Google が提案する WEI API:大反対する Vivaldi/Brave/Firefox などの言い分は?

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi/Brave/Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

WEI プロポーザルとは?

Web Environment Integrity (WEI) は新たな API プロポーザルであり、クライアント (ブラウザ) をサポートするデバイスやネットワーク・トラフィックの信頼性を、それぞれの Web サイトが評価するというものであり、偽物や安全でないインタラクションをブロックするための、Web サイト信頼メカニズムを導入するものである。

たとえば、このメカニズムは、人間またはボットが Web サイトを訪問しているかどうか、または、特定のタイプのデバイス上の特定のブラウザが信頼できるかどうかを、検出するために使用できるという。

Web サイトは API を使用して、認証された Attester にトークンを要求する。このトークンは、改ざんを防ぐために暗号署名され、クライアントの情報が正当であることを、認証者が検証できるようにする。

WEI logic diagram
WEI logic diagram (GitHub)

WEI プロポーザルの目的は、Web サイトにトラフィックを受け渡すデバイスとソフトウェア・スタックの真正性を確認し、悪意のオンライン活動を抑止することで、ユーザーを詐欺から保護することだとされる。

使用例として挙げられるのは、ソーシャルメディア上の偽エンゲージメント/フィッシング・キャンペーン/人間以外からのトラフィック/大量のアカウント・ハイジャック施行/ゲームにおける不正行為/危険なデバイス/ブルートフォース攻撃などの検出である。

なお、クロスサイト・ユーザー・トラッキングを可能にせず、ブラウザ/プラグイン/エクステンションの機能を邪魔しないため、プライバシー・リスクにはならないと、Google は述べている。

ブラウザ・ベンダーからの批判

これまで述べてきたものは、肯定的かつ有益に聞こえるが、Vivaldi ブラウザの開発者である J. Picalausa は、今週の初めに発表された記事の中で、WEI を危険だとしている。

彼は、「ある団体が、どのブラウザを信頼し、どのブラウザを信頼しないかを決定する権限を持っている場合に、どのブラウザにおいても信頼を得られる保証がない。あらゆる新規のブラウザにおいても、デフォルトでは、それが信頼に足るものであることを証明するまでは信頼されない」と指摘している。

また、Picalausa は Google のプロポーザルに対して、曖昧さを強調している。具体的に言うと、クライアントから行動データを収集するような、悪用の可能性がかなり残されているとしている。

さらに Vivaldi の投稿では、WEI を実装しないという選択は、複雑な結果を招くだろうと説明されている。Google は、広告市場における支配的な立場を悪用して、大多数の Web サイトに WEI の採用を容易に強制できるため、反対派のブラウザ・プロジェクトが無意味なものになるという。

その一方で、Brave ブラウザ・チームは、このシナリオに対して関心がないようだ。同社の共同設立者兼 CEO である Brendan Eich は、WEI 対応版を出荷する予定はないと確証している。

Twitter のスレッドにおいて Eich は、Brave は WEI をサポートしないと述べている。Brave の基盤として使用されている Chrome (Chromium) のコードに、Google が挿入している他のプライバシー侵害メカニズムと同様であると指摘している。


Mozilla においては、公式な見解が表明されていない。しかし、Firefox のエンジニアである Brian Grinstead は、この提案に反対していると、今週の初めにコメントしている。

彼は、「選択肢を制限しようとする、この仕組みは、Web エコシステムの開放性にとって有害であり、ユーザーにとって良いものではない。さらに、リストアップされたユースケースは、”人間以外のトラフィックを検出する” 能力に依存している。したがって、説明されているように、支援技術/自動テスト/アーカイブ&検索エンジン・スパイダーなどの、すでに利用されている Web 技術の使用が妨害される可能性が高い」と述べている。

現時点において、Google WEI API プロポーザルは初期段階にあり、すべての関係者が同意すれば、大幅に変更される可能性がある。

また、この提案に対する懸念や、複数の反対意見があるにもかかわらず、Google が押し付けようとした場合には、反独占主義の立法機構や競争当局が反応する可能性もある。

BleepingComputer は、この新規格への支持について、Microsoft と Apple に問い合わせたが、現時点では回答は得られていない。

また Google が、圧倒的なシェアを背景に、身勝手なことを言い出しているのでしょうか? WEI は新たな API プロポーザルであり、Web ブラウザが動作しているデバイスや、ネットワーク・トラフィックの信頼性を、それぞれの Web サイトが評価するというものらしいです。それにしても、Vivaldi と Brave の反応の違いが面白いです。よろしければ、Chrome Brave Cookie で検索も、ご利用ください。