Alcuni mesi fa, Pablinux ha condiviso con noi qui una pubblicazione in cui ci ha spiegato in modo abbastanza semplice la Web Environment Integrity API, che descrive piacevolmente nel suo articolo con DRM per il Web e in tutto quel tempo gran parte della comunità web ha criticato questa API.
E sembra che adesso Google ha ascoltato le critiche della comunità e ha annunciato la notizia che ha preso la decisione di interrompere la promozione dell'API Web Environment Integrity, insieme al quale ha anche rimosso la sua implementazione sperimentale dal codice base di Chromium e spostato il repository delle specifiche in modalità archivio.
Come stail Il tentativo di implementare l'API in questione ha suscitato preoccupazioni in gran parte della comunità, poiché molti hanno affermato che se l'API venisse implementata potrebbe minare la natura aperta del Web e portare a una maggiore dipendenza degli utenti dai singoli fornitori, oltre a limitare significativamente la possibilità di utilizzare browser alternativi e complicare la promozione di nuovi browser sul mercato . Di conseguenza, gli utenti potrebbero diventare dipendenti da browser verificati rilasciati ufficialmente, senza i quali perderebbero la capacità di lavorare con alcuni siti Web e servizi di grandi dimensioni.
E sebbene inizialmente l'idea dell'API non fosse male, in quanto è stata progettata per dare ai proprietari dei siti la possibilità di garantire che l'ambiente del cliente sia affidabile in termini di protezione dei dati dell'utente, rispetto della proprietà intellettuale e interazione con una persona reale.
Si pensava che l'API potesse essere utilizzata per filtrare il traffico dai bot durante la visualizzazione della pubblicità; combattere lo spam inviato automaticamente e aumentare le valutazioni sui social network, Identificare le manomissioni durante la visualizzazione di contenuti protetti per il diritto d'autore, combattere gli imbroglioni e i falsi clienti nei giochi online, identificare la creazione di account fittizi da parte di bot, contrastare attacchi con password indovinata, protezione dal phishing, implementata attraverso malware che trasmette i risultati a siti reali.
La nuova API potrebbe essere utile in ambiti in cui un sito deve garantire la presenza di una persona reale e un dispositivo reale dall'altro e che il browser non sia modificato o infetto da malware. L'API si basa sulla tecnologia Play Integrity, già utilizzata sulla piattaforma Android per verificare che la richiesta provenga da un'applicazione non modificata, installata dal catalogo Google Play e in esecuzione su un dispositivo Android autentico.
Per confermare l'ambiente del browser in cui viene eseguito il codice JavaScript caricato, l'API Web Environment Integrit ha proposto di utilizzare un token speciale emesso da un autenticatore esterno, che a sua volta potrebbe essere collegato da una catena di fiducia con meccanismi di controllo dell'integrità sulla piattaforma. Il token è stato generato inviando una richiesta a un server di certificazione di terze parti, il quale, dopo aver effettuato alcuni controlli, ha confermato che l'ambiente del browser non era stato modificato. Per l'autenticazione, sono state utilizzate estensioni EME simili a quelle utilizzate in DRM per decodificare i contenuti multimediali protetti da copyright.
Il problema con l'API è che potrebbe diventare un problema a breve termine, Poiché, come accennato, la sua implementazione limita notevolmente la possibilità di utilizzare browser alternativi e in breve riporta Chrome/Chromium all'unico browser web con cui gli utenti possono lavorare. (praticamente un monopolio).
Si ricorda infine che se continuano gli esperimenti sulla piattaforma Android con l'implementazione di un'API simile Per controllare l'ambiente dell'utente: Integrità multimediale WebView, che si posiziona come un'estensione basata su Google Mobile Services. Si afferma che l'API WebView Media Integrity sarà limitata al componente WebView e alle applicazioni relative all'elaborazione dei contenuti multimediali; Ad esempio, può essere utilizzato in applicazioni mobili basate su WebView per lo streaming audio e video. Non è previsto l'accesso a questa API tramite un browser.
Se si interessato a saperne di più, puoi controllare i dettagli nel seguente link