Nakinig ang Google sa pagpuna at huminto sa pag-promote ng Web Environment Integrity API, inalis ang pang-eksperimentong pagpapatupad nito mula sa Chromium codebase at inilipat ang repositoryo ng detalye sa archive mode. Kasabay nito, nagpapatuloy ang mga eksperimento sa Android platform sa pagpapatupad ng katulad na API para sa pag-verify sa kapaligiran ng user - WebView Media Integrity, na nakaposisyon bilang extension batay sa Google Mobile Services (GMS). Nakasaad na ang WebView Media Integrity API ay limitado sa bahagi ng WebView at mga application na nauugnay sa pagproseso ng nilalamang multimedia, halimbawa, maaari itong magamit sa mga mobile application batay sa WebView para sa streaming audio at video. Walang mga planong magbigay ng access sa API na ito sa pamamagitan ng browser.
Ang Web Environment Integrity API ay idinisenyo upang bigyan ang mga may-ari ng site ng kakayahang matiyak na ang kapaligiran ng customer ay mapagkakatiwalaan sa mga tuntunin ng pagprotekta sa data ng user, paggalang sa intelektwal na ari-arian, at pakikipag-ugnayan sa isang tunay na tao. Naisip na ang bagong API ay maaaring maging kapaki-pakinabang sa mga lugar kung saan kailangang tiyakin ng isang site na mayroong isang tunay na tao at isang tunay na device sa kabilang panig, at na ang browser ay hindi nabago o nahawaan ng malware. Ang API ay batay sa teknolohiya ng Play Integrity, na ginagamit na sa Android platform para i-verify na ang kahilingan ay ginawa mula sa hindi binagong application na naka-install mula sa Google Play catalog at tumatakbo sa isang tunay na Android device.
Tulad ng para sa Web Environment Integrity API, maaari itong magamit upang i-filter ang trapiko mula sa mga bot kapag nagpapakita ng advertising; paglaban sa awtomatikong nagpadala ng spam at pagpapalakas ng mga rating sa mga social network; pagtukoy ng mga manipulasyon kapag tumitingin ng naka-copyright na nilalaman; paglaban sa mga manloloko at pekeng kliyente sa mga online games; pagtukoy sa paglikha ng mga fictitious account ng mga bot; kontrahin ang pag-atake sa paghula ng password; proteksyon laban sa phishing, ipinatupad gamit ang malware na nagbo-broadcast ng output sa mga totoong site.
Upang kumpirmahin ang kapaligiran ng browser kung saan isinasagawa ang na-load na JavaScript code, iminungkahi ng Web Environment Integrity API ang paggamit ng isang espesyal na token na inisyu ng isang third-party na authenticator (attester), na maaaring maiugnay ng isang chain of trust na may mga mekanismo ng kontrol sa integridad. sa platform (halimbawa, Google Play) . Ang token ay nabuo sa pamamagitan ng pagpapadala ng isang kahilingan sa isang third-party na server ng sertipikasyon, na, pagkatapos magsagawa ng ilang mga pagsusuri, nakumpirma na ang kapaligiran ng browser ay hindi nabago. Para sa pagpapatotoo, ginamit ang mga extension ng EME (Encrypted Media Extensions), katulad ng mga ginamit sa DRM para mag-decode ng naka-copyright na nilalaman ng media. Sa teorya, ang EME ay vendor-neutral, ngunit sa pagsasagawa, tatlong pagmamay-ari na pagpapatupad ang naging karaniwan: Google Widevine (ginamit sa Chrome, Android, at Firefox), Microsoft PlayReady (ginamit sa Microsoft Edge at Windows), at Apple FairPlay (ginamit sa Safari. at Mga Produktong Apple).
Ang pagtatangkang ipatupad ang API na pinag-uusapan ay humantong sa mga alalahanin na maaari nitong pahinain ang pagiging bukas ng Web at humantong sa pagtaas ng pagtitiwala ng mga user sa mga indibidwal na vendor, pati na rin ang makabuluhang limitasyon sa kakayahang gumamit ng mga alternatibong browser at gawing kumplikado ang pag-promote ng mga bagong mga browser sa merkado. Bilang resulta, maaaring umasa ang mga user sa mga na-verify na opisyal na inilabas na browser, kung wala ito mawawalan sila ng kakayahang magtrabaho sa ilang malalaking website at serbisyo.
Pinagmulan: opennet.ru