Web Environment Integrity от Google — катастрофа для Интернета?

Технарь · 29.07.2023, 20:38

Цитата:

Google предложил новый веб-стандарт под названием Web Environment Integrity, который может стать настоящей катастрофой для Интернета
Google опубликовал документацию в GitHub, в которой подробно описывается суть нового стандарта. Документ подчеркивает важность доверия к сайтам и клиентской среде, в которой они работают, то есть к браузеру и ОС, а также их методам защиты пользовательских данных, интеллектуальной собственности и т.д.

Основная цель Web Environment Integrity — предотвращение фальшивых взаимодействий на сайтах, например действий ботов. Google хочет помочь сайтам проверять, является ли посетитель их домена настоящим пользователем, а не роботом.

Согласно Google, данный вопрос стоит очень остро: пользователи беспокоятся о подлинности взаимодействий в соцсетях, например, о фальшивых активностях (лайках, комментариях), которые используются для продвижения новостей, публикаций, товаров и др. В документе отмечается, что содержание сайтов — это дорогостоящий процесс, и реклама помогает в этом, причем реклама предназначена для людей, а не для ботов. В документе также приводятся другие примеры, например кейс с игроками онлайн-игр, которые хотят знать, используют ли другие игроки на платформе легальное ПО, которое соблюдает правила игры. Это в основном касается античит-инструментов, предназначенных для предотвращения читерства и нарушения игрового опыта.

Google также разыгрывает карту безопасности, утверждая, что пользователи могут быть обмануты при установке вредоносных программ, имитирующих легитимные приложения, например банковское ПО, которое, может украсть данные пользователя, его личность или провести фишинговую атаку. Компания хочет предотвратить массовые попытки перехвата, массовое создание учетных записей, попытки угадывания паролей (password stuffing), а также обнаружить скомпрометированные устройства, на которых данные пользователя могут быть подвержены риску.

По мнению Google, эти проблемы можно предотвратить, проверив, пришел ли запрос (попытка доступа к сайту) от официального приложения или другого надежного ПО. Компания утверждает, что сайты должны различать доверенную и недоверенную среду (под средой в общем случае рассматривается браузер).
Стандарт Web Environment Integrity, похоже, задумывался как инструмент для борьбы с мошенничеством. Хотя на бумаге это звучит неплохо, примеры Google представляют собой рекламный ход продавца, который пытается представить свой продукт как нечто положительное, в то время как на самом деле он выгоден только им самим и их рекламодателям.

В документации приводятся нативные сигналы аттестации, такие как App Attest от Apple и Google Play Integrity API. Как отмечает Ars Technica, Play Integrity (ранее известный как SafetyNet) — это API в Android, который приложения могут использовать для проверки того, был ли телефон рутован или нет. В случае обнаружения «рута» API специальным образом пометит устройство, и приложения, использующие этот API, могут отказаться запускаться. Это довольно часто встречается в банковских приложениях, играх и некоторых приложениях потоковых сервисов. Эти приложения предполагают, что с помощью root-доступа пользователь может обманывать систему, выманивать банковские данные, мошенничать в играх и т.д. Google практически уничтожил пользовательские модификации, когда начал отмечать разблокированные загрузчики как угрозу безопасности.
Представьте, если это произойдет в Интернете. Это может сильно повлиять на развитие всего Веба.

Как может быть реализован Web Environment Integrity API?

Сайты смогут использовать Web Environment Integrity API для проверки подлинности посетителей. Когда пользователь пытается получить доступ к веб-странице, сайт запрашивает токен, удостоверяющий клиентское окружение. Сторонний сервер, выступающий в роли attester (удостоверитель), т.е. проверяющее устройство, на котором работает браузер/ОС, протестирует ваше устройство и подпишет токен (если устройство пройдет тест). Этот токен содержит аттестацию с закрытым ключом.

Публичный ключ от удостоверителя будет доступен всем желающим. Если ваш браузер/устройство прошло аттестацию, то он становится доверенной средой, а если не прошел проверку, то он рассматривается как недоверенная среда. Сервер аттестованного устройства возвращает токен на веб-страницу, на которой он находится, и веб-сервер проверяет, пришел ли токен от аттестованного устройства, которому он доверяет, проверяет токен и сверяет его подпись с открытым ключом. Если все прошло успешно, вы сможете получить доступ к сайту.

Другими словами, когда вы заходите на сайт, то сайт запрашивает у стороннего сервиса проверку целостности вашего компьютера или мобильного телефона, с которого осуществлялся доступ к сайту.
Теоретически, вместо ошибки 404 мы могли бы увидеть ошибку типа: «Вы не можете получить доступ к сайту, поскольку ваш браузер/устройство были модифицированы».

Почему внедрение Web Environment Integrity API должно вызывать беспокойство?

Web Environment Integrity API представляет собой разновидность DRM (Digital Rights Management). Технология лишает пользователя свободы выбора и может негативно повлиять на его конфиденциальность.
DRM в браузере — уже далеко не новинка, например технология Widevine от Google широко используется такими потоковыми сервисами, как Netflix, Amazon Prime и т.д., для защиты своих данных (от загрузки). Вы могли заметить, что попытка сделать снимок экрана на телефоне может привести к появлению пустого экрана, если видео защищено, это происходит потому, что DRM не позволяет записать носитель. Можно возразить, что в этом есть определенная логика, поскольку это платные сервисы, и они хотят помешать пользователям получить доступ к медиафайлам бесплатно.

Однако в случае с Web Environment Integrity API обычные сайты могут закрыть вам доступ просто потому, что вы используете браузер, который не был одобрен и признан безопасным. Вы не сможете просто изменить user-agent. Получается, что Web Environment Integrity API — это не DRM для сайтов, а некий безумный уровень контроля.
Если удостоверитель проверит ваш компьютер и браузер, сохранит данные в токене и отправит его на сайт, запросивший токен, не будет ли это считаться «цифровым отпечатком профиля»? В документе Google утверждается, что «полезная нагрузка при проверке будет включать только информацию о целостности устройства и приложения, поскольку удостоверители не будут иметь доступа к информации о профиле в приложениях». Согласитесь, сложно верить компании, которая зарабатывает на продаже рекламы.

В документации отмечается, что Web Environment Integrity будет зависеть только от базового программно-аппаратного стека. Она не будет ограничивать функциональность браузера, включая расширения.
Но есть серьезная проблема. Кто решает, какому браузеру доверять?

Сторонний удостоверитель, но кто его выбирает? Как компания может претендовать на эту роль? Никаких рекомендаций или правил на этот счет не существует, вероятно, потому, что предложение, размещенное на сайте Chromestatus, еще находится в стадии подготовки.
В примере в качестве удостоверителя рассматривается Google Play. Компания Google занимает значительное место на рынке смартфонов благодаря ОС Android и своему браузеру по умолчанию Chrome. Google также лидирует на рынке браузеров для настольных компьютеров.

Наделяет ли это Google Play полномочиями удостоверителя? Похоже, что
это так, именно Google будет решать, каким браузерам можно доверять, а каким нет.

А вы знали, что в компании Apple уже существует система аттестации? Она называется Private Access Tokens и поставляется вместе с Safari, iOS 16 и macOS 13 Ventura. В статье Тима Перри (Tim Perry) приводится подробный анализ того, почему аттестация браузеров — это не самая лучшая идея.

Судя по всему, предложение в значительной степени направлено в пользу рекламодателей, а не пользователей. Google активно борется с блокировщиками рекламы, и Manifest V3 может стать лишь вершиной айсберга, с помощью которого компания хочет получить контроль над Вебом.

Mozilla высказалась против Web Environment Integrity

Представитель Mozilla заявил, что организация выступает против Web Environment Integrity API. По его мнению, любые попытки ограничить выбор общепринятых веб-стандартов вредят экосистеме открытого Интернета. Также отмечается, что обнаружение машинного трафика может негативно сказаться на вспомогательных технологиях, автоматическом тестировании, архивировании и работе пауков поисковых систем. Соглашаясь с тем, что обнаружение мошенничества и недействительного трафика является проблемой, Mozilla утверждает, что Web Environment Integrity API не является решением этих проблем.

Vivaldi выступила с критикой API Web Environment Integrity

Компания Vivaldi опубликовала гораздо более жесткий ответ с критикой Web Environment Integrity. В нем ставится ряд вопросов, например, будет ли Microsoft удостоверителем в Windows Store? Будет ли Apple удостоверителем на Mac? В статье также высказываются предположения о том, как это может отразиться на пользователях Linux: станет ли Canonical, материнская компания Ubuntu, удостоверителем для всех дистрибутивов Linux?

Высказывается опасение, что производители браузеров не захотят внедрять API, поскольку они просто могут не пройти аттестацию.
Vivaldi отмечает, что законодательство Европейского Союза, скорее всего, не позволит нескольким компаниям диктовать, какие браузеры должны быть доверенными, а какие нет. Этот процесс будет медленным, а Google может поторопиться и начать внедрять API до того, как парламент примет решение. В интервью The Register Йон фон Течнер (Jon von Tetzchner), генеральный директор компании Vivaldi, осудил идею Google:

Цитата:

Большая часть причин, по которым существует эта проблема — это экономика наблюдения, а решение проблемы экономики наблюдения, похоже, заключается в усилении наблюдения.

Остается надеяться, что к борьбе против Web Environment Integrity API присоединятся и другие производители браузеров, такие как Brave, DuckDuckGo, Opera. У Apple уже есть свой метод аттестации, и вряд ли Microsoft будет его критиковать, если он поможет продвижению Edge.
В нынешнем формате Web Environment Integrity — это непристойная попытка затянуть петлю на свободе выбора и конфиденциальности пользователей.

Источник: comss.ru

Технарь · 29.07.2023, 20:44

Объясню коротко для тех кому многабукав: если у вас нелицензионная винда, то серфить в интернете у вас не получиться, исчезнут всякие варезные сайты и торренты, смотреть на халяву киношки и слушать музыку не получиться, то есть все придется покупать, интернет измениться до неузнаваемость - факт, это если в двух словах.
А принять, если не сегодня, то завтра они его примут по любому.

Fisher · 29.07.2023, 21:22

Геноцид в чистом виде.
Представляю как резко упадут их доходы.
Тогда и поржом.

Технарь · 29.07.2023, 21:23

Цитата:

Сообщение от Fisher

Геноцид в чистом виде.

Согласен...

Vitaly2023 · 30.07.2023, 16:30

Читаешь и диву даёшься, прям везде пестрит по тексту:

Цитата:

Сообщение от Технарь

Google предложил

Цитата:

Сообщение от Технарь

Google опубликовал

Цитата:

Сообщение от Технарь

Согласно Google

Цитата:

Сообщение от Технарь

По мнению Google,

Такое ощущение, что на просторах интернета зарождается чуть-ли не новая религия - "Всемогущий и вездесущий Google".
Вот только душок исходит от Google какой-то сектанский. Замахнулись ни много ни мало, на контроль интернета, ну-ну.

Цитата:

Сообщение от Технарь

А принять, если не сегодня, то завтра они его примут по любому.

Пока они его примут, я надеюсь, что уже найдутся средства, как его обойтить.
У нас-же как говорят - на крученую задницу есть кое-что с винтом.

Технарь · 30.07.2023, 16:46

Цитата:

Сообщение от Vitaly2023

Пока они его примут, я надеюсь, что уже найдутся средства, как его обойтить.

Да вряд ли.
Простой пример из моей жизни: пользователь пк и интернета я совсем молодой, мой первый выход в интернет был 01-02 году и за эти 20 лет интернет реально изменился, проще говоря, интернет совсем не такой, какой был даже какие то 10 лет назад (про 20 лет назад я вообще молчу) - в нем нет и близко такой свободы которая была раньше и ничего с этим ты не поделаешь, никакие обходные пути ты не найдешь, с принятием данного закона будет то же самое - никто ничего не сделает, просто интернет станет еще унылее и люди смирятся - факт.

Vitaly2023 · 30.07.2023, 17:03

У меня тоже самое, первый комп приобрёл в 98-м, первое знакомство с сетью было в 99-м, это локальная сеть ЖД транспорта, его называли тогда - "интернет в презервативе", а первый выход в глобальную сеть в 00-м.
Мы, как говорится - "не первый раз замужем", поэтому если не получится обойти, то приспособимся, как делали это уже не раз.))

Fisher · 30.07.2023, 17:08

Интересно как они будут проверять подлинность софта, если даже тот же микрософт глотает свои же откейгеные версии? Что уж говорить о менее именитых софтах?

Fisher · 30.07.2023, 17:13

Цитата:

Сообщение от Vitaly2023

зарождается чуть-ли не новая религия

Так и есть. Грядёт глобальная англосакская фашизация общества. Не многим странам удастся выстоять. Джордж Оруэлл ещё не раз в гробу перевернётся.

Vitaly2023 · 30.07.2023, 17:25

Может оказаться, что всё намного печальнее, чем кажется. Грядёт борьба между ит-гигантами за зоны влияния в глобальной сети, по типу - разделяй и властвуй, всё как в реальности. Есть вероятность, что вскоре придётся выбирать какую сеть использовать, как страну в которой живёшь. И прощай тогда свободный интернет.
Не здоровая кака-то канитель начинается.

29.07.2023, 21:22	#3 (permalink)
Fisher Member Регистрация: 09.01.2014 Адрес: Казань Сообщений: 6,172 Сказал(а) спасибо: 32 Поблагодарили 3 раз(а) в 2 сообщениях Репутация: 33698	Геноцид в чистом виде. Представляю как резко упадут их доходы. Тогда и поржом. __________________ Нешто я да не пойму? При моём-то при уму?.. Чай, не лаптем щи хлебаю! Сображаю, что к чему.

30.07.2023, 17:03	#7 (permalink)
Vitaly2023 Member Регистрация: 10.03.2023 Адрес: Тюмень. Родом с Казахстана. Сообщений: 401 Сказал(а) спасибо: 3 Поблагодарили 2 раз(а) в 2 сообщениях Репутация: 1762	У меня тоже самое, первый комп приобрёл в 98-м, первое знакомство с сетью было в 99-м, это локальная сеть ЖД транспорта, его называли тогда - "интернет в презервативе", а первый выход в глобальную сеть в 00-м. Мы, как говорится - "не первый раз замужем", поэтому если не получится обойти, то приспособимся, как делали это уже не раз.)) __________________ Кто понял жизнь, тот не спешит.

30.07.2023, 17:08	#8 (permalink)
Fisher Member Регистрация: 09.01.2014 Адрес: Казань Сообщений: 6,172 Сказал(а) спасибо: 32 Поблагодарили 3 раз(а) в 2 сообщениях Репутация: 33698	Интересно как они будут проверять подлинность софта, если даже тот же микрософт глотает свои же откейгеные версии? Что уж говорить о менее именитых софтах? __________________ Нешто я да не пойму? При моём-то при уму?.. Чай, не лаптем щи хлебаю! Сображаю, что к чему.

30.07.2023, 17:25	#10 (permalink)
Vitaly2023 Member Регистрация: 10.03.2023 Адрес: Тюмень. Родом с Казахстана. Сообщений: 401 Сказал(а) спасибо: 3 Поблагодарили 2 раз(а) в 2 сообщениях Репутация: 1762	Может оказаться, что всё намного печальнее, чем кажется. Грядёт борьба между ит-гигантами за зоны влияния в глобальной сети, по типу - разделяй и властвуй, всё как в реальности. Есть вероятность, что вскоре придётся выбирать какую сеть использовать, как страну в которой живёшь. И прощай тогда свободный интернет. Не здоровая кака-то канитель начинается. __________________ Кто понял жизнь, тот не спешит.

29.07.2023, 20:38
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Содержание вашей темы очень схоже с содержанием этих топиков Java Runtime Environment (JRE). Катастрофа случилась, люди!!! Java Runtime Environment A fatal error has been detected by the Java Runtime Environment

29.07.2023, 20:44	#2 (permalink)
Технарь Member Регистрация: 07.01.2008 Сообщений: 39,689 Сказал(а) спасибо: 783 Поблагодарили 834 раз(а) в 404 сообщениях Репутация: 124544	Объясню коротко для тех кому многабукав: если у вас нелицензионная винда, то серфить в интернете у вас не получиться, исчезнут всякие варезные сайты и торренты, смотреть на халяву киношки и слушать музыку не получиться, то есть все придется покупать, интернет измениться до неузнаваемость - факт, это если в двух словах. А принять, если не сегодня, то завтра они его примут по любому.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070