กูเกิลเสนอ API สำหรับตรวจสอบเบราว์เซอร์, Vivaldi ออกมาเตือนว่าสร้างระบบปิด

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 July 2023 - 13:22 Tags:
Topics: 
Google
Internet
Browser
DRM
Node Thumbnail

ทีมวิศวกรจากกูเกิลเสนอ Web Environment Integrity API (WEI) ฟีเจอร์ในเบราว์เซอร์ที่เปิดให้เว็บตรวจสอบได้ว่าผู้ใช้กำลังเข้าใช้งานด้วยเบราว์เซอร์ที่น่าเชื่อถือ ไม่มีการดัดแปลง

ประโยชน์ของ API นี้ เช่น สำหรับตรวจสอบการเข้าเว็บด้วยบ็อต, การสร้างบัญชีจำนวนมากๆ บนบริการต่างๆ, การตรวจสอบยอด engagement หรือยอดการชมโฆษณาว่าไม่ได้มาจากบ็อต

แนวทางการทำงานของ WEI นั้นคล้ายกับ Private Access Token (PAT) ของแอปเปิล แต่จะเปิดเผยข้อมูลให้เว็บมากกว่าเพื่อให้ใช้งานด้านอื่นได้ เช่นเว็บธนาคารสามารถล็อกไม่ให้ใช้งานจากอุปกรณ์เก่าที่ไม่มีแพตช์แล้ว หรือ “สัญญาณบางอย่าง” เพื่อจำกัดความถี่ในการใช้งานจากอุปกรณ์หนึ่งๆ โดยทีมงานยืนยันว่าไม่ต้องการใส่หมายเลขประจำตัวอุปกรณ์​ (ซึ่งจะทำให้เว็บสามารถติดตามผู้ใช้ได้อย่างละเอียด)

API รูปแบบนี้เปิดให้เจ้าของแพลตฟอร์ม เช่น Google Play หรือ Microsoft Store สามารถเลือกรับรองเบราว์เซอร์ตัวใดได้บ้าง ทำให้ผู้ผลิตเบราว์เซอร์รายเล็กอย่าง Vivaldi ออกมาแสดงความไม่พอใจ และชี้ประเด็นว่ากูเกิลพยายามเพิ่ม API สำหรับติดตามขอข้อมูลผู้ใช้มาหลายตัว เช่น FLOC, TOPIC, และ Client Hints

ที่มา - GitHub: Web-Environment-Integrity

No Description

Get latest news from Blognone

Comments

By: rattananen
AndroidWindows
on 27 July 2023 - 13:40 #1290537

แล้วมันมีประโยชน์อะไรกับ dev ทั่วไป

เอาจริงๆ เวลา dev ควรจะ dev ด้วยความไม่เชื่อใจ man-in-middle/3rd party
เพื่อ secure ไว้ก่อน
ดีกว่าต้องมาแก้ทีหลังเมื่อมันมีปัญหา

ผมจะได้ไม่ต้องไปดู Bourne series ภาค4

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 July 2023 - 13:51 #1290540 Reply to:1290537
lew's picture

dev ทั่วไปอาจจะหมายถึง dev เว็บธนาคาร (หรือเว็บการเงินอื่นๆ) ก็จะยืนยันได้ครับว่าเครื่อง user ไม่ถูกแฮก อัพเดตเรียบร้อยดี

พวกนี้ระดับองค์กรมีใช้งานอยู่แล้ว ถ้าระบบนี้เข้ามาก็จะทำให้กลายเป็นฟีเจอร์ built-in แต่เครื่ององค์กรนั้นไม่มีเงื่อนไขด้านความเป็นส่วนตัวนัก (พนักงานโดนเตือนให้แยกไปใช้งานส่วนตัวเครื่องอื่นก่อนแล้ว)

lewcpe.com, @wasonliw

By: navefa on 27 July 2023 - 14:26 #1290545
navefa's picture

feature พวกนี้มันต้องเก็บข้อมูลส่วนตัวของผู้ใช้ระดับหนึ่ง ถ้าพวกธนาคารเอาไปใช้ก็เป็นไปได้ว่าผู้ใช้งานต้องปิดพวก privacy blocker หรือ ads block ออกเพื่อส่งข้อมูลส่วนตัวไปไม่งั้นจะไม่สามารถใช้งานได้
ก็มีโอกาสที่ Google จะได้ข้อมูลส่วนตัวเพิ่มจากพวกที่ปิดส่วนนี้ไปเหมือนกัน

By: big50000
AndroidSUSEUbuntu
on 27 July 2023 - 16:49 #1290558
big50000's picture

API รูปแบบนี้เปิดให้เจ้าของแพลตฟอร์ม เช่น Google Play หรือ Microsoft Store สามารถเลือกรับรองเบราว์เซอร์ตัวใดได้บ้าง ทำให้ผู้ผลิตเบราว์เซอร์รายเล็กอย่าง Vivaldi ออกมาแสดงความไม่พอใจ และชี้ประเด็นว่ากูเกิลพยายามเพิ่ม API สำหรับติดตามขอข้อมูลผู้ใช้มาหลายตัว เช่น FLOC, TOPIC, และ Client Hints

ถ้าเป็นแบบนี้จริงคืออย่างชั่วเลยนะ หาทำสุด ๆ ถ้าห่วงกับอีแค่การแฮกจาก Unauthorised Browser ก็แค่ทำ Native API เข้าไปในเบราว์เซอร์ที่กำหนดแล้วทำ Challenge Response เอาเองสิ จะมาทำให้เป็นมาตรฐานกลางทำไม เอาให้พอใจทุกฝ่ายมันต้องทำเหมือน Root CA เลยที่กระจายอำนาจไปให้หลาย ๆ เจ้าทำ ไมใช่ฮุบไว้แค่เบราว์เซอร์หลัก

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 July 2023 - 21:27 #1290571 Reply to:1290558
lew's picture

นับจริงๆ ก็ไม่ได้ต่างจาก Widevine พวก DRM ทั้งหลายนะครับ เบราว์เซอร์ / มือถือ ไม่ certified ก็โดนจำกัดฟีเจอร์ เล่นหนังความละเอียดสูงไม่ได้

lewcpe.com, @wasonliw

By: aomnaruk
ContributorAndroidUbuntuWindows
on 27 July 2023 - 23:21 #1290575

คนถ้ามีแรงจูงใจในการทำ bot/spam เดี๋ยวก็มี crack/hack ออกมา patch อยู่ดีครับแต่กลับกลายเป็นว่าเพิ่มความยุ่งยากวุ่นวายให้กับ user ทุกคนแทน

edit 1

เข้าไปอ่านหลักการทำงานละผมบอกเลยว่าตัว attestation มันมีอำนาจเยอะเหลือเกินจริงๆจะเข้าเว็บต้องไปขอไปง้อมันทุกครั้้ง ถถถถถถถ.

"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.