- Free Software Foundation มองว่า Web Environment Integrity(WEI) ของ Google คุกคามเสรีภาพของผู้ใช้ในการเข้าถึงเว็บด้วยเบราว์เซอร์และระบบปฏิบัติการที่ตนต้องการ
- WEI คือ API ที่ทำให้เว็บไซต์ตรวจสอบกับ บริการยืนยันความถูกต้อง ของบุคคลที่สามก่อนให้บริการหน้าเว็บ ว่าสภาพแวดล้อมการท่องเว็บถูก “ดัดแปลง” หรือไม่
- FSF กังวลว่าการยืนยันนี้อาจทำงานไปในทิศทางที่อนุญาตเฉพาะ การกำหนดค่าเบราว์เซอร์ ที่ Google ยอมรับ และอาจปิดกั้นการเข้าถึงของผู้ใช้เบราว์เซอร์เสรีและระบบปฏิบัติการเสรี
- ความเป็นไปได้ในการนำไปใช้ในทางที่ผิดมีมากกว่ากรณีใช้งานตามชื่อที่ระบุในเอกสารนโยบาย และอาจถูกใช้เพื่อบังคับใช้เบราว์เซอร์ที่ได้รับอนุมัติ เสริมความเข้มงวดของ DRM และจำกัดการเข้าถึงบริการของ Google
- FSF ระบุว่า WEI ไม่มีเหตุผลอันชอบธรรม และเรียกร้องให้ Google ยุติงานมาตรฐานที่ยากจะเข้ากันได้กับอินเทอร์เน็ตเสรีในทันที
เหตุผลที่ WEI ขัดแย้งกับอินเทอร์เน็ตเสรี
- FSF มองว่าการใช้เบราว์เซอร์เสรีสำคัญกว่าที่เคย และวิจารณ์ Web Environment Integrity ของ Google ว่าเป็นหนึ่งในตัวอย่างที่เลวร้ายที่สุดจากความเคลื่อนไหวล่าสุดของ Google
- WEI เริ่มจากเอกสารนโยบายที่ถูกนำขึ้น Microsoft GitHub เป็นครั้งแรก และหลังจากนั้น Google ก็เร่งนำการพัฒนาไปใส่ใน Chromium browser
- API นี้ทำให้นักพัฒนาสามารถอนุมัติ การกำหนดค่าเบราว์เซอร์ บางแบบ และห้ามการกำหนดค่าแบบอื่นได้
- FSF มองว่าวิธีการเช่นนี้ขัดแย้งโดยตรงกับแนวคิดดั้งเดิมของอินเทอร์เน็ต ที่ผู้ใช้สามารถเข้าถึงหน้าที่เชื่อมโยงด้วยไฮเปอร์ลิงก์ได้จากอุปกรณ์ โปรแกรม และระบบปฏิบัติการที่หลากหลาย
- WEI ใกล้เคียงกับ DRM ที่ทำให้เว็บทั้งหมดปิดมากขึ้น และถูกประเมินว่าเป็นก้าวใหญ่ไปสู่ “enshittification” ของเว็บ
วิธีการทำงานและการนำไปใช้ในทางที่ผิดที่คาดได้
- ใน WEI เซิร์ฟเวอร์จะร้องขอให้บริการ “ยืนยันความถูกต้อง” ของบุคคลที่สามตรวจสอบก่อนให้บริการหน้าเว็บ ว่าสภาพแวดล้อมการท่องเว็บของผู้ใช้ไม่ได้ถูก “ดัดแปลง”
- FSF มองว่าเซิร์ฟเวอร์ยืนยันนี้อาจเป็นของ Google และจะตรวจสอบว่าเบราว์เซอร์ไม่ได้เบี่ยงเบนแม้แต่น้อยจากการกำหนดค่าที่ Google ยอมรับ
- ผลคือผู้ใช้จะใช้ four freedoms ได้อย่างมีความหมายยากขึ้น และบางเว็บไซต์อาจปฏิเสธการให้บริการหน้าเว็บแก่ผู้ใช้เบราว์เซอร์เสรีหรือระบบปฏิบัติการเสรี
- ประเด็นที่ถูกชี้ว่าเป็นปัญหามากกว่า คือความเป็นไปได้ในการใช้งานจริงที่ใหญ่กว่ากรณีใช้งานโดยชอบตามที่เอกสารนโยบายยกขึ้นมา
- รัฐบาลอาจใช้เพื่ออนุญาตให้เข้าถึงอินเทอร์เน็ตได้เฉพาะเบราว์เซอร์ที่ “ได้รับอนุมัติ” อย่างเป็นทางการ
- บริษัทอย่าง Netflix อาจใช้เพื่อเสริมความเข้มงวดของ Digital Restrictions Management(DRM)
- Google อาจใช้เพื่อปฏิเสธการเข้าถึงบริการของ Google หากผู้ใช้ไม่ได้ใช้เบราว์เซอร์ที่สอดคล้องกับผลประโยชน์ของบริษัท
- FSF มองว่า WEI “ไม่มีเหตุผลอันชอบธรรมเลยแม้แต่น้อย” และวิจารณ์ว่าประโยชน์หลักที่แท้จริงคือการจำกัดอินเทอร์เน็ตเสรี
- ผู้มีอำนาจตัดสินใจของ Google ควรคำนึงถึงหลักการก่อตั้งเว็บ ยอมรับว่า WEI ไม่สามารถเข้ากันได้โดยพื้นฐานกับอินเทอร์เน็ตเสรี และยุติงานมาตรฐานนี้ทันที
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
บทความที่เกี่ยวข้อง ถ้ามีเพิ่มเติมก็บอกได้
แผนด้านความปลอดภัยของเบราว์เซอร์จาก Google ถูกวิจารณ์ว่าอันตราย เลวร้าย และเป็น DRM สำหรับเว็บไซต์ - https://news.ycombinator.com/item?id=36893071 - กรกฎาคม 2023 (63 ความคิดเห็น)
Google Web Environment Integrity คือ Microsoft Trusted Computing แบบใหม่ - https://news.ycombinator.com/item?id=36888156 - กรกฎาคม 2023 (282 ความคิดเห็น)
พนักงาน Google ตอบกลับฟีดแบ็กเชิงลบเกี่ยวกับ WEI - https://news.ycombinator.com/item?id=36881506 - กรกฎาคม 2023 (25 ความคิดเห็น)
Google กำลังยัด WEI เข้าไปใน Chromium แล้ว - https://news.ycombinator.com/item?id=36876301 - กรกฎาคม 2023 (832 ความคิดเห็น)
แกะสเปก Web Environment Integrity ของ Google - https://news.ycombinator.com/item?id=36875940 - กรกฎาคม 2023 (431 ความคิดเห็น)
วิศวกร Google กำลังพยายามทำให้การบล็อกโฆษณาแทบเป็นไปไม่ได้ - https://news.ycombinator.com/item?id=36875226 - กรกฎาคม 2023 (468 ความคิดเห็น)
Google ปะทะเว็บเปิด - https://news.ycombinator.com/item?id=36875164 - กรกฎาคม 2023 (191 ความคิดเห็น)
Apple ได้เปิดตัวการพิสูจน์ยืนยันบนเว็บไปแล้ว และเราแทบไม่ทันสังเกต - https://news.ycombinator.com/item?id=36862494 - กรกฎาคม 2023 (421 ความคิดเห็น)
“Web Integrity API” ฝันร้ายของ Google ต้องการ DRM ที่เป็นยามเฝ้าประตูสำหรับเว็บ - https://news.ycombinator.com/item?id=36854114 - กรกฎาคม 2023 (456 ความคิดเห็น)
ข้อเสนอ Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - กรกฎาคม 2023 (441 ความคิดเห็น)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - กรกฎาคม 2023 (2 ความคิดเห็น)
คำอธิบาย Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - กรกฎาคม 2023 (45 ความคิดเห็น)
ข้อเสนอ Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - กรกฎาคม 2023 (93 ความคิดเห็น)
Web Environment Integrity – Google กำลังพยายามล็อกเบราว์เซอร์ - https://news.ycombinator.com/item?id=35864471 - พฤษภาคม 2023 (1 ความคิดเห็น)
ไม่เข้าใจว่าทำไมถึงปล่อยให้ Google ทำเรื่องไร้สาระแบบนี้ไปเฉย ๆ ครั้งแรกคือ toast component ต่อมาก็การเอาการแจ้งเตือนออก, Manifest V3, FLoC แล้วตอนนี้ก็อันนี้
บริษัทก็ย่อมทำตัวแบบบริษัท แต่ผู้ใช้และผู้ใช้ในอนาคตเหลือทางเลือกอะไรบ้าง? หมายถึงคนที่ตอนนี้อาจไม่สนใจ แต่วันหนึ่งอาจเห็นว่าอินเทอร์เน็ตรูปแบบปัจจุบันมีประโยชน์
ถ้า Google จะซ่อนผลิตภัณฑ์ของตัวเองไว้หลังรั้วที่เข้าถึงได้เฉพาะผ่านเบราว์เซอร์กรรมสิทธิ์ที่แก้ไขไม่ได้ก็ไม่เป็นไร แต่ขออย่าแพร่สิ่งนั้นไปทั่วเลย เรายังต้อง “เพลิดเพลิน” กับ reCAPTCHA ที่แก้ไม่ได้แทบทุกที่อยู่
https://httptoolkit.com/blog/apple-private-access-tokens-att...
มันเป็นส่วนหนึ่งของ การตรวจสอบแบบถาม-ตอบ ที่แสดงขึ้นมาเมื่อเซิร์ฟเวอร์มองว่าทราฟฟิกน่าสงสัย โดยทั่วไปหลีกเลี่ยงได้ถ้ายังคงล็อกอินไว้ ไม่บล็อกคุกกี้ และไม่ใช้ Tor หรือวิธีอื่นในการปกปิดเส้นทาง
แต่ดูเหมือนว่ามี API ที่คล้ายกันมากถูกนำไปใช้งานใน Safari ตั้งแต่ปี 2022 แล้ว ดูเหมือนว่าถ้าทำการตลาดดี ๆ ก็ได้ผลมาก เรื่องนี้แทบไม่เห็นมีใครถกเถียงกันเลย
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
ส่วนที่น่าสนใจคือแบบนี้: “เราไม่ได้ต้องการหรือจำเป็นต้องใช้ข้อมูลพื้นฐานที่ถูกเก็บรวบรวมในกระบวนการนี้จริง ๆ แค่อยากตรวจสอบว่าผู้เยี่ยมชมกำลังปลอมแปลงอุปกรณ์หรือ user agent อยู่หรือไม่”
ในตัวอย่าง เมื่อผู้เยี่ยมชมเปิด Safari บน iPhone แล้วพยายามเข้า example.com, Cloudflare จะขอโทเค็นจากเบราว์เซอร์ และเนื่องจาก Safari รองรับ PAT จึงส่งคำขอพิสูจน์ยืนยันไปยัง Apple Attester ผ่าน API call
Apple Attester ตรวจสอบส่วนประกอบต่าง ๆ ของอุปกรณ์เพื่อยืนยันความถูกต้อง จากนั้นเรียก API ไปยัง Cloudflare Issuer, แล้ว Cloudflare Issuer สร้างโทเค็นส่งกลับไปยังเบราว์เซอร์ และเบราว์เซอร์ส่งต่อโทเค็นนั้นไปยังเซิร์ฟเวอร์ต้นทาง
Cloudflare รับโทเค็นนั้นแล้วตัดสินว่าไม่จำเป็นต้องแสดง CAPTCHA ให้ผู้ใช้นี้เห็น สำหรับผมมันฟังดูคล้าย WAI มากเกินไป แต่ชื่อมันคือ “Privacy Access Tokens” ก็ต้องเป็นเรื่องดีอยู่แล้วสินะ...?
แก้ไข: มีเธรด HN เมื่อไม่กี่วันก่อน แต่ผมพลาดไป: https://news.ycombinator.com/item?id=36862494
ตัวอย่างเช่น PAT สุดท้ายแล้วเป็นแค่ระดับการพิสูจน์ว่า “ไม่ใช่บอต” จึงไม่จำเป็นต้องแลกเปลี่ยนข้อมูลสภาพแวดล้อมของอุปกรณ์และเบราว์เซอร์ ในทางกลับกัน WEI ต้องใช้ข้อมูลนั้นเพื่อทำให้กรณีใช้งานอย่าง DRM สำหรับเว็บ ที่เรากำลังอ่านอยู่นี้เป็นไปได้
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
แต่เบราว์เซอร์ก็โกหกมาตลอดหลายสิบปีแล้วว่าตัวเองเป็นใคร แล้วความแตกต่างระหว่างอุปกรณ์/user agent ปลอม กับอุปกรณ์/user agent ที่ผิดแปลกคืออะไร? จากมุมมองของพวกเขา คงไม่มีความแตกต่าง
ดังนั้นผมจึงเริ่มไปดู gopher เมื่อกี้เพิ่งรู้จัก gemini ด้วย ซึ่งสำหรับผมอาจน่าสนใจกว่า
บริษัทต่าง ๆ เห็นความสำเร็จของ Apple แล้วก็ทำทุกอย่างที่ทำได้เพื่อสร้าง สวนที่มีกำแพงล้อม และแม้จะน้อยกว่านั้น แต่ดูเหมือนว่าบริษัทต่าง ๆ ก็เริ่มมีอิทธิพลต่อทิศทางการพัฒนา Linux ด้วย
สงสัยว่าเมื่อไร DRM แบบฝังในตัวเต็มรูปแบบสำหรับตรวจสอบเว็บสตรีมมิงจะเข้ามา
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
ตอนที่ API อย่าง Android SafetyNet เพิ่งออกมา เหตุผลป้องกันตัวที่มีอยู่แล้วคือ “ถ้าใช้แอปไม่ได้ ก็ใช้เว็บไซต์ผ่านเบราว์เซอร์สิ” บริษัทต่าง ๆ จะไม่หยุดจนกว่าจะควบคุมทุกเลเยอร์ของสแตกได้อย่างเบ็ดเสร็จ
และของอย่าง WEI ก็สามารถนำไปใช้บนโปรโตคอลพวกนั้นได้เต็มที่เช่นเดียวกับที่ทำบน HTTP มันเป็นแนวคิดที่แยกกันโดยสิ้นเชิง
พออ่านอะไรแบบนี้แล้วก็กลายเป็นคนประชดประชันสุด ๆ รู้สึกเหมือน “ไม่มีทางเด็ดขาด ห้ามเกิดขึ้นต่อหน้าฉัน!” แต่แล้วก็รู้ตัวว่าสิ่งที่ฉันทำได้มีแค่ลงชื่อในคำร้อง หรือส่งอีเมลไปหานักการเมืองที่ไม่รู้เลยว่านี่หมายความว่าอะไร
เหตุผลเดียวกันนี้เองที่เรื่องนี้ไม่สำคัญกับน้อง Gen Z ของฉันกับ TikToker รุ่นเดียวกัน คนเขาไม่สนใจกันหรอก มีปัญหาใหญ่กว่านั้นอย่างพรุ่งนี้จะเอาเงินที่ไหนจ่ายค่าเช่า และก็มีอะไรให้ดูสนุกกว่าอย่างการนั่งดูคนแกล้งทำเป็น NPC ติดต่อกัน 5 ชั่วโมงแล้วให้เงินเขา
หลายคนที่เคยทำงานด้วยกันก็คล้าย ๆ กัน ชินกับการรู้ตัวว่าตัวเองโดนเล่นงานอย่างหนัก และติดการบ่น แต่ก็ทำแค่ในกลุ่มแคบ ๆ ที่มีความสนใจร่วมกันเท่านั้น
นี่เป็นการปฏิวัติที่ทำให้หมดแรงที่สุดแล้ว ไม่ว่าจะ DNS, ความวุ่นวายของ JavaScript, net neutrality, ไปจนถึงโลกของเบราว์เซอร์ ก็มีเรื่องวุ่นวายตลอด แต่ไม่เคยทำอะไรสำเร็จ สุดท้ายก็โยนความรับผิดชอบกันไปมา แล้วค่อยไปย้อนรำลึกถึงวันดี ๆ เก่า ๆ ในเธรดอื่นทีหลัง
แต่สุดท้ายแล้วฉันทำอะไรได้ล่ะ? ต้อง ปฏิเสธ PR งั้นหรือ?
แค่คนที่มีอิทธิพลพอในวงการและในฝั่งกำกับดูแลสนใจก็พอแล้ว และในความเป็นจริงพวกเขาก็สนใจกันอยู่ ทุกคนกำลังโกรธเรื่องนี้และกำลังแนะนำกันอยู่ บริษัทกับองค์กรต่าง ๆ ก็เขียนบทความกัน
ก็ทำแบบนั้นต่อไป แล้วผลักดันให้บริษัทอื่น ๆ ปฏิเสธ หรือกดดันให้ถูกสกัดด้วยกฎระเบียบ สิ่งที่ Google กลัวที่สุดคือการถูก แยกบริษัท ถ้าพวกเขาดันเรื่องนี้ต่อ ก็สามารถติดต่อสมาชิกรัฐสภาอย่างเป็นระบบเพื่อหยิบยกความกังวล และเรียกร้องให้มีการกำกับดูแลหรือแยกบริษัท Google จากพฤติกรรมต่อต้านการแข่งขันได้
คนเขาสนใจกันอยู่ เพียงแต่การสร้างแรงกดดันจากสาธารณะมีขั้นตอนของมัน ต้องให้สาธารณะรับรู้ปัญหา เรียนรู้และเข้าใจด้านเทคนิค แล้วจัดตั้งฝ่ายคัดค้าน นี่ไม่จำเป็นต้องเป็นกระบวนการที่รวดเร็ว
[1] https://news.ycombinator.com/item?id=36877310
ถ้าสมมติว่าเป้าหมายหลักคือการป้องกันการบล็อกโฆษณา ฉันก็สงสัยว่า DNS blocker แบบ pinhole ของฉันจะได้รับผลกระทบไหม ถ้ามาตรฐานใหม่นี้ทำให้ทุกคนย้ายไปใช้ DNS blocker กัน แม้จะทำให้ผู้ใช้ต้องจ่ายต้นทุนเล็กน้อย แต่ภาพรวมของภูมิทัศน์อาจดีขึ้นก็ได้
เวลาที่เชื่อว่าระบบยังเสรีและเปิดอยู่ และไม่รู้สึกว่าจำเป็น แทบไม่มีใครยอมรับหรืิอสนับสนุนเครื่องมือความเป็นส่วนตัวเลย จนกว่าขอบเขตจะเปลี่ยน ทุกคนก็ถูกมองเหมือนพวกใส่หมวกฟอยล์
โดยรวมแล้วผู้คนควรเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคล การควบคุมบริการ และเรื่องทำนองนี้ให้ดีขึ้น แต่ก็จะทำตัวเฉื่อยชาไปเรื่อย ๆ จนกว่าทางเลือกอื่นจะหายไปและต้องเอาการควบคุมกลับคืนมา
ผู้ใช้อุปกรณ์อิเล็กทรอนิกส์สำหรับผู้บริโภคไม่ใช่คนที่ “โหวต” ให้กับคอนเทนต์ ระบบคอมพิวเตอร์แบบ ปิด ที่มีลำดับชั้น เป็นส่วนตัว และขับเคลื่อนด้วยการตัดสินใจภายในต่างหากที่กำลังไปถึงจุดตัดสินใจ
ดีใจที่ยังมีคนเห็นคุณค่าของการรู้เรื่องแบบนี้ เวลาฉันพยายามเผยแพร่ ก็มักเจอแต่ความไม่รู้
เรื่องนี้ไม่ใช่แค่ของ Google พวกเขาแค่ดูเหมือนอยากเป็นรายแรกเท่านั้น
“ทฤษฎีสมคบคิด” ที่ฉันเรียกว่า การปิดล้อมทางดิจิทัล ก็คือเรื่องแบบนี้แหละ มันเป็นอีกก้าวหนึ่งในทิศทางนั้น และพอดูสิ่งที่มันทำแล้ว ก็รู้สึกว่าเราเข้าใกล้ปลายทางมากเกินไปแล้ว
ทำเหมือนว่าการตรวจสอบว่าเราทุกคนใช้เบราว์เซอร์ของ Google หรือไม่จะทำให้ปลอดภัยขึ้นอย่างไรอย่างนั้น ราวกับว่านักพัฒนาฝั่งนั้นสมบูรณ์แบบ
ความหยิ่งผยองของ Big Tech แบบนี้น่าทึ่งและน่าหงุดหงิดจริง ๆ
“คุณสามารถเข้าเว็บไซต์ของเราได้ครับ ก่อนอื่นกรุณาแสดง กุญแจมือดิจิทัล ของคุณก่อน”
ใครช่วยอธิบายแบบให้เด็กห้าขวบเข้าใจได้ไหม ว่าจะเกิดอะไรขึ้น? Firefox จะหยุดทำงานกับเว็บส่วนใหญ่ไหม? uBlock จะใช้ไม่ได้หรือเปล่า? ก่อนเข้าถึงเว็บไซต์บนเวิลด์ไวด์เว็บต้องส่งสแกนจอประสาทตาไปก่อนหรือไง?
ก็เอาเถอะ เมื่อก่อนก็เคยอยู่ได้โดยไม่มีอินเทอร์เน็ต เคยติดตั้ง Microsoft Flight Simulator จากฟลอปปีดิสก์มาแล้ว คราวนี้ก็คงแค่มีฟลอปปีมากขึ้นอีกหน่อย ไม่ใช่เรื่องใหญ่
Linux อาจใช้งานไม่ได้ ยกเว้นบิลด์ของ Ubuntu กับ Red Hat ประมาณนั้น และนั่นก็หลังจากเพิ่มการรองรับแล้วด้วย อาจใช้เวลานาน เพราะต้องมีห่วงโซ่การตรวจสอบยาว ๆ ผ่านเบราว์เซอร์ ระบบปฏิบัติการ เคอร์เนล สภาพแวดล้อมการบูต และ TPM แล้วต้องโน้มน้าว Google ว่าห่วงโซ่นั้นไม่อ่อนแอพอที่จะถูกแฮ็ก
ตัวบล็อกโฆษณาจะถูกกันออกไปในบางจุด และเราก็ย้อนกลับไปยุคเล่น Flight Simulator จากฟลอปปีไม่ได้แล้ว ธนาคาร ตั๋วเครื่องบินกับตั๋วคอนเสิร์ต แม้กระทั่งกุมารแพทย์ของลูกคุณก็จะบังคับใช้สิ่งนี้
ไม่ใช่เพราะหมอขยันอ่านสเปกเว็บใหม่ แต่เพราะจะใช้แพลตฟอร์มบริการสุขภาพที่พึ่งค่าเริ่มต้นของ Cloudflare ซึ่งทีมความปลอดภัยชอบเพราะอ้างว่าช่วยลดบอตและ DDoS
สุดท้ายเราจะต้องใช้ ระบบปฏิบัติการที่ถูกล้อมกำแพง ซึ่งเฝ้าติดตามและยัดโฆษณาตลอดเวลาเหมือนเคเบิลทีวี เสียงโวยวายครั้งใหญ่อาจทำให้ Google ถอยเล็กน้อย หรือให้คำสัญญาที่ทั้งรักษาไว้ไม่ได้และจะไม่รักษา
ทางแก้จริง ๆ มีเพียงการใช้รัฐบาลมาป้องกันไม่ให้ผู้ใช้สูญเสียการควบคุม
ใช่เลย! เรามาใช้เบราว์เซอร์ที่ใช้ Chromium กันให้หมดเถอะ!
จะมีอะไรผิดพลาดได้ล่ะ?