Google опубликовала первоначальный вариант спецификации Web Environment Integrity, а также объявила, что планирует включить её реализацию в кодовую базу Chromium и движка Blink. API Web Environment Integrity предлагает механизмы проверки окружения посетителей ресурсов, в том числе в сфере защиты пользовательских данных, интеллектуальной собственности и отсеивания ботов.
Чтобы подтвердить браузерное окружение, применяется токен «IntegrityToken», который будет выдавать сторонний удостоверитель. Этот токен будет связан цепочкой доверия с механизмами контроля целостности платформы. Браузер будет отправлять запрос на сторонний сервер аттестации, чтобы проверить окружение.
В Google считают, что API позволит подтверждать реальность пользователя и устройства, а также, что браузер не модифицирован и не заражён вредоносным ПО.
В частности, он позволит отсеивать бот-трафик при показе рекламы, бороться с автоматически рассылаемым спамом и накруткой рейтингов в соцсетях, обнаруживать манипуляции при просмотре защищённого авторскими правами контента, противодействовать атакам по подбору паролей и защищать от фишинга.
В Mozilla уже выступили против добавления API в браузеры. Компания считает, что внедрение технологии усилит зависимость пользователей от отдельных поставщиков, а также приведёт к появлению сайтов, работающих только в отдельных браузерах. API Web Integrity базируется на технологии Play Integrity, которая уже применяется в платформе Android.
Кроме того, в Web Integrity используются дополнения Encrypted Media Extensions, напоминающие инструменты DRM для декодирования медиаконтента, защищённого авторскими правами. Самые распространённые EME связаны с Google Widevine (Chrome, Android и Firefox), Microsoft PlayReady (Microsoft Edge и Windows) и Apple FairPlay (Safari и продукты Apple).
Участники дискуссии считают, что API угрожает открытому характеру веб-пространства, а также усложнит продвижение новых браузеров на рынок и привяжет пользователей к верифицированным. Разработчики сами указывают, что «черпают вдохновение из существующих систем проверки, таких как App Attest от Apple и API Integrity Play для Android», которые позволяют приложениям узнать, рутировано ли устройство. Если это так, то пользователю закрывают доступ к ряду банковских приложений, Google Wallet, онлайн-играм, Snapchat и Netflix.
Пока документация размещена только в личной учётной записи GitHub сотрудника Google, а не в официальном репозитории. На днях он опубликовал обновлённую спецификацию.
В мае Google уже сообщила о «намерении создать прототип» API. Это означает, что компания встраивает функцию в Chrome для тестирования. На chromestatus.com доступна страница для отслеживания разработки.
Ранее Google решила отложить на неопределённый срок переход с системы расширений Manifest V2 на Manifest V3 из-за протеста разработчиков.
Сразу после выхода Manifest V3 раскритиковали, так как он ограничивал возможности блокировки контента по API webRequest, используемого блокировщиками рекламы вроде uBlock Origin и Ghostery. Однако в Google заявили, что такие расширения имели слишком широкий доступ к «потенциально конфиденциальным» данным пользователей.
«Фонд электронных рубежей» (EFF) призвал пользователей Google Chrome настороженно отнестись к Manifest V3, так как он только навредит конфиденциальности пользователей и производительности браузера.
Источник новости: habr.com