Комментарии 52
Вообще непонятно, как это должно работать. ОК, сайт передаёт функцию по проверке клиента аттестатору. Но тот ведь просто запрашивает информацию от клиента! И что мешает условному боту, от которого мы хотим защититься (не оправдываю такую практику, просто рассматриваю типичный случай применения) "рассказать" аттестатору, что он добропорядочный браузер, с помощью которого только дедушка по воскресеньям на сайт церкви заходил? Понятно, как оно работает в экосистеме Apple, где аттестатор и браузер (с закрытыми исходниками) контролируются одной компанией. Но как это предполагается применять в других случаях?
Который обходится установкой одного модуля в magisk, или на уровне прошивки.
Пока обходится, т.к. Гугл не отключает legacy методы аттестации / приложения не валидируют ответы должным образом. Начнут затягивать гайки (не принимать ничего, кроме hw-backed сертификата) - всё сразу станет куда печальнее.
Обходится ли?
Сейчас этот модуль подменяет ответ о поддержке железом железной аттестации, и гугл для поддержки старых устройств доверяет такому ответу.
В перспективе гуглу ничего не мешает начать проверять соответствие данного факта реальности (Сопоставить отпечатки с устройством, проверить по базе данных устройств с железной аттестацией), либо вовсе разрешить проверяющим запрещать устройства без железной аттестации
ЕМНИП safetynet имеет 3 уровня.
1й обходится легко.
2й обходится в magisk, но вроде чуть сложнее, чем 1 модуль.
3й не обходится даже в теории.(по крайней мере так было 1-2 года назад)
Другое дело что сейчас вроде бы никто не требует прохождения по 3му уровню т.к. он не совместим со старыми устройствами.
P.S. Наверняка я ошибся где-то в частностях, но общий смысл именно такой.
Что то мне кажется, что придёт всё к тому что у каждого устройства будет свой уникальный ключ которым это всё и будут подписываться все эти ответы. А если что не так ключ в бан и гуляй только по сайтам которые это позволяют, ну а потом мы просто уберем поддержку таких сайтов....
альтернативных клиентов придётся работать с очень небольшими, полуподбольными, маркетелейсами, сервисами доставки еды и т.п.
Это не работает. Любой покупатель выберет маркетплейс где цена ниже, а доставка быстрее. Ну и вероятность беспроблемного обмена/возврата повыше. Аналогично с доставкой. Кому нужна более дорогая и медленная доставка?
А сделать на уровне гигантов не становясь таким же гигантом невозможно.
Токен выдаёт не браузер, а бэкэнд эпла. Будь протокол хоть опенсорсным, бэкэнд просто перестанет выдавать токен, если запрашивать его слишком часто.
В том что вы описали и есть настоящая причина всех подобных инициатив.
Быть обнулённым круто. Это признание испорченным обществом факта приверженности обнулённого к классической философии бытия.
Проблема в том, что вы не будете безусловно обнулённым.
У вас будет выбор — продолжать сидеть отключенным от сервисов крупных компаний, или начать идти на уступки — вот здесь авторизоваться, чтобы заказать пиццу на день рождения (ну раз в год то можно?), тут авторизоваться, чтобы посмотреть условный инстаграмм подружки, когда она пришлёт сообщение со ссылкой "смотри, как я могу". Под постоянным давлением окружающих ("да ты что, параноик?"), интернет по паспорту придёт в нашу жизнь.
По сути это похоже на reCAPTCHA, где риски оцениваются на основе поведенческих факторов. Однако вместо перманентных кук, ставших в последнее время весьма хрупкими, предлагают генерировать отпечаток пользователя внутри браузера - который для этого может пользоваться любыми средствами, вплоть до аппаратной поддержки.
Технически браузеры уже давно собирают подобную информацию в виде различной телеметрии. Не хватает только API, чтобы пользоваться этим снаружи.
Ловушка уже почти захлопнулась, господа!
И последний гвоздь в крышку — это обязательное наличие TPM-модуля для установки Windows 11. Через 10 лет пользователи уже не смогут оправдываться тем, что у них нет "технической возможности" для запуска доверенного кода в изолированной среде.
По сути это дилемма заключённого. Когда оптимум по Парето и равновесие по Нэшу не сходятся, то выбирая оптимальные для себя локальные стратегии, люди неизбежно теряют в большом.
Одними из таких стратегий являются личный комфорт и безопасность. Корпорации уже давно научились этим пользоваться, потому здесь без шансов.
Спорное место WEI это возможность существования разных центров аттестации. Думаю, выбор в настройках браузера по умолчанию начнет продаваться, как это происходит с поисковиками. Поэтому разработчики браузеров, у которых вечно не хватает денег, окажутся в очереди на внедрение в первых рядах.
Мне кажется, браузер никак не сможет выбирать провайдера аттестации, потому что он должен работать на уровне ОС или даже ниже. А пускать альтернативных провайдеров в свою экосистему невыгодно вендорам ОС. Возможно, антимонопольщики что-нибудь продавят, но пройдёт много лет, как между изобретением cookies и пункту о cookies в GDPR, а там корпорации придумают что-нибудь новое.
Насколько я понял из текста спеки, браузер от операционной системы получает лишь дополнительные биты для ключа, по которому идентифицируется пользователь, а не весь ответ. Степень же доверия к этому пользователю определяет внешний центр аттестации.
Отдать транзакцию целиком на уровнь OS, как вы заметили, это слишком явный повод разозлить правозащитников, антимонополистов и чиновников. Поэтому спецификация в этом месте закладывает гибкость. Какие альтернативы будут по факту это вопрос дискуссионный - создать надёжный центр аттестации, которому будут доверять больше чем другим, это мега-дорого.
Например, reCAPTCHA у Google это по сути скоринговая система, которая считает риски на основе различных факторов, типа истории посещений. Если пользователь определен с достаточной степенью достоверности, и с историей все хорошо, то вас пропускают даже без необходимости кликать на картинки.
Я ничего такого не нашёл по ссылке.
Там написано, что браузер тупо проксирует запрос в сервис аттестации и возвращает подписанный ответ (т.е., не может в него вмешиваться).
The attester connection is an abstract concept representing the channel through which the user agent can communicate to an attester. The user agent uses the attester connection to request new attester verdicts.
Вероятно я слишком оптимистично воспринял:
Websites will ultimately decide if they trust the verdict returned from the attester. It is expected that the attesters will typically come from the operating system (platform) as a matter of practicality, however this explainer does not prescribe that. For example, multiple operating systems may choose to use the same attester. This explainer takes inspiration from existing native attestation signals such as App Attest and the Play Integrity API.
https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md
Они предполагают, что браузеры будут пользоваться сервисами, которые предоставляет OS, но в целом не исключают и другие сценарии.
сами себе яму роют, если в дижитал все нормально посчитать, то может оказаться что большая часть денег это инвестиции + пузырь гоняемый из одного типа сервисов в другой (а статистика подогнана и выдавлена из системы, типа как 30сек видеореклама и ее метрики, или провокация мисскликов)
"Токен законопослушного платежеспособного человека с низкой компьютерной грамотностью из неподсанкционного региона" (с)
Казалось бы хорошая инициатива, на деле обернется ещё большим разделением глобальной сети. Падающие прибыли сами себя не поднимут.
Забавно, но от современных ботов это спасёт примерно никак. Они уже давно построены вокруг headless chrome / webview / electron / встроенного в ос браузера, чтобы реально выполнять js и тд. Да и писать логику бота на js тупо удобнее всего
Спасёт, потому что за браузером должен стоять подтверждённый аккаунт реального юзера. Спамеры сейчас не могут регать дешёво и помногу google и apple аккаунты.
Пока существуют браузеры не только от Apple и Google, да и браузер от Google (не знаю, как там с Apple) прекрасно работает и без всякого аккаунта, - это не так. А отказаться от поддержки всех пользователей с "неправильными" браузерами / отсутствующими аккаунтами - это для любого сайта будет как минимум смелым и неоднозначным решением.
Не существует уже. https://www.similarweb.com/browsers/
2% (я из них если что) пользователей Firefox мне очень жаль, но в целом это их проблема. Остальные браузеры ниже приборов идут, вообще не интересно.
А отказаться от поддержки всех пользователей с "неправильными" браузерами / отсутствующими аккаунтами
Так всё идёт к тому, что DRM модуль будет в каждом устройстве. И это не корпорация отказывается от юзеров, а маргинальные юзеры отказываются от сервисов. Потому что возможность воспользоваться сервисом у них всегда остаётся — запускай стандартый системный браузер, и не выделывайся.
Пока существуют браузеры не только от Apple и Google
Никто не запрещает любым браузерам пользоваться API аттестации. Если их выбор — не связываться с DeRMом, значит, их доля на рынке будет падать, и они попробуют это сделать опционально: мол, если хотите, снимите галочку, и за вами следить не будут.
Если пользователь скачал калькулятор без смс и регистрации, у этого калькулятора будет доступ к "подтверждённому аккаунту" через системное webview
Так вы начинали с headless браузеров на железе спамеров. А теперь пришлось скатиться к ботнету на живых юзерах. Но такое слишком дорого для среднестатистического спамера, не окупится.
Тем более, Андроид агрессивно выгружает приложения из фона, а юзер не будет всё время держать калькулятор открытым. К тому же, безопасники гугл могут расследовать, откуда массово идут подписанные токены и, если этот калькулятор скачан из стора, принудительно удалять заразу с устройств, тоже через гугл-сервисы.
DRM тут не причём. Эти системы — всего лишь альтернатива каптчи, где не пользователь ищет автобусы, а доверенный бэкэнд ручается за пользователя. Идентифицировать пользователей с помощью этих токенов невозможно для сайтов (по крайней мере протокол пытается предотвращать это).
Протокол ничего не пытается. По протоколу на входе блоб, на выходе блоб.
Авторы в своей белой бумажке пишут, что всё держится на честном слове
How can we ensure attesters are not returning high entropy responses?
- In the near term for experimentation, the attester should publicly declare what they are attesting to, with readable and verifiable verdicts.
На честном слове полинтернета держится. И ничего лучше еще не придумали.
Между attester и браузером есть ещё один участник (не помню, как называется), который делает так, что браузер анонимен для attester.
Так, сайт сам сольёт аттестеру по своим каналам, потому что ему это выгодно: мол, смотри, ты мне выдал токен 28191741, дай-ка мне профиль этого юзера, чтобы я показал ему нужную рекламу. А если аттестер срощен с рекламной сетью, как google, сайт просто передаст рекламной сети токен как есть, и сеть сама разберётся, что показывать, и как обогатить досье пользователя пребыванием его на сайте.
То, что вы рассказываете, это вопрос репутации issuer и attester. Протокол не даёт новые возможности. Ничего не мешает браузеру хранить уникальный идентификатор пользователя и сливать его избранным сайтам. Создавать и публично обсуждать протокол обмена токенами под видом замены каптчи — это из разряда теорий заговора.
Лицам, которые никак не аффилированы с создателями браузеров, протокол не даёт никаких возможностей для идентификации пользователей.
Лицам, которые никак не аффилированы с создателями браузеров
Так наоборот, раньше Гугл никак не мог подцепить юзеров сторонних браузеров, того же Firefox, у которого выключены куки. А теперь Firefox будет вынужден проксировать идентификацию в API ОС, без возможности самому что-то проверить.
То, что вы рассказываете, это вопрос репутации issuer и attester
Особенно, когда эти роли принадлежат одной компании — владельцу мобильной ОС и рекламной сети, которая и будет issuer-ом. Самим вебмастерам копаться в этом нафиг не интересно, они просто поставят готовые компоненты, как рекламные, так и "для защиты от ботов".
Вопрос: а вот эти разработчики - они будут стигматизированы, как создающие цифровой концлагерь?
Мобильник по подписке все ближе :-)
реклама из будущего
(бодрая музычка, на фоне неопределенный зал обслуживания клиентов, в центре - красивая девушка, веселым голосом )
ваш личный мобильник будет предоставлен по достижению возраста совершеннолетия!
(смена кадра, панорама множества старинных помятых документов, мужской низкий голос)
зачем паспорт? зачем всякие документы?
(хор) госмобильник!
(снова девушка в офисе)
все ваши документы и деньги в удобном для вас виде! Вы в любой момент можете связаться с родственниками, обратиться за советом! Сообщить о проблемах и вашем местоположении или местоположении родственников!
(хор) госмобильник!
(на фоне - купола храмов, яркое свечение и благодать, мужской голос)
нет никаких чисел, никаких регистраций, просто посмотрите на экран и скажите "Батюшка, благословите!" - вас увидят и услышат и ближайший к вам батюшка откликнется.
(хор) госмобильник!
(скороговоркой) госмобильник предназначен для сугубо личного использования, подделка, перепродажа или использование чужого госмобильника преследуется по закону.
-
это конечно почти шутка :) но что-то как-то тревожно ....
Крупнейшие IT-корпорации вводят «DRM для сайтов». Аттестация устройств и токены приватного доступа