コミュニティの懸念が高まる中、Googleは、オンライン詐欺に対抗すると言われていたものの、批評家からはウェブサイトのDRMのように見える、物議を醸している技術を今後開発しないと発表しました。
その代わりに、チョコレートファクトリーは、Android アプリ内に埋め込むことができる Chrome ブラウザのバージョンである Android WebViews 向けの技術のより限定されたバージョンに取り組む予定です。
Googleは、5月に開発者向けメーリングリストで発表したWeb Environment Integrity APIを、クロスサイトトラッキングやブラウザフィンガープリンティングなどのプライバシー問題を引き起こすことなく、オンラインでの詐欺や不正使用を制限する手段として機能させることを意図していた。
WEIは認証スキームであり、ウェブサーバーが暗号トークンを用いてブラウザクライアントの信頼性を確認する手段を提供します。その目標の一つは、「ウェブサーバーがデバイスの信頼性、ソフトウェアスタックの正確な表現、そしてデバイスからのトラフィックを評価できるようにする」ことです。
つまり、この API により、ウェブサイトは、実在の人物になりすましたページスクレイピング ボットや、不正に広告を表示したりクリックしたりその他の悪質な行為を企む悪質ソフトウェアではなく、通常のブラウザを使用している正当なユーザーがウェブサイトを訪問しているかどうかを判断できるようになります。
これを実現するには、システムはアテステーション(認証)を通じて、訪問者のソフトウェアとハードウェアスタックが特定の基準を満たし、真正であるかどうかを確認する必要があります。これは、コンテンツブロッカーや動画ダウンローダーなど、ウェブサイト所有者が満足できない設定をしている訪問者を拒否するために悪用されるまでは、非常に有効です。
Googleのブラウザセキュリティ計画は、ウェブサイトにとって危険でひどいDRMだと非難されている
以前
技術系の人々はすぐにこれを理解し、Googleがウェブにデジタル著作権管理(DRM)のようなものを作り出そうとしているのではないかと懸念を抱きました。メリットの一つは、広告詐欺の防止が容易になる可能性があることです。しかし、リスクは、このAPIがウェブサイトや第三者に訪問者が使用するブラウザやソフトウェアスタックへの発言権を与えることで、ウェブの自由を制限するために利用される可能性があることです。
ちなみに、Apple はすでに Private Access Token と呼ばれる独自の認証スキームを出荷しているが、これも同様の懸念を抱かせるものの、すべてのデバイスを合わせた Web ブラウザ市場における Safari の全体的なシェアが Chrome よりはるかに低いため、Google の提案ほど心配する必要はないと言えるだろう。
Googleは、Play Integrity APIとFirebase App Checkという、さらに限定的な2つの認証サービスも提供しています。また、YouTube子会社によるクライアントブラウザの広告ブロック拡張機能のスキャンも、暗号トークンではなくインストールされたソフトウェアを評価するという点では、認証または整合性チェックの一種と言えるでしょう。
Google の計画は、Chrome や Edge、Brave、Vivaldi、その他さまざまなブラウザ(Firefox や Safari は除く)のオープンソース基盤である Chromium で Web Environment Integrity API のプロトタイプを作成することでした。
- Googleのブラウザセキュリティに関する次の大きなアイデアは、一部の人にとっては新たな自由獲得のように見える
- Google Chromeは、閲覧履歴に基づいたターゲット広告を推進しています
- EFFはChromeユーザーにプライバシーサンドボックスから抜け出すよう促している
- Google Chromeのプライバシーサンドボックスが一般公開:ウェブサイトがユーザーの習慣を直接利用して広告を表示できるようになる
しかし、7月にワーキングドラフト仕様が公開された後、プロジェクトの問題フォーラムとソーシャルメディアチャンネルの両方で技術コミュニティからの批判的なフィードバックが殺到し、Googleは守勢に立たされました。その後、関係するGoogle社員はプロジェクトリポジトリへのコメント投稿者を制限し、プロジェクトの公開開発は停止されました。
プロジェクトの現状について散発的に問い合わせがあった後、3か月が経過し、Googleは野心を和らげた。
「皆さんのフィードバックを聞き、Web Environment Integrity の提案は Chrome チームでは検討されなくなりました」と同社の Android チームは木曜日に発表した。
そこで Chrome チームは、企業のブラウザに導入されていたプロジェクト コードを元に戻すコミットを提出しました。
代わりに、Android チームは、Android アプリに埋め込まれた WebView のみを対象に同様の形式の認証を提供する Android WebView Media Integrity API に重点を置くことを目指しています。
Androidチームは、「これは単にGoogle Mobile Services(GMS)を搭載したAndroidデバイスの既存の機能を拡張するものであり、ストリーミングビデオやオーディオなどの埋め込みメディア以外、またはAndroid WebViewsを超えて提供する予定はない」と述べた。
Google社員は、Androidアプリにメディアファイルを埋め込んだウェブページを埋め込む機能は、モバイルアプリ開発においてはメリットとなる一方で、不正行為の温床にもなりかねないと指摘しています。悪意のある開発者は、埋め込みコンテンツやユーザーによる操作方法に干渉する可能性があります。Android WebView Media Integrity APIは、WebViewにメディアを埋め込むユーザーが、ストリーミングメディアなどのアセットが、埋め込まれたアプリ内で表示され、第三者の信頼できないアプリでは表示されないことを保証することを目指しています。
このプロセスのテストに興味のあるメディアプロバイダーは、来年予定されている早期アクセス プログラムに参加できます。®
