1 คะแนน โดย GN⁺ 2023-08-04 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Web Environment Integrity (WEI) ที่ Google เสนอสำหรับ Chrome ถูกวิจารณ์ว่าอาจทำให้เว็บไซต์ตรวจสอบสภาพแวดล้อมการทำงานของไคลเอนต์ได้ และทำให้เว็บกลายเป็น DRM โดยพฤตินัย
  • WEI มีโครงสร้างให้ผู้ใช้พิสูจน์ว่ากำลังรันเว็บไคลเอนต์ในสภาพแวดล้อมอย่าง “อุปกรณ์ Android ที่ปลอดภัย” แล้วส่งต่อเป็น โทเค็นที่ลงนามด้วยวิทยาการเข้ารหัส
  • แม้จะอ้างเหตุผลเรื่องการป้องกันการฉ้อโกง แต่ Mozilla เห็นว่าการใช้งานเว็บที่มีอยู่เดิม เช่น เทคโนโลยีช่วยเหลือ การทดสอบอัตโนมัติ การเก็บถาวร และสไปเดอร์ของเครื่องมือค้นหา อาจถูกปิดกั้นได้
  • Brave ระบุว่า WEI โอนอำนาจไปให้ เว็บไซต์และแพลตฟอร์มขนาดใหญ่ มากกว่าผู้ใช้ และประกาศว่าจะไม่ใส่ไว้ในเบราว์เซอร์ Brave
  • หากนำการยืนยันระยะไกลเข้าไปในมาตรฐานเว็บ นอกจากการใช้งานโดยสุจริตแล้ว ยังอาจถูกใช้เพื่อบล็อกเบราว์เซอร์ จำกัดการบล็อกโฆษณา และเพิ่มการควบคุมของแพลตฟอร์มได้

ข้อถกเถียงเรื่อง Web DRM จากข้อเสนอ WEI ของ Chrome

  • Google เสนอแนวทางเพิ่ม Web Environment Integrity เข้าใน Chrome
  • ระบบนี้ทำให้เว็บไซต์สามารถร้องขอโทเค็นที่พิสูจน์ ข้อเท็จจริงสำคัญของสภาพแวดล้อม ที่โค้ดไคลเอนต์กำลังทำงานอยู่ได้
    • ตัวอย่างเช่น สามารถแสดงว่าผู้ใช้กำลังรันเว็บไคลเอนต์บน “อุปกรณ์ Android ที่ปลอดภัย” หรือไม่
    • โทเค็นมีโครงสร้างใช้ ลายเซ็นเชิงเข้ารหัส เพื่อป้องกันการแก้ไขดัดแปลง
  • เว็บไซต์เป็นผู้ตัดสินใจเองว่าจะเชื่อถือผลการประเมินที่ attester ส่งกลับมาหรือไม่
    • ตามคำอธิบายของ Google ในทางปฏิบัติ attester มีแนวโน้มจะมาจากระบบปฏิบัติการหรือแพลตฟอร์ม
    • เอกสารข้อเสนอนี้ได้รับแรงบันดาลใจจากสัญญาณการยืนยันแบบเนทีฟที่มีอยู่แล้ว เช่น App Attest ของ Apple และ Play Integrity API ของ Android
  • ในการป้องกันการฉ้อโกง การตัดสินที่ชัดเจนและความครอบคลุมสูงอาจมีประโยชน์ แต่ยังมีความเสี่ยงที่เว็บไซต์จะกีดกัน attester บางรายหรือเบราว์เซอร์ที่พิสูจน์ไม่ได้

การยืนยันระยะไกลเปลี่ยนความสัมพันธ์ด้านอำนาจของคอมพิวเตอร์อย่างไร

  • ตามคำอธิบายของ Cory Doctorow เมื่อราว 20 ปีก่อน Microsoft เคยนำเสนอแนวคิด trusted computing ที่ชื่อ Next Generation Secure Computing Base หรือ Palladium ต่อ Electronic Frontier Foundation
  • แก่นของแนวคิดคือ การยืนยันระยะไกล (remote attestation) ซึ่งวางอุปกรณ์แยกไว้ในคอมพิวเตอร์ของผู้ใช้ เพื่อสังเกตสถานะของ bootloader, ระบบปฏิบัติการ, แอปพลิเคชัน, ส่วนขยาย, เคอร์เนล ฯลฯ แล้วส่ง manifest ที่ลงนามแล้วให้ผู้ตรวจสอบภายนอก
  • การยืนยันระยะไกลอาจเป็นความสามารถทรงพลังที่ช่วยให้คนที่ไม่เชื่อใจกันสามารถตรวจสอบการตั้งค่าคอมพิวเตอร์ของกันและกันได้
    • อาจมีการใช้งานที่เป็นประโยชน์และยินยอมร่วมกันได้ เช่น บริษัทตรวจสอบการตั้งค่าอุปกรณ์ของพนักงานในสภาพแวดล้อมการทำงานจากที่บ้าน
    • ขณะเดียวกันก็อาจถูกใช้เพื่อกีดกัน เช่น ไม่ให้เปิดเอกสาร Word ด้วย OpenOffice หรือแยกแยะ SMB กับ Samba เพื่อปิดกั้นการเข้าถึงเครือข่าย
  • ประเด็นหลักคือ คอมพิวเตอร์ควรต้องบอก “ความจริง” กับภายนอกแม้ผู้ใช้ไม่ต้องการหรือไม่ และผู้อื่นควรสามารถสั่งให้ฟังก์ชันที่ผู้ใช้ควบคุมไม่ได้ทำงานจากระยะไกลได้หรือไม่

เหตุผลที่ Mozilla และ Brave คัดค้าน

  • Mozilla คัดค้านในวงสนทนาบน GitHub ว่า WEI ขัดกับ เว็บแบบเปิด
  • จุดยืนของ Mozilla คือกลไกที่จำกัดทางเลือกทำลายความเปิดกว้างของระบบนิเวศเว็บ และไม่เป็นผลดีต่อผู้ใช้ด้วย
    • กรณีใช้งานที่เสนอพึ่งพาความสามารถในการ “ตรวจจับทราฟฟิกที่ไม่ใช่มนุษย์”
    • วิธีนี้อาจปิดกั้นการใช้งานเว็บที่มีอยู่เดิมซึ่งรับคอนเทนต์สำหรับมนุษย์แล้วนำไปแปลง ทดสอบ จัดทำดัชนี หรือสรุป เช่น เทคโนโลยีช่วยเหลือ การทดสอบอัตโนมัติ การเก็บถาวร และสไปเดอร์ของเครื่องมือค้นหา
    • มาตรการป้องกันอย่าง “holdback” ที่สุ่มไม่สร้างการยืนยัน มีแนวโน้มว่าประสิทธิผลจะจำกัด และ Mozilla มองว่าไม่เพียงพอที่จะคลายความกังวล
  • Brave ก็ คัดค้าน Web Environment Integrity และระบุว่าจะไม่ใส่ WEI ในเบราว์เซอร์ Brave
    • Brave เห็นว่า WEI ย้ายอำนาจไปยังเว็บไซต์ขนาดใหญ่ โดยเฉพาะเว็บไซต์ที่ Google ดำเนินการ มากกว่าผู้ใช้
    • แม้จะใช้ Chromium ก็มีแผนจะไม่รวม WEI เข้าไป
    • ฟีเจอร์ที่คล้าย WEI แต่จำกัดกว่าบางส่วน เช่น บางส่วนของ WebAuthn หรือ Privacy Keys ก็กำลังพิจารณาวิธีจำกัดให้อยู่ในขอบเขตที่ไม่ทำลายการใช้งานโดยสุจริต

ความกังวลเรื่องการบล็อกโฆษณาและการควบคุมแพลตฟอร์ม

  • Alex Ivanovs ชี้ให้เห็นว่าหนึ่งในผลข้างเคียงของ WEI คือ Google อาจ ทำให้การบล็อกโฆษณาแทบเป็นไปไม่ได้
  • หากผู้ที่ควบคุม attester เป็นฝ่ายตรวจสอบสภาพแวดล้อมของไคลเอนต์ ก็เกิดความกังวลว่า Google หรือบริษัทเทคโนโลยีรายใหญ่อื่น ๆ อาจปรับแต่งคะแนนความน่าเชื่อถือ และตัดสินใจว่าจะเชื่อถือเว็บไซต์หรือสภาพแวดล้อมเบราว์เซอร์ใด
  • Brave เชื่อมโยง WEI เข้ากับทิศทางข้อเสนอเว็บล่าสุดของ Google
    • Brave มองว่า WebBundles ทำให้ผู้ใช้บล็อกหรือกรองเนื้อหาหน้าเว็บที่ไม่ต้องการได้ยากขึ้น
    • Brave มองว่า First Party Sets ทำให้ผู้ใช้ตัดสินได้ยากขึ้นว่าเว็บไซต์ใดสามารถติดตามตนได้
    • Brave มองว่าการทำให้ส่วนขยายเบราว์เซอร์อ่อนกำลังลงผ่าน Manifest V3 ลดอำนาจควบคุมของส่วนขยายบล็อกโฆษณาและตัวติดตาม เช่น uBlock Origin
  • Brave ระบุว่าจะปิดใช้งานหรือแก้ไขฟีเจอร์เหล่านี้ในเบราว์เซอร์ Brave

อำนาจควรอยู่ที่ใดในเว็บแบบเปิด

  • ปัญหาการฉ้อโกงและการใช้งานในทางที่ผิดที่ WEI พยายามรับมือนั้นมีอยู่จริง แต่แนวทางที่เสนอเปลี่ยน โครงสร้างของอินเทอร์เน็ตแบบเปิด อย่างถึงราก
  • คำวิจารณ์หลักคือ แทนที่จะผลักอำนาจออกไปยังขอบของเครือข่าย กลับรวมศูนย์อำนาจไปที่เว็บไซต์และแพลตฟอร์ม
  • แม้จะตัดคำอธิบายเชิงทฤษฎีสมคบคิดอย่างการสอดส่องของรัฐบาลออกไป ข้อเสนอนี้เองก็ยังเป็นข้อเสนอที่ไม่ดี อันตราย และขัดกับหลักการของเว็บแบบเปิด
  • แม้แรงจูงใจของ Google จะเป็นเจตนาดี ก็ไม่มีหลักประกันว่าเครื่องมือเช่นนี้จะถูกใช้ด้วยเจตนาดีเสมอไป
  • หากต้องการสนับสนุนเว็บแบบเปิด ก็ควรคัดค้าน WEI และ Google ก็ควรปฏิเสธข้อเสนอนี้

1 ความคิดเห็น

 
GN⁺ 2023-08-04
ความคิดเห็นจาก Hacker News
  • ถึงเวลาแล้วที่ต้องล็อบบี้อย่างจริงจังให้ Google กลายเป็นเป้าหมายของการ แยกบริษัทตามกฎหมายต่อต้านการผูกขาด
    แผน DRM ครั้งนี้เป็นการใช้อำนาจผูกขาดโดยมิชอบ และยิ่งเพิ่มเหตุผลให้ผลักดันทางการเมืองเพื่อบังคับให้แยกบริษัท Alphabet เป็นบริษัทที่โตขึ้นจากการเข้าซื้อกิจการ จึงค่อนข้างชัดเจนว่าจะแยกอย่างไร: Google เหลือแค่การค้นหาและโฆษณาค้นหา, DoubleClick เป็นโฆษณาบนเว็บไซต์บุคคลที่สาม, Analytics เป็นบริการเว็บไซต์, Cloud เป็นบริการศูนย์ข้อมูล, Android เป็นอุปกรณ์, Chrome เป็นเบราว์เซอร์, YouTube เป็นสตรีมมิง, Waymo เป็นรถไร้คนขับ และ Alphabet เป็นส่วนที่เหลือ
    ถ้า Chrome ถูกแยกออกจาก Google และ DoubleClick และต้องแข่งขันด้านส่วนแบ่งตลาด แรงจูงใจที่จะขัดขวางการบล็อกโฆษณาของ DoubleClick หรือ Google ก็จะลดลง รัฐเท็กซัสและอัยการสูงสุดของหลายรัฐก็กำลังดำเนินคดีอยู่แล้ว และความเคลื่อนไหวของ Google ที่พยายามตอกย้ำการผูกขาดด้วยเทคโนโลยีจะเป็นผลดีต่อคดีเหล่านี้ หากทำให้เรื่องนี้เป็นประเด็นทางการเมืองดัง ๆ ก็มีโอกาสสูงที่ Google จะถอนข้อเสนอนี้ตามคำแนะนำของทนายด้านต่อต้านการผูกขาด
    https://www.bloomberg.com/news/articles/2023-06-05/google-an...
    https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...

    • อาจดูเป็นแนวคิดที่ดี แต่พลังอำนาจจำนวนมากของ Google มาจาก การผูกขาดการค้นหา + โฆษณาค้นหา
      Google เป็นทั้งผู้ขายรายเดียวของสินทรัพย์ดิจิทัลอย่างโฆษณา และเป็นผู้ดำเนินตลาดรายเดียวของสินทรัพย์นั้น มีระบบซื้อขายด้วยอัลกอริทึมแบบปิดที่ไม่มีการตรวจสอบสาธารณะ และไม่มีบัญชีแยกประเภทสาธารณะที่แสดงว่าใครเสนอราคาเท่าไร ขณะเดียวกันก็ยังเป็นลูกค้ารายใหญ่ที่โฆษณาผลิตภัณฑ์ของตัวเองด้วย
      ผู้ลงโฆษณาต้องติดตั้งโค้ดติดตามบนเว็บไซต์ ทำให้ Google เห็นธุรกรรม ยอดขาย และลูกค้าทั้งหมดได้ เมื่อรวมกับอัลกอริทึมแบบปิดและตลาดโฆษณาแล้ว ความเป็นไปได้ในการบิดเบือนก็สูงมาก การแยกที่สำคัญที่สุดคือการแยกธุรกิจโฆษณาออกจากส่วนที่เหลือ รวมถึงการค้นหา แม้จะไม่ง่าย แต่ก็จำเป็นต้องมีการเปลี่ยนแปลง ในทางปฏิบัติ การกำกับดูแลตลาดโฆษณาออนไลน์อย่างเข้มงวด ไฟร์วอลล์แยกหน่วยธุรกิจ และการตรวจสอบแพลตฟอร์ม ดูจะเป็นไปได้มากกว่า
    • กังวลเรื่อง enshittification ของบริษัทผูกขาดอย่าง Google
      ภารกิจของบริษัทที่เคยว่า “จัดระเบียบข้อมูลของโลก” ซึ่งเข้าควบคุมลึกไปถึงโครงสร้างพื้นฐานอย่างเว็บและอีเมล ตอนนี้ดูเหมือนจะกลายเป็น “วางตัวกลางแบบเสียเงินให้ได้มากที่สุดไว้หน้าข้อมูลของโลก” หรือไม่ก็ปิดกั้นข้อมูลบางส่วนไปเลย
      ไม่ควรปล่อยให้บริษัทเดียวมาจัดการข้อมูลของ “โลก” ในทางปฏิบัติ ผมไม่รู้ว่าควรแยก Alphabet อย่างแม่นยำอย่างไร แต่เห็นด้วยว่าต้องแยก ถ้าข้อมูลควรเป็นอิสระ เราก็ควรกลับมาดูด้วยว่าจะปกป้องเสรีภาพนั้นอย่างไรในโลกที่ Google ไม่ได้แสร้งทำตัวเป็นผู้พิทักษ์มัน
    • แก้ไขเล็กน้อย: Google Cloud พลิกมีกำไรแล้วในปีนี้
      https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
      การขาดทุนในตัวมันเองไม่ใช่ปัญหา ต้องลงทุนก่อนที่จะทำกำไรได้ และบริการอย่าง Google Cloud เมื่อเข้าที่แล้วก็อาจกลายเป็นเครื่องผลิตเงินสดได้ อย่างไรก็ตาม ผู้ให้บริการคลาวด์กำลังทุ่มเงินให้บุคคลที่สามและพาร์ตเนอร์เพื่อให้พวกเขาขายและติดตั้งให้กับองค์กร บริษัทตลาดดอกไม้แห่งหนึ่งในเนเธอร์แลนด์กำลังย้ายบริการหลายร้อยรายการไป AWS และผู้จัดการ IT คนใหม่คนหนึ่งดูเหมือนจะมีสายสัมพันธ์กับ Amazon ในการขาย AWS เมื่อเข้าไปแล้ว การจะออกมาอีกครั้งต้องใช้เงินหลายล้านดอลลาร์และเวลาหลายปี ดังนั้นการย้ายข้ามแนวนอนจาก AWS ไป GCP แบบนั้นคงไม่ได้เกิดขึ้นบ่อยนัก
    • บอกว่า “Chrome - เบราว์เซอร์” แต่เงินมาจากไหน?
      Chrome มีอยู่เป็นหลักเพื่อให้ ธุรกิจโฆษณา ได้ข้อมูลมากขึ้นและมีอิทธิพลต่อทิศทางของเว็บ หากแยกมันออกมา Chrome ก็แทบไม่มีแหล่งรายได้อื่นนอกจากรายได้เล็กน้อยจาก ChromeOS ทำให้ยากที่จะคง Chrome ไว้ได้
      ผมเข้าใจว่านี่เป็นเครื่องมือทางการเมืองเพื่อกดดันให้ Google ยอมทิ้งข้อเสนอนี้ แต่การแยก Google/Alphabet นั้นไม่สมจริง และผมก็ไม่ต้องการให้เกิดขึ้น เว้นแต่จะแยก Microsoft พร้อมกันด้วย ไม่เช่นนั้น Microsoft อาจกลับมาครอบงำเว็บอีกครั้ง และผมไม่อยากผ่านยุคนั้นอีก
    • เห็นด้วยอย่างยิ่ง หน่วยงานกำกับดูแลควรตรวจสอบ การรับรอง SafetyNet ไปแล้ว
      สิ่งนี้ทำลายข้ออ้างของ Google ที่ว่า OEM มีทางเลือกและ Google ไม่ได้ผูกขาดลงอย่างแท้จริง ปัญหาคือ Google เก่งมากในการอยู่ใต้เรดาร์ มีเพียงคนส่วนน้อยที่ไม่ได้ใช้ผลิตภัณฑ์ของ Apple, Google, Microsoft เท่านั้นที่สังเกตเห็น ส่วน นักการเมือง สาธารณชน และผู้มีอิทธิพลแทบไม่รู้
      เรื่องนี้ก็น่าจะเป็นเช่นเดียวกัน คืออาจไม่มีใครสนใจเลย มันอธิบายยากเกินไป จนคนที่ควรใส่ใจก็คงจะเมินไปอีก ประเด็นหลักคือคนส่วนน้อยที่กังวลยังส่งเสียงไม่ดังพอ ต้องกดดันธนาคารและบริการอื่น ๆ ที่ขัดขวาง de-Googled Android ต่อไป และต้องมีรายชื่อสาธารณะของบริการที่ยัง “ดี” อยู่ด้วย ตอนนี้สิ่งที่ทำได้มีแค่ใช้เบราว์เซอร์เสรีและระบบปฏิบัติการเสรีจริง ๆ และส่งเสียงเรื่องนี้ให้ดังที่สุดเท่าที่ทำได้ อย่างน้อยก็ในที่อย่าง GitHub สิ่งที่ส่งเสียงดังที่สุดเรื่องเสรีภาพของเว็บมีแค่ web3 กับ crypto แต่สำหรับผมดูเหมือนเป็นแค่คนที่พยายามสร้างกระแสเพื่อหาเงินจากการเก็งกำไร
  • เราทุกคนปฏิบัติต่อบริการของ Google เหมือนเป็น เครื่องมือฟรีและมีประโยชน์ จึงปล่อยให้มันมาถึงจุดนี้
    พอพูดกันว่า “Chrome เป็นอย่างนั้นอย่างนี้” เราก็มักลืมไปว่าจริง ๆ แล้วมันคือเครื่องมือเชิงกลยุทธ์ของเอเจนซีโฆษณาที่ใหญ่ที่สุดในโลก Chrome, GMail และอื่น ๆ ล้วนเข้ากับเฟรมเวิร์กเทคโนโลยีโฆษณาระดับโลกที่ผลักโฆษณาน่าสงสัยและดูดข้อมูลระบุตัวตนส่วนบุคคล
    Google ใช้การผูกขาดและกึ่งผูกขาดแทรกซึมเข้ามาในชีวิตเรา เราควรเผยแพร่กรอบความคิดว่า Google เป็นธุรกิจน่าสงสัย ไม่ใช่บริษัทที่ไว้ใจได้ แต่เป็นยักษ์ใหญ่โฆษณาที่ไม่มีความซื่อตรง หากธนาคารใช้ฟีเจอร์ด้านความสมบูรณ์ของ Google ก็ควรโทรหาศูนย์บริการลูกค้าแล้วถ่วงเวลาแบบมือใหม่ว่า “มันใช้ไม่ได้” และเมื่อสุดท้ายเรื่อง Integrity + Chrome โผล่ขึ้นมา ก็ถามไปว่า “คุณอยู่ข้างเดียวกับเอเจนซีโฆษณาน่าสงสัยหรือ ผมนึกว่าคุณเป็นธนาคารที่ไว้ใจได้เสียอีก”

    • ผมสนับสนุนการเปลี่ยนแปลงจากระดับรากหญ้า แต่ไม่คิดว่าวิธีจงใจรั้งพนักงาน ซัพพอร์ตด่านแรก ไว้จะทำให้เกิดการเปลี่ยนแปลงจริง
      สิ่งสำคัญในเฮลป์เดสก์คือเมตริกการปิดทิกเก็ตกับเวลาโทร การระเบิดอารมณ์ไม่ได้เปลี่ยนอะไรเลย
    • จุดที่ต้องเปลี่ยนคือจุดนี้พอดี บริการ “ฟรี” ไม่เคยฟรีจริง
      สุดท้ายเราจ่ายก่อนด้วยข้อมูล และภายหลังก็ต้องจ่ายซ้ำด้วยเงิน อินเทอร์เน็ตฟรีอาจดีสำหรับบางคน แต่เราทุกคนกำลังจ่าย ภาษีโฆษณา ที่ถูกรวมอยู่ในราคาสินค้าที่ซื้อ ถ้าห้ามโมเดลราคาฟรีเมียมทั้งหมดนี้เสีย แล้วกลับไปจ่ายเงินซื้อของโดยตรงเหมือนเมื่อก่อน ปัญหาหลายอย่างอาจคลี่คลายได้
    • ส่วนที่น่าสนใจคือ Google ก็แค่ทำตาม Apple Apple มีส่วนแบ่งตลาดโทรศัพท์มือถือในสหรัฐฯ เกิน 50%
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
      เราอาจต้องกลัวสถานการณ์ที่ธนาคารเรียกร้องให้ใช้แต่อุปกรณ์ Apple ในไม่ช้า
    • ไม่เข้าใจว่าไปจากเอเจนซีโฆษณาแล้วสรุปว่าเป็นธุรกิจน่าสงสัยได้อย่างไร เอเจนซีโฆษณาบน Madison Avenue โดยทั่วไปก็ไม่ได้ถูกมองว่าน่าสงสัย
  • ปี 2012 ผมเคยสัมภาษณ์ตำแหน่ง SRE ที่ Google Ireland
    สุดท้ายไม่ได้ไปเพราะปัญหาครอบครัว แต่ช่วงหนึ่งก็เสียดายที่พลาดโอกาสแก้ปัญหาระดับ Google และได้เงินระดับ FAANG
    ตอนนี้ความเสียดายนั้นหายไปหมดแล้ว เพราะสิ่งที่ Google เปลี่ยนไป และวิธีที่บริษัทเข้าใจบทบาทของตัวเองในโลกเปลี่ยนไป หรืออาจเป็นเพียงธรรมชาติขององค์กรที่เด่นชัดขึ้นก็ได้ ในยุค 2000 ผมเคยเชื่อว่า Google เป็นพลังฝ่ายดีในโลกธุรกิจ แต่ตอนนี้มั่นใจว่าไม่ใช่เลย จึงรู้สึกเศร้า และกลัวความเสียหายที่ท้ายที่สุดจะเกิดกับอินเทอร์เน็ตและโลก FOSS ที่ผมรัก

    • Google ก็เคยเป็นพลังมหาศาลให้กับ FOSS เช่นกัน
      ผมไม่ได้มอง Google เป็นเอนทิตีเดียวที่มีธรรมชาติแท้จริงเพียงอย่างเดียว สุดท้ายมันคือองค์กรที่คนตัดสินใจ บางครั้งก็เปิดซอร์ส VP8 สร้างคุณค่าระดับโลก บางครั้งก็ทำการทดลองที่ควรอธิบายเจตนาให้ดีกว่านี้
    • เมื่อก่อนดูเป็นบริษัทที่สร้างสรรค์ มองไปข้างหน้า และเหมือนสนุกกับการมีส่วนร่วมในเทคโนโลยีใหม่ ๆ
      ภายใต้ยุค Pichai ดูเหมือนพยายามตรึงตำแหน่งของตัวเอง ฆ่าคู่แข่ง และเปลี่ยน WWW ให้เป็น GWWW
    • ผมคิดว่า Google เมื่อก่อนเคยเป็นพลังฝ่ายดีจริง ๆ
      แม้ตอนซื้อกิจการ DoubleClick ที่ชื่อเสีย ผมยังดีใจเพราะเชื่อว่าจะเปลี่ยนอุตสาหกรรมโฆษณาออนไลน์ให้ดีขึ้นได้ แต่ไม่ได้เป็นเช่นนั้น และ Google ก็กลายเป็น บริษัทโฆษณาออนไลน์คุณภาพต่ำ แบบนั้นไปในที่สุด
    • เงินเป็นยาเสพติดที่ร้ายกาจ
      Google ยุคแรกดูเหมือนคนที่จริงใจและเที่ยงตรง หลังฟองสบู่ดอตคอมแตก ทุกคนก็หมกมุ่นกับการหารายได้เพื่อจ่ายบิล และผมคิดว่าเมล็ดพันธุ์ของสิ่งที่เห็นวันนี้ถูกหว่านไว้ตรงนั้น
  • Google อาจเคยแสร้งทำเป็นปกป้องบางอย่าง แต่หลังจากกลายเป็นนิติบุคคลแล้ว ก็เป็น บริษัทชั่วร้าย มาโดยตลอด บริษัทถูกออกแบบมาให้ทำงานแบบนั้น
    ตัวอย่างที่เกี่ยวข้องคือ Google ทำเรื่องอย่าง “รองรับเฉพาะ IE5+” กับบริการของตัวเองมานานกว่า 10 ปีแล้ว ไม่ได้ฆ่าการแข่งขันของเบราว์เซอร์ด้วยผลิตภัณฑ์ที่ดี แต่ด้วยการมีหรือซื้อบริการดี ๆ แล้วใช้มันบังคับ Chrome ให้ผู้ใช้ ใช้โดยสมัครใจผ่านโฆษณาหลายพันล้านดอลลาร์ และโดยไม่สมัครใจผ่านคำโกหกเรื่องความเข้ากันได้/ประสิทธิภาพ หรือการบล็อก user agent อื่น

    • ความทรงจำของผมต่างออกไป Chrome เป็นเบราว์เซอร์ที่ดีจริง ๆ และผมก็ยังคิดว่าในช่วงหนึ่งจากนี้มันยังจะเป็นเบราว์เซอร์ที่ดี
      IE แพ้เพราะ Microsoft นึกว่าตัวเองชนะแล้วจึงยุบทีม IE และชะล่าใจ จนถูกบรรพบุรุษของ Firefox แซง Firefox แพ้การแข่งขันเพราะ Google ทำให้ Chrome เร็วขึ้นอย่างบ้าคลั่ง และหลังจากตามหลังบ่อย ๆ ก็ถูกแย่งส่วนแบ่งไปแทบทั้งหมด การครอบงำของ Chrome และการที่ Google ใช้อำนาจตลาดในทางที่ผิดเป็นเรื่องไม่น่ายินดี แต่ตลอดอายุส่วนใหญ่ของมัน Chrome เป็นผลิตภัณฑ์ที่ดี
    • ใช่ Google น่าสงสัยมาตลอดพอสมควร
      https://www.businessinsider.com/google-sergey-brin-employees...
    • การอธิบายเรื่องแบบนี้ด้วยความดีความชั่วมันง่ายเกินไป
      บริษัทพยายามหาเงินหรือสร้างอำนาจต่อรอง แน่นอนว่าก็มีบริษัทที่ปฏิบัติการหรือแข่งขันได้ไม่ดี ช่วงแรกสร้างอำนาจต่อรองด้วยการทำสิ่งดี ๆ และตอนนี้คือช่วงที่ใช้อำนาจนั้นรีดเงินจากวัวนมให้นานที่สุด
    • การเอา Don’t be evil ออกจากคติประจำบริษัทให้ความรู้สึกเหมือนนกคานารีในเหมือง
  • อุปกรณ์คอมพิวติ้งคือ ตัวแทนของผู้ใช้ ที่ใกล้ชิดยิ่งกว่าแพทย์ นักบวช หรือทนายความ
    เราแบ่งปันข้อมูลที่ลึกซึ้งเป็นส่วนตัวกับอุปกรณ์มากกว่า และความสามารถในการใช้ชีวิตปกติโดยไม่มีอุปกรณ์ก็ลดลงมาก คอมพิวเตอร์เป็นตัวกลางในการปฏิสัมพันธ์ของเรากับผู้อื่นและโลกมากขึ้นเรื่อย ๆ และจำเป็นต่อการสื่อสารและการเข้าถึงบริการจำเป็นด้วย สิ่งที่เรานำเข้าบ้านและห้องนอนจึงควรกระทำเพื่อประโยชน์สูงสุดของผู้ใช้ และอย่างน้อยที่สุดก็ต้องไม่กระทำในทางเสียหายต่อผู้ใช้
    นี่ไม่ควรเป็นข้อเรียกร้องพิเศษ แต่ควรเป็นสมมติฐานพื้นฐาน แม้ในช่วงที่แนวคิดซอฟต์แวร์เสรีเพิ่งเกิดขึ้น ก็วางการเคารพผู้ใช้ไว้เป็นแกนกลาง การละเลยในอดีตส่วนใหญ่เป็นการแสวงหาค่าเช่า ราคาสูงเกินไป การไม่ใส่ใจฟีเจอร์/บั๊ก หรือกฎที่เป็นประโยชน์ต่อผู้เขียน ความเป็นไปได้ที่ซอฟต์แวร์จะต่อต้านผู้ใช้อย่างแข็งขันและตั้งใจนั้นมีอยู่ และเสรีภาพในการตรวจสอบ แก้ไข และแบ่งปันก็ตอบรับความเสี่ยงนั้นในเชิงทฤษฎี แต่ตอนนั้นยังไม่ใช่ปัญหาที่พบทั่วไป ตอนนี้ซอฟต์แวร์และระบบที่ทรยศผู้ใช้อย่างแข็งขันกำลังกลายเป็นเรื่องปกติและถูกทำให้เป็นมาตรฐาน และคนส่วนใหญ่ดูเหมือนจะไม่ทันสังเกตเห็นข้อเท็จจริงนั้น

  • สำหรับผมดูเหมือนจะสายเกินไปแล้ว
    รู้สึกชัดเจนว่าคนส่วนใหญ่ไม่สนใจ และส่วนมากก็ไม่อยากรู้ด้วย คนส่วนใหญ่ที่ผมรู้จักก็เป็นแบบนั้น พอถามว่าทำไมไม่ติดตั้งแอปล่าสุด พอผมจะอธิบายเรื่องความเป็นส่วนตัว การถูกผูกติดกับแพลตฟอร์ม การสูญเสียสิทธิ์เข้าถึงทรัพยากร สิทธิในการซ่อม ฯลฯ ก็ถูกตัดบทเสียก่อน
    ส่วนตัวผมใช้เวลาให้มากที่สุดเท่าที่ทำได้ไปกับการเรียนรู้ทางเลือกอย่าง Gemini, แอป Fediverse, โทรศัพท์ Linux ขณะเดียวกันก็มีแล็ปท็อป “กระแสหลัก” แยกไว้สำหรับบริการที่แทบจำเป็นต่อการดำรงชีวิตอย่างธนาคารเท่านั้น ไม่ติดตั้งอะไรเลย และปกติก็ปิดเครื่องไว้

    • ผู้คนยังใส่ใจกับมลพิษพลาสติก ความเหลื่อมล้ำเชิงโครงสร้างและการเหยียดเชื้อชาติ การปนเปื้อน PFAS ในน้ำ การทำลายระบบนิเวศจากสารกำจัดศัตรูพืชและน้ำไหลบ่าจากพื้นที่เกษตร น้อยกว่าความเป็นส่วนตัว การถูกผูกติด การสูญเสียการเข้าถึง และสิทธิในการซ่อมเสียอีก
      การทุจริตของผู้มีตำแหน่งสูงในรัฐบาลและฝ่ายตุลาการ สถานกักกันลับและการทรมาน รวมถึงสงครามผิดกฎหมายเพื่อผลประโยชน์ก็เช่นกัน เป็นไปไม่ได้ที่จะสนใจทุกเรื่องที่เกิดขึ้น และก็ไม่สมเหตุสมผลที่จะคาดหวังให้ผู้คนรู้หรือใส่ใจทุกอย่าง
      ยิ่งไปกว่านั้น พลเมืองส่วนใหญ่ถ้าขาดเงินเดือนแค่สองงวดก็จะตกสู่ความยากจนแล้ว ในขณะที่ล็อบบี้ยิสต์มีทั้งสิทธิ์เข้าถึงผู้มีอำนาจตัดสินใจและเงินสดเพื่อผลักดันการเปลี่ยนแปลงที่เป็นรูปธรรม โครงสร้างนี้ถูกออกแบบมาแบบนั้น และ Google ก็แค่ใช้ประโยชน์จากมันเหมือนบริษัทอื่น ๆ การโทษ “ผู้คน” คือการโทษเหยื่อ
  • ในบทความได้นำคำอ้างอิงยอดเยี่ยมของ Doctorow เกี่ยวกับ Secure Computing มาปรับใช้กับ WEI
    “ต่อให้คุณอยากให้คอมพิวเตอร์โกหกเพื่อคุณ คอมพิวเตอร์ควรถูกบังคับให้พูดความจริงได้หรือไม่? ควรมีอุปกรณ์อยู่ในคอมพิวเตอร์ของคุณที่คุณควบคุมไม่ได้ และคนอื่นสามารถสั่งงานจากระยะไกลได้หรือไม่?”
    เป็นการนำมาใช้ที่เหมาะสม และเป็นคำถามพื้นฐานที่คำตอบจะแตกต่างกันไปตามวัฒนธรรม รวมถึงประสบการณ์ในอดีตของแต่ละบุคคลและองค์กรเกี่ยวกับการถูกผู้มีอำนาจใช้อำนาจในทางที่ผิด ส่วนตัวผมคัดค้าน

    • Doctorow คงรู้และคิดเรื่องนี้มากกว่าผมมาก แต่คำตอบของผมค่อนข้างเรียบง่าย
      ถ้าบริบทคือชิปที่บัดกรีติดอยู่และถอดไม่ได้คอยรายงาน “ความจริง” ของเคอร์เนลหรือสิ่งทำนองนั้น ผมคิดว่าเราไม่อาจรู้ได้ว่าคอมพิวเตอร์กำลังพูดความจริงหรือไม่ ไป DEF CON แค่ครั้งเดียวก็รู้แล้ว มันมีทางเข้าเสมอ และมีการแฮ็กเสมอ ยิ่งทำให้แฮ็กยากขึ้น พวกเนิร์ดที่ DEF CON ก็ยิ่งมีแรงจูงใจมากขึ้น
      อีกอย่าง “คนอื่น” ไม่มีทางหมายถึง “เฉพาะคนที่คุณต้องการ” เท่านั้น มันย่อมรวมถึงอาชญากร สตอล์กเกอร์ และรัฐบาลเผด็จการด้วย ดังนั้นคำตอบจึงง่าย ๆ ว่า “ไม่”
    • เป็นภาวะกลืนไม่เข้าคายไม่ออกที่คล้ายกับรถไร้คนขับอยู่บ้าง
      ถ้ารถไร้คนขับไม่ได้เคลื่อนที่เพื่อเจ้าของเสมอไป แต่ทำตาม “สิ่งที่ถูกต้อง” หรือก็คือความจริง ปัญหาก็คือในสถานการณ์ชนที่หลีกเลี่ยงไม่ได้ มันควรให้ความสำคัญกับผลประโยชน์ของเจ้าของปัจจุบัน ผลประโยชน์ของผู้ผลิต หรือผลประโยชน์เฉลี่ยของทุกคนก่อน
  • Google ไม่เคยยึดมั่นอะไรตั้งแต่แรก และ do no evil ส่วนใหญ่ก็เป็นการตลาด
    แค่ดูช่วงทศวรรษ 2010 ก็พอแล้ว
    https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
    “เราไม่เก็บข้อมูลส่วนบุคคล”
    https://europe.googleblog.com/2010/04/data-collected-by-goog...
    “อ้อ เก็บไปแล้ว”
    https://googleblog.blogspot.com/2010/05/wifi-data-collection...
    การฮั้วค่าจ้างของ Google ก็ย้อนกลับไปได้ถึงปี 2001
    https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...

    • การบันทึกข้อมูลบนเครือข่ายเปิดก็คล้ายกับการอัดเสียงคนที่กำลังตะโกน
  • “ผลข้างเคียง” อย่างหนึ่งของเรื่องนี้คือ Google จะสามารถปิดกั้น การบล็อกโฆษณา ได้ในทางปฏิบัติ
    แน่นอนว่าหลายคนคงมองว่านั่นไม่ใช่ผลข้างเคียง แต่เป็นเป้าหมายสุดท้าย

    • สิ่งนี้จะปิดกั้นการบล็อกโฆษณาได้อย่างไร?
  • ดูเหมือนทุกคนจะยอมรับกันโดยอัตโนมัติว่านี่คือ DRM
    ข้ออ้างจริง ๆ คือเว็บไซต์จะใช้สัญญาณนี้เพื่ออนุญาตหรือปฏิเสธการเข้าถึง และสิ่งนี้ก็ทำได้อยู่แล้วด้วยวิธีหลากหลายแบบ Google หรือผู้ผลิตเบราว์เซอร์รายอื่นไม่สามารถตัดสินได้ว่าเว็บไซต์จะใช้หรือใช้ฟีเจอร์ในทางที่ผิดอย่างไร
    การป้องกันการฉ้อโกงต้องการคำตัดสินที่ชี้ขาดและการครอบคลุมการใช้งานสูง แต่ก็มีความตึงเครียดตรงที่เว็บไซต์อาจเสี่ยงกีดกันผู้รับรองบางรายหรือเบราว์เซอร์ที่พิสูจน์ไม่ได้ ความเสี่ยงนี้มีอยู่แล้วและเกิดขึ้นจริง เหตุผลที่มันยังไม่แพร่หลายไม่ใช่เพราะเป็นไปไม่ได้ แต่เพราะไม่เป็นที่นิยม เว็บไซต์อย่างธนาคารที่ผู้ใช้ถูกบังคับให้ใช้ก็ทำแบบนั้นทุกวัน และผู้ใช้ก็ยอมผ่านไปเพราะไม่มีทางเลือก
    บทความจำนวนมากเอาแต่ย้ำข้อกล่าวหาเรื่อง “DRM” โดยไม่อธิบายว่าสิ่งนี้ต่างออกไปอย่างไร Google เกี่ยวข้องอะไรกับการที่เว็บไซต์ปฏิบัติต่อผู้ใช้ หรือมีทางแก้อะไรบ้าง ทุก initiative ของ Google ควรถูกตั้งข้อสงสัยก็จริง แต่ในกรณีนี้เห็นแค่การท่องซ้ำเรื่องการใช้งานในทางที่ผิดที่อาจเกิดขึ้น โดยไม่มีการคิดเชิงวิพากษ์ บทความเกี่ยวกับหัวข้อนี้ก็แค่สลับเรียงคำใหม่โดยไม่ได้เพิ่มคุณค่าอะไร ดังนั้นต่อให้ใช้ AI สร้างอัตโนมัติก็น่าจะมีประโยชน์พอ ๆ กัน

    • ความต่างอยู่ที่ตอนนี้ยังโกหกได้
      คุณสามารถดูได้ว่ามีการใช้เทคนิค fingerprinting แบบใดและหลบเลี่ยงมันได้ เช่น yt-dlp ก็ทำแบบนั้นได้ในระดับหนึ่ง บน Android ก็เคยมีการสนับสนุนมากมายเพื่อทำให้การ root หรือ custom ROM ดูเหมือน Android แบบดั้งเดิม เพื่อให้ยังใช้แอปธนาคารต่อไปได้ แต่ตอนนี้ขึ้นอยู่กับระดับของ SafetyNet ที่แอปใช้ บางกรณีก็เป็นไปไม่ได้ตามตัวอักษร
      ก่อนการรับรองแบบอิง TPM ผู้ใช้ยังควบคุมอุปกรณ์ของตัวเองได้ การรับรอง Android SafetyNet อิงกับ root of trust ที่ custom ROM ไม่สามารถให้ได้ จึงหลบเลี่ยงไม่ได้ ต่อให้คุณสามารถ提供 implementation ของตัวเองได้ ก็ไม่มีประโยชน์ถ้าทุกคนรองรับเฉพาะของที่ Google ให้มาเท่านั้น LineageOS ก็มี implementation ของ SafetyNet ของตัวเอง แต่แทบไม่มีการนำไปใช้ WEI โดยแท้จริงแล้วคือการขยาย SafetyNet มาสู่เว็บ และต่างออกไปตรงที่มันพรากสิทธิ์ในการควบคุมอุปกรณ์ของตัวเองไปในระดับพื้นฐาน
    • เหตุผลที่สิ่งนี้เป็น DRM ก็เพราะเป้าหมายที่ประกาศไว้อย่างชัดเจนของความเคลื่อนไหวนี้คือสิ่งนั้นเอง
      เป้าหมายแรกของข้อเสนอคือ “ทำให้เว็บเซิร์ฟเวอร์สามารถประเมินความแท้จริงของอุปกรณ์ ตลอดจนการนำเสนออย่างซื่อสัตย์ของ software stack และทราฟฟิกที่มาจากอุปกรณ์นั้น” กล่าวคือทำให้เว็บเซิร์ฟเวอร์สามารถจำกัดหรือจัดการสิทธิ์ในการเข้าถึงคอนเทนต์แบบดิจิทัลจากอุปกรณ์และ software stack ที่ผู้ใช้เลือกได้
      ไม่อาจสงสัยได้เลยว่านี่คือ DRM Google อ้างว่าสิ่งนี้จะถูกใช้เพื่อแยกแยะเฉพาะบ็อตและทราฟฟิกที่เป็นการละเมิดเท่านั้น แต่เทคโนโลยีนี้ถูกนำไปใช้ในทางที่ผิดได้ง่าย และ Google ก็มีทั้งแรงจูงใจและความสามารถที่จะทำเช่นนั้น คำถามที่ว่า “คุณเสนอทางแก้อะไร” ก็เหมือนถามว่า ถ้ามีคนเอาปืนจ่อหัวบนถนนแล้วบอกให้ส่งเงินมา คุณจะแก้ปัญหาที่เงินของฉันไม่ได้อยู่ในมือคนนั้นอย่างไร แถมยังมีเงื่อนไขเพิ่มว่า ก่อนจะแก้ปัญหานั้นเสร็จ คุณก็สั่งให้เขาวางปืนลงไม่ได้ด้วย
    • ลองเสนอแง่มุมคัดค้านที่สมเหตุสมผลหน่อยเป็นอย่างไร?
      มองในแง่ดีที่สุดแล้ว นี่ก็ดูเป็นมุมมองที่ไร้เดียงสาอย่างสุดขั้ว ฟีเจอร์ใด ๆ ที่ใช้ล็อกคอนเทนต์หรือเฝ้าติดตามผู้ใช้ได้ สุดท้ายก็จะถูกใช้แบบนั้น ฟีเจอร์ทุกอย่างที่มีอยู่ในปัจจุบันก็เป็นเช่นนั้น และการอ้างว่าไม่ใช่แทบจะเข้าข่ายมีเจตนาร้าย
      ถ้า “ผู้ผลิตเบราว์เซอร์ไม่ต้องรับผิดชอบต่อการใช้งานในทางที่ผิดของเว็บไซต์” งั้นจะเปิดการเข้าถึง filesystem, ตำแหน่ง, กล้อง, ไมโครโฟนเป็นค่าเริ่มต้นโดยไม่ต้องมีหน้าต่างขอสิทธิ์ก็ได้หรือ? งั้นคงชุบชีวิต Java กับ Flash กลับมาได้ด้วย เพราะเว็บไซต์เอาไปใช้ในทางที่ผิดไม่ใช่ความผิดของผู้ผลิตเบราว์เซอร์นี่
      เรื่องนี้แตกต่างออกไป การพิสูจน์ที่มีความหมายเกี่ยวกับสภาพแวดล้อมที่เบราว์เซอร์ทำงานอยู่จะทำไม่ได้หากไม่มี ห่วงโซ่ความเชื่อมั่นที่สมบูรณ์ ซึ่งเริ่มจาก secure boot และสิ่งนี้ทำให้ Google กับเว็บไซต์ที่เข้าชมสามารถตรวจสอบ bootloader ที่ Google อนุมัติ ระบบปฏิบัติการที่ Google อนุมัติ driver และซอฟต์แวร์ที่ Google อนุมัติได้ ที่แย่กว่านั้นคืออาจถึงขั้นเรียกร้องซอฟต์แวร์ที่เว็บไซต์อนุมัติด้วย
    • คำพูดที่ว่า “Google หรือผู้ผลิตเบราว์เซอร์ไม่สามารถตัดสินได้ว่าเว็บไซต์จะใช้ฟีเจอร์นี้อย่างไร” นั้นแปลกอย่างร้ายแรง
      ถ้าเอามีดคม ๆ กับปืนที่บรรจุกระสุนให้เด็กถือ แล้วมีคนบาดเจ็บ จะต้องแปลกใจหรือ? ถ้าปล่อยให้ฟีเจอร์นี้เป็นไปได้ พวกเราทุกคนก็ต้องรับผลที่ตามมา และเห็นได้ชัดว่าผลนั้นจะเป็นอะไร อย่าทำตัวโง่เขลาเลย
    • Google เป็นเจ้าของ YouTube
      มันจินตนาการยากขนาดนั้นเลยหรือว่า product manager บางคนของ YouTube คำนวณความเสียหายจาก ad blocker แล้วขอให้ทีม Chrome ช่วยบล็อกมัน?