Google 公佈 Web Integrity API 草案，Mozilla 反對 

提議的 API 旨在“驗證”網頁執行環境的完整性。

幾天前 谷歌爆料了草案發布的消息 從規範 網絡環境的完整性， 他在其中宣布了他正在做的工作，將其實現納入 Chromium 代碼庫和 Blink 引擎中。

關於API 網絡環境的完整性，提到它是a 旨在讓網站所有者確保環境 客戶端在保護用戶數據、尊重知識產權以及與真人互動方面是可靠的。

Google 公佈新 API 草案 引發了各種討論 在此期間，有人擔心新的美聯社我可能會破壞我們的開放性b、嚴重限制使用變通辦法的能力，使得將新瀏覽器推向市場變得更加困難，並將用戶鏈接到正式發布和驗證的瀏覽器，否則他們將失去使用某些主要應用程序、網站和網絡服務的能力。

此 這是一個嚴重的問題 既然提到了目前 這已經在 Android 和 iOS 生態系統中發生了， 其中一些應用程序（例如 Google 錢包、Snapchat 和 Netflix）使用 Play Integrity 和 App Attesty API 來阻止沒有製造商限制且用戶擁有完整系統訪問權限的 root 設備。

特別是，Web Integrity API 建立在 Android 平台上已使用的 Play Integrity 技術的基礎上，用於驗證請求是否來自從 Google Play 目錄安裝並在正版 Android 設備上運行的未經修改的應用程序。

對於身份驗證，Web Integrity 使用 EME 擴展（加密媒體擴展），類似於 DRM 中用於解密受版權保護的媒體內容的擴展。 理論上，EME 與個別供應商無關，但實際上三種專有實現已經激增：Google Widevine（用於 Chrome、Android 和 Firefox）、Microsoft PlayReady（用於 Microsoft Edge 和 Windows）和 Apple FairPlay（用於Safari）和蘋果）。

為了確認執行從站點下載的代碼的瀏覽器環境，需要使用由第三方驗證者（證明者）頒發的特殊令牌，該令牌又可以通過具有完整性檢查機制的信任鏈進行連接。平台（例如 Google Play）。

為了實現這一點，提到了獲取令牌，瀏覽器使用該令牌向第三方服務器發送請求，該第三方服務器在執行某些檢查後確認瀏覽器環境未被修改。 新的 API 應該會在網站需要確保對方有真人和真實設備，並且瀏覽器沒有被修改或感染惡意軟件的領域有需求。

作為例子 新 API 的使用， 提到了在展示廣告時過濾來自機器人的流量， 打擊社交媒體上自動發送的垃圾郵件和作弊評級，在查看受版權保護的內容時檢測篡改，打擊在線遊戲中的作弊者和虛假客戶，檢測機器人創建虛擬帳戶，抵抗密碼猜測攻擊，防止網絡釣魚，已實施通過將輸出傳播到真實站點的惡意軟件。

就他們而言，值得一提的是 Mozilla 反對 由於以下原因，將此類 API 添加到瀏覽器中 擔心技術的引入會導致更大的依賴 用戶 來自個體提供商 以及僅在某些瀏覽器中運行的網站的出現，因為我可以創造壟斷。

最後，如果您有興趣能夠了解更多，可以在 以下鏈接。