Google 听取了批评意见,停止推广 Web 环境完整性 API,从 Chromium 代码库中删除了其实验性实现,并将规范存储库移至存档模式。 与此同时,在Android平台上继续进行实验,实现了一个类似的API来验证用户的环境——WebView Media Integrity,它被定位为基于Google移动服务(GMS)的扩展。 据称,WebView Media Integrity API将仅限于WebView组件和与多媒体内容处理相关的应用程序,例如,它可以用于基于WebView的移动应用程序,用于流式传输音频和视频。 目前还没有计划通过浏览器提供对此 API 的访问。
Web 环境完整性 API 旨在使网站所有者能够确保客户的环境在保护用户数据、尊重知识产权以及与真人交互方面是值得信赖的。 人们认为,新的 API 在网站需要确保另一端有真实的人和真实的设备,并且浏览器未被修改或感染恶意软件的领域可能很有用。 该 API 基于 Play Integrity 技术,该技术已在 Android 平台中使用,用于验证请求是否来自从 Google Play 目录安装并在正版 Android 设备上运行的未经修改的应用程序。
至于Web环境完整性API,可用于在展示广告时过滤来自机器人的流量; 打击自动发送的垃圾邮件并提高社交网络的评级; 在查看受版权保护的内容时识别操纵行为; 打击网络游戏中的作弊者和假冒客户; 识别机器人创建的虚构账户; 对抗密码猜测攻击; 防止网络钓鱼,使用将输出广播到真实站点的恶意软件来实现。
为了确认执行加载的 JavaScript 代码的浏览器环境,Web 环境完整性 API 建议使用由第三方验证者(证明者)颁发的特殊令牌,该令牌又可以通过具有完整性控制机制的信任链链接起来在平台(例如 Google Play)中。 该令牌是通过向第三方认证服务器发送请求而生成的,第三方认证服务器在执行某些检查后确认浏览器环境没有被修改。 对于身份验证,使用了 EME(加密媒体扩展)扩展,类似于 DRM 中用于解码受版权保护的媒体内容的扩展。 理论上,EME 与供应商无关,但实际上三种专有实现已变得常见:Google Widevine(用于 Chrome、Android 和 Firefox)、Microsoft PlayReady(用于 Microsoft Edge 和 Windows)和 Apple FairPlay(用于 Safari)和产品苹果)。
实施相关 API 的尝试引发了人们的担忧,即它可能会破坏网络的开放性,导致用户对个别供应商的依赖增加,并严重限制使用替代浏览器的能力,并使新浏览器的推广复杂化。浏览器推向市场。 因此,用户可能会依赖经过验证的官方发布的浏览器,否则他们将无法使用某些大型网站和服务。
来源: opennet.ru