Конец Integrity API: почему Google решила отказаться от новой технологии для борьбы с мошенниками?

Google прекращает разработку API для поддержания целостности веб-среды ( Web Environment Integrity API ), проекта, вызвавшего много споров среди специалистов по кибербезопасности и борцов за права интернет-пользователей. Инициатива, представленная в мае этого года, задумывалась как средство борьбы с мошенничеством. Она предусматривала механизм аутентификации веб-клиентов через криптографические токены.

WEI API позволил бы серверам автоматически проверять подлинность устройств и программного обеспечения. Однако, по мнению экспертов, крайне высок риск злоупотребления этой функцией: она могла бы существенно ограничить свободу пользователей в интернете.

Специалисты по кибербезопасности указывают на схожесть технологии с «системами управления цифровыми правами» (Digital Rights Management, DRM), которые помогают администраторам веб-ресурсов контролировать доступ к своему контенту. WEI API может быть использован для блокировки клиентов с определёнными настройками браузера, например, с установленными рекламными фильтрами или программами для скачивания видео.

У Google есть два похожих сервиса с более узкой сферой применения: Play Integrity API для защиты приложений в Google Play и Firebase App Check, поддерживающий безопасность в экосистеме Firebase. YouTube, принадлежащий Google, с недавнего времени проверяет браузеры на наличие расширений для блокировки рекламы. Это тоже форма аттестации, только здесь проверка касается не криптографических токенов.

Компания планировала разработать прототип WEI API в рамках Chromium — открытого исходного кода, на базе которого работает Chrome, а также Edge, Brave, Vivaldi и ряд других браузеров, за исключением Firefox и Safari.

Однако после публикации технических деталей в июле разработчики столкнулись с волной критики. Отрицательные отзывы заполнили как обсуждения на профессиональных площадках, так и социальные сети. Google была вынуждена ограничить комментарии в репозитории проекта, и вскоре публичную разработку остановили.

Мы прислушались к вашим отзывам, поэтому предложение о создании Web Environment Integrity API больше не рассматривается командой Chrome», — сообщила группа разработчиков Android 2 ноября.

Вместо этого компания сосредоточится на разработке API целостности медиа для Android WebView, предоставляющего похожий механизм аутентификации, но только для Android-приложений.

Этот API будет интегрирован исключительно в устройства с Google Mobile Services (GMS) — Google не планирует раскатывать его на другие системы.

Медиа провайдеры, желающие оценить возможности новой технологии, смогут присоединиться к программе раннего доступа. Старт запланирован на следующий год.