Google 聽取了批評意見,停止推廣 Web 環境完整性 API,從 Chromium 程式碼庫中刪除了其實驗性實現,並將規範儲存庫移至存檔模式。 同時,在Android平台上繼續進行實驗,實作了一個類似的API來驗證使用者的環境-WebView Media Integrity,它被定位為基於Google行動服務(GMS)的擴充。 據稱,WebView Media Integrity API將僅限於WebView元件和與多媒體內容處理相關的應用程序,例如,它可以用於基於WebView的行動應用程序,用於串流音訊和視訊。 目前還沒有計劃透過瀏覽器提供對此 API 的存取。
Web 環境完整性 API 旨在使網站所有者能夠確保客戶的環境在保護使用者資料、尊重智慧財產權以及與真人互動方面是值得信賴的。 人們認為,新的 API 在網站需要確保另一端有真實的人和真實的設備,並且瀏覽器未被修改或感染惡意軟體的領域可能會很有用。 該 API 基於 Play Integrity 技術,該技術已在 Android 平台中使用,用於驗證請求是否是從 Google Play 目錄中安裝並在正版 Android 裝置上運行的未經修改的應用程式發出的。
至於Web環境完整性API,可用於在展示廣告時過濾來自機器人的流量; 打擊自動發送的垃圾郵件並提高社群網路的評級; 在查看受版權保護的內容時識別操縱行為; 打擊網路遊戲中的作弊者和假客戶; 識別機器人創建的虛構帳戶; 對抗密碼猜測攻擊; 防止網路釣魚,使用將輸出廣播到真實網站的惡意軟體來實現。
為了確認執行載入的 JavaScript 程式碼的瀏覽器環境,Web 環境完整性 API 建議使用由第三方驗證者(證明者)頒發的特殊令牌,該令牌又可以透過具有完整性控制機制的信任鏈連結起來在平台(例如Google Play)中。 此令牌是透過向第三方認證伺服器發送請求而產生的,第三方認證伺服器在執行某些檢查後確認瀏覽器環境沒有被修改。 對於身份驗證,使用了 EME(加密媒體擴展)擴展,類似於 DRM 中用於解碼受版權保護的媒體內容的擴展。 理論上,EME 與供應商無關,但實際上有三種專有實作已變得常見:Google Widevine(用於Chrome、Android 和Firefox)、Microsoft PlayReady(用於Microsoft Edge 和Windows)和Apple FairPlay(用於Safari)和產品蘋果)。
實施相關API 的嘗試引發了人們的擔憂,即它可能會破壞網路的開放性,導致用戶對個別供應商的依賴增加,並嚴重限制使用替代瀏覽器的能力,並使新瀏覽器的推廣複雜化。瀏覽器推向市場。 因此,用戶可能會依賴經過驗證的官方發布的瀏覽器,否則他們將無法使用某些大型網站和服務。
來源: opennet.ru