Комментарии 29
Кроме "мы против", неплохо бы добавить объяснение, что такое Web Environment Integrity и чем он опасен с примерами. Я, конечно, могу сходить в Википедию, но заметка получилась ущербная.
- Allow web servers to evaluate the authenticity of the device and honest representation of the software stack and the traffic from the device.
- Offer an adversarially robust and long-term sustainable anti-abuse solution.
- Don't enable new cross-site user tracking capabilities through attestation.
- Continue to allow web browsers to browse the Web without attestation.
Выглядит как куки 2.0 с криптографией и антиспамом.
Example use cases
- Detect social media manipulation and fake engagement.
- Detect non-human traffic in advertising to improve user experience and access to web content
- Detect phishing campaigns (e.g. webviews in malicious apps)
- Detect bulk hijacking attempts and bulk account creation.
- Detect large scale cheating in web based games with fake clients
- Detect compromised devices where user data would be at risk
- Detect account takeover attempts by identifying password guessing
"Вы отдаёте ключи нам от квартиры, а мы обещаем вам, что вас не ограбят. Камера в ванной это тоже такая фишка."
реальный аналогичный пример, который уже в строю - это коллаборация Cloudlfare и эппла, Private Access Tokens https://blog.cloudflare.com/eliminating-captchas-on-iphones-and-macs-using-new-standard/
или из простых примеров - SafetyNet и т.п. в андроиде
Да, как-то так. Заметка - это перевод, кажется что оригинальную статью нужно было очень быстро выпустить как позицию компании, т.к. в англоязычной сети обсуждение WEI было горадо более бурным, чем в рунете
Я правильно понимаю, что суть WEI заключается в том, что некие сторонние организации могут "аттестовать" пользовательский бровсер и выдать электронный "аттестат" подтверждающий факт успешной "аттестации" по неким абстрактным критериям, а сайты, руководствуясь своими собственными идеями, могут проверять наличие этих аттестатов и, в зависимости от их наличия, вести себя по-разному (например, отказываться работать с неаттестованными клиентами)?
Выглядит, как попытка отжать рынок бровсеров в пользу полутра примерно крупных игроков...
попытка отжать рынок бровсеров
По идее, нет. Потому то API аттестации общедоступно. Пишите свой браузер и обращайтесь к ОС за аттестацией. Это скорее заход к глобальной слежке и "интернету по паспорту", но изнутри со стороны устройства, с доступом корпораций, а не правительств, которые свой заход делают снаружи, через провайдеров.
API-то общедоступно, но критерии аттестации, как я понимаю, могут быть любыми? Например, "10 лет на рынке бровсеров".
критерии аттестации, действительно, любые :) Вряд ли там будет именно "10 лет на рынке", но сама заявка, конечно, потрясающая.
API-то общедоступно, но критерии аттестации, как я понимаю, могут быть любыми? Например, "10 лет на рынке бровсеров"
Аттестуется не браузер, а устройство (а поскольку оно личное, то и пользователь, владеющий им).
Мы же убеждены в том, что пользователи заслуживают браузеры, которые не относятся к ним как к врагам, которых надо ограничивать и контролировать.
Это странное, неверное и ненужное передергивание, т.к. правда куда отвратительнее: браузеры Гугл и Ко относится к пользователям как стаду овец баранов для стрижки с них шерсти бабла и манипуляции их поведением, причем не только потребительским. Именно на это и стоит указывать, не придумывая Бабу Ягу там, где ее нет, а есть целый Кощей ;)
Расширения в мобильной версии планируете?
Последний подход к снаряду закончился осознанием того, что поддерживать это будет неподъёмно дорого для команды разработки. Пока что без изменений в этом вопросе.
Есть вариант сделать нативную поддержку правил ublock'а.
Так это одна из наших основных фич с первых дней существования браузера
Я сейчас в мобильном браузере зашёл на вконтактик, как мне добавить правило, чтобы скрыть богомезкие "сторис"?
brave://adblock
можно по урлу добавить кастомный список правил, или правило вбить вручную в самом низу
Но для управления правилами всё равно нужно запускать например огнелиса.
не понял, зачем его запускать
У вас в браузере насколько я понял нет удобного способа выбрать элемент, чтобы для него сделать кастомное правило. Даже фича, которую с ваших слов позиционируется как основная, на деле спрятана за ask developer wall'ом.
ПКМ -> Block element ?
Основная фича, потому что она включена по умолчанию и сделана в ядре, таким образом не требует установки экстеншенов, которым нужна куча пермиссий. А кастомные фильтры это очевидно удел продвинутых пользователей, которые могут зайти в настройки и сконфигурить там блокировщик.
ПКМ в мобильном браузере?
Вы интересную позицию занимаете. В меню пункт для открытия настроек adblock не сделали, мол для продвинутых пользователей это. Отвечаете в духе "вот же, всё просто". Вот в firefox это и правда просто, уже лет двадцать как схема работает, заходишь, устанавливаешь расширение, пользуешься им, пусть даже это тысячу раз плохо с точки зрения производительности, там этим можно пользоваться выполнив пару простых и очевидных операций, у вас можно только если ранее установил firefox, с его помощью настроил нужные правила и перенёс их в ваш браузер.
Мобильный браузер отстаёт в этом плане. В настольном браузере в меню пункт есть, как раз из тех соображений о которых вы говорите (Shields -> Content filtering). На андроиде это в работе.
Тут ещё надо понимать, что экстеншен просто в силу своей ограниченности не даёт столько возможностей для блокировок, как нативная реализация.
Может быть наш блокировщик где-то отстаёт в плане правил, или удобства конфигурирования, но общий объём шайссе которое мы режем существенно больше и лучше. Те же защиты от ФП, о которых мы писали в блоге.
Я ж не спорю, что оно архитектурно лучше. Но юзабельно ограничено
Brave против Web Environment Integrity