1 คะแนน โดย GN⁺ 2023-07-27 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Vivaldi มองว่า Web Environment Integrity เป็นการมอบอำนาจให้เว็บไซต์ตัดสินความน่าเชื่อถือของเบราว์เซอร์และแพลตฟอร์ม ซึ่งอาจสั่นคลอนการเข้าถึงและการแข่งขันของ เว็บแบบเปิด
  • ข้อเสนอนี้ใช้โครงสร้างที่ให้ attester ซึ่งเป็นบุคคลที่สามตรวจสอบสภาพแวดล้อมการทำงาน โดยอ้างว่าเพื่อป้องกันปฏิสัมพันธ์ปลอม แต่ก็อาจทำงานคล้าย DRM สำหรับเว็บไซต์
  • หากการตัดสินความน่าเชื่อถือถูกรวมศูนย์อยู่กับบริษัทไม่กี่แห่ง ความเสี่ยงที่เบราว์เซอร์ใหม่ เบราว์เซอร์รายเล็ก ซอฟต์แวร์รุ่นเก่า และผู้ใช้ Linux จะถูกกันออกจากการเข้าถึงเว็บก็จะสูงขึ้น
  • ต่อให้เบราว์เซอร์ปฏิเสธที่จะนำไปใช้งาน หากเว็บไซต์บังคับใช้ API นี้ ก็ยังสามารถบล็อกผู้ใช้ได้ และบริการของ Google หรือ Google Ads ก็อาจกลายเป็นแรงกดดันให้ต้องยอมรับมัน
  • ณ วันที่ 3 พฤศจิกายน 2023 Google ตัดสินใจไม่เดินหน้าต่อกับ Web Integrity API แต่ความหลากหลายของเบราว์เซอร์และเอนจินเบราว์เซอร์ก็ยังคงจำเป็น

สิ่งที่ Web Environment Integrity พยายามทำ

  • Web Environment Integrity เป็นข้อเสนอที่ให้เว็บไซต์ตรวจสอบผ่าน API ได้ว่า เบราว์เซอร์และแพลตฟอร์ม ที่กำลังเข้าถึงอยู่เชื่อถือได้หรือไม่
  • การตัดสินว่าเชื่อถือได้หรือไม่จะอยู่ในโครงสร้างที่ให้ attester ซึ่งเป็นบุคคลที่สามที่มีอำนาจเป็นผู้พิจารณา
  • เป้าหมายดูเหมือนจะใกล้เคียงกับการป้องกันปฏิสัมพันธ์ “ปลอม” บนหลายเว็บไซต์ แต่รายละเอียดวิธีการยังไม่ชัดเจน
  • กรณีใช้งานอาจดูสมเหตุสมผลในภาพรวม แต่ผลลัพธ์จริงอาจใกล้เคียงกับ DRM สำหรับเว็บไซต์มากกว่า
  • การที่กรณีใช้งานแรกคือการยืนยันความแท้จริงของปฏิสัมพันธ์กับโฆษณา ก็อาจเชื่อมโยงกับการเสริมความแข็งแกร่งให้แพลตฟอร์มโฆษณาของ Google

การกีดกันที่เกิดจากการตัดสินความน่าเชื่อถือของเบราว์เซอร์

  • เมื่อมีผู้เล่นบางรายเป็นผู้ตัดสินว่าจะเชื่อถือเบราว์เซอร์ใด ก็จะไม่มีหลักประกันอีกต่อไปว่าเบราว์เซอร์ทุกตัวจะได้รับอนุญาตโดยอัตโนมัติ
  • เบราว์เซอร์ใหม่จะเริ่มต้นจากสถานะที่ยังไม่ได้รับความเชื่อถือ และต้องพิสูจน์ความน่าเชื่อถือในแบบที่ attester ยอมรับ
  • ผู้ใช้ ซอฟต์แวร์รุ่นเก่า ที่ไม่รองรับสเปกนี้อาจค่อย ๆ ถูกกันออกจากเว็บเมื่อเวลาผ่านไป
  • แม้สเปกจะกล่าวถึงความเสี่ยงในการกีดกันผู้ขายบางราย แต่ก็อาจจบลงที่การตอบสนองแบบครึ่ง ๆ กลาง ๆ โดยไม่มีทางแก้จริง

attester ตามแพลตฟอร์มและความกังวลด้านการแข่งขัน

  • ตัวอย่าง attester หลักในสเปกระบุถึง Google Play บน Android
    • ในโครงสร้างนี้ Google จะเป็นผู้ตัดสินว่าเบราว์เซอร์ใดบนแพลตฟอร์มของตนควรได้รับความเชื่อถือ
    • Vivaldi มองว่ายากที่จะคาดหวังว่า Google จะตัดสินอย่างเป็นธรรม
  • บน Windows มีการกล่าวถึงความเป็นไปได้ที่ Microsoft จะรับบทนี้ผ่าน Windows Store และบน Mac ก็มีความเป็นไปได้คล้ายกันสำหรับ Apple
    • ในทิศทางนี้ อย่างน้อย Edge และ Safari ก็น่าจะมีโอกาสได้รับความเชื่อถือสูง
    • ส่วนเบราว์เซอร์อื่นจะต้องพึ่งพาการตัดสินของ Google, Microsoft และ Apple
  • สำหรับ Linux ยังไม่มีคำตอบที่ชัดเจน
    • ยังไม่แน่ว่า Linux จะถูกกันออกจากการท่องเว็บโดยสิ้นเชิง หรือ Canonical จะกลายเป็นผู้ตัดสินผ่านคลังแพ็กเกจ snaps
    • สำหรับผู้ใช้ Linux สถานการณ์นี้ยังคงดูไม่ดีนัก

ความไม่ชัดเจนเรื่องการแยกมนุษย์ออกจากระบบอัตโนมัติและส่วนขยาย

  • สเปกนี้บ่งชี้อย่างชัดเจนว่าต้องการตรวจสอบว่ามีมนุษย์จริงกำลังโต้ตอบกับเว็บไซต์หรือไม่ แต่ยังไม่ชัดเจนว่าจะทำได้อย่างไร
  • คำถามที่ยังคงอยู่มีดังนี้
    • จะใช้ ข้อมูลพฤติกรรม เพื่อตรวจดูว่าผู้ใช้ทำตัวเหมือนมนุษย์หรือไม่หรือเปล่า
    • ข้อมูลนี้จะถูกส่งให้ attester หรือไม่
    • เครื่องมือการเข้าถึง ที่พึ่งพาระบบอัตโนมัติในการป้อนข้อมูลให้เบราว์เซอร์ จะทำให้เบราว์เซอร์นั้นกลายเป็นสิ่งที่ไม่น่าเชื่อถือหรือไม่
    • และมันจะส่งผลอย่างไรต่อส่วนขยาย
  • สเปกปัจจุบันยกเว้นให้กับการดัดแปลงเบราว์เซอร์และส่วนขยาย แต่ส่วนขยายก็สามารถทำให้การโต้ตอบกับเว็บไซต์เป็นแบบอัตโนมัติได้ง่าย
  • หากคงข้อยกเว้นไว้ ผู้โจมตีก็อาจหาทางเลี่ยงได้ง่าย แต่หากลดข้อยกเว้นลง ก็อาจนำไปสู่การจำกัดส่วนขยายด้วย

เหตุผลที่ปฏิเสธการนำไปใช้ได้ยาก

  • หากเบราว์เซอร์ไม่รองรับ Web Environment Integrity ก็อาจถูกมองว่าเป็นเบราว์เซอร์ที่ไม่น่าเชื่อถือ
  • หากเว็บไซต์กำหนดให้ต้องใช้ API นี้ ก็สามารถปฏิเสธผู้ใช้ของเบราว์เซอร์นั้นได้
  • Google มีเครื่องมือที่จะผลักดันให้เว็บไซต์ยอมรับแนวทางนี้
    • Google อาจทำให้บริการของตนเองพึ่งพาฟีเจอร์นี้
    • การใช้งานเว็บไซต์ของ Google ไม่ได้อาจเป็นเรื่องร้ายแรงสำหรับเบราว์เซอร์ส่วนใหญ่
    • และอาจกำหนดให้เว็บไซต์ที่ใช้ Google Ads ต้องใช้ API นี้ด้วย
  • หากเป้าหมายแรกคือการป้องกันการคลิกโฆษณาปลอม เพียงแค่ผูกเข้ากับ Google Ads ก็อาจทำให้การยอมรับ API นี้แพร่กระจายอย่างรวดเร็ว

ความเป็นไปได้ของแรงเบรกทางกฎหมายและข้อจำกัด

  • Vivaldi มองว่ากฎหมายของสหภาพยุโรปอาจไม่ยอมให้บริษัทเพียงไม่กี่แห่งมีอำนาจมากขนาดตัดสินได้ว่าเบราว์เซอร์ใดได้รับอนุญาต
  • attester อาจถูกกดดันอย่างหนักให้ทำงานอย่างเป็นธรรมที่สุด
  • อย่างไรก็ตาม กระบวนการนิติบัญญัติและตุลาการนั้นล่าช้า ดังนั้นความเสียหายอาจเกิดขึ้นไปแล้วก่อนที่รัฐบาลและศาลจะตรวจสอบเสร็จ
  • หากข้อเสนอนี้เดินหน้าต่อ เว็บแบบเปิด อาจต้องเผชิญช่วงเวลาที่ยากลำบาก และผู้ขายรายเล็กอาจได้รับผลกระทบหนักเป็นพิเศษ

ข้อเสนอก่อนหน้าของ Google และอำนาจเหนือตลาด

  • อำนาจครองตลาดเบราว์เซอร์ของ Google ถูกมองว่ามีศักยภาพจะเป็นภัยคุกคามเชิงโครงสร้างต่อเว็บ
  • Vivaldi มองว่า Google เคยเสนอสิ่งที่ไม่เป็นผลดีกับเว็บมาแล้วก่อนหน้านี้ โดยยกตัวอย่าง FLOC, TOPIC, Client Hints
  • Web Environment Integrity เป็นส่วนต่อเนื่องของแนวโน้มนี้ และถูกมองว่าเป็นภัยที่ใหญ่กว่า เพราะอาจทำให้ Microsoft และ Apple ร่วมมือกับ Google เพื่อจำกัดการแข่งขันทั้งในตลาดเบราว์เซอร์และระบบปฏิบัติการ
  • ในระยะยาว Google ควรถูกทำให้อยู่ในสภาพแวดล้อมการแข่งขันที่เท่าเทียมกว่านี้ และต้องอาศัยทั้งกฎหมายและการลดส่วนแบ่งตลาดของ Google

อัปเดตวันที่ 3 พฤศจิกายน 2023

  • Google ตัดสินใจไม่เดินหน้าต่อกับ Web Integrity API
  • Vivaldi มองว่านี่เป็นเรื่องที่ดีอย่างมากต่อความเป็นกลางของเว็บแบบเปิด
  • อย่างไรก็ตาม Vivaldi ยังมองว่า Google ขับเคลื่อนด้วยผลประโยชน์ของตนเองมากกว่าผลประโยชน์ของเว็บโดยรวม และยังต้องติดตามต่อว่ามันจะถูกแทนที่ด้วยอะไร
  • เช่นเดียวกับที่ Topics เกิดขึ้นหลัง FLOC ก็ยังมีความกังขาว่าอาจมีสเปกใหม่ที่ดูรบกวนน้อยกว่า แต่ยังเป็นอันตรายต่อผู้ใช้
  • Vivaldi ยังมองว่าน่าสงสัยที่การตัดสินใจนี้เกิดขึ้นพร้อมกับการประกาศล่าสุดของ Google ว่าจะเปลี่ยนโมเดลคิดค่าบริการโฆษณาจากการคิดตามคลิกไปเป็นการคิดตามการแสดงผล
  • หากไม่ต้องการให้ผู้เล่นรายเดียวกำหนดอนาคตของเว็บได้ ความหลากหลายของ เบราว์เซอร์และเอนจินเบราว์เซอร์ ก็มีความสำคัญ

1 ความคิดเห็น

 
GN⁺ 2023-07-27
ความคิดเห็นจาก Hacker News
  • ที่ Google พูดแบบนี้น่าขันเป็นพิเศษ SafetyNet ของ Android อ้างว่าเพื่อความปลอดภัย แต่ในความเป็นจริงกลับทำให้ความปลอดภัยลดลงอย่างมาก
    มันบล็อก ROM จากบุคคลที่สามที่ทันสมัยและปลอดภัย แต่ปล่อยให้ ROM จากผู้ผลิตที่มีช่องโหว่น่ากลัวผ่านได้ คงปล่อยไว้อย่างนั้นเพราะถ้าบล็อกไปผู้ใช้คงต่อต้านหนัก
    ท้ายที่สุด แทนที่จะช่วยยกระดับความปลอดภัยอย่างมีความหมายให้ผู้ใช้ทั่วไป มันกลับทำหน้าที่เป็น การผูกติดกับผู้ขาย และปิดทางที่ผู้ใช้ขั้นสูงจะปรับปรุงความปลอดภัยโดยไม่ต้องซื้อฮาร์ดแวร์ใหม่ ควรโต้แย้งให้หนักกว่านี้ต่อข้ออ้างที่ว่า attestation แบบนี้ให้ประโยชน์ที่ชอบธรรมแก่ผู้ใช้

    • ถ้าพูดถึงโทรศัพท์ที่ถูกล็อกซึ่งเป็นปฏิปักษ์ต่อผู้ใช้ เรื่องที่ชวนประชดอย่างยิ่งคือ บทความล่าสุดในบล็อกของ Ben Wiser พนักงาน Google ที่เสนอเรื่องนี้ เป็นการบ่นว่าเขาเจ็บใจที่ไม่สามารถรันซอฟต์แวร์ที่ต้องการบน iPhone ของตัวเองได้อย่างอิสระ
      https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
      https://github.com/RupertBenWiser/Web-Environment-Integrity
    • ซอฟต์แวร์หรือเว็บไซต์แทบทุกอย่างสามารถห่อคำพูดได้ว่ามี ประโยชน์ต่อผู้ใช้ เช่น ความสะดวกหรือความปลอดภัยที่ดีขึ้น คำถามที่สำคัญกว่าคือ ผู้สร้างได้ประโยชน์อะไร และจริง ๆ แล้วมันทำอะไร
      เราอาจใช้เว็บไคลเอนต์ที่ไม่ปล่อยข้อมูลมากเกินจำเป็นได้ แต่ Google คงไม่อยากให้เราใช้ไคลเอนต์แบบนั้น อาจปั้นเรื่องให้เว็บไคลเอนต์ที่ไม่ได้รับอนุมัติทั้งหมดเป็น “บอท” และการใช้เว็บที่ไม่เปิดเผยข้อมูลสภาพแวดล้อมของผู้ใช้มากเกินไปทั้งหมดเป็น “การฉ้อโกง” ก็ได้
      ความคิดแบบ ทั้งหมดหรือไม่มีเลย ที่มองการใช้เว็บทุกอย่างเป็นกิจกรรมเชิงพาณิชย์ และมองทุกเว็บไซต์เป็นภาชนะใส่โฆษณา แทบจะเป็นการบิดเบือนทางความคิดแบบคลาสสิก
    • ใช่ การหลบเลี่ยงตัวมันเองเป็นเรื่องเล็กน้อย แต่ต้องรูทอุปกรณ์ ดังนั้นแม้แต่ใน custom ROM ก็อาจทำให้เกิด ความปลอดภัยลดลง ได้เสียอีก
    • คำอธิบายนั้นใช้กับ GrapheneOS ไม่ได้
      https://grapheneos.org/articles/attestation-compatibility-gu...
      SafetyNet เองก็มีกำหนดจะถูกเลิกใช้อยู่แล้ว
      https://developer.android.com/training/safetynet/deprecation...
  • ฟีเจอร์เบราว์เซอร์ที่เป็นประเด็นถกเถียงมักคล้ายกันเสมอ ถ้าไม่ implement ประสบการณ์ผู้ใช้บนเว็บไซต์ที่ต้องการฟีเจอร์นั้นอาจแย่ลง
    แต่ถ้าเป็นผู้สร้างซอฟต์แวร์ ก็ควรตัดสินเองว่าอะไรดีที่สุดสำหรับลูกค้า ถ้าความหวังเดียวที่จะไม่ทำตามเรื่องนี้คือการให้ EU ลงโทษ Google ก็ฟังดูน่ากังวลเหมือนไม่มีเจตจำนงจะยืนหยัดอย่างแข็งขันด้วยตัวเอง

    • ในบรรดาบริการเว็บรายใหญ่ แทบไม่มีใครขยับตามสิ่งที่ดีที่สุดสำหรับผู้ใช้ ถ้าเรื่องนี้ได้แรงส่ง Google อาจปฏิเสธ การจ่ายเงิน AdSense สำหรับ impression ที่เกิดบนหน้าเว็บที่ “ไม่น่าเชื่อถือ” ได้ และผู้ให้บริการรายใหญ่ที่พึ่งรายได้โฆษณาก็จะ implement WEI ทันทีโดยไม่สนใจผู้ใช้อะไรทั้งนั้น
    • นี่เกือบจะเป็น category error ฟีเจอร์หรือ API ของเบราว์เซอร์ส่วนใหญ่ถูก扱เป็น progressive enhancement จนกว่าจะมีผู้ใช้แพร่หลายเพียงพอ และแม้ภายหลังจะสมมติว่ามีฟีเจอร์นั้นอยู่ โดยมากก็แค่ประสบการณ์แย่ลง ไม่ถึงกับทำให้ไซต์พังทั้งหมด
      แต่ web attestation นั้นต่างออกไป ถ้าเว็บไซต์เรียกใช้และเบราว์เซอร์ไม่ implement ในหลายกรณีผู้ใช้อาจถูกกันออกจากไซต์นั้นโดยสิ้นเชิง
      ยิ่งไปกว่านั้น ต่อให้ Vivaldi implement WEI ก็มีความเป็นไปได้สูงที่หน่วยงาน attestation อย่าง Google, Microsoft, Apple หรือเว็บไซต์เองจะไม่ยอมรับ Vivaldi ว่าเป็นสภาพแวดล้อมที่ถูกต้อง น่าสงสัยว่าเบราว์เซอร์ที่ให้อิสระแก่ผู้ใช้มากเกินไป เช่น ส่วนขยายบล็อกโฆษณา ระบบอัตโนมัติของผู้ใช้ และสคริปต์ จะถูกมองว่าเป็น “สภาพแวดล้อมที่ยอมรับได้” หรือไม่
    • จุดที่ WEI ต่างออกไปคือ มันควบคุมโดยพฤตินัยไปถึงสิทธิ์ในการเลือกว่าจะ implement ฟีเจอร์เว็บอื่น ๆ อย่างไรด้วย เช่น อาจมีผลถึงว่าจะอนุญาตการบล็อกองค์ประกอบหรือไม่ หรือจะแสดง developer console หรือไม่
      นอกจาก Encrypted Media Extensions ซึ่งถึงอย่างนั้นก็จำกัดกว่ามากเมื่อเทียบกับ WEI ผมไม่ค่อยรู้จักมาตรฐานเว็บที่ทำงานในลักษณะนี้
    • Google ยังควบคุมเสิร์ชเอนจินและเครือข่ายโฆษณาที่ได้รับความนิยมที่สุดด้วย จึงสามารถกดดันเว็บเดเวลลอปเปอร์ได้มาก โดยใช้วิธีไม่ให้โฆษณาหรือทราฟฟิกแก่เว็บไซต์ที่ไม่ทำตาม
      ผมบล็อกโฆษณาทั้งหมดอยู่แล้ว จึงไม่ได้เห็นใจเต็มที่กับเดเวลลอปเปอร์ที่ตัดสินใจโดยยึดการเพิ่มรายได้โฆษณาให้สูงสุด แต่การโยนภาระให้เดเวลลอปเปอร์ในจุดนี้ว่า “เป็นตัวเลือกของคุณเอง ก็แค่ปฏิเสธไปสิ” นั้นไม่ยุติธรรม
    • Google เคยพยายามทำอะไรแบบนี้แล้วถูกผลักกลับมาก่อน นึกออกแค่สองอย่าง
      1. FLoC: https://www.theverge.com/2022/1/25/22900567/google-floc-aban...
      2. Dart: Google พยายามแทนที่ JavaScript แต่ถูกปฏิเสธเพราะ Mozilla และ Microsoft ไม่เข้าร่วม สุดท้ายโปรเจกต์ก็ตายไป
        Google ลองทำหลายอย่าง Mozilla, Microsoft และ Apple ยังแข็งแกร่งพอ โดยเฉพาะนอกสหรัฐฯ ที่จะต่อต้านสิ่งที่พวกเขามองว่าเป็นไอเดียแย่ ๆ ได้
  • จนถึงตอนนี้ เธรดที่เกี่ยวข้องน่าจะมีประมาณนี้ มีอะไรตกหล่นไปไหม?
    Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
    Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
    Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
    Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
    Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
    Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
    Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
    Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
    Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)

    • มีโพสต์ที่เกี่ยวข้องอยู่โพสต์หนึ่ง แต่ถูกติดธงไปแล้ว
      “I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
      ดูเหมือนว่าผู้ใช้ที่มีคาร์มามากพอจะเป็นคนกด flag แต่ช่วงหนึ่งมันไม่แสดงว่า “[flagged]” ทั้งยังไม่ไปโผล่ในหน้าต้น ๆ และไม่ได้รับการโหวตแนะนำเพิ่ม เลยทำให้สับสน สงสัยว่าการแสดง “[flagged]” อาจมีดีเลย์หรือเปล่า
  • ถ้าจะประท้วงอย่างจริงจัง ก็ทำแบบนี้ได้: ใส่โค้ดในเว็บไซต์ของแต่ละคนเพื่อตรวจว่า user agent ได้ implement API นี้หรือไม่ และถ้าผ่าน ก็แจ้งพร้อมเหตุผลว่าเบราว์เซอร์นั้นไม่เป็นที่ต้อนรับ
    #BoycottGoogle #BoycottChrome #BoycottBullshit

    • เห็นด้วย และอยากให้ทุกคนทำแบบนั้นพร้อมกัน แต่ผมนึกภาพไม่ออกเลยว่า คนที่กุมเงิน ที่ผมทำงานด้วยจะยอมเห็นด้วย
    • ต้องไปบอกหัวหน้าคุณ และถ้า Google ต้องการ ก็น่าจะหาวิธีทำให้เรื่องนี้ถูกซ่อนไว้ได้ด้วย
  • เช่นเคย นี่เป็นบทความยาวเกี่ยวกับ WEI ของ Google แต่ไม่ได้พูดถึงว่า Apple ได้ปล่อยเรือลำนี้ลงน้ำไปอย่างเงียบ ๆ แล้ว และแทบไม่ได้รับความสนใจหรือแรงต่อต้านเลย
    https://httptoolkit.com/blog/apple-private-access-tokens-att...
    https://toot.cafe/@pimterry/110775130465014555
    เป็นสภาพที่น่าเศร้าของข่าวเทคโนโลยีและบล็อกต่าง ๆ ที่ไม่มองภาพใหญ่ แต่เล่นดราม่าเดิมซ้ำ ๆ

    • เหมือนผู้ใช้อินเทอร์เน็ตจำนวนมากทั่วโลก ผมไม่มีผลิตภัณฑ์ของ Apple เลยไม่ได้สังเกต ไม่เคยได้รับผลกระทบ และก็คงมีแนวโน้มสูงว่าจะไม่โดนในอนาคต
      ในทางกลับกัน ผมยังคงมีปฏิสัมพันธ์กับเว็บไซต์ที่ใช้ Google Analytics หรือโฆษณา Google อยู่เรื่อย ๆ ถ้าไซต์เหล่านั้นเริ่มปฏิเสธเบราว์เซอร์ที่ผมเลือก ผมก็จะถูกกันออกจากอินเทอร์เน็ตส่วนใหญ่ในทางปฏิบัติ
      ผู้ใช้อินเทอร์เน็ตอีก 60% ที่เหลือก็อาจถูกบังคับให้ยอมรับเทคโนโลยีนี้โดยพฤตินัยได้เช่นกัน จำนวนผู้ใช้ที่ได้รับผลกระทบมากกว่าในระดับหนึ่งหรือสองหลัก จึงมีเหตุผลมากพอที่จะส่งเสียงเตือน
    • ในบทความก็พูดถึงประเด็นนั้น Safari ไม่ใช่เว็บเบราว์เซอร์ที่ครองตลาด จึงไม่ใช่ปัญหาแบบเดียวกัน อำนาจที่ Apple จะใช้ผ่านสิ่งนี้มีจำกัดมาก
    • การป้องกันตัวแบบ “ตรงนั้นมีตัวร้ายที่ใหญ่กว่า” ไม่ใช่กลยุทธ์ที่จะชนะได้
    • ส่วนตัวผมมองว่า Private Access Tokens ไม่ได้แย่เท่า WEI เพราะ PAT แค่ช่วยข้าม CAPTCHA ได้ประมาณนั้น แต่ WEI มีโอกาสจะกันผู้คนออกจากเว็บไซต์ได้อย่างสิ้นเชิง
    • แน่นอนว่ามันควรได้รับความสนใจมากกว่านี้
  • การที่กรณีใช้งานแรกคือการตรวจสอบว่าการโต้ตอบกับโฆษณาเป็นของจริงหรือไม่นั้นเป็นแค่จุดเริ่มต้นเท่านั้น สุดท้าย Attestation อาจทำให้ผู้ลงโฆษณาเรียกร้องให้ยืนยันว่าผู้ใช้อยู่ตรงนั้นจริง ๆ และกำลังมองหน้าจออยู่
    อาจกลายเป็นเหมือนตอน “Fifteen Million Merits” ของ Black Mirror

    • Sony มีสิทธิบัตรสำหรับสถานการณ์แบบนั้นใน Black Mirror อยู่แล้ว
      https://www.creativebloq.com/sony-tv-patent
      เนื้อหาคือผู้ชมทีวีต้องตะโกนชื่อแบรนด์เพื่อข้ามโฆษณา เช่น ต้องตะโกนว่า “McDonald's!” แล้ว Big Mac ถึงจะหายไป
      ถ้าไม่หยุดไว้ บริษัทต่าง ๆ จะทำเรื่องบ้าคลั่งและเลวร้ายที่สุด และมันจะเกิดขึ้นจริง
    • บน Android โฆษณาวิดีโอบางตัวจะหยุดชั่วคราวแม้แค่ดึง แถบแจ้งเตือน ลงมา
    • รอวันที่ทุกเว็บสื่อจำเป็นต้องวางเอนจินเบราว์เซอร์เต็มรูปแบบอีกตัวที่เขียนด้วย WASM ซ้อนอยู่ภายในโฮสต์เบราว์เซอร์
  • ตอนนี้ต้องการสองอย่าง อย่างแรกคือ การแยกกิจการด้านต่อต้านการผูกขาด โดยแยก Google ออกเป็นฝั่งค้นหากับฝั่งโฆษณา อย่างที่สองคือภาษีโฆษณา
    ต้องทำให้การที่เสิร์ชเอนจินแสดงโฆษณามากเกินไปกลายเป็นความเสียหายทางเศรษฐกิจ

    • เห็นด้วยกับอย่างแรก แต่ข้อที่สองดูเหมือนจะพลาดเป้า เรื่องนี้แทบไม่เกี่ยวกับการค้นหา
      Google กำลังใช้สถานะทางตลาดที่เป็นทั้งผู้ขายโฆษณารายใหญ่ที่สุดและผู้สร้าง Chrome/Chromium ซึ่งเป็นเบราว์เซอร์ยอดนิยมที่สุด เพื่อทำให้ผู้ใช้หลีกเลี่ยงการดูโฆษณาของ Google ไม่ได้ไม่ว่าจะอยู่บนเว็บไซต์ใด
    • ผมมองว่าแนวคิดแยกการค้นหาออกจากโฆษณาอาจเปลี่ยนเกมได้ แต่การค้นหาจะทำรายได้โดยไม่มีโฆษณาได้อย่างไร และจะไม่บั่นทอนอัลกอริทึมจัดอันดับได้อย่างไร?
    • การที่เสิร์ชเอนจินแสดงโฆษณาคงไม่กลายเป็นความเสียหายทางเศรษฐกิจ ตำแหน่งโฆษณาในหน้าแรกยังขายได้ในราคาสูงเสมอ
      แต่ควรทำให้เสียหายในเชิงยุทธวิธีแทน เพราะโฆษณาบั่นทอนความแม่นยำและทำให้ผู้ใช้หนีไป แต่ถ้าไม่มีคู่แข่งที่แม่นยำกว่ามาก ก็ยังทนอยู่ได้นาน
      ยังมีสัญญาณที่ให้ความหวังสำหรับ Google Search อยู่บ้าง บางคนรายงานว่าความแม่นยำลดลง และ Google ก็เปลี่ยนพฤติกรรมเฉพาะตัวอยู่เรื่อย ๆ เพื่อหลบสแปม ซึ่งในกระบวนการนั้นทำให้ความพยายามที่ผู้คนทุ่มไปกับ SEO และเทคนิคการค้นหาบน Google หมดคุณค่าไป อย่างไรก็ตาม ทั้งสองอย่างนี้อาจเป็นปรากฏการณ์เดียวกันก็ได้
  • เห็นภาพข้อความ “เว็บไซต์นี้ไม่รองรับอุปกรณ์ของคุณ” โผล่บน YouTube
    ก็ไม่แปลก เพราะอยู่ภายใต้การควบคุมของ Google และต้องการให้ดูโฆษณาในเบราว์เซอร์ทางการ แอปธนาคารก็อาจใส่เข้ามาในช่วงแรกได้เช่นกัน
    ในระยะยาวมันจะค่อย ๆ เหี่ยวตายไป หรือไม่ก็นำไปสู่มาตรการต่อต้านการผูกขาด ไม่ค่อยเห็นทางอื่น

    • บริการสตรีมมิงทั้งหมดมีแนวโน้มสูงที่จะรีบนำไปใช้โดยอ้างว่าเพื่อป้องกันการละเมิดลิขสิทธิ์ ผลลัพธ์คือไม่ได้ผล และจะทำร้ายเฉพาะคนที่ต้องการดูผ่านเบราว์เซอร์หรือระบบปฏิบัติการที่เคารพเสรีภาพมากกว่า
    • ถ้าไม่มี ห่วงโซ่ความเชื่อถือ ที่สมบูรณ์ตั้งแต่การบูตเหมือน Android และ iOS และไม่ใช่กรณีที่สภาพแวดล้อมเดสก์ท็อปแบบผูกขาดสามารถจัดหาให้ได้ การแลกเปลี่ยนว่า “ฉันเป็นเบราว์เซอร์ที่ถูกต้องตามกฎหมาย” ก็ควรจะปลอมแปลงได้
      คน 1% ที่สนใจจะทำแบบนั้น แต่สิ่งที่น่ากลัวคือจากสิ่งที่เคยเป็นเว็บเปิด ตอนนี้ต้องลงไปใช้วิธีใต้ดินแบบ “แคร็ก” แทน และยังมีความเสี่ยงถูกบล็อกถ้าถูกตรวจพบ
    • ธนาคารไม่ใช่เป้าหมาย ถ้าธนาคารใช้มาตรการที่ขัดขวางคนพิการ ผู้ดูแลบัญชีองค์กรที่มีความพิการ หรือผู้สูงอายุ ก็จะโดนโจมตีหนัก พวกเขาจำเป็นต้องเคลื่อนไหวอย่างระมัดระวัง
  • ไม่แน่ใจว่า WEI แย่กว่า ตาแมวที่ประตู ตรงไหนกันแน่ บอทเป็นปัญหาใหญ่อยู่แล้วและกำลังแย่ลง ทางเลือกคืออะไร?
    ทั้งในโลกจริงและบนเว็บ เราต้องรู้ว่าอีกฝ่ายเป็นใคร อาจจะคิดคนเดียวก็ได้ แต่ผมมองว่า WEI เป็นสิ่งที่ดี
    ใครที่เคยดูแลไซต์จะรู้ว่าบอทน่าปวดหัวแค่ไหน ไซต์ที่ไม่สนใจบอทก็ไม่ต้องใช้ WEI ได้ แน่นอนว่าในความเป็นจริงก็จะใช้ เพราะบอทเป็นเรื่องน่าปวดหัว
    เมื่อ AI พัฒนาขึ้น เรื่องนี้ยังไงก็หลีกเลี่ยงไม่ได้ การคิดว่าไม่ใช่แบบนั้นแทบจะเป็นความเพ้อฝัน

    • จริง ๆ แล้ว SSL ใช้กับใบรับรองเซิร์ฟเวอร์เท่านั้น มันไม่ค่อยดีเพราะผู้ออกใบรับรอง และมีเสียงบ่นมากมาย แต่พอ Let’s Encrypt ออกมา สถานการณ์ก็ดีขึ้น และตัวตนก็ผูกอยู่แค่กับการควบคุมโดเมนเท่านั้น ต่างจากใบรับรองเซ็นโค้ดที่รุกล้ำกว่ามากและโดยพื้นฐานเหมือนตลาดค้าขาย
      WEI มีศักยภาพจะกลายเป็น DRM จริง ๆ ในรูปแบบ “อุปกรณ์ที่ได้รับอนุมัติ” มันรุกล้ำมาก และอาจถูกใช้ตามใจบริษัทใหญ่เพื่อกัน screen reader, การบล็อกโฆษณา, การป้องกันการติดตาม, การป้องกัน fingerprinting, การดาวน์โหลดคอนเทนต์มีลิขสิทธิ์ และรูปแบบการใช้งานใด ๆ ที่จะนึกออกในอนาคต
      พูดตรง ๆ มันคือประตูที่จะทำให้เว็บกลายเป็น App Store หรืออย่างดีที่สุดก็เป็นแอปสโตร์หลายแห่ง ถ้าบอทเป็นปัญหา ก็ควรพูดให้เฉพาะเจาะจง มีบอทดี ๆ อยู่มาก และที่ย้อนแย้งคือทราฟฟิกบอทส่วนใหญ่ก็มาจากบริษัทใหญ่ ๆ ที่ผลักดันเรื่องพวกนี้เอง สำหรับบอทอันตรายก็มีรายการบล็อก IP อยู่แล้ว ส่วนบอทปั่นที่อยู่ในพื้นที่สีเทาเป็นปัญหาจริง แต่ทำไมต้องใส่กุญแจมือบังคับกับผู้ใช้ทุกคนก็เป็นอีกเรื่องหนึ่ง
    • แก่นแท้ของ WEI คือการทำให้ผู้ใช้ไม่สามารถควบคุมอุปกรณ์ของตัวเองได้อย่างสมบูรณ์ ถ้าให้สิทธิ์ควบคุมอุปกรณ์แก่คน บอทก็เกิดขึ้นได้ ประเด็นคือคุณเชื่อว่าการกำจัดบอทสำคัญกว่า คอมพิวติ้งเอนกประสงค์ หรือไม่
      บอทก็แค่คอมพิวเตอร์ที่ทำสิ่งที่เจ้าของต้องการ จุดยืนที่ชอบ WEI เท่ากับรู้สึกไม่สบายใจที่คนอื่นใช้คอมพิวเตอร์ในแบบที่ตนไม่ชอบ จึงอยากยึดสิทธิ์ควบคุมคอมพิวเตอร์นั้นไป
      ตอนนี้ที่ AI แข็งแกร่งกำลังอยู่หน้าประตู เรากำลังเห็นการเคลื่อนไหวเพื่อพรากคอมพิวติ้งเอนกประสงค์ไป ผลลัพธ์เลวร้ายที่สุดล้วนมาจากการที่ผู้คนสูญเสียความสามารถในการควบคุมคอมพิวเตอร์ของตัวเอง
    • SSL ไม่ได้กำหนดว่าบุคคลที่สามใด ๆ ต้องอนุมัติซอฟต์แวร์และฮาร์ดแวร์ของผมก่อนถึงจะทำงานได้
    • TLS ไม่ได้ทำให้เว็บไซต์สามารถจำกัดเทคโนโลยีสแต็กที่ผู้ใช้ต้องการใช้ได้ ไม่ว่าจะเป็นฮาร์ดแวร์ ระบบปฏิบัติการ หรือเบราว์เซอร์ แต่ WEI ทำแบบนั้น
    • คนที่ใช้เบราว์เซอร์ที่ไม่มีฟีเจอร์นี้จะกลายเป็นพลเมืองชั้นสองที่ต้องผ่านขั้นตอนสุดโต่งเพื่อใช้เว็บ หรืออาจถูกบล็อกจากเว็บส่วนใหญ่ไปเลย
      ผมใช้สคริปต์ web scraper ที่ทำเองอยู่หลายตัว ตัวอย่างเช่น ผมมีสำเนาดิจิทัลของสลิปเงินเดือนทั้งหมด สิ่งเหล่านี้แทบทั้งหมดจะกลายเป็นใช้ไม่ได้
      เว็บไซต์กองทุนเกษียณของที่ทำงานเก่าของผมบังคับให้ดาวน์โหลดใบแจ้งยอดรายเดือนด้วยตนเองเท่านั้น และตรวจจับไลบรารี Mechanize แล้วแสดงคำเตือนห้ามโรบอต แทบไม่มีใครทำเองทุกเดือนหรอก แต่ก็ไม่อนุญาตให้โรบอตด้วย
      อย่างน้อยตอนนั้นถ้าจะบล็อกก็ต้องติดตั้งซอฟต์แวร์พิเศษไว้ที่ไหนสักแห่ง แต่สิ่งนี้จะทำให้การทำเรื่องแบบนั้นง่ายขึ้นมาก ผมกังวลเครื่องมืออย่าง Selenium ด้วย นี่ไม่ใช่ SSL
  • มีความไม่พอใจเชิงศีลธรรมต่อข้อเสนอนี้มาก และก็สมควรแล้ว ที่จริงควรจะแรงกว่านี้ด้วยซ้ำ อย่างไรก็ตาม แยกจากเรื่องนั้นแล้ว ข้อเสนอนี้ก็ดูไม่น่าจะทำงานได้ดีอยู่ดี
    หากถูกนำไปใช้งานโดยไม่มีการคัดค้าน มันจะกลายเป็น เว็บ DRM แบบวงปิดที่แน่นหนา และจะดึงดูดความสนใจจากฝ่ายนิติบัญญัติ หวังว่าจะเป็นเช่นนั้น
    หากยังมีเบราว์เซอร์ที่คัดค้านเหลืออยู่ สำหรับเว็บไซต์แล้วมันก็แทบไม่มีประโยชน์ เพราะสุดท้ายก็ยังต้องคงกลไกสำรองสำหรับการตรวจจับการฉ้อโกงไว้ หากต้องคงไว้เช่นนั้น พวกเขาน่าจะมองว่าการใช้วิธีเดิมที่สามารถเก็บข้อมูลส่วนบุคคลได้มากกว่ามากเป็นทางออกเดียวจะดีกว่า

    • เรื่องนี้ไม่ได้มีไว้สำหรับเว็บไซต์แต่ละแห่งตั้งแต่แรกแล้ว มันเป็นมาตรการเพื่อปกป้อง ธุรกิจโฆษณา ของ Google ล้วน ๆ