extensions), semelhantes às usadas em DRM para decodificar conteúdo de mídia protegido por direitos autorais. Em teoria, o EME é neutro em termos de fornecedor, mas na prática três implementações proprietárias tornaram-se comuns: Google Widevine (usado no Chrome, Android e Firefox), Microsoft PlayReady (usado no Microsoft Edge e Windows) e Apple FairPlay (usado no Safari). e Produtos Apple).
A tentativa de implementar a API em questão suscitou preocupações de que poderia minar a natureza aberta da Web e levar a uma maior dependência dos utilizadores em relação a fornecedores individuais, bem como limitar significativamente a capacidade de utilização de navegadores alternativos e complicar a promoção de novos navegadores para o mercado. Como resultado, os usuários podem se tornar dependentes de navegadores verificados e lançados oficialmente, sem os quais perderiam a capacidade de trabalhar com alguns sites e serviços de grande porte.
Fonte: opennet.ru