- Vivaldi का मानना है कि Web Environment Integrity वेबसाइटों को ब्राउज़र·प्लेटफ़ॉर्म की विश्वसनीयता तय करने की शक्ति देकर open web की पहुँच और प्रतिस्पर्धा को हिला सकता है
- यह प्रस्ताव ऐसे ढाँचे पर आधारित है जिसमें तीसरे पक्ष का attester execution environment को सत्यापित करता है; इसका घोषित उद्देश्य नकली interactions को रोकना है, लेकिन यह वेबसाइटों के लिए DRM की तरह काम कर सकता है
- अगर विश्वसनीयता का निर्णय कुछ ही कंपनियों में केंद्रित हो जाए, तो नए ब्राउज़र, छोटे ब्राउज़र, legacy software और Linux उपयोगकर्ताओं के वेब एक्सेस से बाहर धकेले जाने का जोखिम बढ़ जाता है
- भले ही ब्राउज़र इसे implement करने से इनकार कर दें, अगर वेबसाइटें इस API की मांग करें तो वे उपयोगकर्ताओं को ब्लॉक कर सकती हैं; Google की सेवाएँ या Google Ads अपनाने के दबाव का साधन बन सकते हैं
- 3 नवंबर 2023 तक Google ने Web Integrity API को आगे न बढ़ाने का फैसला किया, लेकिन ब्राउज़र और ब्राउज़र इंजन की विविधता की ज़रूरत बनी हुई है
Web Environment Integrity क्या करना चाहता है
- Web Environment Integrity एक ऐसा प्रस्ताव है जो वेबसाइटों को API के ज़रिए यह जाँचने देता है कि मौजूदा ब्राउज़र और प्लेटफ़ॉर्म पर भरोसा किया जा सकता है या नहीं
- भरोसे का फैसला एक अधिकारप्राप्त तीसरे पक्ष attester द्वारा किया जाता है
- इसका लक्ष्य कई वेबसाइटों पर “नकली” interactions को रोकना बताया जाता है, लेकिन यह कैसे किया जाएगा, यह स्पष्ट नहीं है
- इसके use cases ऊपर से उचित लग सकते हैं, लेकिन वास्तविक असर वेबसाइटों के लिए DRM के अधिक करीब हो सकता है
- इसका पहला use case ad interactions की प्रामाणिकता जाँचना है, जो Google के ad platform को और मजबूत करने से जुड़ सकता है
ब्राउज़र trust judgment से पैदा होने वाला बहिष्कार
- अगर कोई खास इकाई तय करती है कि किन ब्राउज़रों पर भरोसा किया जाएगा, तो यह गारंटी खत्म हो जाती है कि हर ब्राउज़र अपने-आप स्वीकार किया जाएगा
- नए ब्राउज़र शुरुआत से ही default रूप से अविश्वसनीय माने जाएंगे, और उन्हें attester को संतुष्ट करने वाले तरीके से अपनी विश्वसनीयता साबित करनी होगी
- legacy software का उपयोग करने वाले लोग, जो इस स्पेसिफिकेशन को support नहीं करते, समय के साथ वेब से बाहर किए जा सकते हैं
- भले ही स्पेसिफिकेशन vendor exclusion के जोखिम का ज़िक्र करता हो, यह बिना वास्तविक समाधान के सिर्फ नरम प्रतिक्रिया तक सीमित रह सकता है
प्लेटफ़ॉर्म-वार attester और प्रतिस्पर्धा को लेकर चिंता
- स्पेसिफिकेशन में मुख्य attester उदाहरण Android पर Google Play का है
- इस ढाँचे में Google यह तय करेगा कि उसके अपने प्लेटफ़ॉर्म पर किन ब्राउज़रों पर भरोसा किया जाए
- Vivaldi का मानना है कि यह उम्मीद करना मुश्किल है कि Google पूरी तरह निष्पक्ष फैसला करेगा
- Windows पर Microsoft के Windows Store के ज़रिए, और Mac पर Apple के समान भूमिका निभाने की संभावना का उल्लेख है
- इस दिशा में कम से कम Edge और Safari के trusted होने की संभावना अधिक है
- बाकी ब्राउज़र Google, Microsoft और Apple के फैसले पर निर्भर हो जाएंगे
- Linux के लिए कोई स्पष्ट उत्तर नहीं है
- यह साफ नहीं है कि Linux को वेब ब्राउज़िंग से पूरी तरह बाहर कर दिया जाएगा या Canonical snaps package repository के ज़रिए निर्णायक भूमिका निभाएगा
- Linux उपयोगकर्ताओं के लिए यह स्थिति अनुकूल नहीं है
इंसान की पहचान, automation और extensions को लेकर अनिश्चितता
- स्पेसिफिकेशन से यह प्रबल संकेत मिलता है कि इसका उद्देश्य यह पता लगाना है कि वास्तव में कोई इंसान वेबसाइट से interact कर रहा है या नहीं, लेकिन इसे हासिल करने का तरीका स्पष्ट नहीं है
- बचे हुए सवाल ये हैं
- क्या यह देखने के लिए behavior data का उपयोग किया जाएगा कि उपयोगकर्ता इंसान की तरह व्यवहार कर रहा है या नहीं
- क्या यह डेटा attester को दिया जाएगा
- क्या accessibility tools जो browser input automation पर निर्भर करते हैं, ब्राउज़र को अविश्वसनीय बना देंगे
- extensions पर इसका क्या असर पड़ेगा
- मौजूदा स्पेसिफिकेशन ब्राउज़र modifications और extensions के लिए अपवाद रखता है, लेकिन extensions वेबसाइट interaction automation को आसान बना सकते हैं
- अगर ये अपवाद बने रहते हैं, तो हमलावरों के लिए इसे bypass करना आसान होगा; और अगर अपवाद कम किए जाते हैं, तो extensions पर भी प्रतिबंध लग सकते हैं
implementation से इनकार करना मुश्किल क्यों है
- अगर कोई ब्राउज़र Web Environment Integrity को implement नहीं करता, तो उसे अविश्वसनीय ब्राउज़र माना जा सकता है
- अगर वेबसाइटें इस API की मांग करें, तो वे उस ब्राउज़र के उपयोगकर्ताओं को अस्वीकार कर सकती हैं
- Google के पास वेबसाइट adoption को आगे बढ़ाने के साधन हैं
- वह अपनी सेवाओं को इस फीचर पर निर्भर बना सकता है
- Google की वेबसाइटों का उपयोग न कर पाना अधिकांश ब्राउज़रों के लिए घातक हो सकता है
- वह Google Ads इस्तेमाल करने वाली साइटों से इस API का उपयोग अनिवार्य करने को कह सकता है
- अगर पहला लक्ष्य नकली ad clicks को रोकना है, तो केवल Google Ads के साथ इसका जुड़ाव ही API adoption को तेज़ी से फैला सकता है
कानूनी रोक की संभावना और उसकी सीमाएँ
- Vivaldi का मानना है कि EU कानून शायद कुछ ही कंपनियों को यह तय करने की इतनी बड़ी शक्ति नहीं देगा कि कौन-से ब्राउज़र स्वीकार किए जाएँ
- attester पर यथासंभव निष्पक्ष होने का कड़ा दबाव हो सकता है
- लेकिन कानून बनाने और न्यायिक प्रक्रियाएँ धीमी होती हैं, इसलिए सरकारों और अदालतों की समीक्षा के दौरान नुकसान पहले ही हो सकता है
- अगर यह प्रस्ताव आगे बढ़ता, तो open web के लिए कठिन समय आ सकता था, और छोटे vendors विशेष रूप से अधिक प्रभावित हो सकते थे
Google के पिछले प्रस्ताव और बाज़ार पर उसका प्रभुत्व
- Google का browser market dominance वेब के लिए अस्तित्वगत खतरे की क्षमता रखता है
- Vivaldi का कहना है कि Google पहले भी वेब के लिए खराब प्रस्ताव ला चुका है; उदाहरण के तौर पर FLOC, TOPIC, Client Hints का उल्लेख किया गया है
- Web Environment Integrity को इसी प्रवाह की अगली कड़ी माना गया है, और इसे इसलिए बड़ा खतरा बताया गया है क्योंकि यह Microsoft और Apple को Google के साथ मिलकर browser और operating system प्रतिस्पर्धा को सीमित करने की दिशा में ले जा सकता है
- लंबी अवधि में ज़रूरी है कि Google को अधिक समतल प्रतिस्पर्धी वातावरण में रखा जाए; इसके लिए कानून और Google की market share में कमी, दोनों की ज़रूरत है
3 नवंबर 2023 अपडेट
- Google ने Web Integrity API को आगे न बढ़ाने का फैसला किया
- Vivaldi इसे open web की तटस्थता के लिए बहुत सकारात्मक कदम मानता है
- फिर भी उसका मानना है कि Google पूरे वेब के हित से अधिक अपने हितों से संचालित होता है, इसलिए इसे किससे बदला जाएगा यह देखना होगा
- FLOC के बाद Topics आने की तरह, यह आशंका बनी हुई है कि कम परेशान करने वाला दिखने वाला लेकिन उपयोगकर्ताओं के लिए हानिकारक स्पेसिफिकेशन फिर सामने आ सकता है
- Vivaldi को यह भी संदेहास्पद लगता है कि यह फैसला Google की उस हालिया घोषणा के साथ मेल खाता है जिसमें ad billing model को cost-per-click से cost-per-impression की ओर ले जाने की बात कही गई थी
- अगर किसी एक इकाई को वेब का भविष्य तय करने से रोकना है, तो ब्राउज़र और ब्राउज़र इंजन की विविधता बहुत महत्वपूर्ण है
1 टिप्पणियां
Hacker News की राय
Google का ऐसा कहना खास तौर पर बेतुका है। Android का SafetyNet नाम भर को सुरक्षा के लिए है, लेकिन असल में यह सुरक्षा को काफी कम कर देता है
यह नए और सुरक्षित third-party ROMs को रोकता है, जबकि निर्माताओं द्वारा दिए गए बेहद असुरक्षित ROMs को पास कर देता है। उन्हें रोकेंगे तो users की नाराज़गी बहुत बढ़ेगी, इसलिए उन्हें वैसा ही छोड़ दिया जाता है
आखिर में यह औसत user को कोई meaningful security improvement देने के बजाय vendor lock-in की तरह काम करता है, और advanced users के लिए नया hardware खरीदे बिना सुरक्षा सुधारने का रास्ता बंद कर देता है। इस दावे का और कड़ाई से विरोध होना चाहिए कि ऐसी attestation users को कोई वैध लाभ देती है
https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
https://github.com/RupertBenWiser/Web-Environment-Integrity
आप ऐसा web client इस्तेमाल कर सकते हैं जो जरूरत से ज्यादा data leak नहीं करता, लेकिन Google चाहेगा कि हम ऐसे clients इस्तेमाल न करें। गैर-अनुमोदित web clients को सबको “bots” के रूप में, और users के environment की जानकारी जरूरत से ज्यादा उजागर न करने वाले web usage को सबको “fraud” के रूप में भी पेश किया जा सकता है
सारे web usage को commercial activity मानना और सभी websites को advertising containers की तरह treat करना, यह all-or-nothing सोच लगभग एक typical cognitive distortion जैसी है
https://grapheneos.org/articles/attestation-compatibility-gu...
SafetyNet खुद भी पहले से ही deprecation के लिए निर्धारित है
https://developer.android.com/training/safetynet/deprecation...
विवादित browser features हमेशा कुछ ऐसे ही होते हैं। अगर उन्हें implement न किया जाए, तो उस feature की मांग करने वाली websites पर user experience खराब हो सकता है
लेकिन अगर आप software maker हैं, तो आपको खुद तय करना चाहिए कि customers के लिए क्या सबसे बेहतर है। अगर इसे न मानने की इकलौती उम्मीद सिर्फ यह है कि EU Google को फटकार लगाए, तो लगता है कि आप खुद मजबूत रुख अपनाने को तैयार नहीं हैं—यह चिंता की बात है
लेकिन web attestation अलग है। अगर website इसे require करे और browser implement न करे, तो कई मामलों में user उस site से पूरी तरह blocked हो सकता है
इसके अलावा, Vivaldi WEI implement कर भी दे, तब भी attestation authorities—Google, Microsoft, Apple—या खुद website Vivaldi को valid environment मानेंगी, इसकी संभावना कम है। जो browsers users को ad-blocking extensions, user automation, scripting जैसी बहुत ज्यादा freedom देते हैं, उन्हें “acceptable environment” माना जाएगा या नहीं, यह संदेह की बात है
Encrypted Media Extensions को छोड़ दें—और वह भी WEI की तुलना में कहीं ज्यादा limited है—तो मुझे ऐसा कोई web standard ठीक से नहीं पता जो इस तरह काम करता हो
मैं पहले से ही सारे ads block करता हूँ, इसलिए ad revenue maximize करने के आधार पर decision लेने वाले developers से पूरी तरह सहमत नहीं हूँ, लेकिन यहाँ developers पर “यह तुम्हारी choice है, बस मना कर दो” कहकर बोझ डालना fair नहीं है
Google बहुत कुछ try करता है। Mozilla, Microsoft, Apple अभी भी इतने मजबूत हैं कि, खासकर अमेरिका के बाहर, जिन ideas को वे खराब मानते हैं उनका सामना कर सकें
अब तक संबंधित threads शायद इतने ही हैं। क्या मैंने कुछ छोड़ दिया है?
Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)
“I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
लगता है पर्याप्त karma वाले users ने उसे flag किया था, लेकिन कुछ समय तक उस पर “[flagged]” नहीं दिखा; वह front pages पर नहीं आ रही थी और उसे और upvotes भी नहीं मिल रहे थे, इसलिए भ्रम हुआ। शायद “[flagged]” दिखने में delay होता है
अगर गंभीरता से विरोध करना है, तो ऐसा किया जा सकता है। हर कोई अपनी website में ऐसा code डाले जो check करे कि user agent ने यह API implement किया है या नहीं, और अगर वह pass करता है तो कारण बताते हुए उस browser को बताए कि उसका स्वागत नहीं है
#BoycottGoogle #BoycottChrome #BoycottBullshit
हमेशा की तरह Google के WEI पर लंबी पोस्ट है, लेकिन यह बात नहीं बताई गई कि Apple पहले ही चुपचाप यह जहाज चला चुका है, और इसलिए उसे लगभग कोई ध्यान या विरोध नहीं मिला
https://httptoolkit.com/blog/apple-private-access-tokens-att...
https://toot.cafe/@pimterry/110775130465014555
tech news और blogs की यह अफसोसजनक हालत है। बड़ी तस्वीर नहीं देखते, बस वही drama दोहराते हैं
इसके उलट, Google Analytics या Google ads इस्तेमाल करने वाली websites से मैं लगातार interact करता हूँ। अगर वे sites मेरे चुने हुए browser को reject करना शुरू कर दें, तो internet के एक बड़े हिस्से से मैं सचमुच block हो जाऊँगा
बाकी 60% internet users को भी असल में इस technology को अपनाने के लिए मजबूर किया जा सकता है। प्रभावित users की संख्या एक-दो orders of magnitude ज्यादा है, इसलिए alarm बजाने की पर्याप्त वजह है
पहली use case का विज्ञापन interaction के असली होने की पुष्टि करना होना बस शुरुआत है। Attestation अंततः विज्ञापनदाताओं को यह मांग करने की स्थिति में ला सकता है कि उपयोगकर्ता सचमुच अपनी जगह पर है और स्क्रीन देख रहा है
यह Black Mirror के “Fifteen Million Merits” एपिसोड जैसा हो सकता है
https://www.creativebloq.com/sony-tv-patent
इसमें TV दर्शक को विज्ञापन skip करने के लिए brand का नाम चिल्लाना पड़ता है। जैसे “McDonald's!” चिल्लाने पर ही Big Mac हटता है
अगर रोका न जाए तो कंपनियां सबसे पागलपन भरी और भयानक चीजें करेंगी, और यह सच में होगा
अब दो चीजों की जरूरत है। पहली, Google को search और ads में बांटने वाला antitrust split। दूसरी, advertising tax
search engines के लिए बहुत ज्यादा ads दिखाना आर्थिक रूप से घाटे का सौदा बनाना होगा
Google अपनी बाजार स्थिति—सबसे बड़ा ad seller होने के साथ-साथ सबसे लोकप्रिय browser Chrome/Chromium का निर्माता होने—का इस्तेमाल करके यह सुनिश्चित करना चाहता है कि उपयोगकर्ता किसी भी website पर Google ads देखने से बच न सके
इसके बजाय यह tactically नुकसानदेह होना चाहिए। क्योंकि ads accuracy को खराब करते हैं और users को दूर भगाते हैं। लेकिन अगर कोई कहीं ज्यादा accurate competitor न हो तो यह लंबे समय तक टिक सकता है
Google Search में कुछ hopeful signals भी हैं। कुछ लोग report कर रहे हैं कि accuracy घटी है, और Google spam से बचने के लिए अपने खास व्यवहार को लगातार बदलता रहता है, जिससे लोगों ने SEO और Google Search की तरकीबों में जो मेहनत लगाई थी वह बेकार हो रही है। हालांकि ये दोनों एक ही phenomenon भी हो सकते हैं
YouTube पर “यह website आपके device के साथ compatible नहीं है” लिखा दिखता नजर आ रहा है
यह Google के नियंत्रण में है, और वे चाहते हैं कि official browser में ads देखे जाएं, इसलिए अजीब नहीं है। शुरुआती तौर पर यह banking apps में भी आ सकता है
लंबे समय में यह या तो मुरझाकर खत्म होगा, या antitrust action की ओर ले जाएगा। कोई और रास्ता साफ नहीं दिखता
जिस 1% को फर्क पड़ता है, वे ऐसा करेंगे। लेकिन जो पहले open web था, वहां अब भूमिगत “crack” जैसे तरीके अपनाने पड़ें—यह डरावना है। detect होने पर block होने का risk भी है
समझ नहीं आता कि WEI दरवाजे के peephole से ठीक-ठीक ज्यादा बुरा कैसे है। bots पहले से बड़ी समस्या हैं और और खराब हो रहे हैं। विकल्प क्या है?
असल दुनिया में भी और web पर भी यह जानना जरूरी है कि सामने वाला कौन है। शायद मैं अकेला होऊं, लेकिन मुझे WEI अच्छी चीज लगता है
जिसने site चलाई है उसे पता होगा कि bots कितनी सिरदर्दी पैदा करते हैं। जिन sites को bots की परवाह नहीं है, वे WEI न इस्तेमाल करें। बेशक असल में वे इस्तेमाल करेंगी। क्योंकि bots सिरदर्द हैं
AI के बढ़ने के साथ यह वैसे भी unavoidable था। ऐसा नहीं मानना लगभग भ्रम है
WEI में “approved devices” वाले तरीके का असली DRM बनने की क्षमता है। यह बहुत invasive है, और बड़ी कंपनियों की मर्जी से screen readers, ad blocking, anti-tracking, fingerprinting protection, copyrighted content download, और आगे जो भी use cases सूझें, उन्हें बाहर करने के लिए इस्तेमाल हो सकता है
यह सचमुच web को App Store में, और अच्छे से देखें तो कई app stores में बदलने का gateway है। अगर bots समस्या हैं तो具体 तौर पर बताना चाहिए। अच्छे bots भी बहुत हैं, और irony यह है कि bot traffic का बड़ा हिस्सा इन्हीं चीजों को push करने वाली बड़ी कंपनियों से आता है। malicious bots के लिए IP block lists हैं, grey-area manipulation bots समस्या हैं, लेकिन हर user को अनिवार्य हथकड़ी क्यों पहनाई जाए, यह अलग सवाल है
bots बस ऐसे computers हैं जो owner की चाही हुई चीजें करते हैं। WEI पसंद करने वाला रुख ऐसा है मानो किसी को यह असुविधाजनक लगता है कि दूसरे लोग computers को उसके मनमुताबिक न चलाएं, इसलिए वह उस computer का control छीनना चाहता है
strong AI के दहलीज पर होने के इस समय में general-purpose computing छीनने की कोशिश दिख रही है। सबसे खराब नतीजे इसी से निकलते हैं कि लोग अपने computers को control करने की क्षमता खो देते हैं
मैं खुद बनाए कई web scraper scripts इस्तेमाल करता हूं। उदाहरण के लिए, मेरे पास सभी salary slips की digital copies हैं। ऐसी चीजें लगभग पूरी तरह बेकार हो जाएंगी
मेरी पिछली नौकरी की retirement fund site monthly statements सिर्फ manually download करने देती थी, और Mechanize library detect करके robot prohibition warning दिखाती थी। हर महीने manually करने वाला कोई नहीं होगा, लेकिन robots को भी allow नहीं किया गया था
फिर भी उस समय block करने के लिए कहीं special software install करना पड़ता था, लेकिन यह ऐसी हरकत को कहीं ज्यादा आसान बना देता है। Selenium जैसे tools की भी चिंता है। यह SSL नहीं है
इस प्रस्ताव पर नैतिक आक्रोश बहुत है, और यह जायज़ भी है। बल्कि यह और ज़्यादा तीखा होना चाहिए। हालांकि उससे अलग, यह प्रस्ताव वैसे भी ठीक से काम करता नहीं दिखता
अगर इसे बिना विरोध के लागू किया गया, तो यह एक closed loop वाला मजबूत DRM web बन जाएगा और कानून बनाने वालों का ध्यान खींचेगा। उम्मीद है ऐसा ही हो
अगर विरोध करने वाले browser बचे रहते हैं, तो websites के लिए यह खास उपयोगी नहीं रहेगा। क्योंकि उन्हें धोखाधड़ी का पता लगाने के लिए backup mechanism वैसे भी बनाए रखना होगा। अगर उसे बनाए रखना ही है, तो वे शायद मौजूदा तरीकों को ही एकमात्र समाधान के रूप में इस्तेमाल करना बेहतर समझेंगे, जिनसे कहीं ज़्यादा personal data इकट्ठा किया जा सकता है