Комментарии 7
Очень надуманная польза от явно очевидного вреда в появлении еще одного стороннего удостоверителя.
Касаемо идеи, то мне это напоминает стандарт Verifiable Credentials, только зашитый в браузер. Очевидно, что предложенную проверку делать надо не в браузере, а на уровне приложения самого сайта.
Вдохновение они черпают... никого не должно интересовать, рутованый у меня телефон или нет - это мои проблемы, в случае чего.
Здравый смысл гуглу и подобным игрокам неведом - им нужно бы продать побольше и постращать ничего не подозревающих пользователей всякими высосанными из пальца рисками. Теоретически известны атаки на почти всё, что сейчас активно используется, но на практике такие атаки используются разве что во всяких статьях для продвижения непопулярного закручивания гаек. А вот противопоставить этому, к сожалению, нечего
Похоже на ещё один канал отслеживания юзера. Только это помощнее обычных кук, которые можно обнулять хоть каждый день, а тут выдача аттестата происходит третьей стороной, перед которой надо открыться.
Интересно как на это отреагирует Яндекс, будет ли это выпиливать из кода апстрима хромиума в своем браузере или же нет?
А зачем выпиливать механизм аттестации? Всё равно решение принимает вебмастер - доверять конкретному юзер-агенту или нет.
Чем больше будет браузеров, поддерживающих измерение платформы, на которых они исполняются, и чем больше будет измеряемых платформ, тем больше будет выбор у пользователя, которого ограничивает вебмастер требованием успешного прохождения аттестации.
Конечно же, мне не понравится то, что когда я зайду на сайт своего банка, он потребует от меня использовать определённый браузер. Но пусть лучше этих браузеров будет хотя бы два, а не один.
С одной стороны Вы правы, решение за вебмастером. А с другой не получится ли так что Chrome для "оптимизации" будет делать предварительные запросы на сервер аттестации для того чтобы не выполнять такой запрос фактически когда сайт сам будет запрашивать это подтверждение, а из "кеша" ответа аттестации? В этом случае сервер аттестации, который потенциально может получать данные о клиенте будет знать в лицо всех посетителей своего сайта. И гугл уж точно сделает такой сервер аттестации, тут я даже не сомневаюсь.
Конечно стардарт сырой и многое может еще измениться как в плохую так и в хорошую сторону, однако я бы не хотел пользоваться браузером, который практикует подобные практики и обеими руками против внедрения таких стартартов. Надеюсь Мозилла и общественное порицания все же не даст этой инициативе пройти дальше чем пропосал.
Google начала продвигать API Web Integrity, который работает по аналогии с DRM