Google предложила новый веб-стандарт под названием Web Environment Integrity API, и по сути это DRM для Интернета. В предложении, подробно изложенном четырьмя Google штатных сотрудников (один из которых, Филипп Пфайффенбергер, также был частью первоначального предложения по GooglePrivacy Sandbox), в нем описывается, как WEI API сможет обеспечить «безопасность» Интернета.
Во введении предложения команда, стоящая за ним, заявляет следующее.
«Пользователи часто зависят от веб-сайтов, доверяющих клиентской среде, в которой они работают. Это доверие может предполагать, что клиентская среда честна в отношении определенных аспектов самой себя, обеспечивает безопасность пользовательских данных и интеллектуальной собственности и прозрачна в отношении того, использует ли ее человек. , Это доверие является основой открытого Интернета, критически важным для безопасности пользовательских данных и устойчивости бизнеса веб-сайта».
На практике это очень похоже на API SafetyNet (теперь замененный на Play Integrity) на смартфонах Android, который, по словам команды, является источником вдохновения. «Это объяснение черпает вдохновение из существующих собственных сигналов аттестации, таких как App Attest и Play Integrity API», — пишут они. Android Integrity API проверяет, что ваше устройство не имеет root-прав, независимо от того, для чего вы можете использовать этот root-доступ. Используете ли вы его для вмешательства в приложения или просто для модификации своего устройства, не имеет значения, так как API заявит, что ваше устройство не проходит эти проверки. В результате пользователи с root-доступом не могут использовать многие сервисы на своих смартфонах, даже если это делается исключительно по причинам настройки.
Другими словами, основной целью API WEI будет проверка того, что браузер не был взломан и что человек, использующий браузер, является реальным человеком.
В предложении описывается, как в этом случае будет работать подключение к веб-сайту, и требуется сторонний сервер аттестации, который, вероятно, будет принадлежать Google в этом случае. Ваш браузер запрашивает веб-страницу в обычном режиме, а затем требуется пройти тест, в котором для прохождения этого теста выдается проверенный «IntegrityToken», подтверждающий, что браузер не изменен и соответствует требованиям. Пока страница доверяет этому результату, вам будет предоставлен доступ к странице.
Прочитав предложение, авторы заявляют, что они «сильно убеждены» в необходимости включения идентификатора устройства, поскольку это позволит снимать отпечатки пальцев устройства. Однако в предложении на этот счет есть противоречия, например, предложение включить в них «индикатор, разрешающий ограничение скорости для физического устройства». Как это будет реализовано без снятия отпечатков пальцев устройства, неизвестно.
Это предложение несколько ускользнуло от внимания, и недавно им поделились на HackerNews после того, как оно было замечено на Google личный аккаунт сотрудника на GitHub. На самом деле, хотя Google вообще не привлек к этому внимания, уже готов прототип кода для будущей версии Chrome. И Mozilla, и Vivaldi раскритиковали это предложение, при этом Mozilla заявила, что «выступает против этого предложения, потому что оно противоречит нашим принципам и видению Интернета», а Вивальди назвал это предложение «опасным».
Предложение угрожает свободному и открытому Интернету несколькими способами, но один из самых больших вращается вокруг того факта, что если будет центральный сервер, который свидетельствует о том, можно ли доверять браузеру или нет, это означает, что все нестандартное будет не доверять. Другими словами, новым браузерам нельзя доверять, а устаревшее программное обеспечение больше не сможет получить доступ к большей части Интернета по истечении определенного периода времени. Учитывая, что он проверяет целостность браузера, он также может технически блокировать определенные расширения (например, Adblock), если Google должны были пойти по этому пути.
Мы обязательно будем следить GoogleПредложение Web Environment Integrity API от Web Environment Integrity API, несмотря на то, что оно уже вызвало споры, похоже, что компания, по крайней мере, идет полным ходом, создавая его прототип.