Hallo Felix,

ganz ehrlich: ich verstehe nicht wirklich, was diese Viererbande von Google da schreibt. Die Begrifflichkeiten sind mir zu abstrakt, und die möglichen Missbrauchsvektoren aus Sicht einer Website kann ich mir nicht vorstellen.

Ich sehe nur, was die Ziele des WEIA (ist diese Abk. nicht hübsch?) sind: Ein Server soll feststellen können, ob der Client "sauber" ist und nicht

• Fake-Adverts abruft, um für eine Seite Werbeeinnahmen zu generieren, die nie ein Mensch zuvor gesehen hat.
  • Aber: Zu erkennen, ob da ein Tool am Werkeln ist, das den Abruf und das Einblenden von Werbung unterdrückt, steht nicht auf dem Plan. Und tatsächlich gibt's auch heute schon Webseiten, ohne WEIA, einen Adblocker erkennen und dann die Arbeit einstellen.
• in Browserspielen den Ablauf fremdbeeinflusst - hier muss ich meine eigene Nase etwas putzen, ich habe mir mal für ein Onlinespiel ein Bookmarklet geschrieben, das mir ein Script nachgeladen hat, mit dem ich dann im Spiel Karten gezählt habe. Sehr hilfreich… Wenn WEIA sowas bemerken und verhindern kann, wäre das aus Sicht der Spieleplattform und der „braven“ Spieler eine sinnvolle Sache.
• sich in den Traffic beim Onlinebanking reinklemmt. Das klingt nach meinem Kartenzähler. Das klänge aber auch nach dem injizierten JavaScript eines Adblockers. Das würde aber auch bedeuten, dass ein Browser das vollständige geladene JS einer Seite signieren und mittels WEIA beim Server bestätigen kann. Und ohne diese Signatur gelingt kein API Aufruf oder POST Request. Und das bedeutet aus Anbietersicht, dass man nach jeglicher Änderung der Serverseite alle Vergleichssignaturen updaten muss. Das ist - gerade bei großen Seiten - ein Höllenaufwand. Ich denke da so an's Fratzenbuch oder das Musikpünktchen^[1], die sind dafür bekannt, dass sie regelmäßig irgendwelche Ecken ihrer Seite updaten und vor allem auch A/B Tests machen, um zu schauen, welche Variante besser ankommt. Das könnte dann in AU WEIA ausarten.

Interessant wäre auch, ob ein Server dann erkennen kann, ob ein SSL-Proxy in der Leitung klemmt. Das machen Firmen ganz gerne, um den HTTPS-Traffic ihrer Angestellten zu beobachten. Die Firmen-PCs werden per Policy gezwungen, dem Firmenzertifikat zu vertrauen, und der Proxy signiert allen geknackten HTTPS-Traffic neu. Ein WEIA-Token aus dem Browser würde dann vermutlich feststellen, dass das https-Zertifikat des Servers nicht original ist. Und damit wären dann alle Firmenproxies abgeschossen. Wie sich Webseite, Browser und Schnüffelproxy da über eine korrekte Tokenbildung verständigen sollen, dürfte spannend werden.

Aber, wenn sich WEIA bei großen Webseiten durchsetzt und die dann auf einmal in WEIA-inkompatiblen Browsern nicht mehr laufen, dann wird entweder WEIA oder der inkompatible Browser sehr schnell sterben. Ich befürchte ja letzteres. Browser sind heute schon derart komplexe Gebilde, dass die meisten Engine-Entwickler aufgegeben haben.

Rolf