ทีมวิศวกรจากกูเกิลเสนอ Web Environment Integrity API (WEI) ฟีเจอร์ในเบราว์เซอร์ที่เปิดให้เว็บตรวจสอบได้ว่าผู้ใช้กำลังเข้าใช้งานด้วยเบราว์เซอร์ที่น่าเชื่อถือ ไม่มีการดัดแปลง
ประโยชน์ของ API นี้ เช่น สำหรับตรวจสอบการเข้าเว็บด้วยบ็อต, การสร้างบัญชีจำนวนมากๆ บนบริการต่างๆ, การตรวจสอบยอด engagement หรือยอดการชมโฆษณาว่าไม่ได้มาจากบ็อต
แนวทางการทำงานของ WEI นั้นคล้ายกับ Private Access Token (PAT) ของแอปเปิล แต่จะเปิดเผยข้อมูลให้เว็บมากกว่าเพื่อให้ใช้งานด้านอื่นได้ เช่นเว็บธนาคารสามารถล็อกไม่ให้ใช้งานจากอุปกรณ์เก่าที่ไม่มีแพตช์แล้ว หรือ “สัญญาณบางอย่าง” เพื่อจำกัดความถี่ในการใช้งานจากอุปกรณ์หนึ่งๆ โดยทีมงานยืนยันว่าไม่ต้องการใส่หมายเลขประจำตัวอุปกรณ์ (ซึ่งจะทำให้เว็บสามารถติดตามผู้ใช้ได้อย่างละเอียด)
API รูปแบบนี้เปิดให้เจ้าของแพลตฟอร์ม เช่น Google Play หรือ Microsoft Store สามารถเลือกรับรองเบราว์เซอร์ตัวใดได้บ้าง ทำให้ผู้ผลิตเบราว์เซอร์รายเล็กอย่าง Vivaldi ออกมาแสดงความไม่พอใจ และชี้ประเด็นว่ากูเกิลพยายามเพิ่ม API สำหรับติดตามขอข้อมูลผู้ใช้มาหลายตัว เช่น FLOC, TOPIC, และ Client Hints
ที่มา - GitHub: Web-Environment-Integrity
Get latest news from Blognone
Follow @twitterapi
Comments
แล้วมันมีประโยชน์อะไรกับ dev ทั่วไป
เอาจริงๆ เวลา dev ควรจะ dev ด้วยความไม่เชื่อใจ man-in-middle/3rd party
เพื่อ secure ไว้ก่อน
ดีกว่าต้องมาแก้ทีหลังเมื่อมันมีปัญหา
ผมจะได้ไม่ต้องไปดู Bourne series ภาค4
dev ทั่วไปอาจจะหมายถึง dev เว็บธนาคาร (หรือเว็บการเงินอื่นๆ) ก็จะยืนยันได้ครับว่าเครื่อง user ไม่ถูกแฮก อัพเดตเรียบร้อยดี
พวกนี้ระดับองค์กรมีใช้งานอยู่แล้ว ถ้าระบบนี้เข้ามาก็จะทำให้กลายเป็นฟีเจอร์ built-in แต่เครื่ององค์กรนั้นไม่มีเงื่อนไขด้านความเป็นส่วนตัวนัก (พนักงานโดนเตือนให้แยกไปใช้งานส่วนตัวเครื่องอื่นก่อนแล้ว)
lewcpe.com, @wasonliw
feature พวกนี้มันต้องเก็บข้อมูลส่วนตัวของผู้ใช้ระดับหนึ่ง ถ้าพวกธนาคารเอาไปใช้ก็เป็นไปได้ว่าผู้ใช้งานต้องปิดพวก privacy blocker หรือ ads block ออกเพื่อส่งข้อมูลส่วนตัวไปไม่งั้นจะไม่สามารถใช้งานได้
ก็มีโอกาสที่ Google จะได้ข้อมูลส่วนตัวเพิ่มจากพวกที่ปิดส่วนนี้ไปเหมือนกัน
ถ้าเป็นแบบนี้จริงคืออย่างชั่วเลยนะ หาทำสุด ๆ ถ้าห่วงกับอีแค่การแฮกจาก Unauthorised Browser ก็แค่ทำ Native API เข้าไปในเบราว์เซอร์ที่กำหนดแล้วทำ Challenge Response เอาเองสิ จะมาทำให้เป็นมาตรฐานกลางทำไม เอาให้พอใจทุกฝ่ายมันต้องทำเหมือน Root CA เลยที่กระจายอำนาจไปให้หลาย ๆ เจ้าทำ ไมใช่ฮุบไว้แค่เบราว์เซอร์หลัก
นับจริงๆ ก็ไม่ได้ต่างจาก Widevine พวก DRM ทั้งหลายนะครับ เบราว์เซอร์ / มือถือ ไม่ certified ก็โดนจำกัดฟีเจอร์ เล่นหนังความละเอียดสูงไม่ได้
lewcpe.com, @wasonliw
คนถ้ามีแรงจูงใจในการทำ bot/spam เดี๋ยวก็มี crack/hack ออกมา patch อยู่ดีครับแต่กลับกลายเป็นว่าเพิ่มความยุ่งยากวุ่นวายให้กับ user ทุกคนแทน
edit 1
เข้าไปอ่านหลักการทำงานละผมบอกเลยว่าตัว attestation มันมีอำนาจเยอะเหลือเกินจริงๆจะเข้าเว็บต้องไปขอไปง้อมันทุกครั้้ง ถถถถถถถ.
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.