Компании Google и Apple представили две похожие технологии «для борьбы с онлайн-мошенничеством и другими злоупотреблениями без ущерба для приватности». Инициатива Google называется Web Environment Integrity (WEI). Похожая технология от Apple под названием Private Access Tokens (токены приватного доступа) представлена в прошлом году, а сейчас интегрирована в MacOS 13, iOS 16 и Safari, то есть официально введена в строй.
Суть в том, что Google или Apple выполняют проверку клиентского устройства — и гарантируют серверу его аутентичность. В свою очередь, сервер отдаёт контент только «правильным» посетителям.
Некоторые специалисты считают, что аттестация устройств вредна по своей сути, поскольку вводит ограничения на доступ к контенту и блокирует контроль пользователей над собственными устройствами (например, можно запретить доступ к сайту для пользователей с рутованными телефонами, старыми версиями приложений или блокировщиками рекламы).
Аттестация сайтов формально вводится «для установления доверия между клиентом и сервером» как альтернатива фингерпринтингу и установке сквозных куков. Это доверие устанавливается через гарантии от стороннего «аттестатора», которым в случае WEI выступает Google Play, а с токенами приватного доступа — соответственно, Apple.
WEI от Google
Код WEI для Chromium появился на Github в апреле 2023 года, а официально анонсирован в мае. Но он не привлекал особого внимания общественности вплоть до 21 июля, когда был опубликован черновик спецификации Web Environment Integrity (с примечанием «коллекция интересных идей»).
Если вкратце, WEI предлагается в качестве API для «передачи сигналов доверия с низкой энтропией в веб-среде». Этот API основан на том, что пользовательские агенты имеют доступ к аттестатору и могут передать серверу гарантии своей аутентичности («целостности среды» в терминологии документа).
Пример запроса на аттестацию целостности среды:
// getEnvironmentIntegrity ожидает «привязки к содержимому» запроса.
// Такая привязка защищает от использования этой информации
// для другого запроса. Перед отправкой аттестуемому содержимое
// contentBinding будет конкатенировано с доменным именем и хэшировано.
const contentBinding = "/someRequestPath?requestID=xxxx" +
"Любые другие данные, необходимые для соответствующего этому запросу contentBinding...";
const attestation = await navigator.getEnvironmentIntegrity(contentBinding);
console.log(attestation.encode());
"полезная нагрузка аттестации в кодировке base-64 и подпись общим размером примерно 500 байт"
const response = await fetch(`/someRequest?requestID=xxxx&attested=${attestation.encode()}`);
Аттестационный токен возвращается в виде
ArrayBuffer
, сериализованного с помощью CBOR (RFC 8949) и подписанного с помощью COSE (RFC 9052).На втором этапе веб-сервер проверяет достоверность аттестуемой информации с использованием открытого ключа аттестатора. Затем на основе полученной информации принимаются решения:
// Этот код не является частью Web Environment Integrity API, а лишь примером,
// как можно проверить целостность среды со стороны сервера
function isAttested(attestation, contentBinding) {
if (!isAttesterTrustedByMe(attestation)) {
return false;
}
// Открытый ключ аттестатора запрашивается у него напрямую.
const attestersPublicKey = getAttestersPublicKey(attestation);
// Валидация токена с помощью открытого ключа аттестатора.
// Привязка к содержимому и защиту от повторного воспроизведения.
if (!isTokenRecentEnoughAndValid(attestersPublicKey, attestation)) {
return false;
}
// Проверить хэш contentBinding
// Принять решения на основе attestation.payload
// ...
}
Автор технологии Web Environment Integrity, программист Google Бен Уайзер (Ben Wiser) в комментарии на Github отвечает на критику со стороны сообщества. По его словам, «эксперимент WEI является частью более масштабной задачи по обеспечению безопасности и открытости интернета, а также по борьбе с межсайтовым отслеживанием и уменьшению зависимости от фингерпринтинга в борьбе с мошенничеством и злоупотреблениями».
Токены приватного доступа от Apple
Пока продолжается дискуссия вокруг WEI, компания Apple де-факто ввела в действие похожую программу Private Access Tokens. Как уже упоминалось, токены приватного доступа были представлены в прошлом году, но сейчас они интегрированы в MacOS 13, iOS 16 и Safari, то есть во все устройства Apple. Разумеется, без поддержки со стороны веб-сайтов ничего не будет работать: нужно ещё убедить разработчиков установить проверку устройств на своих сайтах.
Токены приватного доступа работают по следующему алгоритму:
- Браузер делает HTTP-запрос к веб-серверу.
- Сервер отклоняет запрос и возвращает ответ HTTP 401 с вызовом
PrivateToken
:HTTP/1.1 401 Unauthorized WWW-Authenticate: PrivateToken challenge=<base64 challenge data>, token-key=<base64 public-key>
- Браузер распознаёт это и отправляет аттестатору (например, Apple) часть вызова, а также проверенные данные о вашем устройстве.
- Аттестатор проверяет устройство на отсутствие модификаций (зависит от устройства, но в Android и iOS существуют способы проверки) и возвращает эмитенту токена (третья сторона, например, Cloudflare/Fastly) подписанный токен, который доказывает легитимность устройства.
- Браузер отправляет повторный запрос с подписанным токеном в заголовке
Authorization
:GET /protected-content HTTP/1.1 Host: example.com Authorization: PrivateToken token=<signed token>
- Теперь сервер знает, что клиент был проверен доверенным провайдером (но не более того), и может поступить соответствующим образом.
Кому это нужно
Наверняка многим веб-сайтам эта идея понравится, потому что токены приватного доступа — это более надёжная альтернатива традиционным юзер-агентам. Она позволяет заблокировать ботов, которые впустую тратят ресурсы сервера и публикуют фейковые посты. Капча станет не нужна. Игровые сайты смогут выявлять читеров. Заражённые устройства и ботнеты станут выявляться автоматически. Казалось бы, одни плюсы. Неспроста Cloudfalre начала внедрять токены приватного доступа ещё в прошлом году.
В перспективе таким образом можно не просто отличать людей от ботов, но и узко таргетировать аудиторию по полу, возрасту, уровню дохода и месту проживания и т. д. (см. фильтры для рекламодателей в Facebook), поскольку у «аттестатора» как владельца операционной системы на устройстве есть эта информация.
Иногда бывает так, что задуманные с благой целью инициативы в итоге приносят больше вреда, чем пользы. К сожалению, изначально хорошие намерения вовсе не гарантируют положительный результат. В данном случае логично предположить, что каждая крупная IT-корпорация будет продвигать собственную «систему аттестации», а к упомянутым Apple и Google присоединится и Microsoft (см. Trusted Windows). Всё это может привести к фрагментации экосистемы интернета, доставляя лишние проблемы и разработчикам, и пользователям.
В случае принятия этот стандарт, который сравнивают с DRM, по своей сути может вступить в противоречие с открытой архитектурой свободного интернета, а также с базовым правом граждан на анонимный и безопасный доступ к контенту. Поэтому новые инициативы воспринимаются сообществом с некоторой опаской.
Есть мнение, что WEI представляет собой ещё одно препятствие для альтернативных браузеров. С официальной критикой технологии выступила Mozilla и др.
«Я не думаю, что это [токены аттестации] решение проблемы, — говорит Йон фон Течнер, разработчик Opera и Vivaldi. — Настоящее решение в том, чтобы уйти от экономической модели, основанной на слежке за людьми. Мы пытаемся противостоять такой модели, запретить сбор данных, профилирование пользователей и использование их в рекламе. Я действительно не понимаю, почему это остаётся законным. Экономика слежки крайне токсична. Она создаёт значительные проблемы для общества, и отказаться от слежки — по-моему, очевидное решение. Использовать её бессмысленно, есть другие способы рекламы, которые работают не хуже. Но для определённых компаний это большие деньги, и они не хотят отказываться от того, что имеют».
Есть подозрение, что корпорации вводят аттестацию устройств вовсе не для того, чтобы защитить приватность пользователей, а скорее для расширения своего влияния в интернете как единственного и уникального владельца пользовательских профилей. То есть в конечном итоге всё сводится к тому, кто будет контролировать информацию, критически важную для электронной коммерции и рекламного рынка.
Примечание. Идея «доверенных устройств» (“Trusted Computing”) не нова и многократно обсуждалась в прошлые десятилетия. Например, см. статью Ричарда Столлмана от 2005 года по поводу чипов TPM. Сейчас идея удалённой аттестации устройств вернулась в новом виде. В качестве веб-токенов для аттестации также предлагаются технологии PrivacyPass, Trust Token API и UserConfidenceScore.
Комментарии (50)
truthseeker
12.08.2023 20:40+11Кстати, а кто сказал, что всё это затевается действительно ради того, чтобы оповестить владельца сайта, что на его сайт 100% лезет очередной Василий Пупкин со средненьким доходом, интересующийся тачками, дешёвым алкоголем, и соседками женского пола? И что при этом его браузер не взломан, а девайс не рутирован? Может изначально делают всё не для этого? А чтобы торговать "обезличенной" информацией о профиле пользователя, и его предпочтениях, убеждая владельцев сайтов, что они получат только реальных посетителей с доходом, к примеру, не ниже среднего, и 100% не ломанной ОС на девайсе? Так сказать, будут делиться с владельцами сайтов нужной информацией не совсем за бесплатно, и под прикрытием "благой" цели заботы о безопасности? Иметь максимально подробное досье на каждого владельца устройства, с ОС и браузером от конкретного производителя, и сливать его за небольшую плату всем сайтовладельцам под видом "защиты интернета" — это же гениально. Это просто афёра века. Под видом заботы о пользователях, и владельцах сайтов.
P.S.: что-то не понял, а что будет тогда с посетителями сайтов, и популярных сервисов, что используют альтернативные ОС, не следящие за пользователем(вроде Linux и FreeBSD), равно как и с пользователями не прогнувшихся браузеров, вроде Firefox/Librewolf? Корпорасты на пару с владельцами сайтов "обнулят" таких посетителей? Или заставят проходить 100500 капч, и присылать на каждый GET-запрос своё фото с паспортом в правой руке?
Nansch
12.08.2023 20:40Быть обнулённым круто. Это признание испорченным обществом факта приверженности обнулённого к классической философии бытия.
qw1
12.08.2023 20:40+3Проблема в том, что вы не будете безусловно обнулённым.
У вас будет выбор — продолжать сидеть отключенным от сервисов крупных компаний, или начать идти на уступки — вот здесь авторизоваться, чтобы заказать пиццу на день рождения (ну раз в год то можно?), тут авторизоваться, чтобы посмотреть условный инстаграмм подружки, когда она пришлёт сообщение со ссылкой "смотри, как я могу". Под постоянным давлением окружающих ("да ты что, параноик?"), интернет по паспорту придёт в нашу жизнь.
websnow
12.08.2023 20:40что будет тогда с пользователями не прогнувшихся браузеров, вроде Firefox/Librewolf?
Полагаю, эти пользователи найдут замену тому же Google, и правильно сделают, благо альтернативы имеются, часть пользователей попробуют движок Quantum от Mozila (скачать) и уже не вернутся на Chromium-подобные тормозные поделия. В итоге доля рынка у Linux/Firefox вырастет, веб временно скатится в зоопарк начала нулевых. В плане борьбы с ботами данное решение не выдерживает никакой критики. В целом инициатива выглядит как "забота" РКН в РФ о пользователях, только в лице "светлых, добрых" Google и Apple
funca
12.08.2023 20:40По сути это похоже на reCAPTCHA, где риски оцениваются на основе поведенческих факторов. Однако вместо перманентных кук, ставших в последнее время весьма хрупкими, предлагают генерировать отпечаток пользователя внутри браузера - который для этого может пользоваться любыми средствами, вплоть до аппаратной поддержки.
Технически браузеры уже давно собирают подобную информацию в виде различной телеметрии. Не хватает только API, чтобы пользоваться этим снаружи.
truthseeker
12.08.2023 20:40+2Поставщика браузера пользователи найдут. Web без этих зондов — набор открытых спецификаций, а значит прикрыть возможность писать клиенты и серверы без зондов пока у корпорастов не получится. Но, есть одно весомое но, которое и качнёт чашу весов на свою сторону: это вопрос о том, какую технологию поддержат крупные сервисы, вроде популярных почтовиков, социальных сетей, видеохостинга, порносайтов и крупных интернет-магазинов и маркетплейсов.
С учётом того, что крупные коммерческие структуры были бы рады получать больше информации о посетителях, я боюсь что они постепенно, но неизбежно встанут на тёмную сторону силы, потому что им так будет удобней зарабатывать деньги на пользователях.
Сорвать это может только массовый, организованный бойкот со стороны пользователей, который покажет что кто внедряет эти зонды — тот лишается прибыли. Коммерсы боятся потерять прибыли, это единственное, что их реально пугает. Бойкот может остановить внедрение подобных технологий. Вот только для организации бойкота нужно, чтобы выполнялись два условия:
пользователи должны осознать проблему и проявить свою осознанность;
для этого должны появиться в массе авторитетные блогеры и лидеры мнений, которым их свобода будет важней чем их карманы, которые проведут разъяснительную работу с людьми, объяснив им опасность подобных технологий, делающих сеть залоченной на одного-двух вендоров, и лишающей Internet остатков свободы.
Вот только одна беда — я не верю в бескорыстность десятков тысяч околоайтишных, хактивиских и политических(из условно либертарианского крыла) лидеров мнений. Они 100% в основной своей массе пойдут за Google/Apple и прочими корпорастами, как только им немного насыпят корма в кормушку. И ещё меньше я верю в осознанность основной массы интернет-пользователей(без обид, но у них с памятью и вниманием хуже, чем у улитки), и их способность устроить бойкот, хотя-бы на неделю отказавшись от использования крупных интернет-сервисов компаний, что продвигают vendor lock-in...
Небольшая группа продвинутых юзеров-противников всего этого, может начать продвигать какие-то местечковые ресурсы и сервисы без всего этого. Но, основная часть сети попадётся на эту удочку, как пить дать, попадётся...
Ловушка уже почти захлопнулась, господа! И сдаётся мне, что мы лишь можем беспомощно наблюдать за процессом её захлопывания. Хотел бы я ошибаться насчёт интернет-пользователей, и их идолов-лидеров мнений, но сдаётся мне, что я таки прав, и впереди беспросветное будущее...
qw1
12.08.2023 20:40+1Ловушка уже почти захлопнулась, господа!
И последний гвоздь в крышку — это обязательное наличие TPM-модуля для установки Windows 11. Через 10 лет пользователи уже не смогут оправдываться тем, что у них нет "технической возможности" для запуска доверенного кода в изолированной среде.
funca
12.08.2023 20:40+1По сути это дилемма заключённого. Когда оптимум по Парето и равновесие по Нэшу не сходятся, то выбирая оптимальные для себя локальные стратегии, люди неизбежно теряют в большом.
Одними из таких стратегий являются личный комфорт и безопасность. Корпорации уже давно научились этим пользоваться, потому здесь без шансов.
Спорное место WEI это возможность существования разных центров аттестации. Думаю, выбор в настройках браузера по умолчанию начнет продаваться, как это происходит с поисковиками. Поэтому разработчики браузеров, у которых вечно не хватает денег, окажутся в очереди на внедрение в первых рядах.
qw1
12.08.2023 20:40+1Мне кажется, браузер никак не сможет выбирать провайдера аттестации, потому что он должен работать на уровне ОС или даже ниже. А пускать альтернативных провайдеров в свою экосистему невыгодно вендорам ОС. Возможно, антимонопольщики что-нибудь продавят, но пройдёт много лет, как между изобретением cookies и пункту о cookies в GDPR, а там корпорации придумают что-нибудь новое.
funca
12.08.2023 20:40Насколько я понял из текста спеки, браузер от операционной системы получает лишь дополнительные биты для ключа, по которому идентифицируется пользователь, а не весь ответ. Степень же доверия к этому пользователю определяет внешний центр аттестации.
Отдать транзакцию целиком на уровнь OS, как вы заметили, это слишком явный повод разозлить правозащитников, антимонополистов и чиновников. Поэтому спецификация в этом месте закладывает гибкость. Какие альтернативы будут по факту это вопрос дискуссионный - создать надёжный центр аттестации, которому будут доверять больше чем другим, это мега-дорого.
Например, reCAPTCHA у Google это по сути скоринговая система, которая считает риски на основе различных факторов, типа истории посещений. Если пользователь определен с достаточной степенью достоверности, и с историей все хорошо, то вас пропускают даже без необходимости кликать на картинки.
qw1
12.08.2023 20:40+1Я ничего такого не нашёл по ссылке.
Там написано, что браузер тупо проксирует запрос в сервис аттестации и возвращает подписанный ответ (т.е., не может в него вмешиваться).
The attester connection is an abstract concept representing the channel through which the user agent can communicate to an attester. The user agent uses the attester connection to request new attester verdicts.
funca
12.08.2023 20:40Вероятно я слишком оптимистично воспринял:
Websites will ultimately decide if they trust the verdict returned from the attester. It is expected that the attesters will typically come from the operating system (platform) as a matter of practicality, however this explainer does not prescribe that. For example, multiple operating systems may choose to use the same attester. This explainer takes inspiration from existing native attestation signals such as App Attest and the Play Integrity API.
https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md
Они предполагают, что браузеры будут пользоваться сервисами, которые предоставляет OS, но в целом не исключают и другие сценарии.
Opaspap
12.08.2023 20:40-1сами себе яму роют, если в дижитал все нормально посчитать, то может оказаться что большая часть денег это инвестиции + пузырь гоняемый из одного типа сервисов в другой (а статистика подогнана и выдавлена из системы, типа как 30сек видеореклама и ее метрики, или провокация мисскликов)
action52champion
12.08.2023 20:40+28"Токен законопослушного платежеспособного человека с низкой компьютерной грамотностью из неподсанкционного региона" (с)
Rastler
12.08.2023 20:40Казалось бы хорошая инициатива, на деле обернется ещё большим разделением глобальной сети. Падающие прибыли сами себя не поднимут.
vanxant
12.08.2023 20:40-1Забавно, но от современных ботов это спасёт примерно никак. Они уже давно построены вокруг headless chrome / webview / electron / встроенного в ос браузера, чтобы реально выполнять js и тд. Да и писать логику бота на js тупо удобнее всего
qw1
12.08.2023 20:40+1Спасёт, потому что за браузером должен стоять подтверждённый аккаунт реального юзера. Спамеры сейчас не могут регать дешёво и помногу google и apple аккаунты.
aborouhin
12.08.2023 20:40Пока существуют браузеры не только от Apple и Google, да и браузер от Google (не знаю, как там с Apple) прекрасно работает и без всякого аккаунта, - это не так. А отказаться от поддержки всех пользователей с "неправильными" браузерами / отсутствующими аккаунтами - это для любого сайта будет как минимум смелым и неоднозначным решением.
BugM
12.08.2023 20:40Не существует уже. https://www.similarweb.com/browsers/
2% (я из них если что) пользователей Firefox мне очень жаль, но в целом это их проблема. Остальные браузеры ниже приборов идут, вообще не интересно.
vanxant
12.08.2023 20:40Есть ещё хромиум-браузеры (начиная с ие, самсунга и яндекса), доля которых в отдельных регионах может быть весьма значительной
BugM
12.08.2023 20:40Они есть на этой картинке. Самсунг это те же 2%. Да и поддержат они эту фичу. Почему нет?
Яндекс это очень региональный браузер. В мире его 0 плюс эпсилон. Всем пофиг.
qw1
12.08.2023 20:40+1А отказаться от поддержки всех пользователей с "неправильными" браузерами / отсутствующими аккаунтами
Так всё идёт к тому, что DRM модуль будет в каждом устройстве. И это не корпорация отказывается от юзеров, а маргинальные юзеры отказываются от сервисов. Потому что возможность воспользоваться сервисом у них всегда остаётся — запускай стандартый системный браузер, и не выделывайся.
Пока существуют браузеры не только от Apple и Google
Никто не запрещает любым браузерам пользоваться API аттестации. Если их выбор — не связываться с DeRMом, значит, их доля на рынке будет падать, и они попробуют это сделать опционально: мол, если хотите, снимите галочку, и за вами следить не будут.
vanxant
12.08.2023 20:40Если пользователь скачал калькулятор без смс и регистрации, у этого калькулятора будет доступ к "подтверждённому аккаунту" через системное webview
qw1
12.08.2023 20:40+2Так вы начинали с headless браузеров на железе спамеров. А теперь пришлось скатиться к ботнету на живых юзерах. Но такое слишком дорого для среднестатистического спамера, не окупится.
Тем более, Андроид агрессивно выгружает приложения из фона, а юзер не будет всё время держать калькулятор открытым. К тому же, безопасники гугл могут расследовать, откуда массово идут подписанные токены и, если этот калькулятор скачан из стора, принудительно удалять заразу с устройств, тоже через гугл-сервисы.
Finesse
12.08.2023 20:40DRM тут не причём. Эти системы — всего лишь альтернатива каптчи, где не пользователь ищет автобусы, а доверенный бэкэнд ручается за пользователя. Идентифицировать пользователей с помощью этих токенов невозможно для сайтов (по крайней мере протокол пытается предотвращать это).
qw1
12.08.2023 20:40Протокол ничего не пытается. По протоколу на входе блоб, на выходе блоб.
Авторы в своей белой бумажке пишут, что всё держится на честном словеHow can we ensure attesters are not returning high entropy responses?
- In the near term for experimentation, the attester should publicly declare what they are attesting to, with readable and verifiable verdicts.
Finesse
12.08.2023 20:40Между attester и браузером есть ещё один участник (не помню, как называется), который делает так, что браузер анонимен для attester.
qw1
12.08.2023 20:40+1Так, сайт сам сольёт аттестеру по своим каналам, потому что ему это выгодно: мол, смотри, ты мне выдал токен 28191741, дай-ка мне профиль этого юзера, чтобы я показал ему нужную рекламу. А если аттестер срощен с рекламной сетью, как google, сайт просто передаст рекламной сети токен как есть, и сеть сама разберётся, что показывать, и как обогатить досье пользователя пребыванием его на сайте.
Finesse
12.08.2023 20:40То, что вы рассказываете, это вопрос репутации issuer и attester. Протокол не даёт новые возможности. Ничего не мешает браузеру хранить уникальный идентификатор пользователя и сливать его избранным сайтам. Создавать и публично обсуждать протокол обмена токенами под видом замены каптчи — это из разряда теорий заговора.
Лицам, которые никак не аффилированы с создателями браузеров, протокол не даёт никаких возможностей для идентификации пользователей.
qw1
12.08.2023 20:40Лицам, которые никак не аффилированы с создателями браузеров
Так наоборот, раньше Гугл никак не мог подцепить юзеров сторонних браузеров, того же Firefox, у которого выключены куки. А теперь Firefox будет вынужден проксировать идентификацию в API ОС, без возможности самому что-то проверить.
То, что вы рассказываете, это вопрос репутации issuer и attester
Особенно, когда эти роли принадлежат одной компании — владельцу мобильной ОС и рекламной сети, которая и будет issuer-ом. Самим вебмастерам копаться в этом нафиг не интересно, они просто поставят готовые компоненты, как рекламные, так и "для защиты от ботов".
Finesse
12.08.2023 20:40Firefox не обязан использовать attester от гугла. Но даже если использовать attester из операционной системы, то можно поддерживать только свои доверенные issuer'ы. Напомню, что attester не генерирует токены, он лишь говорит issuer'у «этот клиент не бот, можно сгенерировать для него токен».
qw1
12.08.2023 20:40В нашем случае, обе роли, attester и issuer, берёт на себя гугл. Или есть другие кандидатуры, которые всех устроят?
ruzhic
12.08.2023 20:40Вопрос: а вот эти разработчики - они будут стигматизированы, как создающие цифровой концлагерь?
qw1
12.08.2023 20:40По принципу, до кого проще добраться? Вы лучше стигматизируйте верхушки корпораций и правительства. Мол, если депутат — я тебя не буду обслуживать, и огурчики со своей дачи не продам.
ruzhic
12.08.2023 20:40+1Лично я не стигматизирую, просто стараюсь не быть таким и исключить из своего окружения (это НЕ стигматизация, я не призываю так делать других). Но бывают особые случаи.
Тут - на Хабре - кажется любят такое: обвинять и стигматизировать по данному принципу. Потому и спросил.
aborouhin
Вообще непонятно, как это должно работать. ОК, сайт передаёт функцию по проверке клиента аттестатору. Но тот ведь просто запрашивает информацию от клиента! И что мешает условному боту, от которого мы хотим защититься (не оправдываю такую практику, просто рассматриваю типичный случай применения) "рассказать" аттестатору, что он добропорядочный браузер,
с помощью которого только дедушка по воскресеньям на сайт церкви заходил? Понятно, как оно работает в экосистеме Apple, где аттестатор и браузер (с закрытыми исходниками) контролируются одной компанией. Но как это предполагается применять в других случаях?Egor3f
Думаю, примерно как в Google Safety Net
ohno1052
Который обходится установкой одного модуля в magisk, или на уровне прошивки.
VelocidadAbsurda
Пока обходится, т.к. Гугл не отключает legacy методы аттестации / приложения не валидируют ответы должным образом. Начнут затягивать гайки (не принимать ничего, кроме hw-backed сертификата) - всё сразу станет куда печальнее.
F6CF
Обходится ли?
Сейчас этот модуль подменяет ответ о поддержке железом железной аттестации, и гугл для поддержки старых устройств доверяет такому ответу.
В перспективе гуглу ничего не мешает начать проверять соответствие данного факта реальности (Сопоставить отпечатки с устройством, проверить по базе данных устройств с железной аттестацией), либо вовсе разрешить проверяющим запрещать устройства без железной аттестации
Tarakanator
ЕМНИП safetynet имеет 3 уровня.
1й обходится легко.
2й обходится в magisk, но вроде чуть сложнее, чем 1 модуль.
3й не обходится даже в теории.(по крайней мере так было 1-2 года назад)
Другое дело что сейчас вроде бы никто не требует прохождения по 3му уровню т.к. он не совместим со старыми устройствами.
P.S. Наверняка я ошибся где-то в частностях, но общий смысл именно такой.
truthseeker
Закрытые исходники не помеха для исследователей, что будут изучать протокол общения между браузером и бэкендом аттестатора. Думаю, рано, или поздно, вместо подобного браузера нужный ответ любой скрипт на питоне слать сможет, в том числе различные боты.
Есть вероятность, что работать, надёжно определяя, настоящий ли юзер на сайт стучится, или бот, оно будет ровно до тех пор, пока шустрые ребята не изучат реализацию протокола от того же Google, и не научатся посылать нужный ответ аттестатору в нужном формате. То есть совсем не долго...
VBKesha
Что то мне кажется, что придёт всё к тому что у каждого устройства будет свой уникальный ключ которым это всё и будут подписываться все эти ответы. А если что не так ключ в бан и гуляй только по сайтам которые это позволяют, ну а потом мы просто уберем поддержку таких сайтов....
truthseeker
Боюсь, что так и будет. Вопрос лишь в том, а не сможет ли кто извлечь ключ, или как-то его заюзать, в своём левом приложении. Но, если такое оперативно будут отслеживать(а проверить, что на той стороне настоящий браузер вроде Chrome, а не эмулирующий запросы от него бот можно, с помощью валидации тем же простеньким html-ответом с js-скриптом, тестирующим возможности конкретного клиента, и таких проверочных html может быть множество, так что захардкоженные ответы отдавать будет не вариант), то ключи и правда быстро можно будет отправлять в бан. Что-то какое-то не радужное будущее вырисовывается у будущих версий технологии Web. Может и правда, пора уже свободным людям начать создавать свой гипертекстовый протокол, как завещал товарищ @Mithgol? Вопрос лишь в том, кто из владельцев сайтов захочет поддерживать протокол, удобный сообществу, а не любителям вставлять людям зонды. Чувствую, что крупные компании подобное начинание не поддержат, и любителям свободной сети, и альтернативных клиентов придётся работать с очень небольшими, полуподбольными, маркетелейсами, сервисами доставки еды и т.п.
BugM
Это не работает. Любой покупатель выберет маркетплейс где цена ниже, а доставка быстрее. Ну и вероятность беспроблемного обмена/возврата повыше. Аналогично с доставкой. Кому нужна более дорогая и медленная доставка?
А сделать на уровне гигантов не становясь таким же гигантом невозможно.
Finesse
Токен выдаёт не браузер, а бэкэнд эпла. Будь протокол хоть опенсорсным, бэкэнд просто перестанет выдавать токен, если запрашивать его слишком часто.