Browser-Entwickler wehren sich gegen Googles „Web-DRM“-WEI-API

Aug 19, 2023

Googles Pläne, die Web Environment Integrity (WEI) API auf Chrome einzuführen, stießen bei Internet-Softwareentwicklern auf heftige Gegenreaktionen, die Kritik hervorriefen, weil sie die Freiheit der Benutzer einschränkten und die Grundprinzipien des offenen Webs untergruben.

Mitarbeiter von Vivaldi, Brave und Firefox haben eine entschiedene, ablehnende Haltung gegen den von Google vorgeschlagenen Standard eingenommen, und einige sind sogar so weit gegangen, ihn DRM (Digital Rights Management) für Websites zu nennen.

Web Environment Integrity (WEI) ist ein neuer API-Vorschlag, der einen Website-Vertrauensmechanismus einführt, der es Websites ermöglicht, die Authentizität von Geräten und Netzwerkverkehr auf Clients (Browsern) zu bewerten und gefälschte oder unsichere Interaktionen zu blockieren.

Mit diesem Mechanismus lässt sich beispielsweise erkennen, ob ein Mensch oder Bot eine Website besucht oder ob ein bestimmter Browser auf einem bestimmten Gerätetyp vertrauenswürdig ist.

Websites verwenden die API, um von einem zertifizierten „Bestätiger“ ein Token anzufordern, das zur Verhinderung von Manipulationen kryptografisch signiert wird und ersterem dabei hilft, zu überprüfen, ob die Informationen des Kunden legitim sind.

Das angebliche Ziel des WEI-Vorschlags besteht darin, Websites dabei zu helfen, die Authentizität des Geräts und des Software-Stacks festzustellen, von dem sie Datenverkehr empfangen, und Benutzer vor Betrug zu schützen, indem böswillige Online-Aktivitäten abgeschreckt werden.

Beispiele für Anwendungsfälle sind die Erkennung gefälschter Interaktionen in sozialen Medien, Phishing-Kampagnen, nichtmenschlichem Datenverkehr, Massenversuchen zur Kontoentführung, Betrug bei Spielen, kompromittierten Geräten und Brute-Force-Angriffen auf Passwörter.

Laut Google stellt dies kein Risiko für den Datenschutz dar, da es kein seitenübergreifendes Nutzer-Tracking ermöglicht und die Funktionalität des Browsers oder der Plugins/Erweiterungen nicht beeinträchtigt.

Obwohl das oben Gesagte positiv und hilfreich klingt,VivaldiDer Browser-Entwickler J. Picalausa bezeichnete WEI in einem Anfang dieser Woche veröffentlichten Artikel als „gefährlich“.

„Wenn eine Entität die Macht hat zu entscheiden, welche Browser vertrauenswürdig sind und welche nicht, gibt es keine Garantie dafür, dass sie einem bestimmten Browser vertrauen“, schreibt Picalausa.

„Jedem neuen Browser wird standardmäßig nicht vertraut, bis er irgendwie nachgewiesen hat, dass er vertrauenswürdig ist, nach dem Ermessen der Prüfer.“

Picalausa unterstreicht außerdem die Unbestimmtheit des Google-Vorschlags, der seiner Meinung nach einen erheblichen Spielraum für potenziellen Missbrauch wie das Sammeln von Verhaltensdaten von Kunden lässt.

Vivaldis Beitrag erklärt weiter, dass die Entscheidung, WEI nicht zu implementieren, kompliziert sein wird, da Google seine beherrschende Stellung auf dem Werbemarkt sehr leicht missbrauchen kann, um die Einführung durch die Mehrheit der Websites zu erzwingen, wodurch abweichende Browserprojekte nutzlos werden.

DerMutigDas Browser-Team befürchtet dieses Szenario jedoch nicht, da sein Mitbegründer und CEO Brendan Eich bestätigte, dass es nicht plant, WEI auszuliefern.

Als Antwort auf einen Thread auf Twitter erklärte Eich, dass die WEI-Unterstützung in Brave nicht ausgeliefert werde, ebenso wie bei vielen anderen in die Privatsphäre eingreifenden Mechanismen, die Google in den Chrome-Code einfügt, den Brave als Grundlage verwendet.

Wie fürMozilla , die Internetorganisation hat noch keine offizielle Stellungnahme abgegeben. Der Firefox-Ingenieur Brian Grinstead bemerkte jedoch Anfang dieser Woche, dass Mozilla den Vorschlag ablehne, da er seinen Prinzipien und seiner Vision für das Web widerspreche.

„Mechanismen, die versuchen, diese Wahlmöglichkeiten einzuschränken, schaden der Offenheit des Web-Ökosystems und sind nicht gut für die Benutzer“, heißt es in Grinsteads Aussage.

„Darüber hinaus hängen die aufgeführten Anwendungsfälle von der Fähigkeit ab, „nichtmenschlichen Datenverkehr zu erkennen“, der, wie beschrieben, wahrscheinlich viele bestehende Nutzungen des Webs wie unterstützende Technologien, automatische Tests sowie Archivierung und Suchmaschinen-Spider behindern würde.“

Derzeit befindet sich der WEI-API-Vorschlag von Google noch in einer frühen Entwicklungsphase und kann seine Form ändern oder erheblich geändert werden, wenn alle Beteiligten seiner Umsetzung zustimmen.

Es wird auch interessant sein, die Reaktion antimonopolistischer Gesetzgebungsmechanismen und Wettbewerbsbehörden auf diesen Vorschlag zu sehen, wenn Google trotz der Besorgnis und zahlreicher Einwände versucht, ihn aggressiv durchzusetzen.

BleepingComputer hat Apple und Microsoft kontaktiert, um zu erfahren, ob sie diesen neuen Standard unterstützen werden, hat jedoch bisher keine Antwort erhalten.

Google Chrome warnt, wenn installierte Erweiterungen Malware sind

Google will Hacker mit wöchentlichen Chrome-Sicherheitsupdates bekämpfen

Google Chrome bietet „Linkvorschauen“ an, wenn Sie mit der Maus über Links fahren

Google Gmail drängt ständig darauf, Enhanced Safe Browsing zu aktivieren

Die Chrome-Malware Rilide zielt über PowerPoint-Anleitungen auf Unternehmensbenutzer ab