1 पॉइंट द्वारा GN⁺ 2023-07-27 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Vivaldi का मानना है कि Web Environment Integrity वेबसाइटों को ब्राउज़र·प्लेटफ़ॉर्म की विश्वसनीयता तय करने की शक्ति देकर open web की पहुँच और प्रतिस्पर्धा को हिला सकता है
  • यह प्रस्ताव ऐसे ढाँचे पर आधारित है जिसमें तीसरे पक्ष का attester execution environment को सत्यापित करता है; इसका घोषित उद्देश्य नकली interactions को रोकना है, लेकिन यह वेबसाइटों के लिए DRM की तरह काम कर सकता है
  • अगर विश्वसनीयता का निर्णय कुछ ही कंपनियों में केंद्रित हो जाए, तो नए ब्राउज़र, छोटे ब्राउज़र, legacy software और Linux उपयोगकर्ताओं के वेब एक्सेस से बाहर धकेले जाने का जोखिम बढ़ जाता है
  • भले ही ब्राउज़र इसे implement करने से इनकार कर दें, अगर वेबसाइटें इस API की मांग करें तो वे उपयोगकर्ताओं को ब्लॉक कर सकती हैं; Google की सेवाएँ या Google Ads अपनाने के दबाव का साधन बन सकते हैं
  • 3 नवंबर 2023 तक Google ने Web Integrity API को आगे न बढ़ाने का फैसला किया, लेकिन ब्राउज़र और ब्राउज़र इंजन की विविधता की ज़रूरत बनी हुई है

Web Environment Integrity क्या करना चाहता है

  • Web Environment Integrity एक ऐसा प्रस्ताव है जो वेबसाइटों को API के ज़रिए यह जाँचने देता है कि मौजूदा ब्राउज़र और प्लेटफ़ॉर्म पर भरोसा किया जा सकता है या नहीं
  • भरोसे का फैसला एक अधिकारप्राप्त तीसरे पक्ष attester द्वारा किया जाता है
  • इसका लक्ष्य कई वेबसाइटों पर “नकली” interactions को रोकना बताया जाता है, लेकिन यह कैसे किया जाएगा, यह स्पष्ट नहीं है
  • इसके use cases ऊपर से उचित लग सकते हैं, लेकिन वास्तविक असर वेबसाइटों के लिए DRM के अधिक करीब हो सकता है
  • इसका पहला use case ad interactions की प्रामाणिकता जाँचना है, जो Google के ad platform को और मजबूत करने से जुड़ सकता है

ब्राउज़र trust judgment से पैदा होने वाला बहिष्कार

  • अगर कोई खास इकाई तय करती है कि किन ब्राउज़रों पर भरोसा किया जाएगा, तो यह गारंटी खत्म हो जाती है कि हर ब्राउज़र अपने-आप स्वीकार किया जाएगा
  • नए ब्राउज़र शुरुआत से ही default रूप से अविश्वसनीय माने जाएंगे, और उन्हें attester को संतुष्ट करने वाले तरीके से अपनी विश्वसनीयता साबित करनी होगी
  • legacy software का उपयोग करने वाले लोग, जो इस स्पेसिफिकेशन को support नहीं करते, समय के साथ वेब से बाहर किए जा सकते हैं
  • भले ही स्पेसिफिकेशन vendor exclusion के जोखिम का ज़िक्र करता हो, यह बिना वास्तविक समाधान के सिर्फ नरम प्रतिक्रिया तक सीमित रह सकता है

प्लेटफ़ॉर्म-वार attester और प्रतिस्पर्धा को लेकर चिंता

  • स्पेसिफिकेशन में मुख्य attester उदाहरण Android पर Google Play का है
    • इस ढाँचे में Google यह तय करेगा कि उसके अपने प्लेटफ़ॉर्म पर किन ब्राउज़रों पर भरोसा किया जाए
    • Vivaldi का मानना है कि यह उम्मीद करना मुश्किल है कि Google पूरी तरह निष्पक्ष फैसला करेगा
  • Windows पर Microsoft के Windows Store के ज़रिए, और Mac पर Apple के समान भूमिका निभाने की संभावना का उल्लेख है
    • इस दिशा में कम से कम Edge और Safari के trusted होने की संभावना अधिक है
    • बाकी ब्राउज़र Google, Microsoft और Apple के फैसले पर निर्भर हो जाएंगे
  • Linux के लिए कोई स्पष्ट उत्तर नहीं है
    • यह साफ नहीं है कि Linux को वेब ब्राउज़िंग से पूरी तरह बाहर कर दिया जाएगा या Canonical snaps package repository के ज़रिए निर्णायक भूमिका निभाएगा
    • Linux उपयोगकर्ताओं के लिए यह स्थिति अनुकूल नहीं है

इंसान की पहचान, automation और extensions को लेकर अनिश्चितता

  • स्पेसिफिकेशन से यह प्रबल संकेत मिलता है कि इसका उद्देश्य यह पता लगाना है कि वास्तव में कोई इंसान वेबसाइट से interact कर रहा है या नहीं, लेकिन इसे हासिल करने का तरीका स्पष्ट नहीं है
  • बचे हुए सवाल ये हैं
    • क्या यह देखने के लिए behavior data का उपयोग किया जाएगा कि उपयोगकर्ता इंसान की तरह व्यवहार कर रहा है या नहीं
    • क्या यह डेटा attester को दिया जाएगा
    • क्या accessibility tools जो browser input automation पर निर्भर करते हैं, ब्राउज़र को अविश्वसनीय बना देंगे
    • extensions पर इसका क्या असर पड़ेगा
  • मौजूदा स्पेसिफिकेशन ब्राउज़र modifications और extensions के लिए अपवाद रखता है, लेकिन extensions वेबसाइट interaction automation को आसान बना सकते हैं
  • अगर ये अपवाद बने रहते हैं, तो हमलावरों के लिए इसे bypass करना आसान होगा; और अगर अपवाद कम किए जाते हैं, तो extensions पर भी प्रतिबंध लग सकते हैं

implementation से इनकार करना मुश्किल क्यों है

  • अगर कोई ब्राउज़र Web Environment Integrity को implement नहीं करता, तो उसे अविश्वसनीय ब्राउज़र माना जा सकता है
  • अगर वेबसाइटें इस API की मांग करें, तो वे उस ब्राउज़र के उपयोगकर्ताओं को अस्वीकार कर सकती हैं
  • Google के पास वेबसाइट adoption को आगे बढ़ाने के साधन हैं
    • वह अपनी सेवाओं को इस फीचर पर निर्भर बना सकता है
    • Google की वेबसाइटों का उपयोग न कर पाना अधिकांश ब्राउज़रों के लिए घातक हो सकता है
    • वह Google Ads इस्तेमाल करने वाली साइटों से इस API का उपयोग अनिवार्य करने को कह सकता है
  • अगर पहला लक्ष्य नकली ad clicks को रोकना है, तो केवल Google Ads के साथ इसका जुड़ाव ही API adoption को तेज़ी से फैला सकता है

कानूनी रोक की संभावना और उसकी सीमाएँ

  • Vivaldi का मानना है कि EU कानून शायद कुछ ही कंपनियों को यह तय करने की इतनी बड़ी शक्ति नहीं देगा कि कौन-से ब्राउज़र स्वीकार किए जाएँ
  • attester पर यथासंभव निष्पक्ष होने का कड़ा दबाव हो सकता है
  • लेकिन कानून बनाने और न्यायिक प्रक्रियाएँ धीमी होती हैं, इसलिए सरकारों और अदालतों की समीक्षा के दौरान नुकसान पहले ही हो सकता है
  • अगर यह प्रस्ताव आगे बढ़ता, तो open web के लिए कठिन समय आ सकता था, और छोटे vendors विशेष रूप से अधिक प्रभावित हो सकते थे

Google के पिछले प्रस्ताव और बाज़ार पर उसका प्रभुत्व

  • Google का browser market dominance वेब के लिए अस्तित्वगत खतरे की क्षमता रखता है
  • Vivaldi का कहना है कि Google पहले भी वेब के लिए खराब प्रस्ताव ला चुका है; उदाहरण के तौर पर FLOC, TOPIC, Client Hints का उल्लेख किया गया है
  • Web Environment Integrity को इसी प्रवाह की अगली कड़ी माना गया है, और इसे इसलिए बड़ा खतरा बताया गया है क्योंकि यह Microsoft और Apple को Google के साथ मिलकर browser और operating system प्रतिस्पर्धा को सीमित करने की दिशा में ले जा सकता है
  • लंबी अवधि में ज़रूरी है कि Google को अधिक समतल प्रतिस्पर्धी वातावरण में रखा जाए; इसके लिए कानून और Google की market share में कमी, दोनों की ज़रूरत है

3 नवंबर 2023 अपडेट

  • Google ने Web Integrity API को आगे न बढ़ाने का फैसला किया
  • Vivaldi इसे open web की तटस्थता के लिए बहुत सकारात्मक कदम मानता है
  • फिर भी उसका मानना है कि Google पूरे वेब के हित से अधिक अपने हितों से संचालित होता है, इसलिए इसे किससे बदला जाएगा यह देखना होगा
  • FLOC के बाद Topics आने की तरह, यह आशंका बनी हुई है कि कम परेशान करने वाला दिखने वाला लेकिन उपयोगकर्ताओं के लिए हानिकारक स्पेसिफिकेशन फिर सामने आ सकता है
  • Vivaldi को यह भी संदेहास्पद लगता है कि यह फैसला Google की उस हालिया घोषणा के साथ मेल खाता है जिसमें ad billing model को cost-per-click से cost-per-impression की ओर ले जाने की बात कही गई थी
  • अगर किसी एक इकाई को वेब का भविष्य तय करने से रोकना है, तो ब्राउज़र और ब्राउज़र इंजन की विविधता बहुत महत्वपूर्ण है

1 टिप्पणियां

 
GN⁺ 2023-07-27
Hacker News की राय
  • Google का ऐसा कहना खास तौर पर बेतुका है। Android का SafetyNet नाम भर को सुरक्षा के लिए है, लेकिन असल में यह सुरक्षा को काफी कम कर देता है
    यह नए और सुरक्षित third-party ROMs को रोकता है, जबकि निर्माताओं द्वारा दिए गए बेहद असुरक्षित ROMs को पास कर देता है। उन्हें रोकेंगे तो users की नाराज़गी बहुत बढ़ेगी, इसलिए उन्हें वैसा ही छोड़ दिया जाता है
    आखिर में यह औसत user को कोई meaningful security improvement देने के बजाय vendor lock-in की तरह काम करता है, और advanced users के लिए नया hardware खरीदे बिना सुरक्षा सुधारने का रास्ता बंद कर देता है। इस दावे का और कड़ाई से विरोध होना चाहिए कि ऐसी attestation users को कोई वैध लाभ देती है

    • अगर users के खिलाफ locked phones की बात है, तो इस प्रस्ताव को पोस्ट करने वाले Google कर्मचारी Ben Wiser के blog की latest post में वे अपने iPhone पर मनचाहा software freely न चला पाने की शिकायत कर रहे हैं—यह बेहद विडंबनापूर्ण है
      https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
      https://github.com/RupertBenWiser/Web-Environment-Integrity
    • लगभग किसी भी software या website को सुविधा या सुरक्षा सुधार जैसे user benefit के रूप में पेश किया जा सकता है। ज्यादा अहम सवाल यह है कि इसे बनाने वाले को क्या लाभ है, और यह वास्तव में करता क्या है
      आप ऐसा web client इस्तेमाल कर सकते हैं जो जरूरत से ज्यादा data leak नहीं करता, लेकिन Google चाहेगा कि हम ऐसे clients इस्तेमाल न करें। गैर-अनुमोदित web clients को सबको “bots” के रूप में, और users के environment की जानकारी जरूरत से ज्यादा उजागर न करने वाले web usage को सबको “fraud” के रूप में भी पेश किया जा सकता है
      सारे web usage को commercial activity मानना और सभी websites को advertising containers की तरह treat करना, यह all-or-nothing सोच लगभग एक typical cognitive distortion जैसी है
    • सही है। bypass अपने-आप में मामूली है, लेकिन device को root करना पड़ता है, इसलिए custom ROMs में भी उल्टा security degradation हो सकता है
    • GrapheneOS पर वह स्पष्टीकरण लागू नहीं होता
      https://grapheneos.org/articles/attestation-compatibility-gu...
      SafetyNet खुद भी पहले से ही deprecation के लिए निर्धारित है
      https://developer.android.com/training/safetynet/deprecation...
  • विवादित browser features हमेशा कुछ ऐसे ही होते हैं। अगर उन्हें implement न किया जाए, तो उस feature की मांग करने वाली websites पर user experience खराब हो सकता है
    लेकिन अगर आप software maker हैं, तो आपको खुद तय करना चाहिए कि customers के लिए क्या सबसे बेहतर है। अगर इसे न मानने की इकलौती उम्मीद सिर्फ यह है कि EU Google को फटकार लगाए, तो लगता है कि आप खुद मजबूत रुख अपनाने को तैयार नहीं हैं—यह चिंता की बात है

    • बड़ी web services में से बहुत कम ऐसी हैं जो इस आधार पर चलती हैं कि users के लिए क्या बेहतर है। अगर यह जोर पकड़ता है, तो Google “untrusted” pages पर हुई impressions के लिए AdSense payments देने से मना कर सकता है, और ad revenue पर निर्भर बड़े operators users की परवाह किए बिना तुरंत WEI implement कर देंगे
    • यह लगभग category error जैसा है। ज्यादातर browser features या APIs को users में पर्याप्त adoption होने तक progressive enhancement के रूप में handle किया जाता है, और बाद में feature की मौजूदगी मान भी ली जाए तो आम तौर पर experience खराब होता है, site पूरी तरह टूटती नहीं
      लेकिन web attestation अलग है। अगर website इसे require करे और browser implement न करे, तो कई मामलों में user उस site से पूरी तरह blocked हो सकता है
      इसके अलावा, Vivaldi WEI implement कर भी दे, तब भी attestation authorities—Google, Microsoft, Apple—या खुद website Vivaldi को valid environment मानेंगी, इसकी संभावना कम है। जो browsers users को ad-blocking extensions, user automation, scripting जैसी बहुत ज्यादा freedom देते हैं, उन्हें “acceptable environment” माना जाएगा या नहीं, यह संदेह की बात है
    • WEI में अलग बात यह है कि यह दूसरे web features को कैसे implement किया जाए, इस choice तक को व्यवहार में control करता है। उदाहरण के लिए, element blocking allow करना है या developer console दिखाना है, इस पर भी असर पड़ सकता है
      Encrypted Media Extensions को छोड़ दें—और वह भी WEI की तुलना में कहीं ज्यादा limited है—तो मुझे ऐसा कोई web standard ठीक से नहीं पता जो इस तरह काम करता हो
    • Google सबसे popular search engine और ad network भी control करता है, इसलिए वह न मानने वाली websites को ads या traffic न देकर web developers पर काफी दबाव डाल सकता है
      मैं पहले से ही सारे ads block करता हूँ, इसलिए ad revenue maximize करने के आधार पर decision लेने वाले developers से पूरी तरह सहमत नहीं हूँ, लेकिन यहाँ developers पर “यह तुम्हारी choice है, बस मना कर दो” कहकर बोझ डालना fair नहीं है
    • Google पहले भी ऐसे attempts कर चुका है और पीछे धकेला गया है। तुरंत याद आने वाले दो उदाहरण हैं
      1. FLoC: https://www.theverge.com/2022/1/25/22900567/google-floc-aban...
      2. Dart: Google ने JavaScript को replace करने की कोशिश की थी, लेकिन Mozilla और Microsoft ने भाग नहीं लिया, इस वजह से इसे reject कर दिया गया, और आखिरकार project खत्म हो गया
        Google बहुत कुछ try करता है। Mozilla, Microsoft, Apple अभी भी इतने मजबूत हैं कि, खासकर अमेरिका के बाहर, जिन ideas को वे खराब मानते हैं उनका सामना कर सकें
  • अब तक संबंधित threads शायद इतने ही हैं। क्या मैंने कुछ छोड़ दिया है?
    Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
    Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
    Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
    Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
    Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
    Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
    Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
    Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
    Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)

    • एक संबंधित पोस्ट थी, लेकिन उसे flag कर दिया गया
      “I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
      लगता है पर्याप्त karma वाले users ने उसे flag किया था, लेकिन कुछ समय तक उस पर “[flagged]” नहीं दिखा; वह front pages पर नहीं आ रही थी और उसे और upvotes भी नहीं मिल रहे थे, इसलिए भ्रम हुआ। शायद “[flagged]” दिखने में delay होता है
  • अगर गंभीरता से विरोध करना है, तो ऐसा किया जा सकता है। हर कोई अपनी website में ऐसा code डाले जो check करे कि user agent ने यह API implement किया है या नहीं, और अगर वह pass करता है तो कारण बताते हुए उस browser को बताए कि उसका स्वागत नहीं है
    #BoycottGoogle #BoycottChrome #BoycottBullshit

    • मैं इससे सहमत हूँ और चाहता हूँ कि सब मिलकर ऐसा करें, लेकिन जिन पैसे संभालने वाले लोगों के साथ मैं काम करता हूँ, वे इससे सहमत होंगे—यह कल्पना नहीं कर सकता
    • यह बात अपने boss को बतानी होगी। और अगर Google चाहे तो लगता है वह इसे छिपाने का तरीका भी बना सकता है
  • हमेशा की तरह Google के WEI पर लंबी पोस्ट है, लेकिन यह बात नहीं बताई गई कि Apple पहले ही चुपचाप यह जहाज चला चुका है, और इसलिए उसे लगभग कोई ध्यान या विरोध नहीं मिला
    https://httptoolkit.com/blog/apple-private-access-tokens-att...
    https://toot.cafe/@pimterry/110775130465014555
    tech news और blogs की यह अफसोसजनक हालत है। बड़ी तस्वीर नहीं देखते, बस वही drama दोहराते हैं

    • दुनिया भर के बहुत-से internet users की तरह मेरे पास Apple product नहीं है, इसलिए मुझे इसका पता नहीं चला, मुझ पर इसका असर भी नहीं पड़ा, और शायद आगे भी इसकी संभावना कम है
      इसके उलट, Google Analytics या Google ads इस्तेमाल करने वाली websites से मैं लगातार interact करता हूँ। अगर वे sites मेरे चुने हुए browser को reject करना शुरू कर दें, तो internet के एक बड़े हिस्से से मैं सचमुच block हो जाऊँगा
      बाकी 60% internet users को भी असल में इस technology को अपनाने के लिए मजबूर किया जा सकता है। प्रभावित users की संख्या एक-दो orders of magnitude ज्यादा है, इसलिए alarm बजाने की पर्याप्त वजह है
    • लेख में भी यही बात कही गई है। Safari dominant web browser नहीं है, इसलिए यह वैसी ही समस्या नहीं बनती। Apple इससे जो ताकत इस्तेमाल कर सकता है, वह बहुत सीमित है
    • “उधर उससे बड़ा villain है” जैसा बचाव जीतने वाली strategy नहीं है
    • निजी तौर पर मुझे Private Access Tokens WEI जितने खराब नहीं लगते। PAT बस CAPTCHA bypass करने जैसा है, लेकिन WEI लोगों को sites से पूरी तरह रोक देने की क्षमता रखता है
    • यकीनन इसे और ज्यादा ध्यान मिलना चाहिए था
  • पहली use case का विज्ञापन interaction के असली होने की पुष्टि करना होना बस शुरुआत है। Attestation अंततः विज्ञापनदाताओं को यह मांग करने की स्थिति में ला सकता है कि उपयोगकर्ता सचमुच अपनी जगह पर है और स्क्रीन देख रहा है
    यह Black Mirror के “Fifteen Million Merits” एपिसोड जैसा हो सकता है

    • Sony के पास Black Mirror के ठीक इसी scenario पर पहले से patent है
      https://www.creativebloq.com/sony-tv-patent
      इसमें TV दर्शक को विज्ञापन skip करने के लिए brand का नाम चिल्लाना पड़ता है। जैसे “McDonald's!” चिल्लाने पर ही Big Mac हटता है
      अगर रोका न जाए तो कंपनियां सबसे पागलपन भरी और भयानक चीजें करेंगी, और यह सच में होगा
    • Android पर कुछ video ads notification shade नीचे खींचने पर भी pause हो जाते हैं
    • उस दिन का इंतजार है जब सभी media sites के लिए अनिवार्य host browser के अंदर WASM में implement किया गया एक पूरा browser engine और ऊपर से चढ़ा दिया जाएगा
  • अब दो चीजों की जरूरत है। पहली, Google को search और ads में बांटने वाला antitrust split। दूसरी, advertising tax
    search engines के लिए बहुत ज्यादा ads दिखाना आर्थिक रूप से घाटे का सौदा बनाना होगा

    • पहली बात से सहमत हूं, लेकिन दूसरी बात लक्ष्य से भटकी लगती है। इसका search से ज्यादा लेना-देना नहीं है
      Google अपनी बाजार स्थिति—सबसे बड़ा ad seller होने के साथ-साथ सबसे लोकप्रिय browser Chrome/Chromium का निर्माता होने—का इस्तेमाल करके यह सुनिश्चित करना चाहता है कि उपयोगकर्ता किसी भी website पर Google ads देखने से बच न सके
    • search और ads को अलग करने का idea game changer हो सकता है, लेकिन search बिना ads के revenue कैसे कमाएगा और ranking algorithm को नुकसान पहुंचाए बिना कैसे चलेगा?
    • search engine के लिए ads दिखाना आर्थिक रूप से घाटे का सौदा नहीं होगा। first screen पर ad slots हमेशा अच्छी कीमत पर बिक सकते हैं
      इसके बजाय यह tactically नुकसानदेह होना चाहिए। क्योंकि ads accuracy को खराब करते हैं और users को दूर भगाते हैं। लेकिन अगर कोई कहीं ज्यादा accurate competitor न हो तो यह लंबे समय तक टिक सकता है
      Google Search में कुछ hopeful signals भी हैं। कुछ लोग report कर रहे हैं कि accuracy घटी है, और Google spam से बचने के लिए अपने खास व्यवहार को लगातार बदलता रहता है, जिससे लोगों ने SEO और Google Search की तरकीबों में जो मेहनत लगाई थी वह बेकार हो रही है। हालांकि ये दोनों एक ही phenomenon भी हो सकते हैं
  • YouTube पर “यह website आपके device के साथ compatible नहीं है” लिखा दिखता नजर आ रहा है
    यह Google के नियंत्रण में है, और वे चाहते हैं कि official browser में ads देखे जाएं, इसलिए अजीब नहीं है। शुरुआती तौर पर यह banking apps में भी आ सकता है
    लंबे समय में यह या तो मुरझाकर खत्म होगा, या antitrust action की ओर ले जाएगा। कोई और रास्ता साफ नहीं दिखता

    • सभी streaming services piracy रोकने के नाम पर इसे तेजी से implement कर सकती हैं। असर नहीं होगा, और सिर्फ उन लोगों को नुकसान होगा जो ज्यादा freedom-respecting browsers या operating systems से देखना चाहते हैं
    • Android और iOS जैसी boot से शुरू होने वाली पूरी chain of trust न हो, और जब तक कोई proprietary desktop environment इसे दे न सके, “मैं legitimate browser हूं” वाला exchange forge किया जा सकना चाहिए
      जिस 1% को फर्क पड़ता है, वे ऐसा करेंगे। लेकिन जो पहले open web था, वहां अब भूमिगत “crack” जैसे तरीके अपनाने पड़ें—यह डरावना है। detect होने पर block होने का risk भी है
    • banks इसका target नहीं हैं। अगर banks disabled लोगों, disability वाले corporate account managers, या बुजुर्गों को बाधित करने वाले कदम उठाते हैं, तो उन्हें भारी चोट लगेगी। उन्हें बहुत सावधानी से चलना पड़ेगा
  • समझ नहीं आता कि WEI दरवाजे के peephole से ठीक-ठीक ज्यादा बुरा कैसे है। bots पहले से बड़ी समस्या हैं और और खराब हो रहे हैं। विकल्प क्या है?
    असल दुनिया में भी और web पर भी यह जानना जरूरी है कि सामने वाला कौन है। शायद मैं अकेला होऊं, लेकिन मुझे WEI अच्छी चीज लगता है
    जिसने site चलाई है उसे पता होगा कि bots कितनी सिरदर्दी पैदा करते हैं। जिन sites को bots की परवाह नहीं है, वे WEI न इस्तेमाल करें। बेशक असल में वे इस्तेमाल करेंगी। क्योंकि bots सिरदर्द हैं
    AI के बढ़ने के साथ यह वैसे भी unavoidable था। ऐसा नहीं मानना लगभग भ्रम है

    • SSL असल में सिर्फ server certificates के लिए इस्तेमाल होता है। certificate authorities की वजह से यह कुछ खास नहीं था और शिकायतें भी बहुत थीं, लेकिन Let’s Encrypt आने से स्थिति बेहतर हुई। और identity सिर्फ domain control से जुड़ी है, code signing certificates जैसी कहीं ज्यादा invasive और लगभग धंधा बन चुकी चीज से अलग
      WEI में “approved devices” वाले तरीके का असली DRM बनने की क्षमता है। यह बहुत invasive है, और बड़ी कंपनियों की मर्जी से screen readers, ad blocking, anti-tracking, fingerprinting protection, copyrighted content download, और आगे जो भी use cases सूझें, उन्हें बाहर करने के लिए इस्तेमाल हो सकता है
      यह सचमुच web को App Store में, और अच्छे से देखें तो कई app stores में बदलने का gateway है। अगर bots समस्या हैं तो具体 तौर पर बताना चाहिए। अच्छे bots भी बहुत हैं, और irony यह है कि bot traffic का बड़ा हिस्सा इन्हीं चीजों को push करने वाली बड़ी कंपनियों से आता है। malicious bots के लिए IP block lists हैं, grey-area manipulation bots समस्या हैं, लेकिन हर user को अनिवार्य हथकड़ी क्यों पहनाई जाए, यह अलग सवाल है
    • WEI का सार यह है कि user अपने device पर पूरा control न रख सके। लोगों को device control दें तो bots बनेंगे। सवाल यह है कि क्या आप bot removal को general-purpose computing से ज्यादा important मानते हैं
      bots बस ऐसे computers हैं जो owner की चाही हुई चीजें करते हैं। WEI पसंद करने वाला रुख ऐसा है मानो किसी को यह असुविधाजनक लगता है कि दूसरे लोग computers को उसके मनमुताबिक न चलाएं, इसलिए वह उस computer का control छीनना चाहता है
      strong AI के दहलीज पर होने के इस समय में general-purpose computing छीनने की कोशिश दिख रही है। सबसे खराब नतीजे इसी से निकलते हैं कि लोग अपने computers को control करने की क्षमता खो देते हैं
    • SSL यह demand नहीं करता कि कोई third party मेरे software और hardware को approve करे तभी वह काम करे
    • TLS websites को user के पसंदीदा tech stack—यानी hardware, operating system और browser—के इस्तेमाल को restrict करने नहीं देता। WEI ऐसा करता है
    • जिन लोगों के browser में यह feature नहीं होगा, वे web इस्तेमाल करने के लिए extreme procedures से गुजरने वाले second-class citizens बन जाएंगे, या web के बड़े हिस्से से पूरी तरह block हो सकते हैं
      मैं खुद बनाए कई web scraper scripts इस्तेमाल करता हूं। उदाहरण के लिए, मेरे पास सभी salary slips की digital copies हैं। ऐसी चीजें लगभग पूरी तरह बेकार हो जाएंगी
      मेरी पिछली नौकरी की retirement fund site monthly statements सिर्फ manually download करने देती थी, और Mechanize library detect करके robot prohibition warning दिखाती थी। हर महीने manually करने वाला कोई नहीं होगा, लेकिन robots को भी allow नहीं किया गया था
      फिर भी उस समय block करने के लिए कहीं special software install करना पड़ता था, लेकिन यह ऐसी हरकत को कहीं ज्यादा आसान बना देता है। Selenium जैसे tools की भी चिंता है। यह SSL नहीं है
  • इस प्रस्ताव पर नैतिक आक्रोश बहुत है, और यह जायज़ भी है। बल्कि यह और ज़्यादा तीखा होना चाहिए। हालांकि उससे अलग, यह प्रस्ताव वैसे भी ठीक से काम करता नहीं दिखता
    अगर इसे बिना विरोध के लागू किया गया, तो यह एक closed loop वाला मजबूत DRM web बन जाएगा और कानून बनाने वालों का ध्यान खींचेगा। उम्मीद है ऐसा ही हो
    अगर विरोध करने वाले browser बचे रहते हैं, तो websites के लिए यह खास उपयोगी नहीं रहेगा। क्योंकि उन्हें धोखाधड़ी का पता लगाने के लिए backup mechanism वैसे भी बनाए रखना होगा। अगर उसे बनाए रखना ही है, तो वे शायद मौजूदा तरीकों को ही एकमात्र समाधान के रूप में इस्तेमाल करना बेहतर समझेंगे, जिनसे कहीं ज़्यादा personal data इकट्ठा किया जा सकता है

    • यह शुरू से individual websites के लिए था ही नहीं। यह पूरी तरह Google के advertising business को बचाने के लिए उठाया गया कदम है