Google宣布將推出一項新的實驗性Android WebView Media Integrity API����,此API的主要功能�����,是要簡化并加強現有嵌入式媒體信任機制�����。媒體供應商可以通過自訂一系列完整性回應,讓嵌入應用程序安裝自任意應用商店的情況下��,都能確保流媒體可以在安全且受信任的環(huán)境中運行�����。
Google宣布將推出一項新的實驗性Android WebView Media Integrity API,此API的主要功能�����,是要簡化并加強現有嵌入式媒體信任機制。媒體供應商可以通過自訂一系列完整性回應�����,讓嵌入應用程序安裝自任意應用商店的情況下��,都能確保流媒體可以在安全且受信任的環(huán)境中運行��。
這個新API是Google之前的網頁環(huán)境完整性(Web Environment Integrity)提案的后續(xù)�����,而之所以Google會有這一系列動作,原因在于要改善Android WebView API在安全性和隱私性的問題�����。Android開發(fā)人員要在其應用程序中顯示網頁并嵌入媒體��,便可以使用WebView API�,借由靈活的UI控制和高端配置選項�����,開發(fā)者可以在應用程序無縫地顯示網頁內容�。
雖然這帶來很大的靈活性,但Google提到�,這個方法可能被濫用,甚至用于詐騙目的�。因為WebView API讓開發(fā)人員可以訪問網絡內容,并攔截或是修改與用戶的互動��,雖然當應用程序嵌入自有網頁內容時非常方便��,但是當嵌入的資源來自第三方�,就無法阻擋不良行為者修改內容�,并扭曲與用戶的互動。
在7月的時候,Google Chrome團隊提出網頁環(huán)境完整性API提案����,允許網站通過數字簽證令牌,用以確認客戶端的硬件和軟件堆棧符合特定標準����,雖然目的也是要讓網絡變得更加隱私且安全,但是API提案一出��,便引來社交媒體強烈反彈�,因為該提案內容與數字版權管理(DRM)有許多相似之處,普遍被認為可能限制通用運算���,并且對網絡的開放性造成威脅����。
而Google在聽取社交媒體意見之后���,決定放棄網頁環(huán)境完整性提案��,并且改提出Android WebView Media Integrity API。相較之下���,新API范疇更為限縮��,僅針對應用程序中嵌入的WebView���,通過擴展現有功能��,在具有Google移動服務(GMS)的Android設備上�,針對象是流媒體視頻和音頻等嵌入式媒體�,沒有計劃波及Android WebView之外的范疇和平臺。
新API使嵌入式媒體提供者能夠自訂完整性回應����,以便確保流媒體能夠在安全且受信任的環(huán)境中運行。判斷依據來自于應用程序和設備的元數據�����,但其中不會包含用戶或是設備識別碼�����,而且與使用Play Integrity API的應用程序和游戲不同�,媒體供應商不會獲得應用程序的Play授權狀態(tài),并且應用程序還可以選擇在判定結果中排除組件名稱����,也就是其提供一種隱私機制��,讓開發(fā)人員選擇隱藏應用程序的名稱��,保護隱私安全���。
官方提到�,制定這項API的目標是要維持Android應用程序中,多樣化的媒體內容生態(tài)系���。Google預計在明年啟動Android WebView Media Integrity API早期訪問計劃�����。
閩公網安備 35010202001226號
