Еще в июле стала известна работа Google над Web Integrity API, который многие приравнивали к DRM. Хотя он был прототипирован, он находился только на стадии предложения, и сегодня компания объявила, что не будет развивать предложенный API.
С помощью этого предложения Google хотела дать веб-сайтам возможность подтверждать подлинность пользователя и его устройства/браузера.
Пользователи часто зависят от того, что веб-сайты доверяют клиентской среде, в которой они работают. Это доверие может предполагать, что клиентская среда честна в отношении определенных аспектов себя, обеспечивает безопасность пользовательских данных и интеллектуальной собственности, а также прозрачно сообщает о том, используется ли она человеком.
Web Integrity API позволит веб-сайтам «запрашивать токен, который удостоверяет ключевые факты о среде, в которой работает их клиентский код». Это не сильно отличается от Play Integrity API (SafetyNet) на Android, который Google Wallet и другие банковские приложения используют для проверки того, что устройство не было подделано (рутировано).
Примеры вариантов использования, предложенные Google, включают:
- Выявление манипуляций в социальных сетях и поддельного взаимодействия.
- Выявление нечеловеческого трафика в рекламе для улучшения пользовательского опыта и доступа к веб-контенту.
- Выявление фишинговых кампаний (например, веб-представлений в вредоносных приложениях).
- Выявление попыток массового угона и массового создания учетных записей.
- Выявление масштабного мошенничества в веб-играх с использованием поддельных клиентов.
- Выявление скомпрометированных устройств, где пользовательские данные будут под угрозой.
- Выявление попыток захвата учетной записи путем идентификации угадывания паролей.
Люди выразили обеспокоенность по поводу того, как Web Integrity API привнесет DRM в открытый веб. Google «услышал ваши отзывы» и сообщил сегодня, что «предложение Web Environment Integrity больше не рассматривается командой Chrome».
Однако пилотируется новый Android WebView Media Integrity API, который «имеет узкую направленность и нацелен только на WebView, встроенные в приложения».
Он просто расширяет существующую функциональность на устройствах Android с Google Mobile Services (GMS), и нет никаких планов предлагать его за пределами встроенных медиа, таких как потоковое видео и аудио, или за пределами Android WebViews.
В контексте медиа, WebView могут использоваться для встраивания потокового видео и аудио в приложения для Android с расширенными параметрами конфигурации и настройкой пользовательского интерфейса. Однако это может быть использовано злоупотребления:
Это обеспечивает большую гибкость, но может использоваться как средство для мошенничества и злоупотреблений, поскольку позволяет разработчикам приложений получать доступ к веб-контенту, а также перехватывать или изменять взаимодействие пользователя с ним. Хотя это имеет свои преимущества, когда приложения встраивают собственный веб-контент, это не мешает злоумышленникам изменять контент и, как следствие, искажать его источник.
Новый Media Integrity API предоставляет «поставщикам встроенных медиа-файлов доступ к адаптированному ответу о целостности, который содержит вердикт о целостности устройства и приложения, чтобы они могли гарантировать, что их потоки работают в безопасной и доверенной среде, независимо от того, из какого магазина приложений было установлено встраиваемое приложение».
Что касается конфиденциальности, то никакие идентификаторы пользователей или устройств не передаются:
В отличие от приложений и игр, использующих Play Integrity API, поставщики медиа-контента не будут получать статус лицензирования приложения Play, и приложения также смогут исключить свое название пакета из вердикта, если они того пожелают. Наша цель для API — помочь поддержать процветающую и разнообразную экосистему медиа-контента в приложениях Android, и мы приглашаем поставщиков медиа-контента выразить свою заинтересованность в присоединении к программе раннего доступа в начале следующего года.