Koszmar Google „Web Integrity API” poszukuje strażnika DRM dla Web Ars Technica

Najnowszy standard sieciowy zaproponowany przez Google to… DRM? Internet o tym dowiedział się w weekend ta sugestia dla „interfejsu API integralności środowiska sieciowego”. wyjaśniający został napisany przez czterech pracowników Google, w tym co najmniej jednego z zespołu Chrome „Privacy Sandbox”, który odpowiada na śmierć śledzących plików cookie, budując platformę reklamową śledzącą użytkownika bezpośrednio w przeglądarce.

Wprowadzenie do Web Integrity API zaczyna się od stwierdzenia: „Użytkownicy często polegają na witrynach internetowych, aby ufać środowisku klienckiemu, w którym działają. To zaufanie może zakładać, że środowisko klienta jest uczciwe w pewnych aspektach, bezpiecznie chroni dane użytkowników i własność intelektualną oraz jest przejrzyste co do tego, czy korzysta z niego człowiek”.

Celem projektu jest lepsze poznanie osoby po drugiej stronie przeglądarki internetowej oraz upewnienie się, że nie jest to robot oraz że przeglądarka nie została zmodyfikowana lub zmanipulowana w sposób niezgodny z prawem. We wstępie stwierdza się, że dane te byłyby przydatne dla reklamodawców do lepszego liczenia wyświetleń reklam, powstrzymywania botów mediów społecznościowych, egzekwowania praw własności intelektualnej, powstrzymywania oszustw w grach internetowych i zwiększania bezpieczeństwa transakcji finansowych.

Być może najbardziej wymownym zdaniem tłumacza jest to, że „czerpie inspirację z istniejących rodzimych sygnałów potwierdzających, takich jak [Apple’s] Certyfikat aplikacji i [Android] Zagraj w Integrity APIPlay Integrity (wcześniej nazywany „SafetyNet”) to interfejs API Androida, który umożliwia aplikacjom sprawdzenie, czy Twoje urządzenie zostało zrootowane. Dostęp root daje pełną kontrolę nad zakupionym urządzeniem, a to jest coś, czego wielu twórców aplikacji nie lubi. Kiedy więc zrootujesz telefon z Androidem i otrzymasz raport z interfejsu Android Integrity API, kilka typów aplikacji po prostu nie chce się uruchomić. Zasadniczo mają zakaz korzystania z aplikacji bankowych, Portfela Google, gier online, Snapchata i niektórych aplikacji multimedialnych, takich jak Netflix. Ona mógł Możesz użyć uprawnień administratora do oszukiwania gier lub kradzieży informacji bankowych, ale możesz po prostu chcieć, aby root spersonalizował twoje urządzenie, usunął oprogramowanie typu crapware lub miał działający system kopii zapasowych. Play Integrity nie dba o to i w każdym przypadku zablokuje Ci dostęp do tych aplikacji. Google chce tego samego dla sieci.

Plan Google polega na tym, że podczas transakcji w witrynie serwer sieciowy może wymagać przejścia „testu środowiskowego” przed otrzymaniem jakichkolwiek danych. W tym momencie Twoja przeglądarka skontaktowałaby się z serwerem certyfikacji „strony trzeciej” i musiałbyś przejść jakiś test. Jeśli zdasz, otrzymasz podpisany „IntegrityToken” potwierdzający, że Twoje środowisko jest niezmienione i wskazujący na zawartość, którą próbowałeś odblokować. Przenosisz to z powrotem na serwer WWW, a jeśli serwer ufa firmie certyfikującej, zawartość jest odblokowana i ostatecznie otrzymujesz odpowiedź z żądanymi danymi.

Google lubi opisywać swoje interfejsy API w sposób ogólny, ale w rzeczywistości większość graczy w tym artykule to prawdopodobnie Google. Google może, ale nie musi, udostępniać witrynę internetową, Chrome będzie przeglądarką, a serwerem certyfikacji z pewnością będzie Google.

Dokument Google’a Pinky obiecuje, że firma nie wykorzysta tego do żadnego zła. Autorzy „mocno wierzą”, że API nie powinno być wykorzystywane do zbierania indywidualnych odcisków palców od osób fizycznych, ale chcą też „wskaźnika, który pozwala na ograniczenie prędkości na urządzeniu fizycznym”. W sekcji „Non-cele” projekt stwierdza, że ​​„nie chce psuć funkcjonalności przeglądarki, w tym wtyczek i rozszerzeń”. Jest to zawoalowany ukłon w stronę nieusuwania programów blokujących reklamy, chociaż projekt wymienia lepszą obsługę reklam jako jeden z celów. Chrome i tak ma już plan „zabijania blokowania reklam” (lub przynajmniej osłabiony plan blokowania reklam). Nazwany Manifest V3, zmieni sposób działania krytycznych interfejsów API rozszerzeń, czyniąc je mniej skutecznymi w modyfikowaniu zawartości strony internetowej. Google twierdzi również, że nie chce wykluczać innych dostawców ze swojego systemu DRM.

Google nie zrobił wiele, aby publicznie promować ten pomysł, a nawet dokumentacja jest przechowywana tylko na osobistym koncie GitHub pracownika, a nie w oficjalnym repozytorium Google. Najwcześniejsza sugestia, jaką możemy znaleźć, pochodzi z kwiecień 2022 r. W weekend zaktualizowana specyfikacja została opublikowana i wniosek został przyjęty Wiadomości hakerskie YouTuberzy zajmujących się naprawą urządzeń Ludwika Rossmana. To spowodowało, że internet natknął się na repozytoria Forum problemów z GitHubem i zacznij całkowicie fałszować google w odpowiedziach.

Wydanie nr 134 nazywa ten pomysł „absolutnie nieetycznym i sprzecznym z otwartą siecią”. Wydanie nr 113 mówią, że „nie mogą uwierzyć, że to w ogóle jest proponowane”. Wydanie nr 127 dodaje: „Czy kiedykolwiek myślałeś, że to ty jesteś złym człowiekiem?” Inny użytkownik napisał jastrych Napisany w całości szesnastkowo, który zaczyna się od „Śmierć faszystom” i życzy wszystkim zaangażowanym wybuchowej biegunki. Jak dotąd odbiór był… mieszany.

Jednak dokładna opinia reszty świata na ten temat niekoniecznie jest istotna. Google posiada najpopularniejszą na świecie przeglądarkę internetową, największą na świecie sieć reklamową, największą na świecie wyszukiwarkę, światową najbardziej popularny System operacyjny i niektóre z najpopularniejszych witryn internetowych na świecie. Google może więc naprawdę robić, co chce. Inne projekty, takie jak platforma reklamowa Chrome „Privacy Sandbox” i Manifest V3 ograniczający reklamy, zostały powszechnie odrzucone, ale Google popchnął projekty dalej. Wprowadzono kilka drobnych zmian i opóźnień w projekcie, ale Google idzie do przodu.

Na razie jest to tylko interfejs API „sugestii”, ale w maju Google udostępnił „Zamiar tworzenia prototypów” Pamiętaj, że ta funkcja jest w trakcie testowania wbudowanej w Chrome. Dostępna jest strona śledzenia rozwoju funkcji chromestatus.com. Skontaktowaliśmy się z Google w celu uzyskania komentarza i zaktualizujemy tę stronę, gdy coś zostanie wysłane.