Un equipo de cuatro ingenieros de Google está trabajando en un nuevo proyecto llamado Web Environment Integrity API, que permitirá a los sitios bloquear aplicaciones cliente que cambien su código.
Además de los obvios beneficios de seguridad, la nueva API realmente permitirá Google y operadores de sitios para lidiar eficazmente con los bloqueadores de publicidad.
Como puedes adivinar fácilmente en esta introducción., El objetivo principal del proyecto es aprender más sobre la persona al otro lado del navegador., para asegurarse de que no es un robot, y el navegador no ha sido modificado o falsificado de ninguna manera.
Los desarrolladores afirman que estos datos serán útiles para que los anunciantes cuenten las impresiones de los anuncios., ayudar a combatir los bots en las redes sociales, proteger los derechos de propiedad intelectual, contra las trampas en los juegos web, y también aumentar la seguridad de las transacciones financieras.
Eso es, a primera vista, La API Web Environment Integrity está diseñada como una solución de seguridad para que los sitios puedan detectar modificaciones de código malicioso en el lado del cliente y desactivar clientes maliciosos.. Los desarrolladores enumeran varios escenarios para el posible uso de la nueva API:
- Detección de manipulación en redes sociales.;
- Detección de tráfico de bots en anuncios para mejorar la experiencia del cliente y el acceso al contenido web.;
- Detección de campañas de phishing. (por ejemplo, Webview en aplicaciones maliciosas);
- Detección de adquisiciones masivas o intentos de creación de cuentas.;
- Detección de trampas a gran escala en juegos web con clientes falsos.;
- Detección de dispositivos comprometidos donde los datos del usuario pueden estar en riesgo;
- detectar intentos de apropiación de cuentas adivinando una contraseña.
Al mismo tiempo, Los autores de la API de integridad web escriben que se inspiraron en "señales de certificación nativas existentes"., incluido [Manzana] Testimonio de aplicación y [Androide] API de integridad de juego."
Vale aclarar aquí que Play Integrity (antes Red de seguridad) es una API de Android que permite a las aplicaciones saber si un dispositivo ha sido rooteado. El acceso raíz le permite tomar el control total del dispositivo, Y a muchos desarrolladores de aplicaciones no les gusta esto.. Por lo tanto, después de recibir la señal apropiada de la API de integridad de Android, algunos tipos de aplicaciones pueden simplemente negarse a iniciarse.
Como una regla, aplicaciones bancarias, Cartera de Google, juegos en línea, Snapchat, así como algunas aplicaciones multimedia (por ejemplo, netflix) negarse a trabajar en tales casos. Después de todo, Se cree que el acceso root se puede utilizar para hacer trampa en juegos o para realizar phishing en datos bancarios.. Aunque también puede ser necesario acceso root para configurar el dispositivo, eliminar el malware, o crear un sistema de respaldo, Play Integrity no considera tales usos y en ningún caso bloquea el acceso..
Como suponen ahora los expertos, Google pretende hacer lo mismo en Internet.
Por diseño de Google, durante una transacción de página web, el servidor puede requerir que el usuario pase un certificación ambiental prueba antes de recibir cualquier dato. En este punto, el navegador se pondrá en contacto con un servidor de certificación de terceros y el usuario deberá pasar una determinada prueba. Si se pasa la verificación, el usuario recibe una firma Token de integridad que confirma la integridad de su entorno y señala el contenido a desbloquear.
Luego el token se transfiere nuevamente al servidor., y si el servidor confía en la empresa tester, entonces el contenido se desbloquea, y la persona finalmente obtiene acceso a los datos necesarios.
Como muchos suponen ahora, si el navegador en este ejemplo es Chrome, y el servidor de certificación también es propiedad de Google, entonces Google decidirá si permite o no que una persona acceda a los sitios.
La empresa asegura que Google no va a utilizar la funcionalidad descrita en detrimento. De este modo, los creadores de la API de integridad web «creer firmemente» que su API no debería usarse para tomar huellas dactilares de personas, pero al mismo tiempo quieren conseguir «algún tipo de indicador que permite limitar la velocidad en relación al dispositivo físico.»
También afirma que la empresa no quiere «interferir con la funcionalidad del navegador, incluidos complementos y extensiones.» De este modo, Los desarrolladores dejan claro que supuestamente no van a luchar contra los bloqueadores de publicidad., aunque la empresa ha estado trabajando en el escandaloso Manifiesto V3 durante muchos años, cuyo objetivo es precisamente este. Nosotros, por cierto, escribió cómo los desarrolladores implementarán estas reglas. Y la nueva API se puede utilizar para detectar cuando un bloqueador de anuncios está alterando el código de anuncios.. Después de eso, el operador del sitio será libre de simplemente dejar de prestar servicios.
La discusión sobre este tema en la red ya provocó una ola de críticas contra Google, y el proyecto se ha bautizado como DRM para Internet. Por ejemplo, desarrolladores, especialistas en seguridad de la información, y usuarios comunes nota que el proyecto Web Integrity API pretende alojarse en GitHub por uno de los desarrolladores, y Google está tratando de distanciarse del desarrollo que literalmente puede envenenar los estándares web existentes., ayudando a la empresa a salvar el negocio de la publicidad.
La discusión sobre el proyecto Página de problemas en GitHub también se ocupa principalmente de los aspectos éticos de lo que está sucediendo, y Google es acusado de intentar convertirse en monopolista en otra área y "matar" a los bloqueadores de publicidad.
Quizás también te interese nuestro artículo sobre cómo La estafa de recompensas de membresía de Google es un nuevo tipo popular de fraude en línea.