Google хочет внедрить новый сетевой стандарт Web Integrity API для контроля безопасности, но экспертов идея не вдохновила
Это же Google — она обязательно злоупотребит возможностями.
Компания Google собирается предложить новый стандарт веба под названием Web Integrity API, который должен помочь сайтам блокировать клиентские приложения, изменяющие их код. Эксперты в области безопасности опасаются, что новый API фактически позволит Google и операторам сайтов действительно эффективно бороться с блокировщиками рекламы.
В описании проекта, который создавался силами четырёх инженеров Google, указывается следующее: «Пользователи часто зависят от сайтов, доверяющих клиентской среде, в которой они работают. Это доверие предполагает, что клиентская среда честна в отношении ряда аспектов собственной деятельности, обеспечивает безопасность пользовательских данных и интеллектуальной собственности, а также прозрачна в отношении того, использует ли её человек».
Эксперты опасаются, что основной целью проекта может стать желание узнать больше о пользователе, а также удостовериться, что он не робот, а его браузер не был модифицирован или подделан каким-либо образом.
Разработчики Web Integrity API уверяют, что их стандарт поможет бороться с ботами в социальных сетях, защитит право на интеллектуальную собственность, а также поспособствует повышению безопасности финансовых транзакций. Есть несколько базовых сценариев возможного применения нового API:
- обнаружение манипуляций в социальных сетях;
- обнаружение бот-трафика в рекламе для улучшения клиентского опыта и доступа к веб-контенту;
- обнаружение фишинговых кампаний;
- обнаружение попыток массового захвата или создания учетных записей;
- обнаружение масштабного читерства в веб-играх с поддельными клиентами;
- обнаружение скомпрометированных устройств, на которых пользовательские данные могут быть подвержены риску;
- обнаружение попыток захвата учетной записи путём подбора пароля.
По замыслу Google, во время транзакции веб-страницы веб-сервер может потребовать от пользователя пройти тест проверки его веб-среды, прежде чем ему будут предоставлены какие-либо данные. В этот момент браузер пользователя связывается со сторонним сервером, проводящим такую проверку, и пользователю предлагается пройти условный тест. В случае его успешного прохождения пользователь получает подписанный IntegrityToken, который подтверждает, что его веб-среда не модифицирована, и указывает на содержимое, которое пользователь хотел разблокировать. Затем пользователь передаёт этот токен обратно на веб-сервер, и если сервер доверяет компании, проводившей проверку, то содержимое разблокируется и владелец устройства получает ответ с запрашиваемой им веб-страницей.
