Quina de prédio com duas câmeras de segurança contra um céu azul ao fundo
Unsplash/arthurbizkit

A Internet foi pega de surpresa com a mais recente proposta do Google para um novo padrão web: a Web Environment Integrity API, que tem semelhanças com o DRM (Digital Rights Management). O documento foi redigido por quatro funcionários do Google, incluindo membros da equipe do “Privacy Sandbox” do Chrome, responsável pela construção de uma plataforma de anúncios baseada em rastreamento de usuários no navegador.

De acordo com a introdução da Web Integrity API: “Os usuários muitas vezes dependem de sites que confiam no ambiente do cliente em que estão sendo executados. Essa confiança pode assumir que o ambiente do cliente é honesto em relação a certos aspectos, mantém os dados do usuário e a propriedade intelectual seguros, e é transparente sobre se um humano o está utilizando.”

De acordo com o Google, o objetivo do projeto é obter informações detalhadas sobre o usuário do navegador, certificando-se de que não seja um robô e de que o navegador não tenha sido modificado ou adulterado sem autorização. O texto introdutório afirma que esses dados seriam úteis para anunciantes, permitindo melhor contagem de impressões de anúncios, prevenção de bots em redes sociais, proteção dos direitos de propriedade intelectual, combate a trapaças em jogos online e melhoria da segurança em transações financeiras.

Um ponto crucial é a inspiração da API em certificados nativos já existentes, como o “App Attest” da Apple e o “Play Integrity API” do Android. O “Play Integrity” é uma API do Android que possibilita que aplicativos verifiquem se o dispositivo foi “rootado”, ou seja, se obteve acesso de superusuário. No entanto, o uso do “Play Integrity” tem gerado polêmica, pois pode bloquear aplicativos de usuários que tenham feito root por razões legítimas, além de levantar questões sobre privacidade.

Segundo o plano do Google, durante uma transação de página da web, o servidor web poderia exigir que o usuário passe por um teste de “certificação de ambiente” antes de permitir o acesso a determinados dados. Isso exigiria que o navegador do usuário se comunicasse com um servidor de “certificação de terceiros” e passasse no teste para receber um “IntegrityToken” assinado. Esse token verificará a integridade do ambiente do usuário e permitiria o desbloqueio do conteúdo desejado.

Embora o Google tente apresentar a API de forma genérica, é provável que a empresa seja a principal protagonista nesse cenário. Afinal, o Google poderia fornecer o site, o navegador (Chrome) e até mesmo o servidor de certificação.

Criança olhando por buraco em uma padere
Unsplash/ratushny

O Google afirma que a API não será usada para identificar indivíduos de forma única, mas a proposta tem gerado preocupações sobre a privacidade dos usuários e levantado dúvidas sobre a possível interferência na funcionalidade do navegador, incluindo o impacto em plugins e extensões. Além disso, críticas têm sido direcionadas ao Google, questionando suas motivações e a ética por trás da proposta.

Embora seja apenas uma API em fase de proposta, o Google já manifestou sua intenção de prototipar a “Web Integrity API” no Chrome, o que indica que está avançando com os testes do recurso. Como uma das empresas mais influentes na internet, as decisões do Google têm grande impacto na experiência online de milhões de pessoas. Resta saber como a comunidade e os órgãos reguladores responderão a essa nova empreitada.

Qual a posição da Mozilla?

A Mozilla se opõe à proposta do Google. Segundo Brian Grinstead, um dos engenheiros responsáveis pelo navegador Firefox, “ela contradiz nossos princípios e visão para a Web”.

“Detectar fraudes e tráfego inválido é um problema desafiador no qual estamos interessados em ajudar a resolver. No entanto, esta proposta não explica como ela fará progresso prático, e há claros inconvenientes em adotá-la”, disse Grinstead em um comentário no GitHub.