Die Web Environment Integrity (WEI) ist eine Schnittstelle die von Google Mitarbeitern als Vorschlag entwickelt worden ist.

Dabei handelt es sich um eine Schnittstelle bei der Webentwickler und Webseitenbetreiber mit einer einfachen Zeile Code Google WEI benutzen.

const attestation = await navigator.getEnvironmentIntegrity(„…“);

WEI ist durch ein „eigenes Projekt“ von 4 Google Entwicklern erstanden.

Google erlaubt seinen Mitarbeitern nämlich einen bestimmten Anteil der Arbeitszeit an „eigenen/freien“ Projekten zu arbeiten.
Nett to know:
Gmail ist ebenfalls durch diese „Hobby Projekte“ entstanden und ist nun ein Bestandteil des Google Ökosystem

Die Grundidee

Wieso wurde Web Environment Integrity überhaupt entwickelt?

WEI soll für alle ein Gewinn sein, da hier Manipulationen festgestellt werden sollen, die für Betrugsmaschen und Fake-Engagment verwendet werden.

Das soll nicht nur vor Betrugsmaschen schützen, sondern auch einfacher machen, Bots zu erkennen.

Doch wie soll das genau passieren?
Um es möglichst verständlich zu halten kommt hier eine vereinfachte Zusammenfassung:

Beim Aufruf einer Seite mit WEI, erhalten wir eine URL mit einem sogenannten content binding zurück. Hier stehen Informationen, die lediglich für diesen Webaufruf gelten.
Welche Information dort eingebunden sind, entscheidet der Webseitenbetreiber.

(Beispiel Anfrage an Youtube.de von der UserID LetMeYouTube2023 an die Seite Login)

Dein Browser soll nun digital unterschreiben, dass er „unmanipuliert“ ist.

Damit man das jetzt jedoch nicht einfach jeder schreiben kann, wird eine Dritte Partei benötigt die bestätigt, dass euer Browser nicht manipuliert ist.

Erst wenn die Dritte Partei die „Behauptung“ des Browsers bestätigt, wird diese Signatur als gültig angesehen.

Was der Webserver Betreiber mit der Information machen möchte/kann obliegt diesem.

Die Sorgen, weshalb das WEB sich wehrt

Das „Problem“, wie es viele sehen, ist, dass hier die „Dritten Parteien“ sehr viel Macht erhalten und damit bestimmen können ob ein Browser vertrauenswürdig ist oder nicht.

Dadurch können z.B. Google, Microsoft, Meta und alle anderen Webseiten Betreiber einem vorschreiben, für welche Seiten für deinen Browser ok ist und wann nicht mehr.

Somit spricht man auch gerne von einem „Generalangriff auf das freie Internet“ oder auch dem „Browser-DRM.

DRM steht für Digital Rights Management und ist Teil unseres Alltags.
Der Sinn hiervon ist, festzustellen, dass nur berechtigte Personen in einem vorgesehen Rahmen Zugriff auf digitale Inhalte erhalten.

Dabei werden auch technische Schutzmaßnahmen ergriffen.

Als Beispiel Streaming über Netflix oder andere Dienste:
Technisch lädst du den Film/die Serie in deinen Arbeitsspeicher und könntest dir ohne DRM eine Kopie davon anfertigen.

Durch die Maßnahmen von DRM lädst du zwar weiterhin die Daten in den Arbeitsspeicher, du kannst jedoch nicht darauf zugreifen, da diese Inhalte durch DRM Maßnahmen geschützt sind.

Somit steht der Vorwurf im Raum, dass Google das freie Internet attackieren möchte, in dem es eben DRM für Browser einführt.

Somit könnten z.B. Google oder auch Microsoft einem vorschreiben welchen Browser man für die eigenen Dienste verwenden darf.

Wie bereits erwähnt, sind Bots ebenfalls betroffen.

Denn funktionale Bots/Crawler die benötigt werden, damit Suchmaschinen indexieren können, würden durch WEI ebenfalls Probleme bekommen.

Gleichzeitig könnten Erweiterungen oder auch auf Privacy ausgelegte Browser hierdurch ausgeschlossen werden, da diese Teile den Browser verändern um eben die eigene Privatsphäre zu schützen.

Die Frage ist also: „Wann gilt ein Browser als manipuliert?“ & „Wie frei kann die prüfende Dritte Partei diese Definition verändern?“

Meine Meinung hierzu

Das Thema ist noch sehr heiß und frisch kann man sagen.

Der Grundgedanke von WEI ist aus meiner Sicht kein schlechter und es kann sein, dass die berechtigten Vorwürfe(z.B: Browser DRM) von den Entwicklern bei der Entwicklung nicht bedacht wurden.

Das wissen wir jedoch nicht!

Wie immer wenn es neue Entwicklungen gibt, ist es neu und damit unbekannt und gefährlich, so jedenfalls die grundsätzliche Reaktion des Menschen.

Dennoch sehe ich mehr Gefahren als Lösungen durch WEI, so wie es aktuell als Vorschlag im Raum steht.

Die Tatsache, dass hierdurch auch neue Browser und „Abkömmlinge“ (Forks) benachteiligt werden können, bereitet mir Unbehagen.

Gleichzeitig können durch die Content Bindings einige Privacy Maßnahmen direkt wieder abgeschrieben werden, da man identifizierbar wird.

Zwar soll das nach aktuellen Entwurf nicht so sein, doch könnten die Webseiten Betreiber ja eben genau in dieses Content Binding Identifizierbare Daten beilegen.

Ein weiteres Problem für mich ist, das Regierungen die Prüfstellen dazu verpflichten kann, Browser nur dann als vertrauenswürdig zu signieren, wenn diese eine Backdoor haben.

Daher halte ich Web Environment Integrity (WEI) für den falschen Schritt um das World Wide Web „sicherer“ und „besser“ zu machen.

Wir brauchen viel mehr Awarness bei den Menschen.

Wie ist deine Meinung?
Schreib es mir gerne als Kommentar oder gebe deine Meinung über das Kontaktformular an mich weiter.

Interessante Beiträge hierzu:

Heise
Digitalecourage
Auch interessant ist dieser Beitrag über den Webtraffic im Netz
Brave, ein chrombasierender Browser ist gegen WEI

The post Wurde das Web durch Google WEI angegriffen? first appeared on Dominik's Blog.