1 คะแนน โดย GN⁺ 2023-07-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ข้อเสนอ Web Environment Integrity ของ Google อ้างว่าจะทำให้สภาพแวดล้อมของเบราว์เซอร์ “เชื่อถือได้” แต่ในทางปฏิบัติถูกมองว่ามุ่ง ทำให้ตัวบล็อกโฆษณา (ad blocker) ใช้งานไม่ได้
  • มีโครงสร้างคล้ายกับ Palladium ที่ Microsoft เคยพยายามใส่ไว้ใน Vista ก่อนจะยกเลิก และเทคโนโลยีการรับรองกับความถูกต้องสมบูรณ์อาจถูกนำไปใช้ในทางที่ผิดเพื่อบังคับใช้ DRM และปิดกั้นแอปคู่แข่ง
  • ได้แรงบันดาลใจจาก Play Integrity API(SafetyNet) ของ Android แต่ผู้ใช้ที่รูทเครื่องหรือใช้ custom ROM ก็เลี่ยงได้ง่ายอยู่แล้ว จึงน่าสงสัยเรื่องประสิทธิผล
  • หากนำมาใช้ ธนาคารอย่าง Chase อาจตั้งเงื่อนไขการชำระเงินว่าต้องบังคับใช้ Secure Boot หรือห้ามใช้ตัวบล็อกโฆษณา ทำให้กังวลว่าจะถอยกลับไปสู่เว็บแบบปิดในช่วงต้นทศวรรษ 2000
  • มีจุดยืนว่าสามารถหยุดความพยายามของ Google ได้ผ่าน กฎระเบียบและแรงกดดัน เช่นเดียวกับกรณีก่อนหน้าที่เคยสกัด Palladium ได้

ตัวตนและเจตนาของ Web Environment Integrity

  • ข้อเสนอ Web Environment Integrity ของ Google อ้างว่าเป็นการตรวจสอบว่าสภาพแวดล้อมของเบราว์เซอร์ “เชื่อถือได้” หรือไม่ แต่ถูกประเมินว่าเป้าหมายจริงคือ กำจัดตัวบล็อกโฆษณา
  • โดยตั้งข้อสังเกตไว้ก่อนว่า ผู้เขียนสังกัด Microsoft แต่ไม่ได้รับผิดชอบ Windows หรือ Edge และนี่เป็นความเห็นส่วนตัวตามความเข้าใจของผู้เขียนเอง ไม่ใช่ความเข้าใจที่สมบูรณ์เกี่ยวกับเทคโนโลยีดังกล่าว

ความคล้ายคลึงกับ Microsoft Palladium

  • Web Environment Integrity คล้ายกับ Palladium ที่ Microsoft เคยพยายามใส่ไว้ใน Vista อย่างมาก
    • Palladium เป็นความพยายามเพิ่มความปลอดภัยให้ Windows ด้วยการเพิ่ม การรับรอง (attestation) และความถูกต้องสมบูรณ์ (integrity)
    • ในขณะเดียวกันก็มีความเสี่ยงว่าจะถูกใช้ในทางที่ผิดเพื่อ บังคับใช้ DRM ทั่วทั้ง PC และปิดกั้นแอปคู่แข่งที่ “ไม่น่าเชื่อถือ” เช่น Firefox
    • หลังจากกระบวนการพัฒนา Vista ที่ยาวนานและเจ็บปวด Palladium ถูกยกเลิก ทำให้ Vista สามารถออกได้
  • Palladium ถูกเปลี่ยนชื่อเป็น “Next-Generation Secure Computing Base” แต่โดยทั่วไปยังเรียกว่า Palladium
    • ฟีเจอร์บางส่วน เช่น BitLocker, UEFI Secure Boot(Windows 8), ข้อกำหนด TPM(Windows 11) ถูกนำไปใช้จริง แต่สามารถปิดใช้งานหรือเลี่ยงได้

พื้นฐานจาก Play Integrity API และความเป็นจริงของการเลี่ยงระบบ

  • Google หยิบแรงบันดาลใจมาจาก Play Integrity API(SafetyNet) ของ Android
    • API ดังกล่าวมักถูกใช้เพื่อปิดกั้นอุปกรณ์ที่รูทแล้วไม่ให้ใช้แอปบางประเภท เช่น Netflix, Google Pay และแอปธนาคาร
  • ผู้ใช้ที่รูทแล้วใช้ custom ROM อย่าง LineageOS สามารถซ่อนสิทธิ์ root จากแอปอันตรายเพื่อผ่านการตรวจสอบได้
    • แม้บน OnePlus 11 ที่ติดตั้ง build ไม่เป็นทางการของ LineageOS ก็ยังใช้ Google Pay ในชีวิตประจำวันได้
    • แม้แต่เครื่อง Pixel ของ Google เองอย่าง Pixel 7 ก็เลี่ยงได้ง่าย จึงตั้งคำถามว่า Google ไม่รู้หรือไม่ว่า Play Integrity ถูกเจาะกันอย่างแพร่หลายเพียงใด
  • หากไม่อนุญาตเฉพาะไบนารี Chrome ที่มีลายเซ็นอย่างเป็นทางการเท่านั้น ก็ไม่มีวิธีป้องกันการแก้ Chromium เพื่อปลอมผลการตรวจสอบ

ความกังวลเมื่อธนาคารและฟินเทคนำไปใช้

  • บนเว็บปัจจุบันก็มีกรณีอย่าง Chase Bank อยู่แล้ว
    • Chase อ้างว่า “จำเป็นต้องใช้” เฉพาะ Windows หรือ Mac และบล็อกการเข้าถึงจาก BSD กับ Linux-on-ARM หากไม่เปลี่ยน user agent
    • เหตุผลที่เรื่องนี้ไม่เป็นข่าว เพราะ Chase อนุญาต Linux-on-x86 และ Chrome OS ซึ่งแต่ละแพลตฟอร์มมีส่วนแบ่งมากกว่า 2–3%
    • ในทางปฏิบัติสามารถล็อกอิน Chase.com จากแล็ปท็อป Fedora ได้โดยไม่ต้องแก้ไขอะไร
  • หาก Chase นำ Web Environment Integrity มาใช้
    • อาจบังคับให้ลูกค้าใช้ เว็บในรูปแบบเลวร้ายที่สุดของช่วงต้นทศวรรษ 2000 และอาจยกเว้นเฉพาะ Chromebook กับ Linux distribution ทั่วไปเพื่อหลีกเลี่ยงกระแสต่อต้าน
    • ยิ่งไปกว่านั้น อาจบังคับให้ต้องมี Secure Boot และลบตัวบล็อกโฆษณา เพื่อชำระค่าบัตรเครดิตหรือสินเชื่อบ้าน
    • ไม่ได้จำกัดเฉพาะ Chase แต่รวมถึงทุกธนาคาร และฟินเทคที่บังคับให้ใช้แอปของตนเองสำหรับบริการลูกค้าหรือชำระบิลยิ่งน่ากังวลกว่า (เช่น X1 credit card)

กฎระเบียบและแนวทางรับมือ

  • หาก Web Environment Integrity ถูกนำมาใช้ รัฐบาลทุกประเทศควรกำกับ Google, Apple, Microsoft และ adtech ด้วยทุกวิธีที่เป็นไปได้
    • จำเป็นต้องเพิ่มข้อกำหนด การแยกพ่วง (unbundling) เพื่อให้เบราว์เซอร์ใดๆ ก็ตามสามารถได้รับการรับรอง ตราบใดที่ไม่ใช่มัลแวร์อย่างชัดเจน
  • ในยุค Windows 8 UEFI Secure Boot ไม่สามารถกีดกัน Linux ได้
    • มีการกดดันให้ Microsoft ลงลายเซ็นให้ Linux distribution และความกังวลด้านการผูกขาดมีบทบาท หากเดสก์ท็อป Linux ต้องหายไป
    • ในทำนองเดียวกัน สามารถบังคับให้ Google อนุญาตเบราว์เซอร์ขนาดเล็กอย่าง Vivaldi, Tor Browser ได้

แนวโน้มและบทสรุป

  • คงจะดีกว่าหาก Web Environment Integrity API หายไปในสาขา Chromium ที่ถูกทิ้ง เช่นเดียวกับ Palladium
    • คาดว่า source ของ Windows Longhorn ก่อนการรีเซ็ต ซึ่งเคยแข่งขันกับ Palladium ก็ยังคงถูกทิ้งไว้บนเซิร์ฟเวอร์ Azure DevOps ที่ถูกลืมเช่นกัน
  • การต่อสู้นี้ไม่ได้แพ้ตั้งแต่ต้น
    • มีตัวอย่างในอดีตที่ สกัด Palladium ได้สำเร็จ แม้ต้องเผชิญกับ Microsoft และอุตสาหกรรม PC ที่มีทรัพยากรมหาศาล รวมไปถึง NSA และ MPAA
    • หากยืนหยัดต่อต้านอย่างแข็งขัน ก็สามารถหยุดความพยายาม Web Integrity ของ Google ที่เป็นปฏิปักษ์ต่อผู้ใช้ได้

1 ความคิดเห็น

 
GN⁺ 2023-07-28
ความคิดเห็นบน Hacker News
  • การบอกว่าเราชนะในการต่อสู้กับ Palladium นั้น แท้จริงแล้วเป็น ชัยชนะแบบไพร์ริก Microsoft นำแนวคิดนั้นไปใช้กับ XBox, Azure Sphere และตอนนี้มันกำลังกลับมาอีกครั้งในฐานะข้อกำหนดฮาร์ดแวร์ Windows ในอนาคตสำหรับเวิร์กสเตชันที่ปลอดภัย ผ่านการผนวก Pluton
    https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
    คนที่สนใจฝั่ง UNIX เป็นหลักอาจไม่ค่อยรู้สึกตัวว่า PC เครื่องถัดไปของตนอาจมี Pluton CPU อยู่ด้วย
    https://www.thurrott.com/hardware/260917/here-come-the-first...

    • มีเหตุผลที่คนจำนวนมากสนใจ RISC-V
    • เท่าที่ผมเข้าใจ AMD เคยบอกว่าจะไม่เปิดใช้ฟีเจอร์ Pluton เป็นค่าเริ่มต้น แต่จะให้ลูกค้าองค์กรเปิดได้หากต้องการ
  • ปัญหาตรงนี้คือคนส่วนใหญ่ไม่ใส่ใจ เมื่อคืนผมอธิบายสถานการณ์นี้ให้แฟนฟังตอนดื่มกัน เธอเป็นนักวิชาการระดับสูงในสาขาอื่นและมีพื้นฐานคณิตศาสตร์กับตรรกะแข็งแรง แต่ก็ยังมีความเห็นได้ไม่เกินว่า “ถ้าสิ่งที่ฉันใช้อยู่ยังทำงานต่อไปได้ แล้วมันเป็นปัญหายังไง?”
    มันเป็นความเสี่ยงเชิงสมมติ จึงเข้าใจปฏิกิริยาแบบนั้นได้ แต่ผลข้างเคียงโดยรวมเป็นลบ และธรรมชาติของ เว็บแบบเปิด กำลังตกอยู่ในอันตราย ผู้คนมักมองเห็นแต่เส้นทางที่ปลอดภัยกลางป่า ไม่เห็นสัตว์ประหลาดที่จะโผล่มาจากด้านหลังสองก้าวแล้วจับกิน

    • สำหรับคนที่ถามว่า “ถ้าสิ่งที่ฉันใช้อยู่ยังทำงานต่อไปได้ แล้วมันเป็นปัญหายังไง?” วิธีที่ง่ายที่สุดคือพูดในแง่เงิน ตัดประเด็นอุดมการณ์ ความใช้ได้จริง ความปลอดภัย และการสอดส่องออกไปทั้งหมด แล้วถามว่า ถ้าตั้งแต่พรุ่งนี้เป็นต้นไป ทุกครั้งที่ซื้อคอมพิวเตอร์อย่าง iPad, โทรศัพท์มือถือ, PC, Mac ต้องจ่ายเงินเทียบเท่า 100 ดอลลาร์ในสกุลเงินท้องถิ่นเพื่อขอ ตราประทับอนุมัติ และหลังจากนั้นต้องจ่ายเดือนละ 10 ดอลลาร์เพื่อต่ออายุ ไลเซนส์การพิสูจน์ยืนยัน จะเป็นอย่างไร
      การขอตรานี้ไม่ใช่ภาคบังคับ และคอมพิวเตอร์ก็ยังทำงานได้ตามปกติ แต่บางเว็บไซต์จะถูกปิดกั้น ช่วงแรกอาจเป็นเว็บธนาคาร ต่อมาก็เว็บสตรีมมิง จากนั้นบริการสั่งอาหาร และสุดท้ายบริการหลัก ๆ ส่วนใหญ่จะเข้าไปอยู่หลังกำแพงจนกว่าจะจ่ายเงิน
      โครงสร้างพื้นฐานนี้ต้องมีการสร้างและบำรุงรักษา และคงไม่ฟรี ดังนั้นไม่ว่าจะเป็น FAANG หรือฝ่ายที่ดำเนินบริการพิสูจน์ยืนยัน ก็มีแนวโน้มจะเก็บเงินจากผู้ใช้บริการ แล้วผลักภาระต้นทุนนั้นไปยังผู้ใช้ปลายทาง
    • ผมเคยเป็น วัยรุ่นไร้บ้าน ที่หนีออกมาจากลัทธินอกรีต และถ้าไม่มีซอฟต์แวร์ก็คงหนีออกมาไม่ได้ สิ่งอย่าง WEI โดยหลักแล้วคือการกำกับว่าใครสามารถใช้ซอฟต์แวร์ได้ และถ้าตอนนั้นมี WEI ผมคิดว่าตัวเองอาจตายไปแล้ว
      เหตุผลที่ส่วน “เปิด” สำคัญจริง ๆ คือมันหมายความว่าใครก็ตามที่มีความสามารถสามารถมีส่วนร่วมได้ นักวิชาการที่มีพื้นฐานคณิตศาสตร์และตรรกะแข็งแรงควรเข้าใจว่า เมื่ออำนาจบางอย่างคล้ายโบสถ์อ้างตัวเป็นผู้ตัดสินว่าใครทำงานได้ ไม่ใช่แค่อุตสาหกรรมเท่านั้น แต่ วิทยาศาสตร์เอง อาจสูญเสียอะไรไปบ้าง
    • คนส่วนใหญ่ไม่มีคุณสมบัติหรือข้อมูลเพียงพอที่จะใส่ใจ เราไม่ได้อ้างอิงความเห็นของ “คนส่วนใหญ่” เมื่อตัดสินใจนำยาใหม่มาใช้ และก็ไม่ควรนำเทคโนโลยีที่อาจก่ออันตรายมาใช้เพียงเพราะความเห็นของสาธารณชนที่ขาดข้อมูล
      นั่นคือเหตุผลที่มีหน่วยงานกำกับดูแลและสถาบันต่าง ๆ ซึ่งต้องมีข้อมูลและใส่ใจอย่างต่อเนื่อง ไม่ใช่ขยับตัวก็ต่อเมื่อความโกรธของสาธารณชนระเบิดออกมาแล้วเท่านั้น
      ปัญหาคือ การถูกกำกับโดยผู้ถูกกำกับครอบงำ และหน่วยงานเหล่านั้นกำลังล้มเหลวในภารกิจที่จะปกป้องผลประโยชน์ของคนที่ให้เงินสนับสนุนพวกเขา นี่ไม่ใช่ปัญหาทางเทคนิค แต่เป็นปัญหาฐานรากของประชาธิปไตยและธรรมาภิบาล ถ้าไม่ใส่ใจก็คงเลิกไปลงคะแนนเสียง แล้วทำใจยอมรับไปว่าเราอยู่ภายใต้คณาธิปไตยของบริษัทจะดีกว่า
    • บรรยากาศแบบ “ถ้าสิ่งที่ฉันใช้อยู่ยังทำงานต่อไปได้ แล้วมันเป็นปัญหายังไง?” มีอยู่ในหลายที่ ในระดับปัจเจก สุขภาพก็เป็นแบบนั้น คล้ายกับการเลือกของเด็กที่อยากกินแต่เฟรนช์ฟรายส์กับไอศกรีมทุกวัน ในการศึกษาก็อยากดูแต่วิดีโอเกมกับคลิป TikTok ที่ดึงความสนใจทั้งวัน
      ในระดับประเทศก็กลายเป็นคำถามว่าทำไมต้องช่วยยูเครนหรือไต้หวัน ทำไมต้องลดคาร์บอนฟุตพรินต์ ท่อตะกั่วก็เคยใช้งานได้ดี แร่ใยหินก็เคยใช้งานได้ดี การสูบบุหรี่ก็ดูเหมือนไม่เป็นไร แต่ท้ายที่สุดแล้วมันไม่ใช่เช่นนั้น
      ผลกระทบลำดับที่สอง ต้องอาศัยประสบการณ์และการศึกษา และเมื่อผลลัพธ์ไม่ได้เกิดขึ้นทันที ผู้คนก็มักเข้าใจความสัมพันธ์เชิงเหตุและผลได้ไม่ดี
    • คุณอาจพูดได้ว่า “แน่ใจเหรอว่ามันจะยังทำงานต่อไป? ถึงขั้นมีเว็บไซต์ที่รวบรวมผลิตภัณฑ์ที่ Google ฆ่าทิ้งไว้โดยเฉพาะ แล้วทำไมถึงคิดว่าสิ่งที่คุณใช้พิเศษมากจนเขาจะไม่มีวันฆ่ามันทิ้ง?”
      แน่นอนว่าคืนนั้นคุณก็มีโอกาสสูงที่จะต้องนอนบนโซฟา
  • เป็นเรื่องบ้ามากที่เทคโนโลยีดิจิทัลของโลกตะวันตกถูกครอบงำอย่างสมบูรณ์โดย บริษัทโฆษณา เพียงไม่กี่แห่ง ความขัดแย้งทางผลประโยชน์กับเป้าหมายทางสังคมและเศรษฐกิจนั้นมหาศาล และทางออกก็เรียบง่ายและเป็นธรรมชาติ
    ข้อเท็จจริงที่ว่าปัญหาสำคัญขนาดนี้ไม่ได้รับการจัดการด้วยความสนใจและศักยภาพระดับสูงสุดอย่างที่ควรจะเป็น สะท้อนสภาพของ ระบบการเมืองสหรัฐฯ ได้ดีกว่าเหตุการณ์คนใส่เขาบุกอาคารรัฐสภาเสียอีก

    • ถ้าคิดสักหน่อยก็แทบจะคาดเดาได้อยู่แล้ว โฆษณาเป็นวิธีเดียวหรือวิธีที่มีประสิทธิภาพที่สุดในการหารายได้จากอุปกรณ์ดิจิทัลใดๆ ดังนั้นผู้ทำธุรกิจโฆษณาจึงมีส่วนได้ส่วนเสียกับเทคโนโลยีดิจิทัลที่เชื่อมต่ออินเทอร์เน็ตแทบทั้งหมด และสามารถใช้ทุกพื้นที่ให้กลายเป็นรายได้โฆษณาเพิ่มเติมได้
      ในระดับนั้น คู่แข่งที่มีความหมายก็มีเพียงบริษัทโฆษณาอื่นๆ เท่านั้น และไม่มีใครอื่นที่สามารถหารายได้จากอุปกรณ์ดิจิทัลตามใจชอบได้อย่างมีประสิทธิภาพเช่นนั้น
      ดังนั้นจึงต้องเคลื่อนไหวทางการเมืองและทำอย่างมีประสิทธิภาพ และก็ดีที่บทความต้นฉบับชี้ประเด็นนี้ออกมา คล้ายกับเวลาที่เตือนผู้คนให้ออกไปลงคะแนนเมื่อพูดถึงผลลัพธ์ที่มาจากเจ้าหน้าที่ที่มาจากการเลือกตั้ง
      ธุรกิจอื่นนอกจากธุรกิจโฆษณามีธุรกิจไหนบ้างที่พูดได้อย่างปลอดภัยว่า “ไม่ว่าเราจะประดิษฐ์เทคโนโลยีดิจิทัลอะไรขึ้นมาก็ตาม ขอแค่เป็นที่นิยมก็ทำเงินได้เป็นกอบเป็นกำ” ผมมองว่านี่แทบจะเป็นคำขวัญของบริษัทเทคโนโลยีที่ครอบงำตลาด ตัวอย่างความล้มเหลวของผู้ช่วยอัจฉริยะในบ้านหลายรายเห็นได้ชัดเจน มันเป็นที่นิยม แต่บริษัทเทคโนโลยีหาวิธีแทรกโฆษณาเข้าไปในประสบการณ์ผู้ใช้ไม่ได้ จึงทำเงินไม่ได้
    • Big Tech ของสหรัฐฯ มีอิทธิพลต่อเรื่องเล่าของกระแสเทคโนโลยีอย่างมาก และเมื่อมองจากมุมอุตสาหกรรมเกม สหรัฐฯ ก็ใกล้เคียงกับ สังคมที่ชนะด้วยเงิน อยู่แล้ว จึงไม่น่าแปลกใจ สิ่งต่อไปนี้ต่างหากที่ควรทำให้ประหลาดใจมากกว่า
      เช่น AI อาจก้าวเลยความสามารถของสหรัฐฯ ในการครอบงำเรื่องเล่าดิจิทัลของโลกตะวันตก จนแต่ละประเทศมีเรื่องเล่าดิจิทัลของตนเอง หรือไม่เช่นนั้น ผู้ชนะในสงครามเทคโนโลยีและเศรษฐกิจระหว่างสหรัฐฯ กับจีนก็จะเข้ามารับบทบาทนั้นไป คงดีถ้ามีทางเลือกที่สาม แต่ตอนนี้สมมติฐานอื่นๆ ดูล้าสมัยไปแล้ว
    • สื่อกระแสหลักเองก็เป็น แพลตฟอร์มโฆษณา ดังนั้นจึงไม่น่าแปลกใจที่ปัญหานี้ไม่ถูกพูดถึงหรือแก้ไข
    • ผมสงสัยว่าทางออกนั้นเรียบง่ายและเป็นธรรมชาติจริงๆ หรือไม่
  • ผมโตมาในอินเดีย และประชากรส่วนใหญ่ไม่สามารถเข้าถึงฮาร์ดแวร์รุ่นล่าสุดได้ หากเว็บไซต์ต่างๆ เริ่มนำการเปลี่ยนแปลงแบบนี้มาใช้ ผู้คนจำนวนมากจะถูกตัดขาดจากอินเทอร์เน็ต
    คนส่วนใหญ่นี้อยู่ในชุมชนชายขอบ อินเดียมีประวัติการเลือกปฏิบัติต่อผู้คนตาม วรรณะ และการเปลี่ยนแปลงนี้อาจจำกัดทรัพยากรออนไลน์ที่ชุมชนเหล่านั้นเข้าถึงได้มากขึ้น ทำลายความก้าวหน้าที่มีมาจนถึงตอนนี้ เป็นเรื่องไร้สาระสิ้นดี

    • โทรศัพท์ Android และ iOS ที่ขายในช่วงไม่กี่ปีมานี้มีสิ่งอย่าง ARM TrustZone หรือ Secure Enclave อยู่แล้ว มันมาถึงแล้ว
      ผู้ใช้อินเทอร์เน็ตในอินเดียส่วนใหญ่ท่วมท้นใช้มือถือ และ Xiaomi กับ OEM จีนรายอื่นๆ เป็นผู้นำตลาด พวกเขาขายโทรศัพท์ที่พังหลังผ่านไป 1–2 ปี และการอัปเดต OTA ก็แย่มาก บางคนดาวน์เกรดหรือใช้ custom ROM แต่คนส่วนใหญ่ซื้อโทรศัพท์ใหม่ทุก 2–3 ปี หรือแม้แต่ทุกปี แม้แต่คนที่ยากจนที่สุดก็ยังซื้อ iPhone แบบผ่อนชำระด้วยซ้ำ อีกทั้งไม่จำเป็นต้องซื้อเครื่องราคาแพง โทรศัพท์ที่ได้รับการรับรอง GMS ที่ออกมาในช่วงไม่กี่ปีมานี้ก็มีครบแล้ว
      คอมพิวเตอร์จริงๆ ส่วนใหญ่เป็นเครื่องสำเร็จรูปหรือแล็ปท็อป และตั้งแต่ปี 2013 เป็นต้นมาก็มี Secure Boot แล้ว Windows รุ่นสุดท้ายที่ไม่บังคับใช้ TPM จะสิ้นสุดการสนับสนุนในปี 2025 และ Microsoft จะกดดันให้ผู้คนอัปเกรด
      อุปกรณ์เหล่านี้เป็นอุปกรณ์เก่า หากเป็นแล็ปท็อปที่ออกมาในช่วง 4 ปีที่ผ่านมา ก็น่าจะเข้าถึง เว็บแบบปิด ใหม่ได้ ดังนั้นการเปลี่ยนเครื่องคงไม่ใช่เรื่องยาก
      กลับกัน ผมหวังให้ “จุดจบของอินเทอร์เน็ต” นี้มาถึงเร็วมากๆ เพื่อที่ผู้คนจะได้รู้ตัว วันหนึ่งผู้คนต้องตื่นขึ้นมาแล้วพบว่าถูกปิดกั้นไม่ให้เข้าถึงเว็บบนอุปกรณ์ราคาแพงของตน หากมันดำเนินไปเหมือนน้ำที่ค่อยๆ เดือด ก็จะสายเกินกว่าจะหยุดอีกครั้ง
    • ข้อจำกัดจริงๆ น่าจะมาในอีกประมาณ 10 ปี หรืออาจ 15 ปี สุดท้ายแล้วนี่คือ แผนระยะยาว เพื่อทำให้โลกแย่ลง ไม่ใช่ไอเดียฉับพลัน ถึงตอนนั้นผู้คนก็น่าจะอัปเดตฮาร์ดแวร์กันแล้วไม่ใช่หรือ?
  • สิ่งสำคัญคือเหตุผลที่ยังสามารถ “หลอก” SafetyNet/Play Integrity ได้ เป็นเพราะต้องรองรับอุปกรณ์เก่า ขั้นที่เข้มงวดที่สุดของ Play Integrity คือ MEETS_STRONG_INTEGRITY ไม่สามารถปลอมแปลงได้บนอุปกรณ์ที่ปลดล็อก bootloader
    เหตุผลที่ตอนนี้ยังไม่ใช่ปัญหาใหญ่คือยังมีแอปจำนวนไม่มากที่บังคับใช้สิ่งนี้ และยังมีอุปกรณ์เก่าจำนวนมากที่ผ่านไม่ได้เพราะไม่มีฮาร์ดแวร์หรือใช้ Android เวอร์ชันเก่า
    อีกไม่กี่ปี จำนวนอุปกรณ์ที่ไม่ได้ปลดล็อกแต่ไม่รองรับ MEETS_STRONG_INTEGRITY จะลดลงมากพอ และแอปต่างๆ จะเริ่มบังคับใช้สิ่งนี้ เมื่อนั้นก็มีความเป็นไปได้สูงว่าจะเป็น จุดจบของการปลดล็อก bootloader สำหรับผู้ใช้ส่วนใหญ่ที่ยังปลดล็อก bootloader อยู่

    • ใน API นี้ ดูเหมือนว่าตั้งใจจะ “แก้” ช่องทางเลี่ยงแบบนั้นด้วยการกำหนดให้ใช้ การยืนยันด้วยฮาร์ดแวร์ ตั้งแต่แรก
  • หากจะพูดถึง FSF ในประเด็นนี้ ก็เลี่ยงไม่ได้ที่จะพูดถึงเรื่อง Right to Read ของ Stallman
    https://www.gnu.org/philosophy/right-to-read.html
    เป็นบทความที่เขียนเมื่อ 26 ปีก่อน และคุ้มค่าที่จะกลับไปอ่านอีกครั้งเพื่อดูว่าทำนายถูกไปมากแค่ไหน

  • หนึ่งใน “ปัญหา” ที่สิ่งนี้พยายามจะแก้ คือผู้ลงโฆษณา “จำเป็นต้องรู้” ว่าฝั่งที่ดูโฆษณาเป็นมนุษย์ ไม่ใช่บอต
    แต่มันเป็นฝ่ายเดียวเกินไป ถ้าอย่างนั้นผู้ใช้ก็ควรมีสิทธิ์รู้ด้วยว่าความรับผิดชอบที่ทำให้พวกเขาต้องเห็นโฆษณานี้อยู่ที่มนุษย์ ไม่ใช่บอต แน่นอนว่าโลกจริงไม่เป็นเช่นนั้น วิธีนี้จะทำให้ศัตรู หรือก็คือผู้ใช้ ต้องคุกเข่า และทำให้มีเพียงผู้ลงโฆษณาเท่านั้นที่เข้าถึง การทำงานอัตโนมัติและการตรวจสอบความถูกต้องสมบูรณ์ ได้
    คงมีคนไม่มากที่คัดค้านอย่างจริงจังกับการเห็นโฆษณาเครื่องมือไฟฟ้าในฟอรัม DIY หรือโฆษณาเครื่องมือนักพัฒนาบน Stack Overflow ปัญหาอยู่ที่การถูกถล่มด้วยการหลอกลวงโจ่งแจ้ง เกมมือถือที่เต็มไปด้วยไมโครทรานแซกชัน คาสิโนออนไลน์ และสิ่งที่ไม่มีประโยชน์ใดๆ ต่อผมในฐานะผู้บริโภค บางที Google ควรให้ความสำคัญกับการตรวจสอบผู้บริโภค หรือก็คือ ความถูกต้องสมบูรณ์ของผู้ลงโฆษณา ให้มากขึ้น

  • ดูไม่น่าจะถูกทิ้งง่ายๆ แม้ Google จะมีประวัติทิ้งโปรเจกต์เก่ง แต่เรื่องที่เกี่ยวข้องโดยตรงกับ การขายโฆษณาบน Search นั้นไม่ค่อยเข้าข่าย

    • คงจะเอากลับมาใหม่ภายใต้ชื่อใหม่อย่าง Privacy Environment Integrity คล้ายกับ Privacy Sandbox หรือ Topics
  • ผมเคยคิดว่าผู้นำโลกจะออกมาคัดค้านอย่างเปิดเผยมากกว่านี้ ต่อการที่เสรีภาพของประชาชนของตนและของพวกเขาเองถูกจำกัดโดยลำพังจากบริษัทสหรัฐฯ เพียงแห่งเดียวที่ดูเหมือนสูดกลิ่นอายอำนาจนิยมเข้าไปเต็มปอด

  • ไม่แน่ใจว่าตัวบล็อกโฆษณาเป็นปัญหาใหญ่สำหรับ Google ขนาดนั้นหรือไม่ โดยเฉพาะบนมือถือก็ไม่ได้ใช้กันมากนัก และโลกก็กำลังย้ายไปสู่มือถืออย่างชัดเจน
    รู้ไหมว่าผลกระทบทางการเงินของตัวบล็อกโฆษณาถูกประเมินไว้ประมาณเท่าไร?
    การฉ้อโกงโฆษณาน่าจะเป็นปัญหาใหญ่กว่ามาก บางคนอาจแย้งว่าการฉ้อโกงโฆษณาไม่ใช่ปัญหาของ Google แต่ถึงอย่างไรก็สร้างความเสียหายให้ Google อยู่ดี
    หรืออาจมีเหตุผลที่สามที่ตอนนี้ยังนึกไม่ออก การบล็อกโฆษณาดูเป็นเรื่องเฉพาะกลุ่มเกินไป หรือแค่อยากทำให้ การผูกขาดการติดตามผู้ใช้ แข็งแกร่งขึ้นกันแน่?

    • Google เป็นบริษัทโฆษณา นั่นคือแหล่งรายได้หลัก และส่วนอื่น ๆ โดยมากก็มีอยู่เพื่อทำให้หน่วยธุรกิจนั้นเติบโต การบล็อกตัวบล็อกโฆษณาและไคลเอนต์ทางเลือกสอดคล้องกับเป้าหมายทางธุรกิจในการแสดงโฆษณาให้มากขึ้นอย่างสมบูรณ์
      อีกอย่าง พูดตรง ๆ ต่อให้จุดประสงค์คือการป้องกันการฉ้อโกงโฆษณา ก็ไม่สนใจอยู่ดี นั่นไม่ใช่ปัญหาของฉัน และแต่แรกก็เป็นปัญหาที่ Google สร้างขึ้น แล้วทำไมฉันต้องเป็นคนจ่ายต้นทุนเพื่อให้ Google ทำเงินได้มากขึ้นด้วย ถ้าอยากหยุดการฉ้อโกงโฆษณาจริง ๆ ก็เลิกทำธุรกิจโฆษณาไปสิ จบปัญหา
    • ตอนนี้ตัวบล็อกโฆษณายังไม่ใช่เรื่องใหญ่ แต่ Safari บน iOS และ Samsung Browser บน Android รองรับตัวบล็อกโฆษณา ถ้า Apple หรือ Samsung ตัดสินใจใส่ตัวบล็อกโฆษณามาเป็นค่าเริ่มต้นจะเกิดอะไรขึ้น? Google กำลังเตรียมรับมือกับความเคลื่อนไหวในอนาคต
      เบราว์เซอร์อื่น ๆ นำหน้าไปแล้วในด้านการป้องกันการติดตามและการควบคุมคุกกี้บุคคลที่สาม ซึ่งส่งผลต่อโมเดลธุรกิจของ Google ดังนั้น Google จึงสร้าง Chrome ลงทุนให้คนชอบใช้ ผลักดันผ่านเว็บไซต์ของตนเอง และสร้าง สวนที่มีกำแพงล้อมรอบ ด้วย Chrome Sync และ Passwords
      จากนั้นเมื่อเข้าสู่ระบบ Gmail ก็ให้เข้าสู่ระบบ Chrome ด้วย และเริ่มใช้สิ่งนั้นเพื่อลดความเป็นส่วนตัว ต่อให้เว็บไซต์ไม่ได้ใช้โฆษณาของ Google ก็ยังติดตามเว็บที่ผู้ใช้เข้าชมและนำไปใช้ปรับปรุงโฆษณา
      บน Android ตัวจัดการรหัสผ่านที่ถูกจำกัดให้ใช้ได้กับเบราว์เซอร์ของตัวเองมีเพียงของ Google เท่านั้น และมันมีเหตุผลอยู่
    • กำลังโวยวายเรื่องตัวบล็อกโฆษณาเหมือนที่อุตสาหกรรมภาพยนตร์โวยวายเรื่องการละเมิดลิขสิทธิ์ภาพยนตร์ บอกว่าพอมีคนบางส่วนทำก็ทำให้ “สูญเสียหลายล้าน” แต่ก็ยัง “ทำเงินได้หลายพันล้าน” อยู่ดี
    • ก็แค่โยนความผิดให้ตัวบล็อกโฆษณาสำหรับสแกนดัล Google Ads ที่กำลังเกิดขึ้นตอนนี้ คือเรื่องที่บิดเบือนรายงานโฆษณาให้ลูกค้า
      Google เป็นคนบิดเบือนข้อมูลเอง ก็ควรโทษตัวเอง
    • มีเดิมพันมากกว่าตัวบล็อกโฆษณา หลังจากตระหนักถึงศักยภาพทางเศรษฐกิจของโมเดลภาษาขนาดใหญ่และ AI โดยรวมแล้ว เว็บสแครปเปอร์ ก็กลายเป็นปัญหาใหญ่ ผู้เล่นรายใหญ่เดิมอาจอยากทำให้คู่แข่งรันบอตของตัวเองได้ยากขึ้น