Non ha mancato di suscitare polemiche la proposta di Google dedicata ad una nuova modalità per stabilire se un browser Web può essere considerato affidabile. Parliamo della WEI (Web Environment Integrity) il cui primo annuncio risale allo scorso maggio. Le specifiche sono state diffuse invece alla fine della scorsa settimana. A sottolinearne le implicazioni negative sarebbero stati soprattutto coloro che seguono l'implementazione di Blink, il motore di rendering di Chromium da cui Chrome mutua la sua codebase.
Come funziona WEI
Tecnicamente WEI può essere descritto come una sorta di "meccanismo di fiducia" tra client e server attivato tramite una piattaforma di terze parti, come Google Play. Quest'ultima ha il compito di fornire un token con cui certificare l'integrità dell'ambiente in cui opera il client. In questo modo gli utenti dovrebbero disporre di uno strumento in più per proteggersi da attività fraudolente. Nel contempo i gestori dei siti Web avrebbero la certezza che il browser utilizzato dal visitatore non produce comportamenti anomali.
The Web Environment Integrity API allows user agents to request attester verdicts from an attester that can be used to verify the integrity of the web environment. These verdicts are piped to a relying party where they are validated for authenticity.
WEI dispone di un'API con cui gli user agent possono richiedere un'attestazione di integrità riguardante la sicurezza dell'ambiente Web di riferimento. Dovrebbe essere così esclusa la presenza di bot, sistemi finalizzati a violare le credenziali di autenticazione e dispositivi che potrebbero essere stati compromessi.
I limiti di WEI
Si tratta in sostanza di un meccanismo già presente in sistemi come Android e iOS ma applicato ad Internet. Esiste però un problema di compliance con le normative europee sulla privacy, dato che qualsiasi attività Web dovrebbe essere analizzata per l'attestazione. Rimane inoltre il problema che a stabilire cosa è affidabile e cosa no è in pratica un'azienda come Big G.
La codebase di Chromium viene utilizzata in Chrome, Microsoft Edge e Brave (tanto per citare le soluzioni più note). Parliamo quindi di una grossa fetta del mercato browser ma WEI non è uno standard aperto. Questo significa che in futuro potrebbe essere più difficile assistere alla nascita di nuovi progetti dedicati alla navigazione degli utenti.