Google ปะทะเว็บเปิด
(interpeer.io)- ข้อเสนอ Web Environment Integrity(WEI) ของ Google อาจทำให้เว็บไซต์สามารถร้องขอการยืนยันสภาพแวดล้อมของเบราว์เซอร์ และปิดกั้นไคลเอนต์ที่ไม่ได้รับอนุมัติ จนทำให้เว็บเปิดกลายเป็นเหมือนแอปแบบไซโล
- แกนหลักของโครงสร้างนี้คือ attestation agent ภายนอกที่ตรวจสอบเบราว์เซอร์และปลั๊กอิน แล้วให้เว็บไซต์ตัดสินใจว่าจะอนุญาตให้เข้าถึงหรือไม่จากผลลัพธ์นั้น
- กรณีการใช้งานที่ระบุมี Google Play ปรากฏเป็นผู้ให้การยืนยัน และรวมถึงสถานการณ์ การแสดงโฆษณา·การบล็อกบอต เพื่อให้โฆษณาถูกส่งไปยังผู้ใช้ที่ชอบด้วยกฎหมายเท่านั้น ไม่ใช่กระบวนการอัตโนมัติ
- ผู้ใช้ที่พึ่งพาตัวเลือกเบราว์เซอร์ ตัวบล็อกโฆษณา อุปกรณ์เก่า หรือเทคโนโลยีช่วยเหลือ อาจถูกกีดกัน ทำให้ทั้ง การเข้าถึงได้·ความครอบคลุม และความเป็นระบบที่สร้างสรรค์ของเว็บเปิดสั่นคลอน
- ยังมีประเด็นด้านมาตรฐานและการรับมือด้านกฎระเบียบตามมา ตั้งแต่การปิด issue·ความคิดเห็นในคลังของ Google การคัดค้านของ Mozilla ไปจนถึงความไม่ชัดเจนของ attester ใน Apple Private Access Tokens และ IETF PrivacyPass
วิธีที่ WEI คุกคามเว็บเปิด
- Web Environment Integrity(WEI) เป็นข้อเสนอที่ทำให้เว็บไซต์สามารถร้องขอหลักฐาน “ความสมบูรณ์” ของสภาพแวดล้อมเบราว์เซอร์ได้
- เว็บไซต์สามารถแสดงหน้าเว็บเฉพาะบนอุปกรณ์หรือเบราว์เซอร์บางประเภท และปฏิเสธบริการต่อไคลเอนต์อื่นได้
- โครงสร้างนี้มีผลในการผูกซอฟต์แวร์ฝั่งไคลเอนต์เข้ากับเว็บไซต์เฉพาะ จนสร้าง แอปแบบไซโล
- แพลตฟอร์มและผู้ใช้ที่ไม่สามารถใช้ซอฟต์แวร์ไคลเอนต์ที่เป็นที่ต้องการจะเสียเปรียบ
- ผู้ใช้ที่เข้าถึงอุปกรณ์ที่ใหม่เพียงพอได้ยาก
- ผู้ใช้ที่ต้องใช้เบราว์เซอร์พิเศษหรือเทคโนโลยีช่วยเหลือ
- ผู้ใช้ที่ให้ความสำคัญกับประสิทธิภาพของ screen reader หรือความเข้ากันได้กับอุปกรณ์เก่า·ราคาถูก
- เพราะความเป็นไปได้ในการกีดกันเช่นนี้ WEI จึงถูกวิจารณ์ว่าเป็น ข้อเสนอที่ต่อต้านสังคม ซึ่งขัดกับหลักการออกแบบของเว็บ
กลไกการยืนยันเบราว์เซอร์
- WEI เป็นโครงสร้างที่เบราว์เซอร์รับ attestation เกี่ยวกับ “ความสมบูรณ์” ของตนจาก agent ภายนอก แล้วส่งต่อให้เว็บไซต์
- สันนิษฐานว่า agent จะตรวจสอบเบราว์เซอร์และปลั๊กอิน และออกการอนุมัติให้เฉพาะเมื่อผ่านการตรวจสอบเท่านั้น
- เว็บไซต์สามารถดูผลการอนุมัตินี้แล้วตัดสินใจว่าจะให้บริการหรือไม่
- ดูเผิน ๆ เหมือนเป็นฟังก์ชันที่รับประกันว่าสภาพแวดล้อมไม่ได้ถูกดัดแปลงเพื่อผู้ใช้ แต่กรณีการใช้งานจริงถูกวางไว้ใกล้กับ การคุ้มครองผู้ประกอบการ มากกว่า
- ข้อเสนอนี้มีเนื้อหาว่า Google Play สามารถเป็นผู้ให้การยืนยันได้ และมีตัวอย่างที่ทำให้โฆษณาถูกส่งไปยังผู้ใช้ที่ชอบด้วยกฎหมายเท่านั้น ไม่ใช่กระบวนการอัตโนมัติ
โฆษณา บอต และตัวบล็อกโฆษณา
- เบื้องหลังข้อเสนอนี้มีผลประโยชน์เกี่ยวกับการแสดงโฆษณาและบอต
- ผู้ลงโฆษณาต้องการลดค่าใช้จ่าย
- ผู้ให้บริการเว็บไซต์ต้องการแสดงโฆษณา
- เครือข่ายโฆษณาของ Google เรียกเก็บค่าใช้จ่ายตามหน่วย impression
- บอตสร้าง impression
- WEI ถูกอ่านว่าเป็นวิธีแก้ที่กีดกันบอตด้วยการยืนยัน เพื่อให้การแสดงโฆษณาเกิดกับผู้ใช้ที่ล็อกอิน Google Play เท่านั้น
- โดยทั่วไปแล้วบอตมักถูกแยกแยะได้ด้วยข้อมูล log เช่นสตริง user agent แต่ user agent สามารถปลอมแปลงได้
- บอตที่มีแรงจูงใจเพียงพอสามารถเลี่ยงมาตรการความปลอดภัยที่แข็งแกร่งกว่าได้ และอาจใช้เบราว์เซอร์ที่ชอบด้วยกฎหมายส่งคำขอผ่านเครื่องมืออย่าง Selenium WebDriver ได้ด้วย
- จุดอ่อนสำคัญอยู่ที่ attester
- ผู้โจมตีอาจโน้มน้าว attester ให้มองไคลเอนต์ว่าเป็นของชอบด้วยกฎหมายได้
- หรืออาจใช้ไคลเอนต์ที่ชอบด้วยกฎหมายในแบบที่ attester ไม่ถือว่าเป็นปัญหา
- ท้ายที่สุด บอตสามารถซับซ้อนได้เท่าเบราว์เซอร์จริงและผ่าน attestation ได้ ทำให้ WEI ถูกตีความว่ามุ่งเป้าไปที่ ตัวบล็อกโฆษณา มากกว่าบอต
ความเป็นไปได้ในการใช้งานโดยมิชอบและการกลับมาของสงครามเบราว์เซอร์
- attestation agent สามารถกำหนดได้อย่างอิสระว่าจะอนุมัติหรือปฏิเสธเบราว์เซอร์ด้วยวิธีใด
- โครงสร้างนี้เปิดประตูให้เกิดการใช้งานโดยมิชอบตามอำเภอใจ
- เว็บไซต์อาจบังคับให้ติดตั้ง agent เก็บข้อมูลแบบผูกขาด
- อาจปฏิเสธบริการหากไม่ใช้เบราว์เซอร์เฉพาะ
- สงครามเบราว์เซอร์ ช่วงปลายทศวรรษ 1990 อาจเกิดขึ้นอีกครั้ง
- การติดตามผู้ใช้ของเครือข่ายโฆษณาถูกวิจารณ์มากขึ้นเรื่อย ๆ และตัวบล็อกโฆษณาก็ถูกแนะนำให้ใช้ในฐานะมาตรการความปลอดภัยด้วย
- โฆษณาอาจเป็นช่องทางไซด์โหลดมัลแวร์เข้าสู่เว็บไซต์ที่ชอบด้วยกฎหมาย ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยบางรายแนะนำให้ใช้ตัวบล็อกโฆษณา
- หาก WEI ได้รับการยอมรับ ก็จะนำไปสู่คำวิจารณ์ว่าเว็บเปิดถอยหลังไปหลายสิบปี
จากระบบเชิงสร้างสรรค์สู่อุปกรณ์สำเร็จรูป
- หนังสือ 『The Future of the Internet -- And How to Stop It』 ของ Jonathan Zittrain ใช้เครือข่ายโทรศัพท์เป็นจุดตั้งต้นในการแยก อุปกรณ์สำเร็จรูป กับ ระบบเชิงสร้างสรรค์
- อุปกรณ์สำเร็จรูปทำงานโดยมีฟังก์ชันหลักหนึ่งอย่างเป็นศูนย์กลางเหมือนเครื่องปิ้งขนมปัง และฟังก์ชันอื่น ๆ ก็ใกล้เคียงกับการดัดแปลงจากสิ่งนั้น
- PC และอินเทอร์เน็ตถูกจัดเป็น ระบบเชิงสร้างสรรค์ ที่ให้ฟังก์ชันพื้นฐานโดยไม่มีวัตถุประสงค์หลักเฉพาะ และให้ผู้ใช้เป็นผู้กำหนดเป้าหมาย
- เว็บเปิดเป็นชุดของเฟรมเวิร์กไม่ผูกขาดที่ผู้ใช้พัฒนาขึ้น และเน้น interoperability รวมถึงสมดุลของการเข้าถึงและความเป็นเจ้าของข้อมูลระหว่างผู้ให้บริการกับผู้ใช้ปลายทาง
- attestation ตามการตัดสินใจตามอำเภอใจของ agent จะเปลี่ยนเว็บให้เป็นอุปกรณ์สำเร็จรูป และให้แม่นยำยิ่งขึ้นคือทำให้เบราว์เซอร์กลายเป็นส่วนขยายของเว็บไซต์แบบอุปกรณ์สำเร็จรูป
- ผู้ให้บริการเว็บไซต์สามารถสร้างอุปกรณ์สำเร็จรูปได้อยู่แล้ว แต่หากการเปลี่ยนแปลงเช่นนี้สะสมมากขึ้น ประโยชน์ของเว็บเปิดเชิงสร้างสรรค์ก็จะลดลง
ประเด็นด้านการเข้าถึงได้และกฎระเบียบ
- โดยหลักการแล้ว WEI ไม่ได้ “ก่อ” ปัญหาการเข้าถึงได้โดยตรง แต่ประสิทธิภาพด้านต้นทุนอาจทำงานในลักษณะที่มุ่งเน้น 20% ของตลาดเบราว์เซอร์เพื่อให้ครอบคลุมผู้ใช้ 80%
- ผู้ใช้อีก 20% ที่เหลืออาจถูกละเลยเพราะมีต้นทุนสนับสนุนสูง
- ผู้ใช้ที่ต้องใช้เบราว์เซอร์พิเศษ
- ผู้ใช้ที่ให้ความสำคัญกับประสิทธิภาพของ screen reader
- ผู้ใช้ที่ต้องการเบราว์เซอร์ที่ทำงานบนอุปกรณ์ราคาถูก·รุ่นเก่า
- มีข้อโต้แย้งว่าปัญหาการเข้าถึงควรแก้ด้วยกฎระเบียบ
- กรอบกฎระเบียบที่ดีพบได้ยาก และเทคโนโลยีเคลื่อนที่เร็วกว่ากฎหมาย
- ในระยะสั้นต้องจัดการความเสี่ยงของ ตัวเทคโนโลยีเอง และในระยะยาวต้องเดินหน้าถึงการรับมือด้านกฎระเบียบด้วย
ความขัดแย้งระหว่างการคุ้มครองผลประโยชน์องค์กรกับเว็บเปิด
- แม้เป็นการกระทำของบริษัทเพื่อปกป้องผลประโยชน์ แต่หากสร้างความเสียหายต่อผู้คนก็ยากจะชอบธรรม
- อินเทอร์เน็ตและเว็บเปิดเป็น ระบบเชิงสร้างสรรค์ ที่มีผลเชิงบวก เพราะผู้คนสามารถตัดสินใจวิธีใช้งานได้
- ทันทีที่สิทธิในการตัดสินใจนี้ลดลง ระบบก็จะเคลื่อนย้ายไปทางอุปกรณ์สำเร็จรูป
- หากบริษัทลดทอนระบบเชิงสร้างสรรค์ให้เป็นอุปกรณ์สำเร็จรูปเพื่อปกป้องผลประโยชน์ การกระทำนั้นเองก็เป็นอันตรายต่อผู้คน
- Google ถูกวิจารณ์ว่าบริษัทที่เติบโตบนระบบเชิงสร้างสรรค์ ตอนนี้กำลังพยายามเปลี่ยนระบบเดียวกันให้เป็นอุปกรณ์สำเร็จรูปที่สอดคล้องกับความต้องการของตนเอง
W3C, คลัง และปฏิกิริยาของ Mozilla
- มีการหยิบยกประเด็นว่าข้อเสนอ WEI ละเมิดจรรยาบรรณของ W3C และกลุ่มที่รับผิดชอบตอบว่าไม่อยู่ในเขตอำนาจของตน
- ต่อมาความกังวลเกี่ยวกับข้อเสนอ WEI และพฤติกรรมของผู้เข้าร่วมถูกส่งต่อไปยัง ombudspeople ของ W3C
- ความกังวลดังกล่าวรวมถึงประเด็นที่ maintainers ของคลัง GitHub กำลังปิด issue จากชุมชน
- วันที่ 22 กรกฎาคม 2023 Google ปิดฟังก์ชันการมีส่วนร่วมในคลัง รวมถึงการเปิด issue และการแสดงความคิดเห็น
- Mozilla คัดค้าน WEI และระบุว่าข้อเสนอนี้ขัดกับหลักการและวิสัยทัศน์ของ Mozilla ต่อเว็บ
- ใน Chromium มี commit ที่เกี่ยวข้องกับ WEI อยู่แล้ว และมีความกังวลว่าอาจออกมาเร็วกว่าก่อนที่สเปกจะถูกสรุปแน่นอน
Apple Private Access Tokens และ PrivacyPass
- Apple ให้บริการ API ที่คล้ายกันชื่อ Private Access Tokens มาประมาณ 1 ปีแล้ว
- Private Access Tokens ในบล็อกนักพัฒนาของ Apple ใช้กลไกที่แทบเหมือนกับ WEI
- อย่างไรก็ดี เอกสารของ Apple แนะนำว่า “เมื่อส่ง token challenge อย่าบล็อกการโหลดหน้าหลัก และให้ไคลเอนต์ที่ไม่รองรับ token เข้าถึงเว็บไซต์ได้ด้วย”
- น้ำเสียงของเอกสาร Apple แตกต่างจากแรงจูงใจของ WEI และ Private Access Tokens ถูกนำเสนอเป็นกลไกที่ใช้แทนวิธีการยืนยันตัวตนที่รบกวนมากกว่าอย่าง CAPTCHA
- token issuer ถูกอธิบายว่าเป็นเว็บเซอร์วิสภายนอก ไม่ใช่กระบวนการทึบแสงที่ทำงานบนอุปกรณ์ของผู้ใช้ และอ่านได้ว่าเป็นกลไกที่ CDN ใช้ยืนยันคำขอไปยัง origin server
- โปรโตคอลถูกกำหนดโดย IETF PrivacyPass Working Group
- ตาม PrivacyPass protocol draft ข้อมูลที่ไคลเอนต์ส่งให้ issuer มีเพียง server challenge ในรูปแบบแฮชที่ถูกทำให้สับสนเท่านั้น
- ในกรณีนี้ จากมุมมองของ issuer จะไม่มีข้อมูลส่วนบุคคลรั่วไหล และเพราะไม่มีการตรวจสอบสภาพแวดล้อมของเบราว์เซอร์และปลั๊กอิน จึงยากที่จะปิดกั้นไม่ให้เบราว์เซอร์บางตัวได้รับ attestation
ส่วนที่ยังไม่สมบูรณ์ของ PrivacyPass และความเป็นไปได้ในการเลือกปฏิบัติ
- หากวิเคราะห์ PrivacyPass ด้วยโปรโตคอล issuer เพียงอย่างเดียว จะยังไม่สมบูรณ์
- ส่วนที่ขาดหายคือไคลเอนต์กับ attester โต้ตอบกันอย่างไร
- issuer ไม่รู้ข้อมูลที่ระบุตัวบุคคลได้ แต่สามารถมีอิทธิพลต่อว่าจะใช้ attester ใด
- attester ยังคงเป็นองค์ประกอบที่ไม่รู้แน่ชัด ซึ่งพฤติกรรมเฉพาะไม่ได้ถูกระบุไว้
- หลายส่วนของสเปกระบุเพียงวิธีที่เป็นไปได้ และเว้นขั้นตอนเฉพาะไว้
- มีความเป็นไปได้ที่ไคลเอนต์จะไม่ส่งคุณลักษณะอ่อนไหวให้ attester แต่ในกรณีนั้นจะเกิดผลลัพธ์ใดไม่ได้ถูกกล่าวถึง
- เพราะความเปิดกว้างนี้ ปัญหาแบบเดียวกับโมเดลอย่าง WEI จึงสามารถถูกนำไปใช้งานได้
- เอกสารสถาปัตยกรรม PrivacyPass ก็ยอมรับความเป็นไปได้ของการปฏิบัติแบบเลือกปฏิบัติใน section 5.1 “Discriminatory Treatment”
เส้นทางรับมือด้านการผูกขาด ข้อมูลส่วนบุคคล และมาตรฐาน
- มีการแชร์ความคิดเห็นใน Hacker News ว่าการประท้วง Google บน GitHub เพียงอย่างเดียวไม่ได้ผล
- ความคิดเห็นดังกล่าวเสนอช่องทางติดต่อหน่วยงานต่อต้านการผูกขาดของสหรัฐฯ, EU, สหราชอาณาจักร, อินเดีย และแคนาดา
- การต่อต้านการผูกขาดเป็นเพียงเส้นทางหนึ่ง และ PrivacyPass กับ Apple Private Access Tokens ก็มีปัญหาคล้ายกัน
- ใน EU สามารถยื่นข้อกังวลต่อหน่วยงานต่อไปนี้ได้
- European Data Protection Board: การเข้าถึงแบบเลือกปฏิบัติอาจขัดกับความชอบด้วยกฎหมายของการประมวลผลข้อมูลส่วนบุคคลตาม GDPR Article 6
- European Data Protection Supervisor: สามารถยื่นข้อกังวลด้านข้อมูลส่วนบุคคลที่คล้ายกันได้
- European Agency for Fundamental Rights: เทคโนโลยีที่เลือกปฏิบัติต่อผู้ใช้ด้วยแนวปฏิบัติที่ไม่โปร่งใสอาจละเมิดสิทธิขั้นพื้นฐานของ EU
- สำหรับ PrivacyPass สามารถเข้าร่วม mailing list ของ IETF PrivacyPass working group เพื่อยื่นข้อกังวล และคัดค้านในขั้นตอนการรับ draft ได้
ความกังวลเพิ่มเติมต่อกระบวนการภายในของ Google
- Alex Russell แห่ง Google/Chrome/Blink พยายามตีความ WEI ใหม่ว่าเป็นกรณีที่ผู้คนซึ่งตั้งใจทำสิ่งดีเพื่อเว็บถูกพัดพาไปกับ “สิ่งที่ทำได้” จนมองข้าม “สิ่งที่ควรทำ”
- คำอธิบายนั้นมีนัยว่า Google ไม่มีโครงสร้างลำดับชั้นที่บังคับให้ถามว่า “ควรทำหรือไม่”
- ความกังวลเฉพาะหน้ามีสองข้อ
- Google ไม่ได้ถามว่า “ควรทำหรือไม่” ในระดับกระบวนการ
- Googler แต่ละคนก็ไม่ได้ถามคำถามนั้นโดยไม่เกี่ยวกับกระบวนการของ Google
- เมื่อสององค์ประกอบนี้วางอยู่ด้วยกัน ก็นำไปสู่คำวิจารณ์ว่าใกล้เคียงกับการประกาศล้มละลายทางศีลธรรม
- ณ เวลานั้น Google ยังไม่มีปฏิกิริยาอย่างเป็นทางการ
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
นี่พูดจริงหรือ?
บอตมีอยู่สองประเภท บอตปกติจะให้การแลกเปลี่ยนที่โดยรวมเป็นบวกกับผู้ดูแลเว็บไซต์ ระบุตัวเองผ่าน user agent ส่งคำขอจากช่วง IP ที่คาดเดาได้ และปฏิบัติตาม robots.txt ตัวอย่างส่วนใหญ่ได้แก่ crawler ของเสิร์ชเอนจิน บอตพรีวิวลิงก์ของแอปอย่าง WhatsApp และ RSS reader
ในทางกลับกัน บอตประสงค์ร้ายจะเล็งเป้าทรัพยากรที่มีข้อมูลราคาแพงและมีมูลค่า ไม่ปฏิบัติตาม robots.txt ใช้บอตเน็ต IP ตามบ้านเพื่อหลีกเลี่ยงการบล็อก IP และเปลี่ยนตั้งแต่ user agent เพื่อให้ดูเหมือนทราฟฟิกปกติ บางทีก็จ้างคนมาสร้างบัญชีปลอมด้วย
ดังนั้นวิธีของผู้เขียนจึงเป็นตรรกะวนซ้ำ เท่ากับระบุบอตจาก user agent แล้วประกาศว่าเพราะมีบอตที่มี user agent แตกต่างออกไป ทราฟฟิกที่เหลือจึงไม่ใช่บอต แถมยังมีปัญหาที่ไปดู log ของเซิร์ฟเวอร์ที่ไม่มีข้อมูลน่าขูดแบบประสงค์ร้ายด้วย เหมือนที่ Ocean's 11 ปล้นคาสิโน ไม่ใช่ร้านค้าแถวบ้าน ผู้ให้บริการบอตมืออาชีพก็ขูดข้อมูลมีค่าจากที่ที่กำลังถูกป้องกัน ไม่ใช่บล็อกส่วนตัว
พูดในฐานะคนที่ทำงานที่ Google แต่ไม่มีส่วนเกี่ยวข้องใด ๆ กับโฆษณา เบราว์เซอร์ หรือการตรวจจับการฉ้อโกงโฆษณาเลย ผม/ฉันได้แต่หวังว่าผู้โจมตีที่หาเลี้ยงชีพด้วยการดูดเงินจาก Google และผู้ลงโฆษณาจะไร้ความสามารถเหมือนผู้เขียนบทความนี้
เคยพูดไว้ในเธรด WEI อื่นแล้ว แต่ขอพูดอีกครั้งตรงนี้
แทนที่จะพากันแกว่งแขนด่าบริษัทชั่วร้ายไปพร้อม ๆ กัน ผมสงสัยว่ามีใครติดต่อหน่วยงานกำกับการแข่งขันอย่าง FTC หรือ CCI ของอินเดียจริง ๆ แล้วหรือยัง เกี่ยวกับ ผลกระทบเชิงต่อต้านการแข่งขัน ของข้อเสนอนี้
ช่องทางติดต่อหน่วยงานต่อต้านการผูกขาดมีดังนี้
สหรัฐฯ: https://www.ftc.gov/enforcement/report-antitrust-violation / antitrust@ftc.gov
EU: https://competition-policy.ec.europa.eu/antitrust/contact_en / comp-greffe-antitrust@ec.europa.eu
สหราชอาณาจักร: https://www.gov.uk/guidance/tell-the-cma-about-a-competition... / general.enquiries@cma.gov.uk
อินเดีย: https://www.cci.gov.in/antitrust/
ยังหาวิธีติดต่อแบบง่าย ๆ เพื่อยื่นเรื่องร้องเรียนต่อ CCI ไม่เจอ แต่ขั้นตอนน่าจะอยู่ทางนี้: https://www.cci.gov.in/filing/atd
แคนาดา: https://www.competitionbureau.gc.ca/eic/site/cb-bc.nsf/frm-e...
ถ้าคนอื่นอยากใช้เป็นเทมเพลต ผมแชร์ข้อความที่ส่งให้ FTC ได้
ผมทำคำร้องต่อรัฐสภาไว้แล้ว และรวบรวมผู้สนับสนุนขั้นต่ำ 5 คนที่จำเป็นต่อการตรวจสอบและเผยแพร่ได้แล้ว ถ้าเผยแพร่เมื่อไรจะแชร์บน HN
ตอนนี้ลบลิงก์คำร้องออกไปก่อน แต่จะนำมาโพสต์อีกครั้งหลังเผยแพร่แล้ว
ตัด Google ออกจากชีวิตส่วนตัวให้หมด ห้ามใช้ Chrome ไม่มีข้อแก้ตัว เลิกพูดไร้สาระ ไม่อย่างนั้นก็ออกจากวงการนี้ไป ใช้ Startpage, DuckDuckGo หรืออะไรก็ได้สำหรับค้นหา
พัฒนาโดยเล็งเป้าเฉพาะ Firefox และสายพันธุ์ของมัน แล้วใส่ปัญหาด้านการใช้งานให้ Chrome
ใช้กลยุทธ์เดียวกับที่ Google เคยทำ ผูก Firefox มากับซอฟต์แวร์ที่คุณแจกจ่าย และลบคู่แข่งออกจากอุปกรณ์ของผู้ใช้เหมือนที่ Google ทำ ทำให้โมดูล npm หรือเว็บไซต์ทำงานช้าบน Chrome แล้วบอกผู้ใช้ที่ไม่ใช้ Chrome ว่าบริการถูกกว่า เงินทำให้คนขยับได้
แสดงป๊อปอัปแนะนำให้ผู้ใช้ดาวน์โหลด Firefox พร้อมลิงก์หรือหน้าอธิบาย บอกว่าตรวจพบความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวใน Chrome ปัจจุบัน และแนะนำให้ดำเนินการทันที ผู้ใช้ทั่วไปมักตกใจและขยับตัวได้ง่าย
คิดหาทุกวิธีที่จะทำลาย Google ทำผลการค้นหาให้พัง เติมที่เก็บข้อมูลด้วย /dev/random ทำอะไรก็ตามที่นึกออก ทุกคนบอกมาตลอดว่าตัวเองฉลาด ก็แสดงให้เห็นสิ
ทุนของ Google คือ ข้อมูล โจมตีตรงนั้น แล้วสัตว์ร้ายก็จะตาย
Project NERA คือแผนดั้งเดิมของ Google ที่จะเปลี่ยนอินเทอร์เน็ตแบบเปิดให้เป็นระบบนิเวศแบบปิด เอกสารของ Google เผยแรงจูงใจว่า “ปกป้องมาร์จินด้วยการเลียนแบบสวนปิดให้สำเร็จทั่วทั้งเว็บเปิด”
ตามเอกสารภายใน กลยุทธ์นี้จะทำให้ Google รีดค่าธรรมเนียมคนกลางได้สูงขึ้น และพนักงานคนหนึ่งอธิบายความทะเยอทะยานของ Project NERA ว่าเป็น “การได้ประโยชน์จากการ ‘ดำเนินการ’ ทรัพย์สินอย่างแนบแน่น โดยไม่ต้อง ‘เป็นเจ้าของ’ ทรัพย์สิน และไม่ต้องเผชิญความยากลำบากในการสร้างผลิตภัณฑ์ผู้บริโภคใหม่”
กลยุทธ์หลักเพื่อการนี้คือใช้ประโยชน์จากเบราว์เซอร์ยอดนิยม Chrome เพื่อให้ผู้ใช้ยังคงล็อกอินอยู่ในเบราว์เซอร์และถูกติดตาม วิธีคือเมื่อผู้ใช้ล็อกอินเข้าใช้บริการของ Google เช่น Gmail หรือ YouTube ก็ให้ล็อกอินเข้าเบราว์เซอร์ด้วย และถ้าล็อกเอาต์จากเบราว์เซอร์ ก็ให้ล็อกเอาต์จากบริการด้วย
https://mspoweruser.com/project-nera-state-attorneys-general...
https://storage.courtlistener.com/recap/gov.uscourts.nysd.56...
Google ส่งสัญญาณแรง ๆ มาตั้งแต่ปีที่แล้วว่าจะไปทางนี้ เพียงแต่ปีที่แล้วเป็นช่วงก่อนฟองสบู่เทคโนโลยีแตก จึงไม่มีใครอยากเชื่อ ตอนนี้ Google ดูไม่ยิ่งใหญ่เหมือนเดิมแล้ว อาจมีคนติดต่อผู้แทนของตัวเองมากขึ้นก็ได้
ด้วยเหตุผลแบบนี้ ผมจึงเกลียด Google อย่างจริงจัง และหลีกเลี่ยงผลิตภัณฑ์ของ Google ยกเว้น YouTube
เรื่องย้อนกลับไปได้ถึงปี 2010 ผมเปิด Chrome มาลอง แล้วพบว่าไม่มีตัวเลือกคลิกขวาเพื่อดาวน์โหลดพื้นหลังช่อง YouTube ซึ่งใน Firefox ทำได้ไม่มีปัญหา ทำไมต้องจงใจขัดขวางไม่ให้ผู้ใช้คลิกขวาแล้วดาวน์โหลดได้ง่าย ๆ? เพราะพวกเขาเชื่อว่าเว็บเป็นของพวกเขาเอง
ผมไม่เคยใช้ Chrome และจะไม่ใช้ต่อไปด้วย การใช้ Chrome เท่ากับทำให้อนาคตของตัวเองแย่ลงในท้ายที่สุด เมื่อถึงวันที่ Google นำนโยบายที่เลวร้ายพอมาใช้จนแทบไม่มีใครหลบเลี่ยงข้อจำกัดได้
ลิงก์บล็อกของ Yoav Weiss ดีมาก
ประมาณว่า “เมื่อคุณไม่ชอบข้อเสนอของแพลตฟอร์มเว็บ … คุณอาจรู้สึกว่าข้อมูลเชิงลึกและประสบการณ์ของคุณมีคุณค่าในการช่วยไม่ให้แพลตฟอร์มทำพลาดครั้งใหญ่ ดีมาก!! การเข้าร่วมถกเถียงเรื่องแพลตฟอร์มเว็บเป็นสิ่งจำเป็น เพื่อให้มันถูกสร้างขึ้นเพื่อทุกคนและโดยทุกคน … ในข้อเสนอของเบราว์เซอร์ที่เป็นประเด็นถกเถียง ไม่ใช่เรื่องแปลกที่คนที่ดูเหมือนมีเจตนาดีจะพยายามเปลี่ยนใจทีมด้วยคอมเมนต์หลายสิบหรือหลายร้อยรายการ ตลอดหลายปีที่ผมทำงานกับแพลตฟอร์มเว็บ ผมไม่เคยเห็นว่าวิธีนี้ได้ผลเลย ไม่เคยแม้แต่ครั้งเดียว”
ฟังดูเหมือน “เราชอบจริง ๆ ที่ทุกคนเข้ามาร่วมถกเถียง และมันไม่เคยส่งผลต่อการตัดสินใจของเราเลยแม้แต่ครั้งเดียว”
อย่างแรก ฟีดแบ็กมักถูกส่งไปผิดที่โดยสิ้นเชิง คุณไม่สามารถหยุด Google ไม่ให้ทำสิ่งแบบ Google ด้วยวิธีนั้นได้
อย่างที่สอง ระดับความลึกและระดับการถกเถียงเรื่องมาตรฐานเว็บทำให้คนส่วนใหญ่รู้สึกถูกกันออกไป ดังนั้นแทนที่จะเข้าร่วม “การสร้างมาตรฐาน” ผู้คนจึงหันไปที่อื่น
เว็บนั้นยอดเยี่ยม และมันยอดเยี่ยมขึ้นมาได้เพราะในช่วง 15 ปีแรก การดำเนินงานของหน่วยงานหลักของเว็บนั้นเรียบง่ายมากจริง ๆ แต่ความสำเร็จก็ค่อย ๆ ดึงบริษัทขนาดใหญ่และผลประโยชน์ที่ซับซ้อนเข้ามา และตอนนี้เราจึงเห็นทั้งงานที่พยายามทำให้เว็บเข้าถึงได้มากขึ้น พร้อม ๆ กับสิ่งอย่าง Web Environment Integrity และ DRM
กระบวนการที่เรียกร้องให้สาธารณชนคอยตรวจสอบ สุดท้ายก็จะล้มเหลว หากสาธารณชนไม่สามารถแต่งตั้งคนมาคอยตรวจสอบแทนตนแบบเต็มเวลาได้
แต่คนส่วนใหญ่ไม่มีทักษะหรือเวลาแบบนั้น จึงลงเอยด้วยการเถียงกันเรื่องสีโรงเก็บจักรยานเท่านั้น
โดยเฉพาะเมื่อเอาข้อเสนอที่ค่อนข้างแห้งแล้งอย่าง WEI ซึ่งตั้งใจให้เป็นเฟรมเวิร์กป้องกันบอตและป้องกันการโกงสำหรับเนื้อหาเว็บ มาใส่ห่อด้วยพาดหัวล่อคลิกอย่าง “Google vs. the Open Web” ก็ยากที่จะทำให้คนที่คิดลึก ๆ เกี่ยวกับปัญหายาก ๆ เหล่านี้ทุกวันรู้สึกชอบได้
พูดตรง ๆ ผมไม่รู้ว่ามันเป็นข้อเสนอที่ดีหรือไม่ แต่ปัญหาที่พยายามแก้นั้นมีอยู่จริง ดังนั้นผมอยากให้ประโยชน์แห่งความสงสัยแก่คนที่พยายามแก้ด้วยเจตนาดี มากกว่าคนที่เขียนบทความเชิงเยาะเย้ยก่อน
สถานการณ์น่าจะดำเนินไปแบบนี้
การตรวจสอบ WEI จะถูกออกแบบให้เรียบง่ายพอที่คนที่รู้เทคนิคหรือแฮกเกอร์จะอ้อมผ่านได้ง่าย คำวิจารณ์หรือการคัดค้านก็อาจถูกกลบด้วยคำพูดทำนอง “แค่เปิดเบราว์เซอร์ด้วยการตั้งค่า 50 อย่างนี้ก็พอ”
ในทางกลับกัน สำหรับผู้ใช้ทั่วไป มันจะซับซ้อนพอที่จะอ้อมผ่านไม่ได้ และถูกบังคับให้ดูโฆษณา
แบบนี้แฮกเกอร์ก็ยังรักษาการเข้าถึงเว็บที่ “เปิดกว้าง” ไว้ได้ ส่วนคนส่วนใหญ่ 99% ก็ท่องเว็บแบบ “Google” กลายเป็นโครงสร้างที่ทุกฝ่ายชนะ
ข้ามไปถึงขั้นที่ Google ดำเนินการและเป็นเจ้าของทุกสิ่งทุกคน แล้วเราต้องถวายผลผลิต 50% ให้เลยไม่ได้เหรอ?
อีกไม่นานเว็บไซต์คงจะขอ สิทธิ์เข้าถึงเคอร์เนล เพื่อตรวจสอบว่าไม่ได้ติดตั้งโปรแกรมโกงไว้ แน่นอนว่าพูดประชด
[0] ตามศัพท์ของ ARM โหมดเคอร์เนลคือ EL1, โหมดไฮเปอร์ไวเซอร์คือ EL2, โหมด TrustZone คือ EL3 ระดับ exception แต่ละระดับคือระดับสิทธิ์ที่สูงกว่า
นี่เป็นสัญญาณชัดเจนที่แสดงถึงความอ่อนแอของ Google กำลังสูญเสียการผูกขาด และพยายามอย่างสิ้นหวังที่จะยึดอินเทอร์เน็ตไว้
ในช่วงไม่กี่สัปดาห์ที่ผ่านมา บริษัทประกาศว่าจะพยายามขัดขวางการท่องเว็บ เช่น การดูวิดีโอ YouTube หากติดตั้งตัวบล็อกโฆษณาไว้
Fuchsia ก็เป็นอีกตัวอย่างหนึ่ง เมื่อกำลังสูญเสียการควบคุม Android ก็เลยเริ่มโปรเจกต์ใหม่ขึ้นมา
สูตรของผมคือ AdGuard Home, เบราว์เซอร์ Brave (มือถือ·แท็บเล็ต·เดสก์ท็อป), Bromite (มือถือ), Firefox (เดสก์ท็อป) พร้อม uBlock Origin และ FreeTube บนเดสก์ท็อป แค่ใช้ Brave บนมือถืออย่างเดียวก็เพียงพอที่จะกำจัดทั้งโฆษณาและตัวติดตามทั้งหมดแล้ว
ในชุมชนโอเพนซอร์ส ย่อมมีคนที่ฉลาดกว่าที่ Google คิดและหาทางอ้อมด่านเฝ้าประตูได้เสมอ แม้จะเศร้าที่ Kevin Mitnick จากไปเมื่อไม่กี่วันก่อน แต่ก็จะมี Kevin Mitnick คนต่อไปเกิดขึ้นเสมอ
Google สูญเสียความเคารพจากชุมชนไปหมดแล้ว และคงจะล่มสลายในอีกไม่นาน
เวลาข้อมูลมีไม่พอ ผู้คนมักแต่งเรื่องให้เข้ากับเรื่องเล่าของตัวเอง ซึ่งเป็นนิสัยที่อันตรายมาก
และ Google ก็ไม่ได้กำลังสูญเสียการผูกขาดด้วย Brave Browser ทำงานอยู่บน Chromium ของ Google ส่วน Firefox ก็อยู่ได้ด้วยเงินของ Google ความได้เปรียบด้านเสิร์ชก็ดูไม่น่าจะหายไปในเร็ว ๆ นี้ แทบทุกคนทั่วโลกใช้ Google เป็นเสิร์ชเอนจินด้วยเหตุผลบางอย่าง ผู้คนดูวิดีโอบน YouTube ด้วยเหตุผลบางอย่าง ผู้ใช้โทรศัพท์ 70% ใช้ระบบปฏิบัติการของ Google ด้วยเหตุผลบางอย่าง Gmail เป็นผู้นำแบบทิ้งห่างในอีเมลส่วนบุคคลก็ด้วยเหตุผลบางอย่าง
การกันผู้ใช้ตัวบล็อกโฆษณาออกจาก YouTube ก็ทำได้อย่างชอบธรรมเช่นกัน ไม่มีใครมีหน้าที่ต้องใช้ YouTube และถ้าจะใช้ ก็ต้องจ่ายต้นทุนด้วยการดูโฆษณาหรือสมัคร YouTube Premium
ต่อให้ HN ด่า Google แค่ไหน Google ก็เป็นหนึ่งในไม่กี่บริษัทที่ทำให้อินเทอร์เน็ตเป็นอินเทอร์เน็ตอย่างแท้จริง ผลกระทบต่อมนุษยชาติโดยรวมจนถึงตอนนี้เห็นได้ชัดว่าใกล้เคียงกับบวกสุทธิ และไม่มีใครมีหน้าที่ต้องใช้ผลิตภัณฑ์ของ Google เช่นเดียวกับฟรีเทียร์ของ Gmail หรือความเปิดกว้างของ Android ผลิตภัณฑ์ที่ Google นำเสนอเป็นผู้นำได้ก็มีเหตุผลของมัน
ยิ่งไปกว่านั้น คุณก็ใช้ Firefox อยู่ที่อื่นอยู่แล้วด้วย อ้อ Mozilla ก็เก็บข้อมูลเหมือนกัน
รู้สึกเศร้าที่เห็น Google ถูกไล่ต้อนให้ไปทางนี้ตลอดหลายปีที่ผ่านมา
Google เคยเป็นหนึ่งในแรงขับเคลื่อนหลักที่ผลักดันเว็บแบบเปิดในช่วงทศวรรษ 2000~2010 เพราะต้องการข้อมูลสำหรับการค้นหา และถ้าทุกอย่างเปิดอยู่ ก็เข้าถึงทุกอย่างได้
แต่เมื่อบริษัทเว็บ 2.0 ใหม่ ๆ อย่าง Facebook เริ่มทำให้อินเทอร์เน็ตกลายเป็นไซโล สถานการณ์ก็เริ่มเปลี่ยนไป เหตุผลที่ผมคัดค้าน Facebook มาตลอดไม่ใช่เพราะการขุดข้อมูล แต่เพราะมันเป็นต้นเหตุของการเปลี่ยนแปลงที่ทำให้บริษัทต่าง ๆ สร้างเพจ Facebook แทนเว็บไซต์ และทำให้เข้าถึงข้อมูลไม่ได้ถ้าไม่ล็อกอิน
ถ้าจะแก้ความขัดแย้งนี้ เราไม่อาจพูดได้ว่า Google ทั้งบริษัท “สนับสนุน” หรือ “คัดค้าน” เว็บแบบเปิด ต้องมองว่าเพราะการต่อสู้ภายในอันขึ้นชื่อของ Google บางส่วนของ Google สนับสนุนเว็บแบบเปิด ขณะที่บางส่วนคัดค้าน และบางครั้งฝ่ายหนึ่งก็ได้เปรียบ
ไม่ได้อยากเล่นบททนายปีศาจ แต่ถ้าดูประวัติศาสตร์ของคอมพิวติ้งส่วนบุคคล ผมคงแปลกใจมากกว่าถ้าเรื่องนี้ไม่ผ่าน
เมื่อสมาร์ทโฟนที่ถูกล็อกกลายเป็นมาตรฐาน และ Windows กลายเป็นพาหนะส่งโฆษณา เรื่องนี้ก็ดูเหมือนเป็นขั้นต่อไปในวิวัฒนาการที่หลีกเลี่ยงไม่ได้ของ IT
สื่ออาจยังไม่สนใจมากนักเพราะยังเป็นข้อเสนอระยะแรก แต่เมื่อคิดถึงนัยของมันแล้ว น่าประทับใจที่แทบไม่มีการพูดถึงเรื่องนี้บนเว็บนอก Hacker News คนที่ทำวิดีโอเกี่ยวกับหัวข้อนี้บน YouTube ดูเหมือนจะมีแค่ Rossmann เท่านั้น ค้นหา “web environment integrity api” บน Twitter ก็เจอผลลัพธ์เพียงไม่กี่รายการและแทบไม่มีรีพลาย ค้นหาสตริงหลักใน Reddit ผลลัพธ์ที่มีการถกเถียงอย่างมีนัยสำคัญก็ไม่เกี่ยวกับ WEI
อาจเป็นเพราะโซเชียลมีเดียอยู่ปลายทางแล้วก็ได้ แต่ดูเหมือนไม่เหลือคนมากนักที่อยากต่อสู้เพื่อเว็บแบบเดิมหรือคอมพิวติ้งทั่วไป