Google хочет внедрить новый сетевой стандарт Web Integrity API для контроля безопасности, но экспертов идея не вдохновила
Компания Google собирается предложить новый стандарт веба под названием Web Integrity API, который должен помочь сайтам блокировать клиентские приложения, изменяющие их код. Эксперты в области безопасности опасаются, что новый API фактически позволит Google и операторам сайтов действительно эффективно бороться с блокировщиками рекламы.
В описании проекта, который создавался силами четырёх инженеров Google, указывается следующее: «Пользователи часто зависят от сайтов, доверяющих клиентской среде, в которой они работают. Это доверие предполагает, что клиентская среда честна в отношении ряда аспектов собственной деятельности, обеспечивает безопасность пользовательских данных и интеллектуальной собственности, а также прозрачна в отношении того, использует ли её человек».
Эксперты опасаются, что основной целью проекта может стать желание узнать больше о пользователе, а также удостовериться, что он не робот, а его браузер не был модифицирован или подделан каким-либо образом.
Разработчики Web Integrity API уверяют, что их стандарт поможет бороться с ботами в социальных сетях, защитит право на интеллектуальную собственность, а также поспособствует повышению безопасности финансовых транзакций. Есть несколько базовых сценариев возможного применения нового API:
- обнаружение манипуляций в социальных сетях;
- обнаружение бот-трафика в рекламе для улучшения клиентского опыта и доступа к веб-контенту;
- обнаружение фишинговых кампаний;
- обнаружение попыток массового захвата или создания учетных записей;
- обнаружение масштабного читерства в веб-играх с поддельными клиентами;
- обнаружение скомпрометированных устройств, на которых пользовательские данные могут быть подвержены риску;
- обнаружение попыток захвата учетной записи путём подбора пароля.
По замыслу Google, во время транзакции веб-страницы веб-сервер может потребовать от пользователя пройти тест проверки его веб-среды, прежде чем ему будут предоставлены какие-либо данные. В этот момент браузер пользователя связывается со сторонним сервером, проводящим такую проверку, и пользователю предлагается пройти условный тест. В случае его успешного прохождения пользователь получает подписанный IntegrityToken, который подтверждает, что его веб-среда не модифицирована, и указывает на содержимое, которое пользователь хотел разблокировать. Затем пользователь передаёт этот токен обратно на веб-сервер, и если сервер доверяет компании, проводившей проверку, то содержимое разблокируется и владелец устройства получает ответ с запрашиваемой им веб-страницей.
#google #web integrity api
Источник: overclockers.ru
