- Web Environment Integrity API ที่พนักงาน Google 4 คนร่วมเขียน เป็นข้อเสนอที่ทำให้เว็บไซต์สามารถตรวจสอบได้ว่าสภาพแวดล้อมการรันเบราว์เซอร์ของผู้เข้าชมนั้นเชื่อถือได้หรือไม่ และกำลังมีต้นแบบสำหรับทดสอบบน Chrome อยู่ด้วย
- การใช้งานหลักคือ การรับรองสภาพแวดล้อม เพื่อคัดกรองบอตและสภาพแวดล้อมที่ถูกดัดแปลง ซึ่งอาจนำไปใช้กับการนับการแสดงโฆษณา การบล็อกบอตบนโซเชียลเน็ตเวิร์ก การปกป้องทรัพย์สินทางปัญญา การป้องกันการโกงในเกมเว็บ และความปลอดภัยของธุรกรรมการเงิน
- ข้อเสนอนี้ได้แรงบันดาลใจจาก Apple App Attest และ Android Play Integrity API โดย Ars Technica มองว่านี่คือแนวโน้มที่โครงสร้างแบบเดียวกับการบล็อกการเข้าถึงแอปบนอุปกรณ์ที่รูตแล้วกำลังถูกย้ายมาสู่เว็บ
- หากเว็บเซิร์ฟเวอร์เรียกขอการรับรองก่อนให้บริการเนื้อหา เบราว์เซอร์จะทำการทดสอบผ่านเซิร์ฟเวอร์รับรองของบุคคลที่สาม แล้วรับ IntegrityToken ที่มีลายเซ็นเพื่อส่งกลับ
- แม้เอกสารจะระบุว่าไม่ได้มีเป้าหมายเพื่อการติดตามด้วยลายนิ้วมือดิจิทัล การขัดขวางส่วนขยาย หรือการกีดกันผู้ขายรายอื่น แต่กระแสคัดค้านรุนแรงได้แพร่กระจายผ่าน GitHub issues, Hacker News และ Louis Rossmann
สิ่งที่ Web Environment Integrity API ต้องการทำ
- ข้อเสนอ Web Environment Integrity API เป็นข้อเสนอมาตรฐานเว็บที่ต้องการให้เว็บไซต์สามารถตรวจสอบได้ว่าสามารถเชื่อถือ สภาพแวดล้อมฝั่งไคลเอนต์ ของผู้ใช้ได้หรือไม่
- explainer เขียนโดยพนักงาน Google 4 คน และอย่างน้อย 1 คนอยู่ในทีม Privacy Sandbox ของ Chrome
- สมมติฐานคือเว็บไซต์จำเป็นต้องเชื่อถือสภาพแวดล้อมของผู้ใช้ เพื่อปกป้องข้อมูลผู้ใช้และทรัพย์สินทางปัญญา รวมถึงตัดสินได้ว่ามีมนุษย์ใช้งานอยู่จริงหรือไม่
- กรณีใช้งานหลักมีดังนี้
- เพิ่มความแม่นยำในการนับ การแสดงโฆษณา สำหรับผู้ลงโฆษณา
- บล็อก บอต บนโซเชียลเน็ตเวิร์ก
- การบังคับใช้สิทธิในทรัพย์สินทางปัญญา
- ป้องกันการโกงในเกมเว็บ
- เสริมความปลอดภัยของธุรกรรมการเงิน
ความกังวลเมื่อ Play Integrity ถูกย้ายมาสู่เว็บ
- เอกสารข้อเสนอระบุว่าได้รับแรงบันดาลใจจากสัญญาณการรับรองแบบเนทีฟที่มีอยู่แล้ว เช่น App Attest ของ Apple และ Play Integrity API ของ Android
- Play Integrity คือ SafetyNet เดิม และเป็น Android API ที่ทำให้แอปสามารถตรวจสอบได้ว่าอุปกรณ์ถูกรูตหรือไม่
- การรูตเป็นวิธีที่ผู้ใช้จะควบคุมอุปกรณ์ที่ตนซื้อมาได้อย่างสมบูรณ์ แต่หากอุปกรณ์ที่รูตถูกตั้งธงโดย Android Integrity API แอปบางตัวอาจปฏิเสธการทำงาน
- อาจถูกบล็อกการเข้าถึงแอปธนาคาร, Google Wallet, เกมออนไลน์, Snapchat และแอปสื่อบางตัวอย่าง Netflix
- การเข้าถึงระดับรูตอาจถูกใช้เพื่อโกงเกมหรือฟิชชิงข้อมูลธนาคาร แต่ก็ใช้เพื่อปรับแต่งอุปกรณ์ ลบแอปที่ติดตั้งมาล่วงหน้า และจัดทำระบบสำรองข้อมูลได้เช่นกัน
- คำวิจารณ์ของ Ars Technica มุ่งไปที่การที่ Google พยายามนำ โครงสร้างควบคุมการเข้าถึง แบบนี้เข้ามาใช้กับเว็บด้วย
กระบวนการรับรองที่ถูกเสนอ
- ระหว่างทรานแซกชันของหน้าเว็บ เว็บเซิร์ฟเวอร์อาจกำหนดให้ผู้ใช้ต้องผ่านการทดสอบ environment attestation ก่อนจึงจะให้ข้อมูลได้
- ในกรณีนั้น เบราว์เซอร์จะเชื่อมต่อกับ เซิร์ฟเวอร์รับรองของบุคคลที่สาม เพื่อทำการทดสอบบางรูปแบบ
- หากผ่านการทดสอบ เบราว์เซอร์จะได้รับ IntegrityToken ที่มีลายเซ็น ซึ่งระบุว่าสภาพแวดล้อมไม่ได้ถูกดัดแปลง และชี้ไปยังเนื้อหาที่กำลังพยายามปลดล็อก
- จากนั้นผู้ใช้จะส่งโทเค็นนี้กลับไปยังเว็บเซิร์ฟเวอร์ และหากเว็บเซิร์ฟเวอร์เชื่อถือบริษัทที่ออกการรับรองนั้น ก็จะเปิดสิทธิ์เข้าถึงเนื้อหา
- แม้โครงสร้างนี้จะดูเหมือน API ทั่วไป แต่ก็ยังมีความกังวลว่าในเว็บจริง เว็บไซต์อาจเป็น Google เบราว์เซอร์อาจเป็น Chrome และเซิร์ฟเวอร์รับรองก็อาจเป็น Google เช่นกัน
สิ่งที่เอกสารขีดเส้นไว้ และข้อถกเถียงที่ยังคงอยู่
- ผู้เขียนข้อเสนอเห็นว่า API นี้ไม่ควรถูกใช้เพื่อ ติดตามด้วยลายนิ้วมือดิจิทัล ผู้คนแบบเฉพาะตัว
- ขณะเดียวกันก็ระบุว่าจำเป็นต้องมีตัวชี้วัดบางอย่างที่สามารถใช้จำกัดอัตราการใช้งานในระดับอุปกรณ์จริงได้
- ในหัวข้อ “non-goals” ระบุว่าจะไม่ขัดขวาง ความสามารถของเบราว์เซอร์ รวมถึงปลั๊กอินและส่วนขยาย
- Ars Technica ตีความว่านี่เป็นถ้อยคำอ้อม ๆ ว่าจะไม่ฆ่าตัวบล็อกโฆษณา
- เป้าหมายของข้อเสนอรวมถึงการสนับสนุนโฆษณาให้ดีขึ้น
- Chrome มีแผน Manifest V3 อยู่แล้ว ซึ่งเปลี่ยนการทำงานของ extension API และลดความสามารถในการแก้ไขเนื้อหาบนหน้าเว็บ
- ข้อเสนอนี้ยังตั้งเป้าจะไม่กีดกันผู้ขายรายอื่นด้วย
กระแสคัดค้านสาธารณะและต้นแบบใน Chrome
- Google ไม่ได้ประชาสัมพันธ์แนวคิดนี้อย่างเปิดเผยมากนัก และเอกสารก็ถูกอัปโหลดไว้ในบัญชี GitHub ส่วนตัวของพนักงาน ไม่ใช่คลังอย่างเป็นทางการของ Google
- ข้อเสนอที่ตรวจสอบได้ซึ่งเก่าที่สุดคือ เดือนเมษายน 2022
- หลังจาก สเปกที่อัปเดต ถูกเผยแพร่ในช่วงสุดสัปดาห์ แนวคิดนี้ก็แพร่กระจายผ่าน Hacker News และ YouTuber สายซ่อมอุปกรณ์ Louis Rossmann
- ใน GitHub issues มีเสียงคัดค้านอย่างรุนแรงต่อเนื่อง
- Issue #134 วิจารณ์แนวคิดนี้ว่า “ไร้จริยธรรมอย่างสิ้นเชิงและขัดต่อเว็บแบบเปิด”
- Issue #113 ตอบสนองว่า “แค่มีการเสนอสิ่งนี้ขึ้นมาก็ไม่น่าเชื่อแล้ว”
- Issue #127 เขียนว่า “คุณเคยคิดบ้างไหมว่าพวกคุณคือผู้ร้าย?”
- API นี้ยังอยู่ในขั้น ข้อเสนอ แต่ในเดือนพฤษภาคม 2023 Google ได้โพสต์ intent to prototype ไปยัง Chromium blink-dev และกำลังเดินหน้าทำ implementation สำหรับการทดสอบภายใน Chrome
- หน้าติดตามการพัฒนาฟีเจอร์อยู่ที่ chromestatus.com
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ถ้า Google ทำสิ่งที่ผู้ใช้ทุกคนเกลียดได้โดยไม่มีใครหยุดได้ จุดที่การ แยกบริษัท กลายเป็นข้อเสนอที่ค่อนข้างมีน้ำหนักก็มาถึงแล้ว
ดูเหมือนว่า Google จะมีอำนาจครอบงำตลาดมากเกินไป
พอพูดถึง “manifest v3” ก็ทำหน้างง ๆ และแม้จะพูดถึงโฆษณาหรือตัวบล็อกโฆษณา คนส่วนใหญ่ก็ไม่สนใจ บางคนไม่ใช้ตัวบล็อกโฆษณาด้วยซ้ำ
ที่อย่าง HN นั้นอยู่ในฟองสบู่จริง ๆ คนส่วนใหญ่มองความเป็นส่วนตัวเป็นเรื่องนามธรรมที่ตนแทบควบคุมไม่ได้ และโดยมากก็ยอมรับมันไป
บางคนยอมรับแม้กระทั่งการที่รัฐบาลบั่นทอนความเป็นส่วนตัวด้วยข้ออ้างทำนองว่า “ต้องปกป้องเด็ก ๆ” หรือการที่บริษัทบั่นทอนความเป็นส่วนตัวด้วยข้ออ้างว่าให้บริการฟรีแลกกับข้อมูลส่วนบุคคล
นี่คือความจริงที่น่าเศร้า ถ้าผู้คนสนใจปัญหาเหล่านี้อย่างจริงจัง ก็คงเข้าใจยากว่าทำไมการเปลี่ยนแปลงถึงมีน้อย แต่เมื่อมีทางเลือกที่ดีพออย่าง Firefox แล้วยังแทบไม่มีใครใช้ ก็ไม่ใช่เรื่องน่าแปลกใจ คนส่วนใหญ่ไม่สนใจ
เช่น ถ้า Apple เปลี่ยนฮาร์ดแวร์ในทางที่เสียประโยชน์ต่อผู้ใช้ ผู้ผลิต Android รายใหญ่ ๆ ก็จะทำตามภายในไม่กี่เดือน[0] ทางเลือกถัดไปก็เหลือแค่ผู้ผลิตมือถือจีนเฉพาะกลุ่มที่อาจสร้างความเจ็บปวดแบบอื่นให้
ตอนนี้แทบตัดขาดจาก Google เกือบทั้งหมดแล้ว เพราะข้อกำหนดเรื่องโทรศัพท์ทำให้ต้องใช้มือถือที่ไม่มี Google Play Services และอาศัยอยู่ในประเทศที่ Google ไม่ได้มีอำนาจครอบงำ เหลือแค่ YouTube ที่ใช้เป็นครั้งคราว อยากจะส่งออกคลัง Google Photos เก่า ๆ ออกจาก Photos ได้ แต่การส่งออกผ่าน Takeout ขึ้นข้อผิดพลาดตลอด
[0]: ตอนที่ทำงานที่ Google มีคนถามตรง ๆ ในเมลลิงลิสต์วิศวกรรมภายในขนาดใหญ่ว่า “การที่ Pixel ตัดพอร์ตหูฟังออกเป็นเพราะ Apple หรือเปล่า?” และคำตอบจากทีมผลิตภัณฑ์สุดท้ายก็เป็นการเล่นคำคลุมเครือที่เท่ากับว่า “ใช่”
พูดให้แม่นคือ แย่สำหรับ “ทุกคนยกเว้นนักโฆษณาคุณภาพต่ำ”
ต่างจาก EME, Web Integrity API ต้องใช้บริการบุคคลที่สาม และไม่ใช่แค่ค่าบำรุงรักษา แต่ยังต้องมีต้นทุนพัฒนาเพื่อตอบโต้การแข่งขันด้านอาวุธกับแฮกเกอร์ที่พยายามเจาะการตรวจสอบนี้อย่างต่อเนื่อง
ถ้าเป็นอุตสาหกรรมการยืนยันที่ทำงานได้ดี ก็ควรมีเซิร์ฟเวอร์ยืนยันหลายรายแข่งราคากันเพื่อตรวจสอบผู้ใช้ ทำให้เครือข่ายมีประสิทธิภาพและทนทาน แต่ผมมองว่าเกิดขึ้นจริงได้ยาก การยืนยันที่ดีต้องใช้เทคโนโลยีที่ซับซ้อนมากสำหรับแต่ละเบราว์เซอร์ที่รองรับ และแทบมีเพียงบริษัทเดียวเท่านั้นที่อยากพัฒนาเบราว์เซอร์อย่างมีนัยสำคัญพร้อมกับดำเนินการเซิร์ฟเวอร์ยืนยันด้วย
ในอุตสาหกรรมการยืนยันที่ถูกผูกขาด Google จะกลายเป็นจุดล้มเหลวเดียวสำหรับสื่อที่ได้รับการปกป้องด้วย DRM ทั้งหมดบนอินเทอร์เน็ต ถ้า Google ล่ม Netflix, Hulu, HBO ฯลฯ ก็จะล่มตามไปด้วย เพราะไม่สามารถตรวจสอบเวอร์ชัน Chrome ที่ได้รับอนุมัติได้ นอกจากนี้ Google ยังสามารถเปลี่ยนค่าธรรมเนียมและนโยบายได้ฝ่ายเดียว ทำให้มีอำนาจต่อรองมหาศาลเหนือบริษัทอื่น ๆ และบริษัทต่าง ๆ ก็มีแรงจูงใจที่จะไม่พาตัวเองไปอยู่ในตำแหน่งแบบนั้น
ถ้าอุตสาหกรรมสื่อทั้งหมดพร้อมยอมรับ Google Chrome เป็นเบราว์เซอร์เดียวที่รองรับสื่อบนอินเทอร์เน็ต และมอบอำนาจตลาดกับอำนาจต่อรองแบบนี้ให้ Google มันก็อาจทำงานได้ แต่ยากที่จะเชื่อว่าจะหลบหน่วยงานกำกับดูแลหลักทั่วโลกได้ทั้งหมด และถ้ามีช่องโหว่ที่มีนัยสำคัญในการควบคุมตลาด แผนนี้ก็จะใช้ไม่ได้
ยิ่งไปกว่านั้น Google ยังสามารถยกบริษัทยักษ์ใหญ่รายอื่นอย่าง Microsoft, Apple, Amazon มาอ้างเพื่อป้องกันตัวว่าไม่ใช่พฤติกรรมผูกขาดได้ เหมือนที่เคยทำในคดีเดือนมกราคมเพื่อขัดขวางการแยกธุรกิจโฆษณา
อีกปัญหาคือผู้ใช้จำนวนมากไม่สนใจ ความสะดวกสบายมีน้ำหนักมากเกินไป และไม่ใช่แค่บริษัทอย่าง Google เท่านั้น แต่บริษัทยักษ์ใหญ่อื่น ๆ อย่าง Walmart ก็เปลี่ยนกระแสความเห็นสาธารณะได้ง่ายเกินไป
“การเข้าใจคนที่อยู่อีกฝั่งของเว็บให้ดีขึ้น” เป็นเป้าหมายของโครงการ แต่บทนำกลับบอกว่าข้อมูลนี้มีประโยชน์ต่อการนับจำนวนการแสดงโฆษณา การบล็อกบ็อตในโซเชียลเน็ตเวิร์ก การบังคับใช้สิทธิ์ทรัพย์สินทางปัญญา และการป้องกันการโกงในเกมบนเว็บ
ไปให้พ้น Google จุดประสงค์ของเบราว์เซอร์คือการแสดง หน้าเว็บ ให้ฉันดู ไม่ใช่การค้นหาข้อมูลเกี่ยวกับตัวฉัน
จุดประสงค์ของข้อเสนอ WEI ค่อนข้างชัดเจน แค่ดูเอกสารอธิบาย(https://github.com/RupertBenWiser/Web-Environment-Integrity/) ก็เห็นได้
Google สามารถ “ขอโทเคนที่ยืนยันข้อเท็จจริงสำคัญของสภาพแวดล้อมที่โค้ดฝั่งไคลเอนต์กำลังทำงานอยู่” ได้
Google จะเป็นผู้ “ตัดสินใจขั้นสุดท้ายว่าจะเชื่อถือคำวินิจฉัยที่ผู้ยืนยันส่งกลับมาหรือไม่”
ทำให้ Google สามารถ “ประเมินความแท้จริงของอุปกรณ์ รวมถึงการแสดงภาพที่ซื่อสัตย์ของสแตกซอฟต์แวร์และทราฟฟิกของอุปกรณ์” ได้
ผมแค่อ่านโดยแทนคำว่า “เว็บไซต์” และ “เว็บเซิร์ฟเวอร์” ในต้นฉบับด้วย “Google” เพื่อให้เจตนาชัดเจนขึ้น
ทำไม Google ถึงต้องการความสามารถแบบนี้ในเบราว์เซอร์? พวกเขาจะทำอะไร? ขั้นต่อไปคืออะไร?
ถ้าเป็นผู้บริหารฝ่ายการตลาดของ Google ก็คงพูดว่า “เราต้องล็อกเว็บเบราว์เซอร์เพื่อให้ทำเงินจากโฆษณาได้มากขึ้น”
“ต้องปิดกั้นตัวบล็อกโฆษณา API ใหม่อย่าง WEI จะรับประกันได้ว่าไม่มีตัวบล็อกโฆษณากำลังทำงานอยู่ โฆษณาถูกแสดงให้เห็น และ DRM ไม่ถูกละเมิด”
“เรายังอยากป้องกันการฉ้อโกงโฆษณาด้วย WEI จะช่วยรับประกันได้ว่าการคลิกโฆษณาเป็นปกติและผู้คนกำลังเห็นโฆษณาจริง หากเราไม่สามารถควบคุมระบบปฏิบัติการได้เหมือน Chromebook และโทรศัพท์ Android เราก็ต้องควบคุมเว็บเบราว์เซอร์ด้วยความแน่นอนทางคริปโตกราฟี”
ขั้นที่ 1 คือทำให้เบราว์เซอร์ยอมรับและนำ Web Environment Integrity ไปใช้งาน
ขั้นที่ 2 คือกำหนดให้เว็บไซต์ของ Google ทั้งหมดต้องใช้ Web Environment Integrity ไม่เช่นนั้นจะถูกปิดกั้นการเข้าถึง
ขั้นที่ 3 คือกำหนดให้เว็บไซต์ทั้งหมดที่ให้บริการโฆษณาของ Google ต้องใช้ Web Environment Integrity
ขั้นที่ 4 คือกำไร!
Web Environment Integrity คือจุดเริ่มต้นของการทำเว็บให้เป็น DRM มากขึ้นและ enshittification
ไม่ต้องกังวล พวกเขาคิดถึงผู้ใช้ที่ดื้อไม่ยอมตามไว้แล้วด้วย
“ผู้ใช้ชอบเยี่ยมชมเว็บไซต์ที่มีต้นทุนสูงในการสร้างและดูแลรักษา แต่บ่อยครั้งพวกเขาต้องการหรือจำเป็นต้องทำเช่นนั้นโดยไม่จ่ายเงินโดยตรง เว็บไซต์เหล่านี้ระดมทุนด้วยโฆษณา แต่ผู้ลงโฆษณาจะรับภาระค่าใช้จ่ายได้ก็ต่อเมื่อมีมนุษย์ ไม่ใช่โรบอต เป็นผู้เห็นโฆษณา ดังนั้นจึงเกิดความจำเป็นที่ผู้ใช้ที่เป็นมนุษย์ต้องพิสูจน์ต่อเว็บไซต์ว่าตนเป็นมนุษย์ ซึ่งบางครั้งทำผ่านงานอย่างการท้าทายหรือการล็อกอิน”
ในเชิงถ้อยคำเหมือนจะพูดว่าให้เว็บไซต์ข่าวสามารถกันผู้ใช้ที่ไม่จ่ายเงินได้ แต่ Internet Archive, คลังเก็บเว็บเพจอื่น ๆ, โหมด Reader ฯลฯ ก็จะตกเป็นเป้าหมายด้วย
ส่วนนี้ในการอภิปรายของ blink-dev สะดุดตาผม
“การตัดสินใจที่เราทำได้ท้ายที่สุดจะได้รับอิทธิพลจากการถกเถียงทางสังคมที่ใหญ่กว่าเกี่ยวกับความเป็นส่วนตัว (เช่น กฎระเบียบ) เพราะความเป็นส่วนตัวที่สมบูรณ์แบบหมายถึงการยกเว้นโทษอย่างสมบูรณ์ให้กับอาชญากร”
การป้องกันไม่ให้อุปกรณ์ของผมสอดส่องผมแทนรัฐบาลหรือบริษัท ไม่ได้หมายถึง “การยกเว้นโทษอย่างสมบูรณ์ให้กับอาชญากร”
พักเรื่องการยืนยันไว้ก่อน หากคิดถึงการเข้ารหัสอุปกรณ์สมัยใหม่ที่อิงกับขอบเขตความปลอดภัยและข้อจำกัดการป้อนรหัสผ่านแบบทำลายตัวเองที่พ่วงมาด้วย ก็เปรียบได้กับการออกแบบตู้เซฟที่ดีมากซึ่งสามารถทำลายสิ่งที่อยู่ข้างในโดยอัตโนมัติเมื่อถูกบุกรุก ถ้าอย่างนั้นทุกครั้งที่มีการขายตู้เซฟแบบนั้น รัฐบาลจำเป็นต้องมีดอกกุญแจของตัวเองเสมอหรือ?
การถกเถียงมีอยู่แค่ระหว่างผู้คนที่อยากให้สิทธิของตนได้รับการเคารพ กับบริษัทที่ไม่อยากทำเช่นนั้นเท่านั้น การทำให้มันดูเหมือนเป็นการถกเถียงเป็นความพยายามที่เห็นได้ชัดในการสร้างเรื่องเล่าให้จุดยืนของตัวเองเพื่อประโยชน์ของล็อบบี้ยิสต์
“ความเป็นส่วนตัวที่สมบูรณ์แบบ” ก็เป็นหุ่นฟางเช่นกัน การประนีประนอมระหว่างการไม่มีความเป็นส่วนตัวกับความเป็นส่วนตัวที่สมบูรณ์แบบ ไม่จำเป็นต้องเป็น “Google เก็บเกี่ยวข้อมูลโดยฝืนเจตนาของผู้ใช้”
แม้จะแยกประเด็นความเกลียดชังมนุษย์ของบุคคลเจ้าปัญหาคนนั้นออกไป คำคมนี้ก็เป็นเครื่องเตือนใจที่ดีว่า ข้ออ้าง “แต่พวกอาชญากรล่ะ!” ถูกใช้บ่อย แต่แทบไม่เคยได้รับการพิสูจน์ความชอบธรรม
หลังจากคิดอยู่หลายวัน เพิ่งตระหนักได้ตอนนี้ว่านี่คือกลไกที่ปิดกั้น การสแครปเว็บ โดยทั่วไปทั้งหมดโดยไม่มีทางอ้อม
“ความเข้ากันได้แบบเป็นปฏิปักษ์” ของโปรเจกต์อย่าง Nitter, Teddit, Invidious, youtube-dl จะหายไปทั้งหมด เว็บไซต์เก็บถาวรอย่าง archive.org, archive.ph ก็อาจถูกเว็บไซต์ที่ต้องการการยืนยันปิดกั้นได้
เหมือนวงการสิ่งพิมพ์ที่กลัวสำเนาเถื่อนแล้วถูก Kindle “ช่วยชีวิต” สำนักข่าวที่หารูปแบบธุรกิจไม่ได้ก็จะกรูกันไปหวังให้ Google ช่วยชีวิตพวกเขา
ดูท่าจะลำบากทีเดียว
แน่นอนว่าถ้าเป็นแบบนั้น บริการสแครปที่มีแรงจูงใจทางการเงินก็จะยังดำเนินต่อไป และมีแต่ปัจเจกบุคคลผู้สุจริตที่ต้องการเสรีภาพของ user agent เท่านั้นที่ได้รับผลกระทบ เหมือน DRM อื่น ๆ อีกมากมาย
ยังมีบางจุดที่ไม่ถูกใจ และส่วนขยายจำนวนไม่น้อยที่ผมใช้ก็มีเฉพาะ Chromium แต่ตอนนี้รู้สึกเหมือนไม่มีทางเลือกแล้ว
เป็นเรื่องดีที่ประเด็นนี้ได้รับความสนใจมากขึ้น การเลือกปฏิบัติตาม User Agent หรือพฤติกรรมแบบ “ถ้าไม่ใช่ Chrome รุ่นล่าสุดก็ไสหัวไป” ควรผิดกฎหมาย
ถ้าการใช้งานของผมไม่ได้ทำให้บริการโอเวอร์โหลด ก็ไม่ควรถูกจำกัดว่าจะใช้ฮาร์ดแวร์หรือซอฟต์แวร์อะไร
อุปสรรคอื่น ๆ ที่จงใจขัดขวางการเข้าถึงและการทำงานร่วมกันก็เช่นกัน ควรห้ามการสร้าง “มาตรฐาน” ที่ซับซ้อนและเปลี่ยนบ่อยจนมีแค่ Google ที่นำไปใช้และตามการเปลี่ยนแปลงได้ แล้วโฆษณาชวนเชื่อให้ทุกไซต์กลายเป็นใช้งานได้จริงเฉพาะกับ Chrome โดยไม่เกี่ยวกับประโยชน์ใช้สอยจริง
ขอแนะนำให้ตามหาทุกคนที่รับผิดชอบเรื่องนี้แล้วใช้สิทธิในการแสดงความคิดเห็นอย่างเสรี มันได้ผลกับนักการเมือง ดังนั้นก็ควรได้ผลกับวายร้ายอีกประเภทแบบนี้ด้วย
ขอย้ำอีกครั้งว่า Stallman มองการณ์ไกลมาก: https://www.gnu.org/philosophy/right-to-read.html
ในเชิงแนวคิดแล้วต่างจากสมัยก่อนที่ไซต์ต่าง ๆ บล็อก IE ด้วยความไม่ชอบอย่างไร?
สตริง User Agent ของซอฟต์แวร์ก็เป็นแค่ตัวระบุที่เบราว์เซอร์แนบไปเพื่อให้บริบทกับเซิร์ฟเวอร์ ไม่ใช่ชั้นป้องกัน
Google มีสิทธิ์จำกัดการใช้ซอฟต์แวร์ของตัวเองตามแบบที่ต้องการ และพวกเราก็แค่ไม่ต้องใช้
ไม่มีสิทธิขั้นพื้นฐานต่ออินเทอร์เน็ตแบบเปิด และไม่มีใครติดค้างมันกับเรา ผมอยากกลับไปสู่ยุคที่อินเทอร์เน็ตเปิดกว้างกว่าและถูกทำให้เป็นเชิงพาณิชย์น้อยกว่านี้มาก แต่กฎระเบียบทางกฎหมายจะไม่ทำให้วันแบบนั้นกลับมา
มันผิดในหลายระดับมากจนไม่รู้จะเริ่มจากตรงไหน
ก่อนอื่น ผมไม่ชอบ “ข้อเสนอ” แบบนี้ จริง ๆ แล้วมันเป็นท่าทีแบบ “เรานำไปใช้ในผลิตภัณฑ์หลักของเราแล้ว และจะบังคับใช้กับผู้ใช้อย่างใจดี ส่วนถ้ามีตัวเลือกก็ไม่ต้องใช้ก็ได้”
ต่อมาคือส่วนที่ว่า “รับประกันว่าไม่ใช่บอต และเบราว์เซอร์ไม่ได้ถูกแก้ไขหรือดัดแปลงในแบบที่ไม่ได้รับอนุมัติ” ผมใช้เบราว์เซอร์โอเพนซอร์สที่ไม่ใช่ Chromium นั่นคือ Firefox และสามารถแก้ไขแล้วคอมไพล์ใหม่ตามใจได้ ถ้าต้องการผมก็ใช้ links, elinks, lynx, dillo ได้ และก็ใช้อยู่จริง ๆ พวกคุณเป็นใครถึงมาสั่งว่าผมต้องใช้ซอฟต์แวร์อะไรบนคอมพิวเตอร์ของผม?
นี่คือ กระแส DRM ยุค 90 ที่กลับมาอีกครั้ง เป็นการโจมตีซอฟต์แวร์เปิด แพลตฟอร์มเปิด และโปรโตคอลเปิดอย่างต่อเนื่อง
น่าคลั่งและน่าเศร้าด้วย
ตอนนี้มีสภาพแวดล้อมการทำงานแบบ “trusted” และ treacherous computing อย่าง TPM เต็มไปหมด เลี่ยงก็ไม่ได้ แถมกุญแจสาธารณะของคนอื่นยังถูกฝังอยู่ในซิลิคอน
ผู้เขียนข้อเสนอที่ล็อก GitHub issue[0] ไปคอมเมนต์ใน HN ด้วย แต่จนถึงตอนนี้ที่นี่ก็ยังเงียบอยู่: https://news.ycombinator.com/item?id=36825097
[0] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Googler อย่าง RupertBenWiser[3] และ yoavweiss[4] ก็แค่ทำตามนโยบายของ Google อยู่ โดยเฉพาะเรื่องที่ yoavweiss พยายามทำเหมือนว่า issue เดิมที่เขาบังคับปิดโดยไม่ได้แม้แต่อ่านคอมเมนต์เป็น “สแปม”[5] นั้นน่าขยะแขยงจริง ๆ
ผมมองว่าผู้ใช้ทั้งสองคนกำลังทำตัวด้วยเจตนาร้ายอย่างมาก และไม่ได้ยึดถือจรรยาบรรณของวิศวกรรมอย่างเหมาะสม
แค่พฤติกรรมการล็อก repository บน GitHub ก็แสดงให้เห็นแล้วว่าพวกเขารู้ตัว
มันหดหู่มากที่เห็นว่า Google และ Googler ตกต่ำลงแค่ไหน ที่ที่ครั้งหนึ่งเคยเป็นบ้านของนวัตกรรม การเติบโต และการสร้างเทคโนโลยี ตอนนี้กลายเป็นแค่โฆษณา การใช้สถานะในตลาดในทางมิชอบเพื่อให้ Chrome ได้เปรียบอย่างไร้เหตุผลในช่วงท้ายของสงครามเบราว์เซอร์ และเรื่องแบบเดิม ๆ อีกมากขึ้น
ดูเหมือนถึงเวลาต้องใช้มาตรการต่อต้านการผูกขาดกับ Google แล้ว ถ้ายังไม่ได้ย้าย ก็ควรย้ายไป Firefox และเลิกใช้ Chrome Mozilla คัดค้านข้อเสนอนี้และวิศวกรที่ผลักดันมัน[6]
[1] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
[2] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
[3] https://github.com/RupertBenWiser
[4] https://github.com/yoavweiss
[5] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
[6] https://github.com/mozilla/standards-positions/issues/852#is...
เหมือนมุกเก่า ๆ ที่ว่า “แค่มีอะไรกับแพะครั้งเดียว...”
จากมุมมองของผู้ใช้ “การพิสูจน์” นี้ไม่มีคุณค่าอะไรเลย
เบราว์เซอร์ควรทำอะไรก็ได้ตามที่เราต้องการ เช่น ควรลบโฆษณาได้ หรือบล็อกการเข้าถึง canvas และ webgl ได้ และเว็บไซต์ไม่ควรรู้เรื่องนี้
ยิ่งกว่านั้น การพิสูจน์นี้มีแนวโน้มสูงที่จะให้สัญญาณ ลายนิ้วมือเบราว์เซอร์ เพิ่มเติม ซึ่งเราไม่ต้องการ
ผมอาจต้องการควบคุมและตรวจสอบว่าอุปกรณ์ของผมยังอยู่ภายใต้การควบคุมของผมหรือไม่ และคงดีถ้าไม่ต้องเข้าไปในดาต้าเซ็นเตอร์ด้วยตัวเองทุกสัปดาห์เพื่อเช็ก แนวคิดนี้เองไม่ได้แย่
แต่แนวคิดนี้ดูเหมือนมีเป้าหมายเพื่อบล็อกตัวบล็อกโฆษณา และป้องกันไม่ให้เบราว์เซอร์อย่าง Brave แสร้งเป็น Chrome พร้อมบล็อกโฆษณาโดยไม่ต้องใช้ส่วนขยาย
การใช้งานที่เป็นบวกต่อผู้ใช้ที่นึกออกมีเพียงซอฟต์แวร์ที่โฮสต์เองเท่านั้น อาจใช้ตรวจจับการโจมตีแบบคนกลางหรือมัลแวร์ที่ไปยุ่งกับเบราว์เซอร์ได้ก็เป็นได้ แต่ในความเป็นจริงมันจะกลายเป็น “ห้าม Firefox, ห้าม Linux, ห้ามตัวบล็อกโฆษณา”
แบบนั้นก็จะตัดคีย์ล็อกเกอร์ ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย และการขโมยเซสชันออกไปได้
แน่นอนว่าในความเป็นจริง มันจะถูกใช้เพื่อล็อกคอนเทนต์และบังคับให้ผู้ใช้ดูโฆษณาที่ข้ามไม่ได้
แต่ซอฟต์แวร์ที่ทำเรื่องแบบนี้ในเครือข่ายส่วนตัวมีอยู่แล้ว ผมเชื่ออย่างหนักแน่นว่าฟังก์ชันแบบนี้ไม่มีที่ยืนเลยบนเว็บเปิด
ข้อเสนอนี้เป็น ปฏิปักษ์ต่อผู้ใช้ และอาจเป็นอันตรายอย่างมากต่ออนาคตของเว็บ
ตอนนี้ใช้ Chrome อยู่หรือเปล่า? ไม่อยากพูดเลย แต่คุณก็เป็นส่วนหนึ่งของปัญหา แค่เปลี่ยนไปใช้อย่างอื่นก็ได้
ผมไม่ได้ต่อต้าน Google อย่างรุนแรง ใช้ Gmail และใช้ Google เป็นเครื่องมือค้นหาด้วย แต่ Firefox เป็นเบราว์เซอร์ที่ดี และผมใช้เป็นเบราว์เซอร์ประจำวันอยู่ Edge, Brave, Safari, เบราว์เซอร์ DDG ก็เป็นตัวเลือกเช่นกัน
ควรเปลี่ยนวันนี้ เพื่อเริ่มลดอำนาจต่อรองของ Google
เนื่องจากไม่ได้บล็อกการเปลี่ยนแปลงส่วนใหญ่ที่ Google ยัดเข้ามาใน Chrome จึงยังคงมีส่วนอย่างมากต่ออำนาจครอบงำอินเทอร์เน็ตของ Google
ถ้าต้องการสั่นคลอนการควบคุมเว็บแพลตฟอร์มของ Google จริง ๆ ตัวเลือกที่มีผลในทางปฏิบัติมีเพียง Firefox และ Safari เท่านั้น