Google a ascultat criticile și a încetat să promoveze API-ul Web Environment Integrity, a eliminat implementarea sa experimentală din baza de cod Chromium și a mutat depozitul de specificații în modul arhivă. În același timp, experimentele continuă pe platforma Android cu implementarea unui API similar pentru verificarea mediului utilizator - WebView Media Integrity, care este poziționat ca o extensie bazată pe Google Mobile Services (GMS). Se precizează că API-ul WebView Media Integrity va fi limitat la componenta WebView și la aplicațiile legate de procesarea conținutului multimedia, de exemplu, poate fi folosit în aplicații mobile bazate pe WebView pentru streaming audio și video. Nu există planuri de a oferi acces la acest API printr-un browser.
API-ul Web Environment Integrity a fost conceput pentru a oferi proprietarilor de site-uri capacitatea de a se asigura că mediul clientului este de încredere în ceea ce privește protejarea datelor utilizatorilor, respectarea proprietății intelectuale și interacțiunea cu o persoană reală. S-a crezut că noul API ar putea fi util în zonele în care un site trebuie să se asigure că există o persoană reală și un dispozitiv real pe cealaltă parte și că browserul nu este modificat sau infectat cu malware. API-ul se bazează pe tehnologia Play Integrity, deja folosită în platforma Android pentru a verifica dacă solicitarea este făcută dintr-o aplicație nemodificată instalată din catalogul Google Play și rulând pe un dispozitiv Android autentic.
În ceea ce privește API-ul Web Environment Integrity, acesta ar putea fi folosit pentru a filtra traficul de la roboți atunci când se afișează reclame; combaterea spamului trimis automat și creșterea ratingurilor pe rețelele sociale; identificarea manipulărilor la vizualizarea conținutului protejat prin drepturi de autor; combaterea trișorilor și a clienților falși în jocurile online; identificarea creării de conturi fictive de către roboți; contracararea atacurilor de ghicire a parolelor; protecție împotriva phishingului, implementată folosind programe malware care difuzează rezultate către site-uri reale.
Pentru a confirma mediul de browser în care este executat codul JavaScript încărcat, API-ul Web Environment Integrity a propus utilizarea unui token special emis de un autentificator terță parte (atestat), care, la rândul său, ar putea fi legat printr-un lanț de încredere cu mecanisme de control al integrității. în platformă (de exemplu, Google Play) . Tokenul a fost generat prin trimiterea unei cereri către un server de certificare terț, care, după efectuarea anumitor verificări, a confirmat că mediul browser nu a fost modificat. Pentru autentificare, s-au folosit extensii EME (Encrypted Media Extensions), similare cu cele utilizate în DRM pentru a decoda conținutul media protejat prin drepturi de autor. În teorie, EME este neutru din punct de vedere al furnizorului, dar în practică au devenit comune trei implementări proprietare: Google Widevine (utilizat în Chrome, Android și Firefox), Microsoft PlayReady (utilizat în Microsoft Edge și Windows) și Apple FairPlay (utilizat în Safari). și Produse Apple).
Încercarea de a implementa API-ul în cauză a condus la temeri că ar putea submina natura deschisă a Web-ului și ar putea duce la o dependență crescută a utilizatorilor de furnizori individuali, precum și să limiteze semnificativ capacitatea de a utiliza browsere alternative și să complice promovarea noilor browsere către piață. Drept urmare, utilizatorii ar putea deveni dependenți de browsere verificate lansate oficial, fără de care și-ar pierde capacitatea de a lucra cu unele site-uri web și servicii mari.
Sursa: opennet.ru