Hace algunos meses, Pablinux compartió aquí con nosotros una publicación en la cual nos explicaba de una forma bastante sencilla sobre la API Web Environment Integrity, la cual a agrades rasgos la describe en su artículo con DRM for the Web y durante todo ese tiempo gran parte de la comunidad web critico a esta API.
Y tal parece que ahora Google ha escuchado las críticas de la comunidad y ha dado a conocer la noticia que ha tomado la decisión de dejar promocionar la API Web Environment Integrity, junto con la cual también eliminó su implementación experimental del código base de Chromium y movió el repositorio de especificaciones al modo de archivo.
Como tal el intento de implementar la API en cuestión, género preocupaciones a gran parte de la comunidad, ya que muchos mencionaban que de ser implementada la API podría socavar la naturaleza abierta de la Web y conducir a una mayor dependencia de los usuarios de proveedores individuales, además de limitar significativamente la capacidad de utilizar navegadores alternativos y complicar la promoción de nuevos navegadores al mercado. Como resultado, los usuarios podrían volverse dependientes de navegadores verificados lanzados oficialmente, sin los cuales perderían la capacidad de trabajar con algunos sitios web y servicios grandes.
Y aunque de manera inicial la idea de la API, no era mala, ya que diseñada para brindar a los propietarios de sitios la capacidad de garantizar que el entorno del cliente sea confiable en términos de protección de los datos del usuario, respeto de la propiedad intelectual e interacción con una persona real.
Se pensó que la API podría usarse para filtrar el tráfico de los bots al mostrar publicidad; combatir el spam enviado automáticamente y aumentar las calificaciones en las redes sociales, identificar manipulaciones al ver contenido protegido por derechos de autor, combatir a los tramposos y clientes falsos en los juegos en línea, identificar la creación de cuentas ficticias por parte de bots, contrarrestar los ataques de adivinación de contraseñas, protección contra phishing, implementada mediante malware que transmite resultados a sitios reales.
La nueva API podría ser útil en áreas donde un sitio necesita garantizar que hay una persona real y un dispositivo real en el otro lado, y que el navegador no se modifica ni se infecta con malware. La API se basa en la tecnología Play Integrity, ya utilizada en la plataforma Android para verificar que la solicitud se realiza desde una aplicación no modificada instalada desde el catálogo de Google Play y ejecutándose en un dispositivo Android genuino.
Para confirmar el entorno del navegador en el que se ejecuta el código JavaScript cargado, la API Web Environment Integrit propuso utilizar un token especial emitido por un autenticador externo, que a su vez podría estar vinculado por una cadena de confianza con mecanismos de control de integridad en la plataforma . El token se generó enviando una solicitud a un servidor de certificación de terceros, que, tras realizar determinadas comprobaciones, confirmó que el entorno del navegador no había sido modificado. Para la autenticación, se utilizaron extensiones EME similares a las utilizadas en DRM para decodificar contenido multimedia protegido por derechos de autor.
El problema de la API es que esta podría convertirse en un problema a corto plazo, ya que como se mencionó, su implementación significativa limitar la capacidad de utilizar navegadores alternativos y en pocas palabras volver a Chrome/Chromium en el único navegador web con el cual los usuarios podrían trabajar (básicamente un monopolio).
Finalmente, se menciona que se continúan los experimentos en la plataforma Android con la implementación de una API similar para verificar el entorno del usuario: WebView Media Integrity, que se posiciona como una extensión basada en Google Mobile Services . Se afirma que la API WebView Media Integrity se limitará al componente WebView y a las aplicaciones relacionadas con el procesamiento de contenido multimedia; por ejemplo, se puede utilizar en aplicaciones móviles basadas en WebView para transmisión de audio y vídeo. No hay planes para proporcionar acceso a esta API a través de un navegador.
Si estás interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.