Google начала продвигать API Web Integrity, который работает по аналогии с DRM

Google опубликовала первоначальный вариант спецификации Web Environment Integrity, а также объявила, что планирует включить её реализацию в кодовую базу Chromium и движка Blink. API Web Environment Integrity предлагает механизмы проверки окружения посетителей ресурсов, в том числе в сфере защиты пользовательских данных, интеллектуальной собственности и отсеивания ботов.

9b5278fed12cc4bb02cc423c0cdc845b.jpg

Чтобы подтвердить браузерное окружение, применяется токен «IntegrityToken», который будет выдавать сторонний удостоверитель. Этот токен будет связан цепочкой доверия с механизмами контроля целостности платформы. Браузер будет отправлять запрос на сторонний сервер аттестации, чтобы проверить окружение. 

В Google считают, что API позволит подтверждать реальность пользователя и устройства, а также, что браузер не модифицирован и не заражён вредоносным ПО.

В частности, он позволит отсеивать бот-трафик при показе рекламы, бороться с автоматически рассылаемым спамом и накруткой рейтингов в соцсетях, обнаруживать манипуляции при просмотре защищённого авторскими правами контента, противодействовать атакам по подбору паролей и защищать от фишинга.

В Mozilla уже выступили против добавления API в браузеры. Компания считает, что внедрение технологии усилит зависимость пользователей от отдельных поставщиков, а также приведёт к появлению сайтов, работающих только в отдельных браузерах. API Web Integrity базируется на технологии Play Integrity, которая уже применяется в платформе Android.

Кроме того, в Web Integrity используются дополнения Encrypted Media Extensions, напоминающие инструменты DRM для декодирования медиаконтента, защищённого авторскими правами. Самые распространённые EME связаны с Google Widevine (Chrome, Android и Firefox), Microsoft PlayReady (Microsoft Edge и Windows) и Apple FairPlay (Safari и продукты Apple).

Участники дискуссии считают, что API угрожает открытому характеру веб-пространства, а также усложнит продвижение новых браузеров на рынок и привяжет пользователей к верифицированным. Разработчики сами указывают, что «черпают вдохновение из существующих систем проверки, таких как App Attest от Apple и API Integrity Play для Android», которые позволяют приложениям узнать, рутировано ли устройство. Если это так, то пользователю закрывают доступ к ряду банковских приложений, Google Wallet, онлайн-играм, Snapchat и Netflix. 

Пока документация размещена только в личной учётной записи GitHub сотрудника Google, а не в официальном репозитории. На днях он опубликовал обновлённую спецификацию.

В мае Google уже сообщила о «намерении создать прототип» API. Это означает, что компания встраивает функцию в Chrome для тестирования. На chromestatus.com доступна страница для отслеживания разработки. 

Ранее Google решила отложить на неопределённый срок переход с системы расширений Manifest V2 на Manifest V3 из-за протеста разработчиков.

Сразу после выхода Manifest V3 раскритиковали, так как он ограничивал возможности блокировки контента по API webRequest, используемого блокировщиками рекламы вроде uBlock Origin и Ghostery. Однако в Google заявили, что такие расширения имели слишком широкий доступ к «потенциально конфиденциальным» данным пользователей.

«Фонд электронных рубежей» (EFF) призвал пользователей Google Chrome настороженно отнестись к Manifest V3, так как он только навредит конфиденциальности пользователей и производительности браузера.

© Habrahabr.ru