Il y a quelques mois, Pablinux partagé avec nous ici une publication dans laquelle il nous a expliqué de manière assez simple l'API Web Environment Integrity, qu'il décrit agréablement dans son article avec DRM pour le Web et pendant tout ce temps, une grande partie de la communauté Web a critiqué cette API.
Et il semble que maintenant Google a écouté les critiques de la communauté et a annoncé la nouvelle que a pris la décision de cesser de promouvoir l'API Web Environment Integrity, Parallèlement, il a également supprimé son implémentation expérimentale de la base de code Chromium et déplacé le référentiel de spécifications en mode archive.
Comment allez-vousl La tentative d'implémentation de l'API en question a suscité des inquiétudes chez une grande partie de la communauté, beaucoup ont mentionné que si l'API était mise en œuvre, elle pourrait porter atteinte à la nature ouverte du Web et conduire à une plus grande dépendance des utilisateurs à l'égard de fournisseurs individuels, en plus de limiter considérablement la possibilité d'utiliser des navigateurs alternatifs et de compliquer la promotion de nouveaux navigateurs sur le marché. . En conséquence, les utilisateurs pourraient devenir dépendants des navigateurs vérifiés officiellement publiés, sans lesquels ils perdraient la possibilité de travailler avec certains grands sites Web et services.
Et bien qu'au départ l'idée de l'API n'était pas mauvaise, car elle a été conçue pour donner aux propriétaires de sites la possibilité de garantir que l'environnement du client est fiable en termes de protection des données des utilisateurs, de respect de la propriété intellectuelle et d'interaction avec une personne réelle.
On pensait que l'API pourrait être utilisée pour filtrer le trafic des robots lors de l'affichage de publicités ; lutter contre les spams envoyés automatiquement et augmenter les notes sur les réseaux sociaux, Identifiez les falsifications lors de la visualisation de contenu protégé pour le droit d'auteur, lutter contre les tricheurs et les faux clients dans les jeux en ligne, identifier la création de comptes fictifs par des robots, contrer les attaques par devinette de mot de passe, protection contre le phishing, mise en œuvre via des logiciels malveillants qui transmettent les résultats à des sites réels.
La nouvelle API pourrait être utile dans les domaines où un site doit garantir qu'il existe une personne réelle et un appareil réel de l'autre côté, et que le navigateur n'est pas modifié ou infecté par un logiciel malveillant. L'API est basée sur la technologie Play Integrity, déjà utilisée sur la plateforme Android pour vérifier que la demande est effectuée à partir d'une application non modifiée installée à partir du catalogue Google Play et fonctionnant sur un véritable appareil Android.
Pour confirmer l'environnement du navigateur dans lequel le code JavaScript chargé est exécuté, l'API Web Environment Integrit a proposé d'utiliser un jeton spécial émis par un authentificateur externe, qui à son tour pourrait être lié par une chaîne de confiance avec des mécanismes de contrôle d'intégrité sur la plateforme. Le jeton a été généré en envoyant une requête à un serveur de certification tiers qui, après avoir effectué certaines vérifications, a confirmé que l'environnement du navigateur n'avait pas été modifié. Pour l'authentification, des extensions EME similaires à celles utilisées dans DRM ont été utilisées pour décoder le contenu multimédia protégé par le droit d'auteur.
Le problème avec l'API, c'est qu'elle pourrait devenir un problème à court terme, Puisque, comme mentionné, son implémentation limite considérablement la possibilité d'utiliser des navigateurs alternatifs et ramène en bref Chrome/Chromium au seul navigateur Web avec lequel les utilisateurs peuvent travailler. (essentiellement un monopole).
Enfin, il est mentionné que set les expérimentations se poursuivent sur la plateforme Android avec la mise en place d'une API similaire Pour vérifier l'environnement de l'utilisateur : Intégrité des médias WebView, qui se positionne comme une extension basée sur Google Mobile Services. Il est indiqué que l'API WebView Media Integrity sera limitée au composant WebView et aux applications liées au traitement du contenu multimédia ; Par exemple, il peut être utilisé dans des applications mobiles basées sur WebView pour le streaming audio et vidéo. Il n'est pas prévu de fournir l'accès à cette API via un navigateur.
Si vous intéressé à en savoir plus, vous pouvez vérifier les détails dans le lien suivant.