La API propuesta tiene como finalidad el Ā«verificarĀ» la integridad del entorno en el que se ejecuta una pĆ”gina web
Hace pocos dĆas Google dio a conocer la noticia de la publicaciĆ³n del borrador de la especificaciĆ³n de integridad del entorno web, con el cual anuncia los trabajos que estĆ” realizando para incluir su implementaciĆ³n en el cĆ³digo base de Chromium y el motor Blink.
Sobre la API de integridad de entorno web, se menciona que esta tiene la finalidad de permitir a los propietarios de sitios asegurarse de que el entorno del cliente sea fiable en cuanto a la protecciĆ³n de los datos del usuario, el respeto de la propiedad intelectual y la interacciĆ³n con una persona real.
El anuncio del borrador de esta nueva API por parte de Google ha generado diversas discusiones durante las cuales surgieron preocupaciones de que la nueva API podrĆa socavar la naturaleza abierta de la Web, limitar severamente la capacidad de usar soluciones alternativas, dificultar la comercializaciĆ³n de nuevos navegadores y vincular a los usuarios a navegadores verificados y lanzados oficialmente, sin los cuales perderĆan la capacidad de trabajar con algunas de las principales aplicaciones, sitios y servicios web.
Esto es un grave problema, ya que se menciona que actualmente esto ya estĆ” sucediendo en los ecosistemas de Android e iOS, donde algunas aplicaciones, como Google Wallet, Snapchat y Netflix, usan las API Play Integrity y App Attesty para bloquear dispositivos rooteados que no tienen restricciones de fabricante y el usuario tiene acceso completo al sistema.
En particular, la API de Web Integrity se basa en la tecnologĆa Play Integrity que ya se usa en la plataforma Android para verificar que una solicitud se realiza desde una aplicaciĆ³n no modificada instalada desde el catĆ”logo de Google Play y ejecutada en un dispositivo Android genuino.
Para la autenticaciĆ³n, Web Integrity usa extensiones EME (Extensiones de medios cifrados), similares a las que se usan en DRM para decodificar contenido de medios con derechos de autor. En teorĆa, EME no estĆ” vinculado a proveedores individuales, pero en la prĆ”ctica han proliferado tres implementaciones propietarias: Google Widevine (usado en Chrome, Android y Firefox), Microsoft PlayReady (usado en Microsoft Edge y Windows) y Apple FairPlay (usado en Safari y Apple).
Para confirmar el entorno del navegador en el que se ejecuta el cĆ³digo descargado del sitio, se utiliza un token especial, emitido por un autenticador de terceros (attester), que a su vez puede conectarse mediante una cadena de confianza con mecanismos de control de integridad en el plataforma (por ejemplo, Google Play).
Y es que para lograr esto, se menciona que se obtiene un token con el cual el navegador envĆa una solicitud a un servidor de terceros que, despuĆ©s de realizar ciertas comprobaciones, confirma que el entorno del navegador no se ha modificado. Se supone que la nueva API tendrĆ” demanda en Ć”reas en las que el sitio necesita asegurarse de que en el otro lado hay una persona real y un dispositivo real, y el navegador no estĆ” modificado o infectado con malware.
Como ejemplos del uso de la nueva API, se menciona filtrar el trĆ”fico de los bots cuando se muestran anuncios, luchar contra el spam enviado automĆ”ticamente y las calificaciones de trampas en las redes sociales, la detecciĆ³n de manipulaciones al ver contenido con derechos de autor, la lucha contra los tramposos y los clientes falsos en los juegos en lĆnea, la detecciĆ³n de creaciĆ³n de cuentas ficticias por bots, resistencia a los ataques de adivinaciĆ³n de contraseƱas, protecciĆ³n contra el phishing, implementada mediante malware que difunde la salida a sitios reales.
Por su parte, cabe mencionar que los representantes de Mozilla se opusieron a agregar dichas API a los navegadores debido al temor de que la introducciĆ³n de la tecnologĆa conduzca a una mayor dependencia de los usuarios de los proveedores individuales y la apariciĆ³n de sitios que funcionan solo en ciertos navegadores, ya que puedo pueda generar un monopolio.
Finalmente si estƔs interesado en poder conocer mƔs al respecto, puedes consultar los detalles en el siguiente enlace.