Google отменяет свое предложение «API целостности веб-среды» в качестве нового веб-стандарта, хотя телефонам Android, возможно, все еще придется с этим сталкиваться. Согласно документу с предложением Google, основная цель проекта заключалась в том, чтобы «позволить веб-серверам оценивать подлинность устройства и честное представление стека программного обеспечения» — по сути, Google хотел создать привратника DRM для Интернета. Проект получил широкое освещение еще в июле и подвергся широкой критике .
Зловещий расплывчатый план заключался в том, чтобы позволить веб-браузерам определять, был ли ваш компьютер «модифицирован» таким образом, который не нравился веб-странице. Предположительно, это может быть что угодно: от рутированного/взломаного телефона до установки нежелательного плагина (читай: блокировщиков рекламы). Когда вы пытаетесь получить доступ к некоторому защищенному контенту, браузер, поддерживающий API Web Integrity, сначала обращается к стороннему серверу «аттестации среды», и вашему компьютеру придется пройти какой-то тест. После того, как ваша локальная среда, э-э…, просканировалась? Проходящие среды получают подписанный «IntegrityToken», указывающий на контент, который вы хотели разблокировать. Вы вернете это на веб-сервер и, наконец, разблокируете контент.
Предложение Google не понравилось. Объяснитель был полон противоречивой информации о том, насколько агрессивным он хотел быть и каковы его цели. Google мизинцем пообещал, что оно не предназначено для «обеспечения соблюдения или вмешательства в функциональность браузера, включая плагины и расширения» — это расплывчатая отсылка к блокировщикам рекламы — но также самый первый пример предложения был связан с более точным измерением показов рекламы. Еще более тревожным было то, что это не было обсуждением — Google никогда не публиковал эту функцию для каких-либо отзывов, и компания уже активно создавала прототип этой функции в Chrome еще до того, как Интернет действительно узнал о ней.
В блоге разработчиков Android , как ни странно, Google официально объявил о смерти предлагаемого веб-стандарта. Компания сообщает: «Мы услышали ваши отзывы, и предложение по целостности веб-среды больше не рассматривается командой Chrome». Я считаю, что это первый раз, когда целостность веб-страниц упоминается в сообщении в блоге Google, но ура! ! Оно мертво. Переходим к следующей проблеме:
Переход на Android, чтобы гарантировать, что YouTube Vanced не восстанет из могилы?
Однако проект не совсем мертв. В настоящее время Google перешел к «экспериментальному API-интерфейсу Android WebView Media Integrity API [курсив наш]». В отличие от веб-версии, которая была бы большим шагом «вперед» для инвазивных решений DRM, Android уже имеет аттестацию среды, поэтому звучит так, как будто это делает так много. В Google заявили, что вдохновением для оригинального проекта Web Integrity послужил Android Play Integrity API , который уже сканирует ваш телефон на наличие root-прав и запрещает доступ к таким вещам, как игры, мультимедиа и банковские приложения. Теперь Google хочет иметь возможность делать это с помощью встроенных Android WebViews (веб-контента, отображаемого в приложениях), утверждая, что «поставщики медиа-контента» будут заинтересованы в такой вещи.
Если вы используете Spotify или YouTube, вы уже можете заблокировать измененные устройства на уровне приложения еще до загрузки встроенного WebView через Play Integrity API . У Google также есть предустановленная неудаляемая система Android DRM под названием «Widevine», созданная специально для воспроизведения мультимедиа. Netflix, как известно, требует предварительной установки Widevine на устройствах для показа HD-контента, а проблемы с DRM являются распространенной проблемой поддержки.
Google, очевидно, видит, что это предложение не нравится, поэтому его поворот к компоненту Android WebView предполагает наличие какой-то конкретной внутренней потребности в блокировке WebViews с помощью DRM. Однако Google настолько подозрительно туманен в отношении этих проектов, что трудно понять, каковы именно намерения компании. В сообщении блога отмечается, что, хотя система Android WebView обеспечивает «большую гибкость… ее можно использовать как средство мошенничества и злоупотреблений, поскольку она позволяет разработчикам приложений получать доступ к веб-контенту, а также перехватывать или изменять взаимодействие с ним пользователей. Хотя это имеет свои преимущества, когда приложения встраивают свой собственный веб-контент, это не запрещает злоумышленникам изменять контент и, косвенно, искажать его источник».
Если не считать обычных вредоносных программ, это очень похоже на вариант использования YouTube Vanced, ( ныне мертвого ) модифицированного приложения YouTube для Android. Vanced использовал WebView и обманом заставил YouTube воспроизводить видео без рекламы, а также разблокировал функции YouTube Premium, такие как фоновое воспроизведение. Поскольку Vanced был просто приложением, он не требовал root-доступа и не останавливался API-интерфейсом Play Integrity. Однако разрешение YouTube подключаться к вашему телефону через WebView похоже на то, что может отключить эти «альтернативные» клиенты. В последние годы Google становится все более враждебным по отношению к блокировщикам рекламы , и хотя юридический отдел Google уже убил YouTube Vanced письмом о прекращении противоправных действий в 2022 году, то, что технический отдел сделает ставку на сердце модифицированных клиентов, звучит как следующий шаг. вероятный шаг.