.
Em meio à crescente preocupação da comunidade, o Google diz que não desenvolverá mais tecnologia controversa que supostamente combate fraudes online, embora para os críticos parecesse mais DRM para sites.
Em vez disso, a Fábrica de Chocolate planeja trabalhar em uma versão mais limitada da tecnologia para Android WebViews, uma versão de seu navegador Chrome que pode ser incorporada em aplicativos Android.
O Google pretendia que seu API de integridade do ambiente da Webanunciado em uma lista de discussão de desenvolvedores em maio, para servir como uma forma de limitar fraudes e abusos online sem permitir problemas de privacidade, como rastreamento entre sites ou impressão digital do navegador.
WEI é um esquema de atestado, o que significa que fornece uma maneira para os servidores web verificarem a autenticidade dos clientes do navegador usando um token criptográfico. Um de seus objetivos declarados é “permitir que os servidores web avaliem a autenticidade do dispositivo e a representação honesta da pilha de software e do tráfego do dispositivo”.
Ou seja, a API permitiria que os sites descobrissem se estavam sendo visitados por um usuário legítimo em um navegador normal, em oposição a um bot de raspagem de página disfarçado de pessoa real ou algum software malicioso empenhado em visualizar e clicar de forma fraudulenta em anúncios e fazendo outras coisas ruins.
Para fazer isso, o sistema precisaria verificar, por meio de atestado, se a pilha de software e hardware do visitante atendia a determinados critérios e, portanto, era autêntica. Isso é ótimo até que seja abusado para afastar visitantes que tenham uma configuração com a qual o proprietário do site não esteja satisfeito – como executar um bloqueador de conteúdo ou um downloader de vídeo.
O plano de segurança do navegador do Google foi considerado DRM perigoso e terrível para sites
Os técnicos perceberam isso imediatamente e ficaram preocupados com o fato de o Google querer criar uma forma de gerenciamento de direitos/restrições digitais (DRM) para a web. Um benefício poderia ser que a fraude publicitária seria mais fácil de prevenir; mas o risco é que a API possa ser usada para limitar a liberdade na web, dando a sites ou terceiros uma palavra a dizer sobre o navegador e a pilha de software usados pelos visitantes.
A propósito, a Apple já lançou seu próprio esquema de atestado chamado Private Access Tokens, que embora apresente algumas das mesmas preocupações é indiscutivelmente menos preocupante do que a proposta do Google porque a participação geral do Safari no mercado de navegadores da web em todos os dispositivos é muito menor do que a do Chrome.
O Google também oferece mais dois serviços de atestado limitados, o API Play Integrity e Verificação do aplicativo Firebase. E sua subsidiária do YouTube digitalização dos navegadores clientes para extensões de bloqueio de anúncios também representa uma forma de atestado ou verificação de integridade, embora o que seja avaliado seja um software instalado em vez de um token criptográfico.
O plano do Google era criar um protótipo da API Web Environment Integrity no Chromium, a base de código aberto do Chrome, bem como Edge, Brave, Vivaldi e vários outros navegadores – embora não Firefox ou Safari.
Mas após a publicação de um projecto de trabalho especificação em julho, uma cheia O feedback crítico da comunidade técnica, tanto no fórum de problemas do projeto quanto nos canais de mídia social, colocou o Google na defensiva. Os Googlers envolvidos limitaram então quem poderia postar comentários no repositório do projeto e o desenvolvimento público do projeto cessou.
Três meses depois, após consultas esporádicas sobre o estado do projeto, o Google moderou as suas ambições.
“Ouvimos seu feedback e o Proposta de integridade do ambiente web não está mais sendo considerado pela equipe do Chrome”, a equipe Android da empresa disse na quinta feira.
A equipe do Chrome apresentou assim um commit para reverter o código do projeto que chegou ao navegador da corporação.
Em vez disso, a equipe do Android pretende se concentrar na API Android WebView Media Integrity, que fornece uma forma semelhante de atestado, mas apenas para WebViews incorporados em aplicativos Android.
“Ele simplesmente estende a funcionalidade existente em dispositivos Android que possuem Google Mobile Services (GMS) e não há planos de oferecê-lo além da mídia incorporada, como streaming de vídeo e áudio, ou além do Android WebViews”, disse a equipe do Android.
Os Googlers observam que a capacidade de fazer com que aplicativos Android incorporem páginas da web que incorporam arquivos de mídia tem vantagens no desenvolvimento de aplicativos móveis, mas também oferece um caminho para fraudes. Desenvolvedores inescrupulosos podem interferir no conteúdo incorporado e na forma como os usuários interagem com ele. A API Android WebView Media Integrity visa garantir que aqueles que incorporam mídia em WebViews possam ter alguma garantia de que seus ativos – como streaming de mídia – estão sendo exibidos no aplicativo onde foram incorporados e não no aplicativo não confiável de alguma parte desconhecida.
Os provedores de mídia interessados em testar esse processo podem inscrever-se para participar de um programa de acesso antecipado planejado para o próximo ano. ®
.
