.
O mais novo padrão da Web proposto pelo Google é… DRM? No fim de semana, a Internet ficou sabendo dessa proposta de “Web Environment Integrity API”.
A introdução da Web Integrity API começa assim: “Os usuários geralmente dependem de sites que confiam no ambiente do cliente em que são executados. Essa confiança pode presumir que o ambiente do cliente é honesto sobre certos aspectos de si mesmo, mantém os dados do usuário e a propriedade intelectual seguros e é transparente sobre se um ser humano está usando ou não.”
O objetivo do projeto é aprender mais sobre a pessoa do outro lado do navegador da Web, garantindo que ela não seja um robô e que o navegador não tenha sido modificado ou adulterado de forma não aprovada. A introdução diz que esses dados seriam úteis para os anunciantes contarem melhor as impressões de anúncios, impedirem bots de redes sociais, fazerem valer os direitos de propriedade intelectual, impedirem trapaças em jogos da web e ajudarem as transações financeiras a serem mais seguras.
Talvez a linha mais reveladora do explicador seja que ele “se inspira em sinais de atestação nativa existentes, como [Apple’s] App Attest e o [Android] Play Integrity API.” Play Integrity (anteriormente chamado de “SafetyNet”) é uma API do Android que permite que aplicativos descubram se seu dispositivo foi rooteado. O acesso root permite que você tenha controle total sobre o dispositivo que você comprou, e muitos desenvolvedores de aplicativos não gostam disso. Portanto, se você fizer root em um telefone Android e for sinalizado pela API de integridade do Android, vários tipos de aplicativos simplesmente se recusarão a ser executados. Você geralmente será bloqueado de aplicativos bancários, Google Wallet, jogos online, Snapchat e alguns aplicativos de mídia como Netflix. Você poderia estar usando acesso root para trapacear em jogos ou dados bancários de phishing, mas você também pode querer apenas root para personalizar seu dispositivo, remover crapware ou ter um sistema de backup viável. O Play Integrity não se importa e o impedirá de acessar esses aplicativos de qualquer maneira. O Google quer a mesma coisa para a web.
O plano do Google é que, durante uma transação na página da web, o servidor da web possa exigir que você passe em um teste de “atestação de ambiente” antes de obter quaisquer dados. Nesse ponto, seu navegador entraria em contato com um servidor de atestado de “terceiro” e você precisaria passar por algum tipo de teste. Se você for aprovado, receberá um “IntegrityToken” assinado que verifica se seu ambiente não foi modificado e aponta para o conteúdo que você deseja desbloquear. Você traz isso de volta para o servidor web e, se o servidor confiar na empresa de atestado, você desbloqueia o conteúdo e, finalmente, obtém uma resposta com os dados desejados.
.
