La API propuesta tiene como finalidad el «verificar» la integridad del entorno en el que se ejecuta una página web

Hace pocos días Google dio a conocer la noticia de la publicación del borrador de la especificación de integridad del entorno web, con el cual anuncia los trabajos que está realizando para incluir su implementación en el código base de Chromium y el motor Blink.

Sobre la API de integridad de entorno web, se menciona que esta tiene la finalidad de permitir a los propietarios de sitios asegurarse de que el entorno del cliente sea fiable en cuanto a la protección de los datos del usuario, el respeto de la propiedad intelectual y la interacción con una persona real.

El anuncio del borrador de esta nueva API por parte de Google ha generado diversas discusiones durante las cuales surgieron preocupaciones de que la nueva API podría socavar la naturaleza abierta de la Web, limitar severamente la capacidad de usar soluciones alternativas, dificultar la comercialización de nuevos navegadores y vincular a los usuarios a navegadores verificados y lanzados oficialmente, sin los cuales perderían la capacidad de trabajar con algunas de las principales aplicaciones, sitios y servicios web.

Esto es un grave problema, ya que se menciona que actualmente esto ya está sucediendo en los ecosistemas de Android e iOS, donde algunas aplicaciones, como Google Wallet, Snapchat y Netflix, usan las API Play Integrity y App Attesty para bloquear dispositivos rooteados que no tienen restricciones de fabricante y el usuario tiene acceso completo al sistema.

En particular, la API de Web Integrity se basa en la tecnología Play Integrity que ya se usa en la plataforma Android para verificar que una solicitud se realiza desde una aplicación no modificada instalada desde el catálogo de Google Play y ejecutada en un dispositivo Android genuino.

Para la autenticación, Web Integrity usa extensiones EME (Extensiones de medios cifrados), similares a las que se usan en DRM para decodificar contenido de medios con derechos de autor. En teoría, EME no está vinculado a proveedores individuales, pero en la práctica han proliferado tres implementaciones propietarias: Google Widevine (usado en Chrome, Android y Firefox), Microsoft PlayReady (usado en Microsoft Edge y Windows) y Apple FairPlay (usado en Safari y Apple).

Para confirmar el entorno del navegador en el que se ejecuta el código descargado del sitio, se utiliza un token especial, emitido por un autenticador de terceros (attester), que a su vez puede conectarse mediante una cadena de confianza con mecanismos de control de integridad en el plataforma (por ejemplo, Google Play).

Y es que para lograr esto, se menciona que se obtiene un token con el cual el navegador envía una solicitud a un servidor de terceros que, después de realizar ciertas comprobaciones, confirma que el entorno del navegador no se ha modificado. Se supone que la nueva API tendrá demanda en áreas en las que el sitio necesita asegurarse de que en el otro lado hay una persona real y un dispositivo real, y el navegador no está modificado o infectado con malware.

Como ejemplos del uso de la nueva API, se menciona filtrar el tráfico de los bots cuando se muestran anuncios, luchar contra el spam enviado automáticamente y las calificaciones de trampas en las redes sociales, la detección de manipulaciones al ver contenido con derechos de autor, la lucha contra los tramposos y los clientes falsos en los juegos en línea, la detección de creación de cuentas ficticias por bots, resistencia a los ataques de adivinación de contraseñas, protección contra el phishing, implementada mediante malware que difunde la salida a sitios reales.

Por su parte, cabe mencionar que los representantes de Mozilla se opusieron a agregar dichas API a los navegadores debido al temor de que la introducción de la tecnología conduzca a una mayor dependencia de los usuarios de los proveedores individuales y la aparición de sitios que funcionan solo en ciertos navegadores, ya que puedo pueda generar un monopolio.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.