Компанія Google прислухалася до критики та припинила просування API Web Environment Integrity, а також видалила його експериментальну реалізацію з кодової бази Chromium та перевела репозиторій зі специфікацією до архівного режиму. При цьому на платформі Android продовжуються експерименти з реалізацією схожого API для верифікації оточення користувача - WebView Media Integrity, що позиціонується як розширення на базі сервісів Google Mobile Services (GMS). Стверджується, що API WebView Media Integrity обмежиться компонентом WebView та застосуваннями, пов'язаними з обробкою мультимедійного контенту, наприклад, його можна буде використовувати у мобільних програмах на базі WebView для потокового мовлення звуку та відео. Надавати доступ до цього API через браузер не планується.
API Web Environment Integrity був розроблений для надання власникам сайтів можливості переконатися, що оточення клієнта заслуговує на довіру в плані захисту даних, дотримання інтелектуальної власності та взаємодії з реальною людиною. Передбачалося, що новий API міг виявитися затребуваним в областях, в яких сайту необхідно переконатися, що на іншій стороні реальна людина і реальний пристрій, а браузер не модифікований і не вражений шкідливим програмним забезпеченням. API базується на технології Play Integrity, яка вже застосовується в платформі Android для підтвердження того, що запит зроблено з немодифікованої програми, встановленої з каталогу Google Play і виконуваного на справжньому Android-пристрої.
Що стосується API Web Environment Integrity, він міг застосовуватися для відсіювання трафіку від ботів при показі реклами; боротьби з спамом, що автоматично розсилається, і накруткою рейтингів у соціальних мережах; виявлення маніпуляцій під час перегляду захищеного авторськими правами контенту; боротьби з читерами та фейковими клієнтами в online-іграх; визначення створення фіктивних облікових записів ботами; протистояння атакам з підбору паролів; захист від фішингу, що реалізується за допомогою шкідливих програм, що транслюють виведення до реальних сайтів.
Для підтвердження браузерного оточення, в якому виконується JavaScript, що завантажується, в API Web Environment Integrity пропонувалося використовувати спеціальний токен, що видається стороннім посвідчувачем (attester), який у свою чергу міг бути пов'язаний ланцюжком довіри з механізмами контролю цілісності в платформі (наприклад, Google Play) . Токен формувався через відправлення запиту на сторонній сервер атестації, який після виконання певних перевірок підтверджував, що браузерне оточення не модифіковане. Для перевірки автентичності використовувалися доповнення EME (Encrypted Media Extensions), схожі на те, що застосовуються в DRM для декодування медіаконтенту, захищеного авторськими правами. Теоретично EME не прив'язаний до окремих постачальників, але на практиці поширення отримали три пропрієтарні реалізації: Google Widevine (використовується в Chrome, Android і Firefox), Microsoft PlayReady (використовується в Microsoft Edge і Windows) і Apple FairPlay (використовується в Safari та в продуктах Apple).
Спроба впровадження API призвела до побоювань, що він може підірвати відкритий характер Web і призведе до посилення залежності користувачів від окремих постачальників, а також суттєво обмежить можливості використання альтернативних браузерів і ускладнить просування нових браузерів на ринок. В результаті, користувачі могли бути поставлені в залежність від офіційно випущених браузерів, без використання яких втрачалася здатність роботи з деякими великими web-сайтами і сервісами.
Джерело: opennet.ru