1 पॉइंट द्वारा GN⁺ 2023-07-27 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google के 4 इंजीनियरों द्वारा बनाया गया Web Environment Integrity एक API प्रस्ताव था, जिसमें वेबसाइटों को उपयोगकर्ता के client environment के evidence token मांगने की अनुमति देने की बात थी; Google ने 2 नवंबर 2023 को इसे बंद कर दिया
  • इसका सतही उद्देश्य web trust और security बढ़ाना था, जैसे ad sites पर human user verification, social sites पर fake engagement की पहचान, और online games में rules compliance की पुष्टि
  • Mozilla ने माना कि fraud और invalid traffic detection हल करने योग्य समस्याएं हैं, फिर भी उसने इसका विरोध किया क्योंकि यह स्पष्ट नहीं था कि यह प्रस्ताव वास्तविक use cases में क्या प्रगति लाएगा, और इसमें स्पष्ट कमियां थीं
  • आलोचकों को चिंता थी कि token में unique identifier न होने पर भी, दुरुपयोग होने पर यह surveillance और control की ओर ले जा सकता है, और webpages में DRM लाकर browser ad blocking को लगभग असंभव बना सकता है
  • attester पर नियंत्रण और baseline requirements तय करने वाला कौन होगा, यह अस्पष्ट था; इसलिए बड़ी tech कंपनियों द्वारा trust score और web accessibility को नियंत्रित कर open web को नुकसान पहुंचाने का जोखिम बना रहा

Web Environment Integrity प्रस्ताव और उसका बंद होना

  • Google ने “Web Environment Integrity Explainer” प्रस्तावित किया था, और यह document Google के 4 engineers ने लिखा था
  • 2 नवंबर 2023 के update के अनुसार, Google ने इस प्रस्ताव को बंद कर दिया, और इससे जुड़ा एक अलग follow-up post link किया गया
  • 26 जुलाई 2023 के update में एक commit पेश किया गया, जो इस feature के Chromium में जाने की दिशा का संकेत लगता था
  • प्रस्ताव के लेखकों में से एक Rupert Ben Wiser ने GitHub पर एक comment छोड़ा कि वे backlash महसूस कर रहे हैं

Token-based verification जिन use cases को target कर रही थी

  • मुख्य idea यह था कि वेबसाइट client code environment के बारे में evidence रखने वाला token मांगे, ताकि access environment को अधिक भरोसेमंद बनाया जा सके
  • प्रस्ताव में दिए गए use cases तीन बिंदुओं में समेटे जा सकते हैं
    • Ad-based website यह पुष्टि करे कि user bot नहीं, human है
    • Social website real user engagement और fake engagement में फर्क करे
    • Online game user यह verify करे कि दूसरे players game rules का पालन कर रहे हैं
  • Google की ओर से कहा गया कि token में unique identifier शामिल नहीं होगा, लेकिन आलोचकों का मानना था कि दुरुपयोग होने पर अनुचित surveillance और control संभव हो सकता है
  • Mozilla ने standards position issue में कहा कि fraud और invalid traffic detection हल करने लायक हैं, लेकिन इस प्रस्ताव से वास्तविक प्रगति कैसे होगी यह अस्पष्ट है, और adoption के नुकसान स्पष्ट हैं; इसलिए उसने विरोध किया

DRM, extensions और attester control को लेकर चिंताएं

  • आलोचकों का मानना था कि यह API web पर user behavior को control करने के लिए इस्तेमाल हो सकता है, और webpages में DRM को चुपचाप लाकर browser के भीतर ad blocking को लगभग असंभव बना सकता है
  • यह संभावना user experience के साथ-साथ net neutrality और web की openness को लेकर चिंताओं तक जाती है
  • client environment को verify करने वाले attester को कौन control करेगा, यह tech community में मुख्य मुद्दा बन गया
    • अगर Google या कोई दूसरी बड़ी tech कंपनी attester को control करती है, तो trust score में हेरफेर हो सकने की चिंता है
    • यह ढांचा ऐसा बन सकता है जिसमें कुछ कंपनियां तय करें कि कौन-सी websites भरोसेमंद हैं
  • Browser modifications और extensions पर प्रभाव भी अस्पष्ट था
    • प्रस्ताव में कहा गया कि Web Environment Integrity underlying hardware और software stack की legitimacy का attestation करता है, और दिखाई गई application capabilities को restrict नहीं करता
    • Extensions को allow करने या modified browsers में यह explanation कैसे लागू होगा, यह grey area बना रहा
  • प्रस्ताव में कहा गया कि attester को specific baseline requirements पूरा करने वाले सभी browsers को समान शर्तों पर service देनी चाहिए, लेकिन baseline requirements कैसे तय होंगी और उन्हें enforce कौन करेगा, यह स्पष्ट नहीं था

1 टिप्पणियां

 
GN⁺ 2023-07-27
Hacker News की राय
  • पिछली चर्चाएँ: Web Environment Integrity API Proposalhttps://news.ycombinator.com/item?id=36817305 (618 पॉइंट/4 दिन पहले/442 कमेंट), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 पॉइंट/7 दिन पहले/94 कमेंट), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 पॉइंट/6 दिन पहले/44 कमेंट)

    • संबंधित पोस्ट: Apple के web attestation का उदाहरण भी है — Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - (530 पॉइंट/1 दिन पहले/398 कमेंट)
  • यह सिर्फ शीर्षक की तरह “ad blocking को लगभग असंभव बनाना” नहीं है, बल्कि इंटरनेट ब्राउज़िंग को केवल Chrome, Safari, Edge पर संभव बनाना और उनमें modification या extension को भी रोकना है
    इसे केवल macOS, Windows, Android, iOS पर संभव बनाना और LineageOS या GrapheneOS जैसे custom Android distributions को बाहर करना है
    इसमें internet crawling को भी सिर्फ Google के लिए संभव बनाकर private crawling और प्रतिस्पर्धी search engines को रोकना तक शामिल है

    • Apple, Microsoft, Google द्वारा अनुमत CPU पर ही web browsing संभव बनाई जा सकती है
      तब RISC-V अभी नहीं चलेगा, और बाद में support मिलने पर भी CPU competition की अनुमति नहीं होगी
      SoC भी सिर्फ वही चलेंगे जिन्हें ये अनुमति दें, और web browser वाले calculator जैसे form factor भी बाहर किए जा सकते हैं
      जैसे Android ने पहले document-centric browser UX अपनाया था, वैसे OS-level UX changes तक नियंत्रित किए जा सकते हैं
      Android पक्ष से आने वाले किसी व्यक्ति के लिए ये उदाहरण पहले से ही Google/Android पर लागू मामलों जैसे लगते हैं
      [0] यह हिस्सा इस पर निर्भर करता है कि Web Environment Integrity implementation इनके द्वारा मंजूर पूरे secure boot को enforce करता है या नहीं
      [1] Android चलाने वाले calculators हैं, लेकिन वे Google/Android नहीं हैं, इसलिए शायद Chrome नहीं चला पाएँ। walking robots, toothbrushes, urinals जैसे अजीब Android devices भी बहुत हैं
      [2] बेहतर उदाहरण होंगे, लेकिन महत्वपूर्ण बात यह है कि यह browser competition से ज्यादा पूरे OS में बदलाव था
    • remote attestation याददाश्त के मुताबिक hardware attestation पर निर्भर करता है, इसलिए ऐसी websites केवल अनुमति प्राप्त DRM-enforced hardware और architectures पर ही चलेंगी
      केवल Intel, AMD, Qualcomm जैसी कंपनियाँ संभव होंगी, और open-source firmware·architecture·hardware बाहर हो जाएँगे
    • अगर यह सफल हुआ तो Microsoft के खिलाफ antitrust lawsuit बच्चों का खेल लगेगा
    • ऐसा हुआ तो अमेरिका से खराब संबंध रखने वाले देशों के पास उल्टा सचमुच का free internet हो सकता है
      ऐसी tech services और products उनके लिए वांछनीय नहीं होंगे या सुलभ नहीं होंगे, और Third World को अपने solutions इस्तेमाल करने के लिए मजबूर किया जाएगा, जिससे वे advertising-centric न होकर ज्यादा innovative दिशा में जा सकते हैं
    • अंत में ऐसा लगता है कि कंपनियों को संतुष्ट करने वाला commercial internet और स्वतंत्र सोच के लिए federated public internet अलग हो जाएँगे
      इस प्रवाह को bypass करने के लिए federated publishing tools पर ध्यान देना सबसे अच्छा है
      अगर कंपनियाँ internet तोड़ना चाहती हैं तो उन्हें nuclear war से भी ज्यादा विध्वंसक होना पड़ेगा, और हम कभी भी उनके इर्द-गिर्द route कर सकते हैं
  • समझ नहीं आता कि ऐसे software engineers कैसे काम करते रह सकते हैं
    सोचता हूँ कि पैसे लेने वाले engineers या संबंधित लोगों में छोड़ने की हिम्मत या गरिमा नहीं है क्या
    अगर मुझसे ऐसी चीज़ आगे बढ़ाने को कहा जाता, तो चाहे कोई भी offer मिलता, मैं तुरंत चला जाता, और यह यकीन करना मुश्किल है कि Google के अंदर कोई विरोध नहीं कर रहा
    अगर यह सच में launch होता है, तो उम्मीद है कि आखिरकार Google को इसका बड़ा backlash झेलना पड़े

    • ऐसा लगता है जैसे दो-तीन पीढ़ियों के developers को उस industry ने छीन लिया है जिसके लिए गड्ढे खोदना और फिर भरना बेहतर होता
      शायद इसी वजह से आजकल programming नीचे के 10% talent से बनी हुई लगती है
      फिर भी लोग पैसे के लिए करते हैं। 2015 के आसपास FAANG offer ठुकराया था, क्योंकि मुझे अमेरिका के दूसरे छोर पर जाना पड़ता और ऐसी company में काम करता तो शायद नींद नहीं आती
      पहले साल का total compensation performance के हिसाब से $250k–$350k था और signing bonus भी था
      आज भी जब self-employment/contract work में हर महीने काम ढूँढने के लिए जूझता हूँ, तो उस फैसले पर आधा पछतावा होता है
    • कुछ समय तक ऐसी company में काम किया जिसे Google से भी बुरा काम करने वाली माना जा सकता था
      गरिमा या साहस से अलग, अगर पालने के लिए परिवार, mortgage, medical bills, pets, hobbies हों, तो salary को बस “लात मारकर छोड़ देना” मुश्किल है
      काम समय और social life का बड़ा हिस्सा है, और साथ काम करने वाले colleagues और दोस्तों को छोड़ने का फैसला भी आसान नहीं है
      engineers से उम्मीद करना कि वे हमारी जगह इस पहाड़ी पर मर जाएँ, बहुत unfair है
      Google उन्हें पलक झपकते replace कर सकता है, इसलिए परिणाम लगभग 0 होगा; ऐसे में dignity या morality के नाम पर अपने और परिवार की livelihood·health को जोखिम में न डालने के लिए उन्हें दोष देना, मुझे responsibility shifting जैसा लगता है
    • इसी thread में Google का बचाव करने वाले लोग भी हैं
      यह मानना भी मुश्किल नहीं कि engineer खुद ऐसी work करना चाहता हो
    • अगर मुझे ऐसा project दिया जाए, तो मैं 150% समर्थन करने का दिखावा करते हुए अंदर से subvert और obstruct करूँगा
      शैतान से पैसे लेकर उसकी योजना से लड़ सकते हैं, है न
      tech industry में चमकदार काम इतना ज्यादा है कि project खराब भी हो जाए तो coincidence जैसा दिखाया जा सकता है
      उम्मीद है कि Google के कुछ internal engineers अभी ऐसा ही कर रहे होंगे
    • अगर आज के engineers ही होते, तो open internet जैसी चीज़ मौजूद नहीं होती
      बड़े पैसे ने Big Tech की ओर लोगों को खींचकर कुछ बिगाड़ दिया, और अगली बार कम-से-कम दो कदम आगे सोचने की जरूरत है
  • लेख खुद सतर्क और अच्छा है, लेकिन शीर्षक बेवकूफाना clickbait है
    अगर independent institutions को attester (प्रमाणक) बनने देने की कोई योजना नहीं है, तो यह बचे हुए खुले इंटरनेट के लिए साफ़ खतरा है
    Google या Apple का इस बात को साफ़ तौर पर न उठाना सबसे बड़ा मरा हुआ कैनरी जैसा लगता है
    जिन private companies ने पहले ही इंटरनेट के हिस्सों पर monopoly बना ली है, वे “चिंता मत करो, हम संभाल लेंगे” कहकर बात टाल रही हैं, और प्रमाणन का काम उन्हीं को बिल्कुल नहीं सौंपा जाना चाहिए

    • मान लें कि कोई निष्पक्ष और objective attester हो भी, तब भी समस्या criteria conditions और उन्हें define करने वाले में है
      खतरे दो तरह के हैं: “agent में ad blocker शामिल नहीं है”, “explicit website permission के बिना scraping प्रतिबंधित है” जैसी hostile requirements, और “protocol X/Y/Z और standards A/B/C implement करता है” जैसी requirements, जो अलग-अलग तो reasonable हों लेकिन मिलकर इतनी prohibitive हो जाएं कि केवल बड़े vendors ही उन्हें संभाल सकें
      ऊपर से ये criteria verifiable होने चाहिए, इसलिए अगर user agent को modify करता है तो attestation खुद लगभग invalid हो जाता है
    • यह किसी web store में घुसते समय यह बताने से कैसे अलग है कि मैं कितना कमाता हूं और कितना खर्च कर सकता हूं
    • ऐसे scenario के बारे में सोचिए: कोई content site bots रोकने के लिए Web Integrity API implement करती है, लेकिन traffic source होने की वजह से Google crawler को allow करती रहती है
      तब Google के competitors block हो जाते हैं। attester इस समस्या को कैसे हल करेगा?
  • अगर आपने यह लेख Chrome में पढ़ा है, तो वह अपने आप में समस्या का हिस्सा है
    अगर Google के पास लगभग monopoly position न होती तो ऐसी भयानक चीज़ की संभावना ही नहीं होती
    खुले इंटरनेट के लिए दूसरे browser पर जाना चाहिए। desktop पर Firefox सबसे अच्छा है, और Chromium-based browser भी Chrome न हो तो बेहतर हो सकता है
    Android पर Firefox extensions बहुत limited होने के कारण कमजोर है, लेकिन बिल्कुल extensions न रखने वाले Chrome से बेहतर है, और iOS पर वह बस बिना extensions वाला Safari wrapper है, लेकिन sync हर जगह अच्छा काम करता है

    • सहमत हूं और Firefox हर जगह इस्तेमाल कर रहा हूं
      हालांकि यह नहीं भूलना चाहिए कि 2011 में Mozilla की income का 85% Google के default search engine deal से आया था
      कहा जाता है कि एक समय 3 साल में लगभग 1 billion dollars दिए गए थे, और Microsoft ने Bing को default बनाने के लिए bid किया तो price बढ़ गया
      इसलिए जब भी Mozilla Google की आलोचना करता है, तो यह उसे खिलाने वाले हाथ को काटने जैसा अटपटा लगता है
      Microsoft, Yahoo, DDG, Baidu के साथ deal हो सकती है, लेकिन Google की दिलचस्पी न हो तो funding घटती दिखती है
      फिर भी Firefox और Chrome, दोनों open source हैं—यह tech giants की freedom सीमित करने वाली शरारतों के खिलाफ एक छोटा insurance है
    • ऐसी बातों की परवाह न भी करें, तो भी Firefox ज्यादा तेज browser है
      https://news.ycombinator.com/item?id=36770883
    • जब Chrome पहली बार आया था, मैं लगभग तुरंत switch कर गया था और उस समय वह revolutionary था
      लेकिन Chrome बहुत dominant हो गया और Google standardization committees में अपनी ताकत जरूरत से ज्यादा इस्तेमाल करने लगा, इसलिए कुछ साल पहले मैं Firefox पर लौट आया
      जब Chromium सच में चाहिए होता है तो Edge इस्तेमाल करता हूं, और सच कहूं तो वह मुझे काफी पसंद है
    • Android पर भी असल में ज्यादा extensions इस्तेमाल किए जा सकते हैं
      Mozilla account में extension collection बनाएं तो कोई भी extension इस्तेमाल कर सकते हैं, और कई extensions वैसे ही काम करते हैं
    • web standards भी समस्या का वह हिस्सा हैं जिस पर लोग ज्यादा नहीं सोचते
      मौजूदा rendering engines standards के साथ-साथ बढ़े हैं, लेकिन खासकर CSS standards इतने बेतुके ढंग से complex हो गए हैं कि नया engine implement करना लगभग असंभव हो गया है
      Microsoft तक ने हार मान ली और Edge असल में Chrome बन गया
      Chrome open source base पर है, फिर भी वास्तव में Google का प्रभाव बहुत बड़ा है
      अगर Google इस योजना को लेकर serious है, तो वह इसे projects में धकेलकर web experience का जरूरी हिस्सा बनाने की कोशिश करेगा, और Firefox का मुख्य sponsor भी होने के कारण वहां भी उसका प्रभाव है
  • Google engineer का latest जवाब reality से कटा हुआ है: https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • यह मानना कि holdback feature जैसा describe किया गया है वैसा ही implement होगा, बहुत भोला होना है
      अगर implement हो भी गया, तो गुस्सा ठंडा पड़ते ही उसे चुपचाप हटाए जाने की संभावना बड़ी है
      अगर वह बचा भी रहा, तो ratio पर्याप्त कम होने पर attestation fail करने वाले users पर CAPTCHA की बौछार होगी या उन्हें बस निकल जाने को कहा जाएगा
      TOR से web browse करके देखें, आपको पता चल जाएगा कि कैसा व्यवहार मिलेगा
      पूरा लेख “बस मुझ पर भरोसा करो” में summarize हो जाता है
    • वहां कहा गया है कि user agent reduction, IP reduction, cross-site storage prevention, fingerprint randomization जैसे privacy features individual clients को distinguish या re-identify करना मुश्किल बनाते हैं, जो अच्छा है, लेकिन fraud prevention को और कठिन बनाते हैं
      उनका कहना है कि नए API के बिना web को ज्यादा private बनाने पर basic content access के लिए login walls, ज्यादा intrusive fingerprinting, SMS verification और CAPTCHA जैसी अत्यधिक challenges बढ़ सकती हैं; सोचता हूं क्या इन दावों को support करने वाला data है
    • “बड़ी discussion की जरूरत है” कहना “समझो कि मैं सही क्यों हूं” के ज्यादा करीब है, “यह बुरा idea था” के नहीं
    • “आइए सही रास्ता साथ मिलकर खोजें” कहना ही तो issues का हासिल करने का मकसद है
      मौजूदा रास्ता पूरी तरह गलत और लापरवाह है, और साथ काम करने का पहला कदम इस approach को पूरी तरह छोड़ना है
      यह global warming को nuclear winter से हल करने जैसा है, इसलिए यह ऐसा issue नहीं है जिसे iterative improvements या बीच के रास्ते से सुलझाया जा सके
      इस proposal की premise ही खतरनाक है, इसलिए इसे discard करना चाहिए
      बस उन अनगिनत तरीकों के बारे में सोचिए जिनसे इसका दुरुपयोग हो सकता है और जाहिर है होगा
      GitHub comments बंद दिखे, इसलिए यहां लिख रहा हूं
    • GitHub profile photo को yellow duck में बदलना मुझे पसंद आया
      अगर मैं शैतान के लिए काम कर रहा होता और यह जानता होता, तो मैं भी यही करता
  • अफसोस, हम सब इसे खुशी-खुशी स्वीकार कर लेंगे
    क्योंकि Chrome “सुविधाजनक” है
    लोग सुविधा के लिए कुछ भी स्वीकार कर लेते हैं, और WhatsApp इसका अच्छा उदाहरण है। दुनिया भर में करोड़ों लोग अपनी पूरी फोनबुक खुशी-खुशी Facebook/Meta के साथ शेयर और sync कर देते हैं
    अगर आपको फर्क पड़ता है, तो Chrome इस्तेमाल नहीं करना चाहिए। इस दुष्ट कदम की आलोचना करते हुए भी Chrome इस्तेमाल करते रहना, समस्या का हिस्सा होना है

    • मैंने मोबाइल/डेस्कटॉप OS, browser, लगभग हर software, यहां तक कि cloud file storage तक को पूरी तरह open source environment में शिफ्ट कर लिया है
      बस Google Search अभी भी इस्तेमाल करने वाला एक अपवाद है
      बड़े language models के बेहतर होने के साथ, शायद किसी दिन अगर मैं अपना LLM चला सकूं तो monopolistic companies पर निर्भरता से पूरी तरह बाहर निकल पाऊंगा
    • WhatsApp और Chrome अलग हैं
      WhatsApp न इस्तेमाल करने की social cost होती है, खासकर Germany या India जैसे देशों में जहां लगभग हर कोई इसे इस्तेमाल करता है; आप दूसरे users से बात नहीं कर पाते या group chats में शामिल नहीं हो पाते
      Chrome न इस्तेमाल करने की cost लगभग 0 है। वही websites इस्तेमाल करें, बस Firefox इस्तेमाल करें
    • अगर मैं अपनी फोनबुक Meta के साथ शेयर करूं तो उससे क्या भयानक नतीजे होंगे, यह कोई समझाए तो अच्छा होगा
  • क्या ad-based web industry वाकई इंसानों और bots को authenticate करने के लिए इतनी बेताब नहीं है?

    • असल में यह इंसानों को authenticate करना नहीं, बल्कि approved software और hardware को authenticate करना है
      bots को video feed और input devices से जुड़े “provable” devices के जरिए internet इस्तेमाल करने से रोकने की कोई वजह नहीं है
      यह बस bots की sophistication का standard बढ़ाएगा
      एक दूसरे thread में phone पर camera तानने और robot “finger” से उसे operate करने की बात भी थी
      WEI हो तो CAPTCHA नहीं आएगा, इसलिए यह उल्टा और आसान भी हो सकता है। आखिर वह “इंसान” जैसा ही दिखेगा
    • वे बस चाहते हैं कि हम ऐसा सोचें
      bot clicks भी clicks हैं और उन पर charge किया जा सकता है
      मैंने कहीं पढ़ा था कि Facebook ad clicks के 80–90% bots थे, और यह मेरे संभाले commercial website traffic से भी मिलता-जुलता है
      ज्यादातर traffic bots, crawlers, scanners, “security researchers” से आता है
      कभी-कभी असली fraud भी दिखता है, जैसे affiliate marketing traffic boosters जो banner click करके order करते हैं और payment नहीं करते, ऐसा दिन में 200 बार दोहराते हैं; लेकिन stats अच्छे दिखें तो किसी को फर्क नहीं पड़ता
  • Google पर ads संभालने के मामले में भरोसा नहीं किया जा सकता
    आज ही मैंने Hong Kong से आए 3 ads देखे जो Macy’s और Bed Bath & Beyond होने का नाटक कर रहे थे, और YouTube पर fake Mr Beast ads फिर लौट आए हैं
    Queen's Blade के लगभग porn जैसे ads की बात तो छोड़ ही देता हूं

    • YouTube investment advice scams वाले ads भी दिखाता है
      यह कैसे ठीक माना जाता है, और Google ad blockers को रोकने की कोशिश को कैसे justify कर सकता है, समझ नहीं आता
      मेरे हिसाब से ad blocker vaccine से भी ज्यादा जरूरी security barrier है, और मेरे लिए लगभग 10 साल से ऐसा ही है
  • मैंने अपनी तरफ से काम कर दिया है, और अपनी website पर “Chrome में उपलब्ध नहीं है। ज्यादा modern और open browser इस्तेमाल करें…” वाला message और explanation दिखा रहा हूं
    अगर हम developers में से ज्यादातर ऐसा करें, तो यह बदलाव संभव नहीं होगा
    बेहतर तो यह होगा कि कोई JS file बना दे, जिसे बाकी लोग बस include कर लें और भविष्य का web कैसा दिखेगा यह दिखाने वाला forced block popup दिखा सके
    साथ में अच्छा explanation और related video links भी हों तो अच्छा होगा