Os planos do Google para introduzir a API de Integridade do Ambiente da Web (IAW) no Chrome encontraram forte resistência de desenvolvedores de software da internet, atraindo críticas por limitar a liberdade do usuário e minar os princípios fundamentais da internet aberta.
Funcionários da Vivaldi, Brave e Firefox manifestaram uma forte oposição à proposta padrão do Google, e alguns chegaram a chamá-la de DRM (gerenciamento de direitos digitais) para sites.
A Integridade do Ambiente da Web (IAW) é uma nova proposta de API que introduz um mecanismo de confiança do site que permite aos sites avaliar a autenticidade de dispositivos e tráfego de rede em clientes (navegadores) e bloquear interações falsas ou inseguras.
Por exemplo, este mecanismo pode ser usado para detectar se um ser humano ou um bot está visitando um site ou se um navegador específico em um tipo específico de dispositivo é confiável.
Os sites usarão a API para solicitar um token de um "atestador" certificado, que será criptografado para evitar adulterações, ajudando o primeiro a validar que as informações do cliente são legítimas.
O objetivo declarado da proposta IAW é ajudar os sites a determinar a autenticidade do dispositivo e do stack de software do qual estão recebendo tráfego e proteger os usuários contra fraudes, desencorajando atividades online maliciosas.
Casos de uso incluem detecção de engajamento falso nas redes sociais, campanhas de phishing, tráfego não humano, tentativas de sequestro em massa de contas, trapaças em jogos, dispositivos comprometidos e força bruta de senha.
O Google afirma que isso não é um risco à privacidade, pois não permite o rastreamento de usuários entre sites e não interferirá na funcionalidade do navegador ou plugins/extensões.
Embora o que mencionamos acima pareça positivo e útil, o desenvolvedor do navegador Vivaldi, J.
Picalausa, chamou a IAW de "perigosa" em um artigo publicado no início desta semana.
"Se uma entidade tem o poder de decidir quais navegadores são confiáveis e quais não são, não há garantia de que eles confiarão em um navegador específico", escreve Picalausa.
"Qualquer novo navegador por padrão não seria confiável até que de alguma forma demonstre que é confiável, a critério dos atestadores."
Além disso, Picalausa destaca a ambiguidade da proposta do Google, que, segundo ele, deixa uma margem significativa para possíveis abusos, como colecionar dados comportamentais dos clientes.
O post da Vivaldi explica ainda que escolher não implementar a IAW será complicado, pois o Google pode facilmente abusar de sua posição dominante no mercado de publicidade para impor sua adoção pela maioria dos sites, tornando inúteis os projetos de navegadores dissidentes.
A equipe do navegador Brave, no entanto, não teme este cenário, pois seu co-fundador e CEO, Brendan Eich, confirmou que eles não planejam adotar o IAW.
Em resposta a um tópico no Twitter, Eich afirmou que o suporte ao IAW não será implementado no Brave, como eles fazem com muitos outros mecanismos invasivos de privacidade que o Google insere no código do Chrome, que o Brave usa como base.
Quanto à Mozilla, a organização da internet ainda não expressou uma opinião oficial.
No entanto, o engenheiro do Firefox, Brian Grinstead, comentou no início desta semana que a Mozilla se opõe à proposta, pois contradiz seus princípios e visão para a web.
"Mecanismos que tentam restringir essas escolhas são prejudiciais à abertura do ecossistema da Web e não são bons para os usuários", diz a declaração de Grinstead.
"Além disso, os casos de uso listados dependem da capacidade de "detectar tráfego não humano", o que, como descrito, provavelmente obstruiria muitos usos existentes da web, como tecnologias assistivas, testes automáticos e arquivamento & mecanismos de busca."
Atualmente, a proposta de API de IAW do Google ainda está em uma fase inicial de desenvolvimento e pode mudar de forma ou ser significativamente alterada se todos os interessados concordarem com sua implementação.
Além disso, será interessante ver a resposta dos mecanismos legislativos anti-monopolistas e autoridades de concorrência a esta proposta, se o Google tentar impô-la agressivamente, apesar das vozes de preocupação e múltiplas objeções contra ela.
A BleepingComputer entrou em contato com a Apple e a Microsoft para saber se irão apoiar este novo padrão, mas não recebeu uma resposta até o momento.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...