谷歌的噩梦“Web Integrity API”希望成为Web的最新标准

谷歌的噩梦“Web Integrity API”希望成为Web的最新标准_第1张图片这个小安卓机器人正在观察你所做的一切。这个小安卓机器人正在观察你所做的一切。

这只是一份“建议书”,但它正在Chrome内部进行原型设计。这只是一份“建议书”,但它正在Chrome内部进行原型设计

Google提出的最新网络标准是…DRM?上周末,互联网传出了这个“Web Environment Integrity API”的提案。解释文档由四名谷歌员工撰写,其中至少有一位是Chrome的“隐私沙箱”团队成员,该团队正在构建一个用户跟踪广告平台,以响应跟踪cookie的消亡。

Web Integrity API的介绍开头是:“用户经常依赖于网站信任它们运行的客户端环境。这种信任可能会假设客户端环境在某些方面是诚实的,能够保护用户数据和知识产权,并且能够透明地说明是否有人在使用它。”

该项目的目标是了解网络浏览器另一端的人,确保他们不是机器人,并且浏览器没有以任何未经批准的方式进行修改或篡改。简介指出,这些数据对广告商更好地统计广告展示次数、阻止社交网络机器人、执行知识产权、防止网络游戏作弊和帮助金融交易更安全都很有用。

或许解释文中最具有代表性的一句话是:“它从现有的原生证明信号中汲取灵感,例如[苹果的]App Attest和[安卓的]Play Integrity API。” Play Integrity(以前称为“SafetyNet”)是一个Android API,可让应用程序确定您的设备是否已经 root。Root访问允许您完全控制您购买的设备,但许多应用程序开发人员不喜欢这样做。因此,如果您root了一个Android手机并被Android Integrity API标记,几种类型的应用程序将会拒绝运行。您通常将被锁定在银行应用程序、Google Wallet、在线游戏、Snapchat和一些媒体应用程序,如Netflix之外。您可能使用root访问来作弊游戏或钓鱼银行数据,但您也可以只是想root来自定义设备、删除垃圾软件或拥有一个可行的备份系统。Play Integrity并不关心,无论如何都会将您锁在那些应用程序之外。 Google希望Web也能实现同样的功能。

Google的计划是,在进行网页交易期间,Web服务器可以要求您通过“环境认证”测试才能获取任何数据。此时,您的浏览器将联系“第三方”认证服务器,并且您需要通过某种测试。如果您通过了,您将获得一个已签名的“IntegrityToken”,该标记验证您的环境未被修改,并指向您想要解锁的内容。您将其带回Web服务器,如果服务器信任认证公司,则解锁内容并最终获得所需数据的响应。

谷歌的噩梦“Web Integrity API”希望成为Web的最新标准_第2张图片

谷歌喜欢以通用的方式描述其API,但实际上,在这个过程中,大多数参与者可能都是谷歌。谷歌可能会提供网站,Chrome将是浏览器,而验证服务器肯定是谷歌提供的。

谷歌的文件承诺公司不想将其用于任何恶意目的。作者们“强烈认为”API不应用于唯一地指纹人员,但他们也希望“某些指标能够针对物理设备进行速率限制”。在“非目标”部分中,该项目表示它不想“干扰浏览器功能,包括插件和扩展”。这是间接提到不杀死广告拦截器,即使该项目提到了更好的广告支持作为其目标之一。Chrome已经有一个“杀死广告拦截器”的计划了(或者至少是“减弱版广告拦截器”计划)。这被称为Manifest V3,它将改变关键扩展API的工作方式,使它们无法有效地修改网页内容。谷歌还表示,它不想将其他供应商排除在其数字版权管理方案之外。谷歌喜欢以通用的方式描述其API,但实际上,在这个过程中,大多数参与者可能都是谷歌。谷歌可能会提供网站,Chrome将是浏览器,而验证服务器肯定是谷歌提供的。

谷歌的文件承诺公司不想将其用于任何恶意目的。作者们“强烈认为”API不应用于唯一地指纹人员,但他们也希望“某些指标能够针对物理设备进行速率限制”。在“非目标”部分中,该项目表示它不想“干扰浏览器功能,包括插件和扩展”。这是间接提到不杀死广告拦截器,即使该项目提到了更好的广告支持作为其目标之一。Chrome已经有一个“杀死广告拦截器”的计划了(或者至少是“减弱版广告拦截器”计划)。这被称为Manifest V3,它将改变关键扩展API的工作方式,使它们无法有效地修改网页内容。谷歌还表示,它不想将其他供应商排除在其数字版权管理方案之外。

你可能感兴趣的:(杂谈,前端)