Google इंजीनियरों का Web Environment Integrity प्रस्ताव, जो ad blocking को लगभग असंभव बना सकता था
(stackdiary.com)- Google के 4 इंजीनियरों द्वारा बनाया गया Web Environment Integrity एक API प्रस्ताव था, जिसमें वेबसाइटों को उपयोगकर्ता के client environment के evidence token मांगने की अनुमति देने की बात थी; Google ने 2 नवंबर 2023 को इसे बंद कर दिया
- इसका सतही उद्देश्य web trust और security बढ़ाना था, जैसे ad sites पर human user verification, social sites पर fake engagement की पहचान, और online games में rules compliance की पुष्टि
- Mozilla ने माना कि fraud और invalid traffic detection हल करने योग्य समस्याएं हैं, फिर भी उसने इसका विरोध किया क्योंकि यह स्पष्ट नहीं था कि यह प्रस्ताव वास्तविक use cases में क्या प्रगति लाएगा, और इसमें स्पष्ट कमियां थीं
- आलोचकों को चिंता थी कि token में unique identifier न होने पर भी, दुरुपयोग होने पर यह surveillance और control की ओर ले जा सकता है, और webpages में DRM लाकर browser ad blocking को लगभग असंभव बना सकता है
- attester पर नियंत्रण और baseline requirements तय करने वाला कौन होगा, यह अस्पष्ट था; इसलिए बड़ी tech कंपनियों द्वारा trust score और web accessibility को नियंत्रित कर open web को नुकसान पहुंचाने का जोखिम बना रहा
Web Environment Integrity प्रस्ताव और उसका बंद होना
- Google ने “Web Environment Integrity Explainer” प्रस्तावित किया था, और यह document Google के 4 engineers ने लिखा था
- 2 नवंबर 2023 के update के अनुसार, Google ने इस प्रस्ताव को बंद कर दिया, और इससे जुड़ा एक अलग follow-up post link किया गया
- 26 जुलाई 2023 के update में एक commit पेश किया गया, जो इस feature के Chromium में जाने की दिशा का संकेत लगता था
- प्रस्ताव के लेखकों में से एक Rupert Ben Wiser ने GitHub पर एक comment छोड़ा कि वे backlash महसूस कर रहे हैं
Token-based verification जिन use cases को target कर रही थी
- मुख्य idea यह था कि वेबसाइट client code environment के बारे में evidence रखने वाला token मांगे, ताकि access environment को अधिक भरोसेमंद बनाया जा सके
- प्रस्ताव में दिए गए use cases तीन बिंदुओं में समेटे जा सकते हैं
- Ad-based website यह पुष्टि करे कि user bot नहीं, human है
- Social website real user engagement और fake engagement में फर्क करे
- Online game user यह verify करे कि दूसरे players game rules का पालन कर रहे हैं
- Google की ओर से कहा गया कि token में unique identifier शामिल नहीं होगा, लेकिन आलोचकों का मानना था कि दुरुपयोग होने पर अनुचित surveillance और control संभव हो सकता है
- Mozilla ने standards position issue में कहा कि fraud और invalid traffic detection हल करने लायक हैं, लेकिन इस प्रस्ताव से वास्तविक प्रगति कैसे होगी यह अस्पष्ट है, और adoption के नुकसान स्पष्ट हैं; इसलिए उसने विरोध किया
DRM, extensions और attester control को लेकर चिंताएं
- आलोचकों का मानना था कि यह API web पर user behavior को control करने के लिए इस्तेमाल हो सकता है, और webpages में DRM को चुपचाप लाकर browser के भीतर ad blocking को लगभग असंभव बना सकता है
- यह संभावना user experience के साथ-साथ net neutrality और web की openness को लेकर चिंताओं तक जाती है
- client environment को verify करने वाले attester को कौन control करेगा, यह tech community में मुख्य मुद्दा बन गया
- अगर Google या कोई दूसरी बड़ी tech कंपनी attester को control करती है, तो trust score में हेरफेर हो सकने की चिंता है
- यह ढांचा ऐसा बन सकता है जिसमें कुछ कंपनियां तय करें कि कौन-सी websites भरोसेमंद हैं
- Browser modifications और extensions पर प्रभाव भी अस्पष्ट था
- प्रस्ताव में कहा गया कि Web Environment Integrity underlying hardware और software stack की legitimacy का attestation करता है, और दिखाई गई application capabilities को restrict नहीं करता
- Extensions को allow करने या modified browsers में यह explanation कैसे लागू होगा, यह grey area बना रहा
- प्रस्ताव में कहा गया कि attester को specific baseline requirements पूरा करने वाले सभी browsers को समान शर्तों पर service देनी चाहिए, लेकिन baseline requirements कैसे तय होंगी और उन्हें enforce कौन करेगा, यह स्पष्ट नहीं था
1 टिप्पणियां
Hacker News की राय
पिछली चर्चाएँ: Web Environment Integrity API Proposal – https://news.ycombinator.com/item?id=36817305 (618 पॉइंट/4 दिन पहले/442 कमेंट), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 पॉइंट/7 दिन पहले/94 कमेंट), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 पॉइंट/6 दिन पहले/44 कमेंट)
यह सिर्फ शीर्षक की तरह “ad blocking को लगभग असंभव बनाना” नहीं है, बल्कि इंटरनेट ब्राउज़िंग को केवल Chrome, Safari, Edge पर संभव बनाना और उनमें modification या extension को भी रोकना है
इसे केवल macOS, Windows, Android, iOS पर संभव बनाना और LineageOS या GrapheneOS जैसे custom Android distributions को बाहर करना है
इसमें internet crawling को भी सिर्फ Google के लिए संभव बनाकर private crawling और प्रतिस्पर्धी search engines को रोकना तक शामिल है
तब RISC-V अभी नहीं चलेगा, और बाद में support मिलने पर भी CPU competition की अनुमति नहीं होगी
SoC भी सिर्फ वही चलेंगे जिन्हें ये अनुमति दें, और web browser वाले calculator जैसे form factor भी बाहर किए जा सकते हैं
जैसे Android ने पहले document-centric browser UX अपनाया था, वैसे OS-level UX changes तक नियंत्रित किए जा सकते हैं
Android पक्ष से आने वाले किसी व्यक्ति के लिए ये उदाहरण पहले से ही Google/Android पर लागू मामलों जैसे लगते हैं
[0] यह हिस्सा इस पर निर्भर करता है कि Web Environment Integrity implementation इनके द्वारा मंजूर पूरे secure boot को enforce करता है या नहीं
[1] Android चलाने वाले calculators हैं, लेकिन वे Google/Android नहीं हैं, इसलिए शायद Chrome नहीं चला पाएँ। walking robots, toothbrushes, urinals जैसे अजीब Android devices भी बहुत हैं
[2] बेहतर उदाहरण होंगे, लेकिन महत्वपूर्ण बात यह है कि यह browser competition से ज्यादा पूरे OS में बदलाव था
केवल Intel, AMD, Qualcomm जैसी कंपनियाँ संभव होंगी, और open-source firmware·architecture·hardware बाहर हो जाएँगे
ऐसी tech services और products उनके लिए वांछनीय नहीं होंगे या सुलभ नहीं होंगे, और Third World को अपने solutions इस्तेमाल करने के लिए मजबूर किया जाएगा, जिससे वे advertising-centric न होकर ज्यादा innovative दिशा में जा सकते हैं
इस प्रवाह को bypass करने के लिए federated publishing tools पर ध्यान देना सबसे अच्छा है
अगर कंपनियाँ internet तोड़ना चाहती हैं तो उन्हें nuclear war से भी ज्यादा विध्वंसक होना पड़ेगा, और हम कभी भी उनके इर्द-गिर्द route कर सकते हैं
समझ नहीं आता कि ऐसे software engineers कैसे काम करते रह सकते हैं
सोचता हूँ कि पैसे लेने वाले engineers या संबंधित लोगों में छोड़ने की हिम्मत या गरिमा नहीं है क्या
अगर मुझसे ऐसी चीज़ आगे बढ़ाने को कहा जाता, तो चाहे कोई भी offer मिलता, मैं तुरंत चला जाता, और यह यकीन करना मुश्किल है कि Google के अंदर कोई विरोध नहीं कर रहा
अगर यह सच में launch होता है, तो उम्मीद है कि आखिरकार Google को इसका बड़ा backlash झेलना पड़े
शायद इसी वजह से आजकल programming नीचे के 10% talent से बनी हुई लगती है
फिर भी लोग पैसे के लिए करते हैं। 2015 के आसपास FAANG offer ठुकराया था, क्योंकि मुझे अमेरिका के दूसरे छोर पर जाना पड़ता और ऐसी company में काम करता तो शायद नींद नहीं आती
पहले साल का total compensation performance के हिसाब से $250k–$350k था और signing bonus भी था
आज भी जब self-employment/contract work में हर महीने काम ढूँढने के लिए जूझता हूँ, तो उस फैसले पर आधा पछतावा होता है
गरिमा या साहस से अलग, अगर पालने के लिए परिवार, mortgage, medical bills, pets, hobbies हों, तो salary को बस “लात मारकर छोड़ देना” मुश्किल है
काम समय और social life का बड़ा हिस्सा है, और साथ काम करने वाले colleagues और दोस्तों को छोड़ने का फैसला भी आसान नहीं है
engineers से उम्मीद करना कि वे हमारी जगह इस पहाड़ी पर मर जाएँ, बहुत unfair है
Google उन्हें पलक झपकते replace कर सकता है, इसलिए परिणाम लगभग 0 होगा; ऐसे में dignity या morality के नाम पर अपने और परिवार की livelihood·health को जोखिम में न डालने के लिए उन्हें दोष देना, मुझे responsibility shifting जैसा लगता है
यह मानना भी मुश्किल नहीं कि engineer खुद ऐसी work करना चाहता हो
शैतान से पैसे लेकर उसकी योजना से लड़ सकते हैं, है न
tech industry में चमकदार काम इतना ज्यादा है कि project खराब भी हो जाए तो coincidence जैसा दिखाया जा सकता है
उम्मीद है कि Google के कुछ internal engineers अभी ऐसा ही कर रहे होंगे
बड़े पैसे ने Big Tech की ओर लोगों को खींचकर कुछ बिगाड़ दिया, और अगली बार कम-से-कम दो कदम आगे सोचने की जरूरत है
लेख खुद सतर्क और अच्छा है, लेकिन शीर्षक बेवकूफाना clickbait है
अगर independent institutions को attester (प्रमाणक) बनने देने की कोई योजना नहीं है, तो यह बचे हुए खुले इंटरनेट के लिए साफ़ खतरा है
Google या Apple का इस बात को साफ़ तौर पर न उठाना सबसे बड़ा मरा हुआ कैनरी जैसा लगता है
जिन private companies ने पहले ही इंटरनेट के हिस्सों पर monopoly बना ली है, वे “चिंता मत करो, हम संभाल लेंगे” कहकर बात टाल रही हैं, और प्रमाणन का काम उन्हीं को बिल्कुल नहीं सौंपा जाना चाहिए
खतरे दो तरह के हैं: “agent में ad blocker शामिल नहीं है”, “explicit website permission के बिना scraping प्रतिबंधित है” जैसी hostile requirements, और “protocol X/Y/Z और standards A/B/C implement करता है” जैसी requirements, जो अलग-अलग तो reasonable हों लेकिन मिलकर इतनी prohibitive हो जाएं कि केवल बड़े vendors ही उन्हें संभाल सकें
ऊपर से ये criteria verifiable होने चाहिए, इसलिए अगर user agent को modify करता है तो attestation खुद लगभग invalid हो जाता है
तब Google के competitors block हो जाते हैं। attester इस समस्या को कैसे हल करेगा?
अगर आपने यह लेख Chrome में पढ़ा है, तो वह अपने आप में समस्या का हिस्सा है
अगर Google के पास लगभग monopoly position न होती तो ऐसी भयानक चीज़ की संभावना ही नहीं होती
खुले इंटरनेट के लिए दूसरे browser पर जाना चाहिए। desktop पर Firefox सबसे अच्छा है, और Chromium-based browser भी Chrome न हो तो बेहतर हो सकता है
Android पर Firefox extensions बहुत limited होने के कारण कमजोर है, लेकिन बिल्कुल extensions न रखने वाले Chrome से बेहतर है, और iOS पर वह बस बिना extensions वाला Safari wrapper है, लेकिन sync हर जगह अच्छा काम करता है
हालांकि यह नहीं भूलना चाहिए कि 2011 में Mozilla की income का 85% Google के default search engine deal से आया था
कहा जाता है कि एक समय 3 साल में लगभग 1 billion dollars दिए गए थे, और Microsoft ने Bing को default बनाने के लिए bid किया तो price बढ़ गया
इसलिए जब भी Mozilla Google की आलोचना करता है, तो यह उसे खिलाने वाले हाथ को काटने जैसा अटपटा लगता है
Microsoft, Yahoo, DDG, Baidu के साथ deal हो सकती है, लेकिन Google की दिलचस्पी न हो तो funding घटती दिखती है
फिर भी Firefox और Chrome, दोनों open source हैं—यह tech giants की freedom सीमित करने वाली शरारतों के खिलाफ एक छोटा insurance है
https://news.ycombinator.com/item?id=36770883
लेकिन Chrome बहुत dominant हो गया और Google standardization committees में अपनी ताकत जरूरत से ज्यादा इस्तेमाल करने लगा, इसलिए कुछ साल पहले मैं Firefox पर लौट आया
जब Chromium सच में चाहिए होता है तो Edge इस्तेमाल करता हूं, और सच कहूं तो वह मुझे काफी पसंद है
Mozilla account में extension collection बनाएं तो कोई भी extension इस्तेमाल कर सकते हैं, और कई extensions वैसे ही काम करते हैं
मौजूदा rendering engines standards के साथ-साथ बढ़े हैं, लेकिन खासकर CSS standards इतने बेतुके ढंग से complex हो गए हैं कि नया engine implement करना लगभग असंभव हो गया है
Microsoft तक ने हार मान ली और Edge असल में Chrome बन गया
Chrome open source base पर है, फिर भी वास्तव में Google का प्रभाव बहुत बड़ा है
अगर Google इस योजना को लेकर serious है, तो वह इसे projects में धकेलकर web experience का जरूरी हिस्सा बनाने की कोशिश करेगा, और Firefox का मुख्य sponsor भी होने के कारण वहां भी उसका प्रभाव है
Google engineer का latest जवाब reality से कटा हुआ है: https://github.com/RupertBenWiser/Web-Environment-Integrity/...
अगर implement हो भी गया, तो गुस्सा ठंडा पड़ते ही उसे चुपचाप हटाए जाने की संभावना बड़ी है
अगर वह बचा भी रहा, तो ratio पर्याप्त कम होने पर attestation fail करने वाले users पर CAPTCHA की बौछार होगी या उन्हें बस निकल जाने को कहा जाएगा
TOR से web browse करके देखें, आपको पता चल जाएगा कि कैसा व्यवहार मिलेगा
पूरा लेख “बस मुझ पर भरोसा करो” में summarize हो जाता है
उनका कहना है कि नए API के बिना web को ज्यादा private बनाने पर basic content access के लिए login walls, ज्यादा intrusive fingerprinting, SMS verification और CAPTCHA जैसी अत्यधिक challenges बढ़ सकती हैं; सोचता हूं क्या इन दावों को support करने वाला data है
मौजूदा रास्ता पूरी तरह गलत और लापरवाह है, और साथ काम करने का पहला कदम इस approach को पूरी तरह छोड़ना है
यह global warming को nuclear winter से हल करने जैसा है, इसलिए यह ऐसा issue नहीं है जिसे iterative improvements या बीच के रास्ते से सुलझाया जा सके
इस proposal की premise ही खतरनाक है, इसलिए इसे discard करना चाहिए
बस उन अनगिनत तरीकों के बारे में सोचिए जिनसे इसका दुरुपयोग हो सकता है और जाहिर है होगा
GitHub comments बंद दिखे, इसलिए यहां लिख रहा हूं
अगर मैं शैतान के लिए काम कर रहा होता और यह जानता होता, तो मैं भी यही करता
अफसोस, हम सब इसे खुशी-खुशी स्वीकार कर लेंगे
क्योंकि Chrome “सुविधाजनक” है
लोग सुविधा के लिए कुछ भी स्वीकार कर लेते हैं, और WhatsApp इसका अच्छा उदाहरण है। दुनिया भर में करोड़ों लोग अपनी पूरी फोनबुक खुशी-खुशी Facebook/Meta के साथ शेयर और sync कर देते हैं
अगर आपको फर्क पड़ता है, तो Chrome इस्तेमाल नहीं करना चाहिए। इस दुष्ट कदम की आलोचना करते हुए भी Chrome इस्तेमाल करते रहना, समस्या का हिस्सा होना है
बस Google Search अभी भी इस्तेमाल करने वाला एक अपवाद है
बड़े language models के बेहतर होने के साथ, शायद किसी दिन अगर मैं अपना LLM चला सकूं तो monopolistic companies पर निर्भरता से पूरी तरह बाहर निकल पाऊंगा
WhatsApp न इस्तेमाल करने की social cost होती है, खासकर Germany या India जैसे देशों में जहां लगभग हर कोई इसे इस्तेमाल करता है; आप दूसरे users से बात नहीं कर पाते या group chats में शामिल नहीं हो पाते
Chrome न इस्तेमाल करने की cost लगभग 0 है। वही websites इस्तेमाल करें, बस Firefox इस्तेमाल करें
क्या ad-based web industry वाकई इंसानों और bots को authenticate करने के लिए इतनी बेताब नहीं है?
bots को video feed और input devices से जुड़े “provable” devices के जरिए internet इस्तेमाल करने से रोकने की कोई वजह नहीं है
यह बस bots की sophistication का standard बढ़ाएगा
एक दूसरे thread में phone पर camera तानने और robot “finger” से उसे operate करने की बात भी थी
WEI हो तो CAPTCHA नहीं आएगा, इसलिए यह उल्टा और आसान भी हो सकता है। आखिर वह “इंसान” जैसा ही दिखेगा
bot clicks भी clicks हैं और उन पर charge किया जा सकता है
मैंने कहीं पढ़ा था कि Facebook ad clicks के 80–90% bots थे, और यह मेरे संभाले commercial website traffic से भी मिलता-जुलता है
ज्यादातर traffic bots, crawlers, scanners, “security researchers” से आता है
कभी-कभी असली fraud भी दिखता है, जैसे affiliate marketing traffic boosters जो banner click करके order करते हैं और payment नहीं करते, ऐसा दिन में 200 बार दोहराते हैं; लेकिन stats अच्छे दिखें तो किसी को फर्क नहीं पड़ता
Google पर ads संभालने के मामले में भरोसा नहीं किया जा सकता
आज ही मैंने Hong Kong से आए 3 ads देखे जो Macy’s और Bed Bath & Beyond होने का नाटक कर रहे थे, और YouTube पर fake Mr Beast ads फिर लौट आए हैं
Queen's Blade के लगभग porn जैसे ads की बात तो छोड़ ही देता हूं
यह कैसे ठीक माना जाता है, और Google ad blockers को रोकने की कोशिश को कैसे justify कर सकता है, समझ नहीं आता
मेरे हिसाब से ad blocker vaccine से भी ज्यादा जरूरी security barrier है, और मेरे लिए लगभग 10 साल से ऐसा ही है
मैंने अपनी तरफ से काम कर दिया है, और अपनी website पर “Chrome में उपलब्ध नहीं है। ज्यादा modern और open browser इस्तेमाल करें…” वाला message और explanation दिखा रहा हूं
अगर हम developers में से ज्यादातर ऐसा करें, तो यह बदलाव संभव नहीं होगा
बेहतर तो यह होगा कि कोई JS file बना दे, जिसे बाकी लोग बस include कर लें और भविष्य का web कैसा दिखेगा यह दिखाने वाला forced block popup दिखा सके
साथ में अच्छा explanation और related video links भी हों तो अच्छा होगा