Google lyssnade på kritiken och slutade marknadsföra Web Environment Integrity API, tog bort dess experimentella implementering från Chromium-kodbasen och flyttade specifikationsförrådet till arkivläge. Samtidigt fortsätter experimenten på Android-plattformen med implementeringen av ett liknande API för att verifiera användarens miljö - WebView Media Integrity, som är positionerat som ett tillägg baserat på Google Mobile Services (GMS). Det anges att WebView Media Integrity API kommer att begränsas till WebView-komponenten och applikationer relaterade till bearbetning av multimediainnehåll, den kan till exempel användas i mobilapplikationer baserade på WebView för strömmande ljud och video. Det finns inga planer på att ge åtkomst till detta API via en webbläsare.
Web Environment Integrity API har utformats för att ge webbplatsägare möjligheten att säkerställa att kundens miljö är pålitlig när det gäller att skydda användardata, respektera immateriella rättigheter och interagera med en verklig person. Man trodde att det nya API:et skulle kunna vara användbart i områden där en webbplats måste säkerställa att det finns en riktig person och en riktig enhet på andra sidan, och att webbläsaren inte är modifierad eller infekterad med skadlig programvara. API:t är baserat på Play Integrity-teknik, som redan används i Android-plattformen för att verifiera att begäran är gjord från en omodifierad applikation installerad från Google Play-katalogen och som körs på en äkta Android-enhet.
När det gäller Web Environment Integrity API, kan det användas för att filtrera bort trafik från bots vid visning av reklam; bekämpa automatiskt skickad spam och öka betygen på sociala nätverk; identifiera manipulationer vid visning av upphovsrättsskyddat innehåll; bekämpa fuskare och falska klienter i onlinespel; identifiera skapandet av fiktiva konton av bots; motverka lösenordsgissningsattacker; skydd mot nätfiske, implementerat med skadlig programvara som sänder utdata till riktiga webbplatser.
För att bekräfta webbläsarmiljön i vilken den inlästa JavaScript-koden exekveras, föreslog Web Environment Integrity API att använda en speciell token som utfärdats av en tredje parts autentisering (attester), som i sin tur skulle kunna länkas samman av en kedja av förtroende med integritetskontrollmekanismer på plattformen (till exempel Google Play) . Tokenen genererades genom att skicka en begäran till en tredjepartscertifieringsserver, som efter att ha utfört vissa kontroller bekräftade att webbläsarmiljön inte modifierats. För autentisering användes EME-tillägg (Encrypted Media Extensions), liknande de som används i DRM för att avkoda upphovsrättsskyddat medieinnehåll. I teorin är EME leverantörsneutral, men i praktiken har tre proprietära implementeringar blivit vanliga: Google Widevine (används i Chrome, Android och Firefox), Microsoft PlayReady (används i Microsoft Edge och Windows) och Apple FairPlay (används i Safari). och produkter från Apple).
Försöket att implementera API:et i fråga har lett till farhågor om att det skulle kunna undergräva webbens öppna natur och leda till ökat beroende av användare av enskilda leverantörer, samt avsevärt begränsa möjligheten att använda alternativa webbläsare och komplicera marknadsföringen av nya webbläsare till marknaden. Som ett resultat kan användare bli beroende av verifierade officiellt släppta webbläsare, utan vilka de skulle förlora förmågan att arbeta med vissa stora webbplatser och tjänster.
Källa: opennet.ru