Google удалил API Web Integrity, воспринятый как попытку продвижения подобия DRM для Web
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Google прислушалась к критике и прекратила продвижение API Web Environment Integrity, а также
удалила его экспериментальную реализацию из кодовой базы Chromium и перевела репозиторий со спецификацией в архивный режим. При этом на платформе Android продолжаются эксперименты c реализацией похожего API для верификации окружения пользователя - WebView Media Integrity, который позиционируется как расширение на базе сервисов Google Mobile Services (GMS). Утверждается, что API WebView Media Integrity ограничится компонентом WebView и применениями, связанными с обработкой мультимедийного контента, например, его можно будет использовать в мобильных приложениях на базе WebView для потокового вещания звука и видео. Предоставлять доступ к данному API через браузер не планируется.
API Web Environment Integrity был разработан для предоставления владельцам сайтов возможности удостовериться, что окружение клиента заслуживает доверия в плане защиты пользовательских данных, соблюдения интеллектуальной собственности и взаимодействия с реальным человеком. Предполагалось, что новый API мог оказаться востребован в областях, в которых сайту необходимо убедиться, что на другой стороне реальный человек и реальное устройство, а браузер не модифицирован и не поражён вредоносным ПО. API базируется на технологии Play Integrity, уже применяемой в платформе Android для подтверждения того, что запрос произведён из немодифицированного приложения, установленного из каталога Google Play и выполняемого на подлинном Android-устройстве.
Что касается API Web Environment Integrity, то он мог применяться для отсеивания трафика от ботов при показе рекламы; борьбы с автоматически рассылаемым спамом и накруткой рейтингов в социальных сетях; выявления манипуляций при просмотре защищённого авторскими правами контента; борьбы с читерами и фейковыми клиентами в online-играх; определения создания фиктивных учётных записей ботами; противостояния атакам по подбору паролей; защите от фишинга, реализуемого при помощи вредоносных программ, транслирующих вывод к реальным сайтам.
Для подтверждения браузерного окружения, в котором выполняется загружаемый JavaScript-код, в API Web Environment Integrityпредлагалось использовать специальный токен, выдаваемый сторонним удостоверителем (attester), который в свою очередь мог быть связан цепочкой доверия с механизмами контроля целостности в платформе (например, Google Play). Токен формировался через отправку запроса на сторонний сервер аттестации, который после выполнения определённых проверок подтверждал, что браузерное окружение не модифицировано. Для проверки подлинности использовались дополнения EME (Encrypted Media Extensions), похожие на те, что применяются в DRM для декодирования медиаконтента, защищённого авторскими правами. В теории EME не привязан к отдельным поставщикам, но на практике распространение получили три проприетарных реализации:
Google Widevine (используется в Chrome, Android и Firefox), Microsoft PlayReady (используется в Microsoft Edge и Windows) и Apple FairPlay (используется в Safari и в продуктах Apple).
Попытка внедрения рассматриваемого API привела к опасениям, что он может подорвать открытый характер Web и приведёт к усилению зависимости пользователей от отдельных поставщиков, а также существенно ограничит возможности по использованию альтернативных браузеров и усложнит продвижение новых браузеров на рынок. В итоге, пользователи могли быть поставлены в зависимость от верифицированных официально выпущенных браузеров, без использования которых терялась способность работы с некоторыми крупными web-сайтами и сервисами.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://android-developers.goo...)
- OpenNews: Google продвигает API Web Integrity, подрывающий открытый характер Web
- OpenNews: EFF считает, что замена отслеживающих Cookie на FLoC может привести к новым проблемам
- OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie
- OpenNews: Критика включения API Idle Detection в Chrome 94. Эксперименты с Rust в Chrome
- OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
Похожие новости:
- Разработчики Chrome и Firefox рассматривают возможность прекращения поддержки видеокодека Theora
- В Chrome планируют реализовать режим скрытия IP-адреса пользователя
- 0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8
- Google продлил до 10 лет время поддержи устройств на базе ChromeOS
- Обновление Firefox 117.0.1 с устранением уязвимости в WebP
- Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
- В Chrome 116 добавлен механизм инкапсуляции ключей, устойчивый к подбору на квантовых компьютерах
- В ChromeOS намечено разделение браузера и системного интерфейса
- Google продвигает API Web Integrity, подрывающий открытый характер Web
- Google предложил Device Memory TCP для сетевой передачи данных между устройствами
Теги для поиска: #_chrome, #_google
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 17:41
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания Google прислушалась к критике и прекратила продвижение API Web Environment Integrity, а также удалила его экспериментальную реализацию из кодовой базы Chromium и перевела репозиторий со спецификацией в архивный режим. При этом на платформе Android продолжаются эксперименты c реализацией похожего API для верификации окружения пользователя - WebView Media Integrity, который позиционируется как расширение на базе сервисов Google Mobile Services (GMS). Утверждается, что API WebView Media Integrity ограничится компонентом WebView и применениями, связанными с обработкой мультимедийного контента, например, его можно будет использовать в мобильных приложениях на базе WebView для потокового вещания звука и видео. Предоставлять доступ к данному API через браузер не планируется. API Web Environment Integrity был разработан для предоставления владельцам сайтов возможности удостовериться, что окружение клиента заслуживает доверия в плане защиты пользовательских данных, соблюдения интеллектуальной собственности и взаимодействия с реальным человеком. Предполагалось, что новый API мог оказаться востребован в областях, в которых сайту необходимо убедиться, что на другой стороне реальный человек и реальное устройство, а браузер не модифицирован и не поражён вредоносным ПО. API базируется на технологии Play Integrity, уже применяемой в платформе Android для подтверждения того, что запрос произведён из немодифицированного приложения, установленного из каталога Google Play и выполняемого на подлинном Android-устройстве. Что касается API Web Environment Integrity, то он мог применяться для отсеивания трафика от ботов при показе рекламы; борьбы с автоматически рассылаемым спамом и накруткой рейтингов в социальных сетях; выявления манипуляций при просмотре защищённого авторскими правами контента; борьбы с читерами и фейковыми клиентами в online-играх; определения создания фиктивных учётных записей ботами; противостояния атакам по подбору паролей; защите от фишинга, реализуемого при помощи вредоносных программ, транслирующих вывод к реальным сайтам. Для подтверждения браузерного окружения, в котором выполняется загружаемый JavaScript-код, в API Web Environment Integrityпредлагалось использовать специальный токен, выдаваемый сторонним удостоверителем (attester), который в свою очередь мог быть связан цепочкой доверия с механизмами контроля целостности в платформе (например, Google Play). Токен формировался через отправку запроса на сторонний сервер аттестации, который после выполнения определённых проверок подтверждал, что браузерное окружение не модифицировано. Для проверки подлинности использовались дополнения EME (Encrypted Media Extensions), похожие на те, что применяются в DRM для декодирования медиаконтента, защищённого авторскими правами. В теории EME не привязан к отдельным поставщикам, но на практике распространение получили три проприетарных реализации: Google Widevine (используется в Chrome, Android и Firefox), Microsoft PlayReady (используется в Microsoft Edge и Windows) и Apple FairPlay (используется в Safari и в продуктах Apple). Попытка внедрения рассматриваемого API привела к опасениям, что он может подорвать открытый характер Web и приведёт к усилению зависимости пользователей от отдельных поставщиков, а также существенно ограничит возможности по использованию альтернативных браузеров и усложнит продвижение новых браузеров на рынок. В итоге, пользователи могли быть поставлены в зависимость от верифицированных официально выпущенных браузеров, без использования которых терялась способность работы с некоторыми крупными web-сайтами и сервисами. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 17:41
Часовой пояс: UTC + 5