Al giorno d’oggi possiamo definire Internet un luogo ampiamente libero in termini di accessibilità, dove gli utenti possono accedere a numerosi servizi o iscriversi a centinaia di siti web per scoprire novità, fare acquisti online e non solo.
Tutta questa connettività è data principalmente dalla struttura di base della rete Internet e relativi protocolli di comunicazione, che negli anni si sono drasticamente evoluti per permette di connettere il mondo tra di loro anche sfruttando tecnologie di connessione differenti. Oggi, infatti, possiamo utilizzare servizi di messaggistica istantanea comunicando da PC, tramite una qualunque connessione che sia FTTH, ADSL o Wi-Fi, con una persona dall’altra parte del globo che magari è connessa utilizzando 4G o 5G. Negli anni lo scambio di dati Internet è cresciuto in maniera vertiginosa, aumentando quindi il traffico generato e l’efficienza con cui queste informazioni viaggiano all’interno dell’infrastruttura.
Attualmente lo scambio di dati avviene attraverso il protocollo HTTP (o HTTPS per le connessioni sicure), che troviamo come prefisso di tutti gli indirizzi web, sfruttando quelle che vengono definite richieste HTTP. Ogni informazione che noi richiediamo a un server viaggia sotto forma di pacchetto HTTP, che quindi ha una sua struttura ben precisa che deve essere identificata dal destinatario per poterla decifrare e restituire una risposta HTTP.
Ovviamente questa è una chiara semplificazione per poter esprimere il concetto chiave, ma in realtà bisogna considerare anche una serie di protocolli aggiuntivi che non solo permettono la richiesta ma verificano anche la presenza di connessione, la validità della richiesta e l’ottimizzazione dell’instradamento del traffico, che però non sono necessari ai fini dell’articolo.
Come appena descritto, il protocollo HTTP è composto da una richiesta, eseguita solitamente dall’host, e una risposta, inviata dal server insieme a un codice che identifica se la richiesta è andata o meno a buon fine. Tale struttura rende possibile fare qualunque richiesta HTTP da qualunque dispositivo, in ogni momento e verso qualsiasi server, seppur alla fine tale richiesta potrebbe essere negata. Questo è possibile perché non avviene nessun controllo sul traffico che permetta di controllare la validità delle informazioni o della richiesta HTTP, andando quindi a filtrare tutto quel traffico non necessario.
Ecco, dunque, che Google sembra voler introdurre la soluzione a questo problema, definito con le cosiddette WEI API (sostitute delle WEB API basate su HTTP). L’acronimo WEI sta per Web Environment Integrity e sta a indicare uno standard che permetterebbe di ottenere un token con firma digitale che contiene il nome del certificatore e se si ritiene che il client Web sia autentico o meno.
Lo scopo delle WEI API è quello di distinguere traffico umano da quello generato da bot o intelligenze artificiali, permettendo l’accesso solamente a coloro che effettivamente vogliono farne richiesta e non a software che possibilmente tenterebbero un attacco di tipo DDoS. I siti Web utilizzeranno l’API per richiedere un token a un’entità esterna che provvederà a certificare tale token, firmato crittograficamente per impedire manomissioni, aiutando il primo a convalidare la legittimità delle informazioni del cliente.
La proposta è stata ampiamente criticata per aver limitato l’informatica generica ed essere contraria al web aperto, con alcuni che hanno paragonato WEI alla gestione dei diritti digitali (DRM). Sicuramente questa affermazione ha un fondo di verità, però è altresì vero che un cambiamento del genere andrebbe ad aumentare la sicurezza dei servizi web in quanto si consentirebbe solamente il traffico potenzialmente sicuro. E’ chiaro come l’applicazione delle WEI API sarebbe un cambiamento effettivamente drastico per l’Internet, in quanto andrebbe a limitare pesantemente la navigazione in termini di fruibilità.