Google przeholował. Ten pomysł odetnie miliony od stron internetowych

Google już przygotował wczesną wersję Web Environment Integrity (WEI) API dla przeglądarki Google Chrome. API ma umożliwić stronom internetowym weryfikację bezpieczeństwa przeglądarki na danym urządzeniu oraz ruchu w połączeniu ze stroną. Aplikacje internetowe miałyby używać API, by uzyskać kryptograficzny token od certyfikowanej strony trzeciej, potwierdzającej autentyczność danych, wysyłanych przez przeglądarkę. Google chce w ten sposób totalnie uniemożliwić niebezpieczną komunikację.

W ten sposób można między innymi odróżnić człowieka od bota i być może zapobiegać niektórym atakom, modyfikującym przesyłane dane gdzieś po drodze. Byłoby to również lekarstwo na oszustwa w grach, szkodliwe kampanie w mediach społecznościowych, ataki typu brute force, masowe gromadzenie danych przez automaty i tak dalej. Można również stwierdzić, czy konkretna przeglądarka na konkretnym urządzeniu jest godna zaufania, czy może zabezpieczenia zostały złamane bez wiedzy użytkownika. Tym samym, dostęp do niektórych stron miałby zostać zablokowany dla urządzeń z wirusem… albo z odblokowanym bootloaderem.

Zobacz:  Masz Google Chrome? To zatrzymaj się i coś sprawdź

Na GitHubie Chromium można znaleźć dość zawiły diagram, pokazujący działanie całego systemu:

Google zapewnia jednocześnie, że ten system nie umożliwia dodatkowego śledzenia użytkowników między stronami.

To nie jest zabezpieczenie, to DRM dla stron!

Pomysł Google’a natychmiast skrytykowali deweloperzy alternatywnych przeglądarek: Firefoxa, Vivaldiego i Brave’a. Ich zdaniem wprowadzenie WEI API będzie równoważne z uruchomieniem systemu DRM dla stron internetowych. To przeczy założeniom, na jakich powstała WWW. U podstaw sieci leży wolny dostęp do treści i równość w tym dostępie.

WEI można nie implementować – tak mówi teoria. W praktyce zaś Google może wykorzystać dominację z dwóch stron. Z jednej, może sprawić, że strony bez WEI nie będą działać prawidłowo w Google Chrome, używanego obecnie przez większość świata. Z drugiej zaś może tak manipulować dostarczanymi reklamami, żeby strony bez WEI zwyczajnie bankrutowały. Za jednym zamachem wykończy konkurencję i wszystkich, którzy śmią się sprzeciwić wdrożeniu nowego API.

J. Picalausa z grupy pracującej nad przeglądarką Vivaldi, jest zdania, że pomysł Google'a jest bardzo niebezpieczny. Słusznie zauważa, że jeśli jedna organizacja decyduje o tym, czy przeglądarce można zaufać, czy nie, skąd wiadomo, że zaufa komukolwiek? Ta „trzecia strona”, mająca poświadczyć o bezpieczeństwie przeglądarki, będzie miała zdecydowanie za dużo władzy w dopuszczaniu użytkowników do treści. Po implementacji WEI na stronie cała konkurencja Google Chrome może zostać „wycięta” i żadna nowa przeglądarka nie będzie działać. Już nigdy! Podejrzewam, że zagrożone są też rozszerzenia dla osób niedowidzących i niepełnosprawnych, a także starsze przeglądarki na starszych urządzeniach, które nie dostają już aktualizacji (zatrzymaj się w tym miejscu i policz, ile lat ma Twój smartfon, smartfony Twoich rodziców i przyjaciół). Picalausa obawia się też, że Google mimo wszystko zostawia sobie przestrzeń do śledzenia zachowania użytkowników.

Zobacz:  Google: producenci smartfonów odstawiają fuszerkę

Brian Grinstead, jeden z deweloperów Firefoxa, ujawnił, że Mozilla sprzeciwia się propozycji Google'a. Podkreślił, że mechanizm ten totalnie zaburzy wolność dostępu do zasobów internetu. Ograniczenie ruchu automatycznego zaś zaburzy wiele działań, w tym gromadzenie danych przez alternatywne wyszukiwarki treści, archiwizację i testowanie. Warto jednak zaznaczyć, że jego wypowiedź nie jest oficjalnym stanowiskiem Mozilli. 

Brendan Eich, CEO Brave, potwierdził, że ma WEI w poważaniu, Brave nie zaimplementuje tego API, podobnie jak wielu innych mechanizmów naruszających prywatność, forsowanych przez Google. Brave był i będzie korzystał z Chromium, ale będzie czyścić silnik po swojemu.