La web integrity api è uno standard che Google introdurrà nel proprio browser, e apparentemente non su chromium, per certificare l'accesso tra dispositivi identificati, indipendentemente dall'umano che li usa.
Qualcosa di simile a Fido2 per intenderci.
Quello che si teme è che questo standard possa essere esteso al web per fare le liste dei buoni e dei cattivi server / siti e influenzare anche la search.
Attualmente possiamo notare che le liste dei cattivi già esistono e sono open e supportate da privacy badger, ublock origin e altre estensioni molto apprezzate. Google a sua volta già pesa i domini usati per influenzare malevolmente la search.
La differenza è nella possibilità di installarle o meno, e nel fatto che gli autori non sono operatori dominanti. Brave comunque, avendo ublock origin già inserito nel pacchetto distribuito, costituisce una singolare e virtuosa eccezione, in quanto finalizzato a difendere da tracking.
Come si vede il tema è la finalità dello uso di questo standard, e del suo uso concreto.
Come direbbero alcuni, il problema non è trovare una regola che impedisca a chiunque eventuali abusi, il problema è vietare all'operatore dominante di avere tanto potere e abusarne.
Questo tema assai recente è di particolare interesse: certe tecnologie non vanno vietate a tutti per impedire agli operatori dominanti di usarle male. Andrebbe vietato solo a loro di svilupparle e gestirle.
Da notare che alcuni la associano ai DRM perchè controllerebbe il traffico e il fatto che le azioni richieste provengano da un umano o una macchina: una sorta di captcha preventivo.
Viene sottovalutata la parola "environment". Questa da sola indica molto di piu':
// None of the code below is part of the Web Environment Integrity API being // proposed. This is an example of how you can verify the environment's integrity // on your web server. function isAttested(attestation, contentBinding) { if (!isAttesterTrustedByMe(attestation)) { return false; } // The attester's public key is retrieved directly from the attester. const attestersPublicKey = getAttestersPublicKey(attestation); // We then validate the attestation token using the attester's public key. // We also check the content binding and replay protection in the attestation. if (!isTokenRecentEnoughAndValid(attestersPublicKey, attestation)) { return false; } // Check contentBinding hash in attestation // Make decisions using the attestation.payload // ... }
Si legga anche Vivaldi cosa ne pensa.