A API proposta tem como objetivo “verificar” a integridade do ambiente no qual uma página web é executada.
Alguns dias atrás O Google deu a notícia do rascunho da publicação da especificação integridade do ambiente web, com o qual ele anuncia o trabalho que está fazendo para incluir sua implementação na base de código Chromium e no mecanismo Blink.
Sobre a API de integridade do ambiente web, menciona-se que éa destina-se a permitir que os proprietários do site assegurem que o ambiente do cliente é confiável em termos de proteção dos dados do usuário, respeito pela propriedade intelectual e interação com uma pessoa real.
O anúncio do rascunho desta nova API pelo Google tem gerado várias discussões durante o qual foram levantadas preocupações de que o novo APEu poderia minar a natureza aberta do Nósb, limitando severamente a capacidade de usar soluções alternativas, dificultando a introdução de novos navegadores no mercado e vinculando os usuários a navegadores oficialmente lançados e verificados, sem os quais eles perderiam a capacidade de trabalhar com alguns dos principais aplicativos, sites e serviços da web.
Este É um problema sério já que é mencionado que atualmente isso já está acontecendo nos ecossistemas Android e iOS, onde alguns aplicativos, como Google Wallet, Snapchat e Netflix, usam as APIs Play Integrity e App Attesty para bloquear dispositivos rooteados que não têm restrições do fabricante e o usuário tem acesso total ao sistema.
Em particular, a Web Integrity API se baseia na tecnologia Play Integrity já usada na plataforma Android para verificar se uma solicitação é feita de um aplicativo não modificado instalado do catálogo do Google Play e executado em um dispositivo Android genuíno.
Para autenticação, o Web Integrity usa extensões EME (Encrypted Media Extensions), semelhantes às usadas em DRM para descriptografar conteúdo de mídia protegido por direitos autorais. Em teoria, o EME não está vinculado a fornecedores individuais, mas, na prática, três implementações proprietárias proliferaram: Google Widevine (usado no Chrome, Android e Firefox), Microsoft PlayReady (usado no Microsoft Edge e Windows) e Apple FairPlay (usado no Safari) e Apple).
Para confirmar o ambiente do navegador no qual o código baixado do site é executado, é utilizado um token especial, emitido por um autenticador de terceiros (attester), que por sua vez pode se conectar por meio de uma cadeia de confiança com mecanismos de verificação de integridade. plataforma (por exemplo, Google Play).
E é para conseguir isso, é mencionado que é obtido um token com o qual o navegador envia uma solicitação a um servidor de terceiros que, após realizar algumas verificações, confirma que o ambiente do navegador não foi modificado. A nova API deve ser solicitada em áreas onde o site precisa garantir que haja uma pessoa real e um dispositivo real do outro lado, e o navegador não seja modificado ou infectado por malware.
Como exemplos do uso da nova API, a filtragem do tráfego de bots ao exibir anúncios é mencionada, Luta contra spam enviado automaticamente e classificações de trapaça nas mídias sociais, Detecção de adulteração ao visualizar conteúdo protegido por direitos autorais, Luta contra trapaceiros e clientes falsos em jogos online, Detecção de criação de contas fictícias por bots, resistência a ataques de adivinhação de senha, proteção contra phishing, implementada por malware que espalha a saída para sites reais.
Por seu lado, vale mencionar que os representantes da A Mozilla se opôs adicionar essas APIs aos navegadores devido ao medo de que a introdução da tecnologia leve a uma maior dependência dos usuários de provedores individuais e o aparecimento de sites que funcionam apenas em determinados navegadores, pois posso criar um monopólio.
Por fim, se estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir