Web Environment Integrity API

  Ralf Hersel   Lesezeit: 5 Minuten  🗪 8 Kommentare

Google-Mitarbeiter schlagen DRM für Webseiten vor.

web environment integrity api

Seit dem letzten Wochenende schleicht ein neues Gespenst durch das Internet. Vier Google-Mitarbeiter haben die "Web Environment Integrity API" vorgeschlagen. Wenn Google positiv konnotierte Begriffe wie "Integrity" verwendet, sollten die Alarmglocken läuten. Wer eine schlechte Idee hat, garniert sie mit positiven Worten.



Die Einleitung zur Web Integrity API beginnt wie folgt:

Benutzer verlassen sich oft darauf, dass Websites der Client-Umgebung vertrauen, in der sie ausgeführt werden. Dieses Vertrauen setzt voraus, dass die Client-Umgebung in Bezug auf bestimmte Aspekte ihrer selbst ehrlich ist, Benutzerdaten und geistiges Eigentum sicher aufbewahrt und transparent ist, ob ein Mensch sie benutzt oder nicht.

Ziel des Projekts ist es, mehr über die Person auf der anderen Seite des Webbrowsers zu erfahren, um sicherzustellen, dass es sich nicht um einen Bot handelt und dass der Browser nicht auf unzulässige Weise verändert oder manipuliert wurde. In der Einleitung heisst es weiter, dass diese Daten für Werbetreibende nützlich wären, um Werbeeinblendungen besser zu zählen, Bots in sozialen Netzwerken zu stoppen, Rechte an geistigem Eigentum durchzusetzen, Betrug in Webspielen zu verhindern und finanzielle Transaktionen sicherer zu machen.

Inspiriert wurde der Vorschlag von Apples App Attest und der Android Play Integrity API. Play Integrity ist eine Schnittstelle, mit der Apps herausfinden können, ob dein Smartphone gerootet wurde. Bei einem gerooteten Android-Gerät verweigern verschiedene Arten von Apps (Banking, Google Wallet, Online-Spiele, Snapchat, Netflix) die Ausführung. Nun schlägt Google das auch für Webseiten vor.

Der Plan von Google sieht vor, dass der Webserver während einer Webseitentransaktion von dir verlangt, dass du einen Test zur Bescheinigung der Umgebung bestehst, bevor Daten der Webseite übermittelt werden. Wenn du den Test bestehst, soll ein Bescheinigungsservice dir ein signiertes Integrity Token übermitteln, welches bestätigt, dass deine Arbeitsumgebung nicht (von dir oder Dritten) verändert wurde. Erst dann wird dir die gewünschte Webseite angezeigt.

Hier seht ihr das Sequenzdiagramm. In der Mitte seid ihr, links die gewünschte Webseite und rechts der Bescheinigungsdienst:

Obwohl das Integrity Token von "Drittanbietern" kommen soll, glaube ich das nicht; viel wahrscheinlicher ist, dass Google diesen Dienst selbst übernehmen möchte. Die Autoren des Vorschlags sind der Meinung, dass die API nicht für eindeutige Fingerabdrücke von Personen verwendet werden sollte, aber sie wollen auch einen Indikator, der eine Ratenbegrenzung gegenüber einem physischen Gerät ermöglichen. Im Abschnitt "Nicht-Ziele" sagt das Projekt, es wolle nicht in die Browserfunktionalität eingreifen, einschliesslich Plugins und Erweiterungen. Das ist ein versteckter Hinweis darauf, dass man Werbeblocker nicht abschalten will, auch wenn das Projekt eine bessere Werbeunterstützung als eines seiner Ziele nennt.

Da es sich bei dem Vorschlag nicht um eine offizielle Ankündigung von Google handelt, sondern sich nur im GitHub-Konto eines Mitarbeiters findet, kann man der Idee bislang noch gelassen entgegensehen. Mit dem Manifest V3 hat Google sowieso einen Pfeil im Köcher, damit Webseiten nicht zum Nachteil der Werbeindustrie verändert werden können.

Am Wochenende wurde eine aktualisierte Spezifikation veröffentlicht, und der Vorschlag wurde von HackerNews und dem YouTuber Louis Rossmann aufgegriffen. Dort wurde die Idee überwiegend verurteilt, was aber irrelevant ist, weil Google bestimmt, wie das Internet funktioniert. Der Einbau eines Prototyps der "Web Environment Integrity API" in den Chrome-Browser wurde bereits im Mai angekündigt.

Meiner Meinung nach würde die Umsetzung dieses Vorschlags das Internet von einer neokapitalistischen Schlangengrube (das ist der status quo) in eine Feudalherrschaft nach dem Geschmack von Google überführen.

Quellen:

https://github.com/RupertBenWiser/Web-Environment-Integrity/tree/main

https://arstechnica.com/gadgets/2023/07/googles-web-integrity-api-sounds-like-drm-for-the-web/

https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_developer_devicecheck_appattest-environment

https://www.heise.de/news/Chrome-Browser-Was-Googles-Manifest-V3-fuer-Werbeblocker-bedeutet-7250436.html

https://rupertbenwiser.github.io/Web-Environment-Integrity/

https://groups.google.com/a/chromium.org/g/blink-dev/c/Ux5h_kGO22g/m/XCAIgPtxAQAJ

Tags

DRM, Digital Restriction Management, Google, WebDRM

Conner
Geschrieben von Conner am 27. Juli 2023 um 09:17

Das was dan wohl mit dem freien Internet...

Mancus Nemo
Geschrieben von Mancus Nemo am 27. Juli 2023 um 18:13

Man soll nur noch Nutzer sein und gefälligst Zahlen. Aber das wird nicht gut gehen. Es gibt Gemini. Einfach da hin gehen...

kamome
Geschrieben von kamome am 30. Juli 2023 um 20:16

Oder man könnte schlicht keine Websites verwenden, die darauf bestehen, so wie man auch heute schon kein Netflix o. ä. verwenden muss – so würde ich das halten. Gemini ist natürlich dennoch cool ;)

mw
Geschrieben von mw am 27. Juli 2023 um 11:03

Das passt genau in die Stretegie derjenigen, welchen die Benutzer von der Kontrolle Ihrer geräte ausschließen wollen. Siehe auch https://pluralistic.net/2023/07/24/rent-to-pwn/#kitt-is-a-demon

Patrick
Geschrieben von Patrick am 27. Juli 2023 um 11:18

Naja, vielleicht gehöre ich dann der Altersgruppe an, die sowohl den Aufstieg wie auch den Fall des Internets miterleben konnten... Allerdings habe ich heute auch einen Tag, an dem ich etwas negativ bin.

Rolf
Geschrieben von Rolf am 27. Juli 2023 um 13:02

Das ist längst kein "Proposal" mehr. Das Feature ist implementiert und wurde per commit für den "origin trial" aktiviert: https://chromestatus.com/feature/5796524191121408

Das ist die letzte Stufe vor "prepare to ship" - der Projektstatus wurde allerdings (leiderleider...) länger nicht mehr aktualisiert: https://chromestatus.com/feature/5796524191121408

Weder beim "proposal" noch bei diesem Commit hat Google sich um hunderte ablehnender Kommentare geschert. Man hat einfach die Kommentare zum Proposal geschlossen (anders als versprochen), natürlich nicht, ohne vorher die haarscharf an der Lüge vorbei formulierten eigenen Standpunkte als abschließendes Basta zu wiederholen.

Man sollte übrigens auf die Details achten: es heißt "Attestation API", weil man bei diesem Frontalangriff auf alternative Browser auf die Aufgabenverteilung achtet, um sich juristisch weniger angreifbar zu machen. Nach dem Motto: wir stellen ja nur die API.

Rolf
Geschrieben von Rolf am 27. Juli 2023 um 13:04
Mixel
Geschrieben von Mixel am 12. September 2023 um 15:25

Vielen Dank an euch für diesen informativen Beitrag! Wir haben darauf hin unsere Firmenwebsite apo-coach.de mit folgendem Hinweis versehen: "Please note that we will not support Google in ruining the free Internet with the implementation of its so called "Web Environment Integrity". For more information please see Wikipedia (English) or GNU/Linux.ch (German). You may need a free browser like Firefox to see our content in future."