Een nieuwe Web Environment Integrity (WEI) API wordt getest op Google Chrome. Over het project zijn ontwikkelaars niet te spreken, zij schrijven het af als iets gevaarlijk, beperkend en zelfs ondermijnend voor de basiswaarden van het internet.
Google deed een nieuw API-voorstel, dat Web Environment Integrity (WEI) moet brengen naar websites. Zo kunnen websites de authenticiteit van toestellen en netwerkverkeer via verschillende browsers monitoren. Verdachte zaken kunnen via WEI eenvoudig geblokkeerd worden, wat betekent dat gebruikers de toegang ontzegt kan worden.
Wat goed en wat slecht is, bepaald een ‘attester’. Dat is de naam voor een gezaghebbende derde partij, zoals Google. Websites contacteren de attester om na te gaan of het verbindingsverzoek legitiem is. De attester heeft voor veilige verzoeken een attest klaarstaan, dat versleuteld is om vervalsing te voorkomen.
Zaken die WEI moet tegenhouden zijn onder andere botverkeer op websites, phishing campagnes en pogingen om wachtwoorden te kraken. Volgens Google vormt de API geen bedreiging voor de privacy van gebruikers, cross-site user tracking zou niet mogelijk zijn en de API komt niet in contact met plug-ins op de webbrowser.
API is ‘gevaarlijk’
Concurrerende webbrowsers Vivaldi, Brave en Firefox, hebben hun eigen visie op het voorstel. Zo schrijft Julien Picalausa, een ontwikkelaar van de browser Vivaldi, dat het voorstel gevaarlijk is. “Als een entiteit de macht heeft om te beslissen welke browsers worden vertrouwd en welke niet, is er geen garantie dat ze een bepaalde browser zullen vertrouwen. Elke nieuwe browser zou standaard niet worden vertrouwd totdat ze op de een of andere manier hebben aangetoond dat ze betrouwbaar zijn, naar goeddunken van de attesters.”
Zo blijkt het voorstel alvast in het nadeel te spelen van nieuwe partijen die naam willen maken in de browserwereld. Er zijn ook zorgen dat de API ad-blockers zal uitzetten en scrapen onmogelijk maakt, omdat dit gebeurt via botverkeer. Google roept ad-blockers echter al een halt toe met Manifest V3, de nieuwste versie van het Chrome Extensions-platform.
Tip: YouTube verstrengt beleid rondom ad-blockers
Privacy niet gegarandeerd
Volgens Picalausa is het hele privacyverhaal ook niet met zekerheid te zeggen. De vage formulering van het voorstel zou Google namelijk de mogelijkheid geven om gedragsmetingen bij te houden van internetgebruikers.
Brave, een Chromium-gebaseerde webbrowser, zegt de API niet te zullen gebruiken. De CEO van de webbrowser, Brendan Eich, antwoordde dat op een bericht op het social mediaplatform X. “We leveren geen WEI-ondersteuning, net zoals we veel andere rommel die Google in Chromium stopt, uitschakelen of op een andere manier teniet doen.” Het bericht waar de CEO op antwoordde veronderstelde dat Google de integratie van WEI verplicht in Chromium.
‘Bedreigt de openheid van het webecosysteem’
Van concurrent Mozilla is er officieel nog geen antwoord op het voorstel. Brian Grinstead, engineer bij Firefox, liet eerder wel al verstaan dat de webbrowser het voorstel verwerpt. “Mozilla is tegen dit voorstel omdat het in tegenspraak is met onze principes en visie voor het web. Mechanismen die deze keuzes proberen te beperken, zijn schadelijk voor de openheid van het webecosysteem en zijn niet goed voor gebruikers.”
Toch heeft concurrent Apple een gelijkaardige tool voor de Safari-browser. Private Access Tokens noemt het. De browser integreerde de tool ongeveer een jaar geleden en dient om de zender van een HTTP-verzoek te controleren. Hoe komt het dat een soortgelijke tool zonder al te veel weerstand wel in Safari ingebouwd kon worden? Tim Perry, bedenker van de tool HTTP Toolkit, schrijft in een blog over het onderwerp dat het komt door het kleinere marktaandeel van Safari.
Google schrijft de Private Access Tokens af als een tool die de vrijheid te hard beperkt. In het WEI-voorstel staat hierover: “Vanwege de volledig gemaskeerde tokens gaat deze technologie ervan uit dat de attester een duurzame attest van hoge kwaliteit kan produceren zonder enige feedback van websites over hiaten zoals fout-positieven of fout-negatieven.”
Google zegt zelf een voorstel in handen te hebben dat webbrowers beter beschermd en voornamelijk inspeelt op het probleem van bots en scraping. Het voorstel krijgt flink kritiek vanuit concurrerende webbrowsers en ontwikkelaars, die waarschuwen voor de privacy en de openheid van het web. Concurrent Apple heeft een soortgelijk protocol, dat volgens Google zelfs nog strenger is, vorig jaar wel zonder veel moeite in zijn webbrowser kunnen integreren.