2 पॉइंट द्वारा GN⁺ 2023-07-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Free Software Foundation का मानना है कि Google का Web Environment Integrity(WEI) उपयोगकर्ताओं की अपनी पसंद के browser और operating system से web तक पहुंचने की स्वतंत्रता को खतरे में डालता है
  • WEI एक API है जो किसी site को page देने से पहले third-party verification service के जरिए browsing environment में “छेड़छाड़” हुई है या नहीं, यह जांचने देता है
  • FSF को चिंता है कि यह verification इस तरह काम कर सकता है कि केवल Google द्वारा मान्य browser configurations ही अनुमति पाएँ, जिससे free browser और free operating system इस्तेमाल करने वाले उपयोगकर्ताओं की पहुंच रुक सकती है
  • policy document में बताए गए नाममात्र के use cases की तुलना में इसके वास्तविक दुरुपयोग की संभावना अधिक है, और इसका इस्तेमाल approved browser को अनिवार्य करने, DRM को मजबूत करने, और Google services तक पहुंच सीमित करने में हो सकता है
  • FSF का कहना है कि WEI के लिए कोई वैध औचित्य नहीं है, और Google को तुरंत ऐसा standards work रोक देना चाहिए जो मुक्त इंटरनेट के साथ मेल नहीं खाता

WEI मुक्त इंटरनेट से क्यों टकराता है

  • FSF का मानना है कि free browser का उपयोग पहले से कहीं अधिक महत्वपूर्ण हो गया है, और वह Google के Web Environment Integrity को हाल के समय में Google की सबसे खराब पहलों में से एक बताता है
  • WEI की शुरुआत Microsoft GitHub पर प्रकाशित एक policy document से हुई, और उसके बाद Google ने तेजी से इसके विकास को Chromium browser में लागू करना शुरू किया
  • यह API developers को कुछ खास browser configurations को approve करने और बाकी को block करने की सुविधा देता है
  • FSF का मानना है कि यह तरीका इंटरनेट की उस मूल अवधारणा से सीधे टकराता है जिसमें अलग-अलग devices, programs, और operating systems के जरिए hyperlink किए गए pages तक पहुंच संभव होती है
  • WEI पूरे web को अधिक बंद बनाने वाले DRM के ज्यादा करीब है, और इसे web की “enshittification” की दिशा में एक बड़ा कदम माना जा रहा है

यह कैसे काम करता है और संभावित दुरुपयोग

  • WEI में server, web page देने से पहले, third-party “verification” service से यह पुष्टि करने को कहता है कि उपयोगकर्ता के browsing environment में “छेड़छाड़” नहीं हुई है
  • FSF का मानना है कि यह verification server Google के स्वामित्व में हो सकता है, और browser की जांच इस आधार पर की जा सकती है कि वह Google द्वारा स्वीकार की गई configuration से थोड़ा भी अलग तो नहीं है
  • इसका नतीजा यह हो सकता है कि उपयोगकर्ता four freedoms का सार्थक रूप से उपयोग न कर पाएँ, और free browser या free operating system के साथ कुछ sites पर pages देने से इनकार किया जा सके
  • policy document जिन वैध use cases की बात करता है, उनसे कहीं बड़ी समस्या इसके वास्तविक इस्तेमाल की संभावनाएँ हैं
    • सरकारें इसका उपयोग केवल आधिकारिक रूप से “approved” browsers को ही इंटरनेट तक पहुंच देने के लिए कर सकती हैं
    • Netflix जैसी कंपनियाँ इसका उपयोग Digital Restrictions Management(DRM) को और मजबूत करने के लिए कर सकती हैं
    • Google इसका उपयोग उन browsers से Google services की पहुंच रोकने के लिए कर सकता है जो उसके व्यावसायिक हितों के अनुकूल नहीं हैं
  • FSF का कहना है कि WEI के लिए “कोई भी वैध आधार नहीं” है, और इसकी असली केंद्रीय उपयोगिता मुक्त इंटरनेट को सीमित करने में है
  • Google के decision-makers को web के संस्थापक सिद्धांतों पर विचार करना चाहिए, यह स्वीकार करना चाहिए कि WEI मूल रूप से मुक्त इंटरनेट के साथ असंगत है, और इस standards work को तुरंत रोक देना चाहिए

1 टिप्पणियां

 
GN⁺ 2023-07-30
Hacker News की राय
  • संबंधित लेख। और हों तो बताएं तो अच्छा होगा
    Google की browser security योजना की आलोचना—खतरनाक, डरावनी और वेबसाइटों के लिए DRM - https://news.ycombinator.com/item?id=36893071 - जुलाई 2023 (63 comments)
    Google Web Environment Integrity नया Microsoft Trusted Computing है - https://news.ycombinator.com/item?id=36888156 - जुलाई 2023 (282 comments)
    Google कर्मचारी ने WEI पर negative feedback का जवाब दिया - https://news.ycombinator.com/item?id=36881506 - जुलाई 2023 (25 comments)
    Google पहले से ही Chromium में WEI घुसा रहा है - https://news.ycombinator.com/item?id=36876301 - जुलाई 2023 (832 comments)
    Google के Web Environment Integrity specification की पड़ताल - https://news.ycombinator.com/item?id=36875940 - जुलाई 2023 (431 comments)
    Google engineers ad blocking को लगभग असंभव बनाना चाहते हैं - https://news.ycombinator.com/item?id=36875226 - जुलाई 2023 (468 comments)
    Google बनाम open web - https://news.ycombinator.com/item?id=36875164 - जुलाई 2023 (191 comments)
    Apple ने web पर attestation पहले ही लॉन्च कर दिया था, और हमें मुश्किल से पता चला - https://news.ycombinator.com/item?id=36862494 - जुलाई 2023 (421 comments)
    Google का डरावना “Web Integrity API” web के लिए DRM gatekeeper चाहता है - https://news.ycombinator.com/item?id=36854114 - जुलाई 2023 (456 comments)
    Web Environment Integrity API प्रस्ताव - https://news.ycombinator.com/item?id=36817305 - जुलाई 2023 (441 comments)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - जुलाई 2023 (2 comments)
    Web Environment Integrity की व्याख्या - https://news.ycombinator.com/item?id=36785516 - जुलाई 2023 (45 comments)
    Google Chrome प्रस्ताव – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - जुलाई 2023 (93 comments)
    Web Environment Integrity – Google browser को lock down करना चाहता है - https://news.ycombinator.com/item?id=35864471 - मई 2023 (1 comment)

  • समझ नहीं आता कि Google को यह बेहूदा काम यूं ही करने क्यों दिया जा रहा है। शुरुआत toast component से हुई, फिर notification हटाना, Manifest V3, FLoC, और अब यह
    कंपनियां तो कंपनियों जैसी ही व्यवहार करेंगी, लेकिन users और future users के पास क्या विकल्प बचता है? उन लोगों की बात कर रहा हूं जिन्हें अभी रुचि नहीं है, लेकिन जो मौजूदा internet के स्वरूप को उपयोगी पा सकते हैं
    Google अपने products को किसी ऐसी दीवार के पीछे छिपाए, जहां सिर्फ non-modifiable proprietary browser से ही पहुंच हो, तो मुझे फर्क नहीं पड़ता, लेकिन काश वह इसे हर जगह न फैलाए। हम अभी भी हर जगह न सुलझने वाले reCAPTCHA का “आनंद” ले रहे हैं

    • CAPTCHA से मुझे कड़ी आपत्ति है। असल में यह Google के image recognition engine को मुफ्त में train कराने जैसा है
    • क्या इसलिए नहीं कि Apple ने ऐसा किया और उसे अनदेखा कर दिया गया?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • toast component से जुड़ा कोई link है?
    • “हर जगह न सुलझने वाला reCAPTCHA” कहते हैं, लेकिन मैंने ऐसा लगभग कभी नहीं देखा
      यह तब दिखने वाले challenge-response verification का हिस्सा है जब server traffic को suspicious मानता है। आम तौर पर login में बने रहें, cookies block न करें, और Tor या कोई दूसरा path-hiding तरीका न इस्तेमाल करें, तो इससे बचा जा सकता है
  • लेकिन ऐसा लगता है कि बहुत मिलती-जुलती API 2022 से Safari में implement थी। शायद marketing अच्छी हो तो असर बड़ा होता है। इस पर लगभग कोई चर्चा मैंने नहीं देखी
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    दिलचस्प हिस्सा यह है: “हमें इस प्रक्रिया में इकट्ठा किया जाने वाला underlying data वास्तव में न चाहिए और न ही हम उसे चाहते हैं; हम बस यह verify करना चाहते हैं कि visitor अपने device या user agent को spoof कर रहा है या नहीं”
    उदाहरण में, जब कोई visitor iPhone पर Safari खोलकर example.com पर जाना चाहता है, तो Cloudflare browser से token मांगता है, और चूंकि Safari PAT support करता है, वह Apple Attester को API call करके attestation मांगता है
    Apple attester कई device components की जांच करके validity verify करता है, फिर Cloudflare Issuer को API call करता है; Cloudflare Issuer token बनाकर browser को भेजता है, और browser उसे origin server को forward कर देता है
    Cloudflare वह token लेकर तय करता है कि इस user को CAPTCHA दिखाने की जरूरत नहीं है। मुझे यह WAI से बहुत मिलता-जुलता लगता है, लेकिन नाम “Privacy Access Tokens” है, तो जाहिर है अच्छा ही होगा...?
    संपादन: कुछ दिन पहले HN thread था, जो मुझसे छूट गया: https://news.ycombinator.com/item?id=36862494

    • Google की PR strategy यह कहने की है कि “चिंता की कोई बात नहीं, यह Apple जो कर रहा है उससे मिलता-जुलता है।” लेकिन Google ने खुद भी अपने explainer document¹ में लिखा है कि दोनों काफी अलग हैं, और Google मानता है कि PAT उस enforcement के लिए पर्याप्त नहीं है जो वे करना चाहते हैं
      उदाहरण के लिए PAT आखिरकार “bot नहीं है” साबित करने तक सीमित है, इसलिए device और browser environment data exchange की जरूरत नहीं होती। इसके उलट WEI को उन use cases को संभव बनाने के लिए उस data की जरूरत है, जैसे web के लिए DRM, जिसके बारे में हम पढ़ रहे हैं
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • “visitor device या user agent को spoof कर रहा है या नहीं, यह verify करना चाहते हैं” का मतलब क्या है? शायद इसका मतलब यह है कि कोई device या user agent खुद को एक खास चीज बताता है, लेकिन असल में कुछ और होता है
      लेकिन browsers दशकों से अपनी पहचान को लेकर झूठ बोलते आए हैं। और fake device/user agent और uncommon device/user agent में फर्क क्या है? उनके नजरिए से शायद कोई फर्क नहीं होगा
    • पिछले साल Cloudflare के original post में मैंने यह पढ़ा था। Cloudflare एक पसंद की जाने वाली company है, लेकिन मुझे लगा कि यह web के लिए खतरनाक चीज है
    • मुझे लगता है फर्क यह है कि PAT ad blockers को allow करता है, लेकिन WEI ऐसा नहीं करेगा
  • इसलिए मैंने gopher देखना शुरू किया। अभी-अभी gemini के बारे में भी पता चला, और मेरे लिए वह शायद और भी दिलचस्प हो सकता है
    कंपनियां Apple की सफलता देखकर walled garden बनाने के लिए जो कुछ कर सकती हैं, कर रही हैं। और उससे कुछ कम सही, लेकिन लगता है कि कंपनियों ने Linux development की दिशा को भी प्रभावित करना शुरू कर दिया है
    सोचता हूं कि streaming sites को verify करने वाला पूरा built-in DRM कब आएगा
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • हमें और ज्यादा obscure workarounds ढूंढते रहने के बजाय सीधे इसका मुकाबला करना चाहिए। मुझे लगता है किसी दिन ऐसा आ सकता है जब अगर device attestation में सफल न हो तो internet provider से connect तक न कर पाए
      जब Android SafetyNet जैसी APIs पहली बार आई थीं, तब बचाव की दलील यही थी कि “अगर app इस्तेमाल नहीं कर सकते, तो browser में website इस्तेमाल कर लो।” कंपनियां तब तक नहीं रुकेंगी जब तक stack की हर layer पर उनका absolute control न हो जाए
    • HTTP के alternatives से मैं सहमत हूं, लेकिन इसका इस problem से ज्यादा लेना-देना नहीं है। अगर कोई site WEI से प्रभावित नहीं होना चाहती, तो बस WEI API का इस्तेमाल न करे
      और WEI जैसी चीजें उन protocols पर भी उतनी ही आसानी से implement की जा सकती हैं जितनी HTTP पर। यह पूरी तरह अलग concept है
  • ऐसी चीज़ें पढ़कर मैं बहुत cynical हो जाता हूँ। पहले लगता है, “बिलकुल नहीं, मेरे सामने तो नहीं!” लेकिन फिर समझ आता है कि मैं ज़्यादा से ज़्यादा किसी petition पर sign कर सकता हूँ या किसी ऐसे politician को email भेज सकता हूँ जिसे इसका मतलब ही नहीं पता होगा
    मेरे Gen Z भाई/बहन और उनकी उम्र के TikToker लोगों के लिए भी यह महत्वपूर्ण न होने की वजह वही है। लोगों को फ़र्क नहीं पड़ता। उनके पास बड़े मुद्दे हैं, जैसे कल किराया कैसे देना है, और ज़्यादा मज़ेदार तमाशे हैं, जैसे 5 घंटे तक NPC बनने का नाटक कर रहे किसी व्यक्ति को देखकर उसे पैसे देना
    जिन कई लोगों के साथ मैंने काम किया है, वे भी कुछ ऐसे ही थे। वे यह समझ लेने के आदी हैं कि उन्हें पूरी तरह ठगा जा रहा है, और शिकायत करने के आदी हैं, लेकिन सिर्फ़ उन बहुत संकरे समूहों के भीतर जहाँ लोग साझा रुचि रखते हैं
    यह सबसे हिम्मत तोड़ देने वाली क्रांति है। DNS, JavaScript की अराजकता, net neutrality, browser world—हर जगह हमेशा हंगामा रहता है, लेकिन कुछ हासिल नहीं होता, हमेशा ज़िम्मेदारी टलती रहती है और बाद में किसी और thread में पुराने अच्छे दिनों को याद किया जाता है
    लेकिन आख़िर मैं कर ही क्या सकता हूँ? क्या मुझे PR reject करना चाहिए?

    • मुझे समझ नहीं आता कि ऐसे हर thread में “लोगों को फ़र्क नहीं पड़ता” जैसी negative बात क्यों आती रहती है। सड़क पर हर व्यक्ति को फ़र्क पड़ना ज़रूरी नहीं है
      industry और regulatory क्षेत्र में पर्याप्त असर रखने वाले लोगों को फ़र्क पड़ना काफ़ी है। और सच में ऐसा हो रहा है। सब इस मुद्दे पर नाराज़ हैं, recommend कर रहे हैं, और कंपनियाँ व organizations इस पर लिख रही हैं
      बस ऐसा करते रहना है, दूसरी कंपनियों को reject करने के लिए push करना है या regulation से रोकने का दबाव बनाना है। Google को सबसे ज़्यादा डर breakup से है। अगर वह इसे आगे बढ़ाता है तो lawmakers से संगठित तरीके से संपर्क कर concerns उठा सकते हैं, और Google के anti-competitive व्यवहार पर regulation या breakup की मांग कर सकते हैं
    • यह बात उल्टा उत्साहजनक है कि पहले से ही काफ़ी public discussion और backlash हो चुका है। याद रखना चाहिए कि इस मुद्दे को सामने आए सिर्फ़ करीब एक हफ़्ता ही हुआ है। रातोंरात जीत नहीं सकते
      लोगों को फ़र्क पड़ता है। बस public pressure बनाने के लिए चरण होते हैं। जनता को समस्या का पता चलना चाहिए, technical पहलू सीखने और समझने चाहिए, और opposition organize करना चाहिए। यह ज़रूरी नहीं कि तेज़ प्रक्रिया हो
    • politician को लिखने के बजाय उचित competition authorities को भेजना बेहतर है। हाल की चर्चा[1] इसका उदाहरण है
      [1] https://news.ycombinator.com/item?id=36877310
    • करने लायक चीज़ें हैं। privacy tools के power user बनने से लोगों के technology इस्तेमाल करने और interact करने के landscape को बदलने में मदद मिलती है
      अगर मानें कि मुख्य उद्देश्य ad blocking को रोकना है, तो मुझे जानना है कि मेरा pinhole DNS blocker प्रभावित होगा या नहीं। अगर नए standard की वजह से सभी DNS blockers की ओर चले जाएँ, तो user को थोड़ी cost देनी पड़े, फिर भी कुल landscape बेहतर हो सकता है
      जब system को free और open माना जाता है और ज़रूरत महसूस नहीं होती, तब privacy tools को adoption या support लगभग नहीं मिलता। सीमा बदलने तक सभी को tin foil hat पहनने वाला समझा जाता है
      लोगों को personal data protection, service control जैसी चीज़ें कुल मिलाकर बेहतर समझनी चाहिए, लेकिन जब तक विकल्प खत्म होकर control वापस लेना मजबूरी न बन जाए, वे आलस करते रहेंगे
    • तुम्हारा गुस्सा समझ में आता है। पहले तो सहानुभूति है। लेकिन हालात का दबाव कभी-कभी ज़िम्मेदारी उन लोगों पर डाल देता है जो असल में यह काम कर रहे हैं, बजाय उनके जो ठीक वही नहीं कर रहे
      consumer electronics users content के बारे में “vote” करने वाले लोग नहीं हैं। hierarchical, private और internal decision-making से चलने वाले closed computer systems decision points तक पहुँच रहे हैं
  • अच्छा है कि ऐसे लोग हैं जो यह सब जानने को value देते हैं। जब मैं इसे फैलाने की कोशिश करता हूँ तो आम तौर पर अज्ञानता ही मिलती है
    यह सिर्फ़ Google की बात नहीं है। लगता है वे बस पहले होना चाहते हैं
    जिसे मैं digital lockdown कहता हूँ, वह “conspiracy theory” यही है। यह उसी दिशा में एक और कदम है, और यह जो करता है उसे देखकर लगता है कि destination बहुत पास आ गया है

  • वे ऐसे दिखा रहे हैं जैसे यह verify करना कि हम सब Google browser इस्तेमाल कर रहे हैं, somehow हमें ज़्यादा सुरक्षित बना देगा। मानो उनके developers perfect हों
    इस तरह का Big Tech arrogance हैरान करने वाला और चिढ़ाने वाला है

  • “आप हमारी website पर आ सकते हैं। पहले अपनी digital handcuffs दिखाइए”

  • क्या कोई पाँच साल के बच्चे को समझाने की तरह बता सकता है? क्या होने वाला है? क्या Firefox ज़्यादातर sites पर काम करना बंद कर देगा? क्या uBlock नहीं चलेगा? क्या World Wide Web sites access करने से पहले retina scan भेजना पड़ेगा?
    खैर, हम पहले भी internet के बिना रहते थे। Microsoft Flight Simulator floppy disks से install किया था। इस बार बस floppies थोड़ी ज़्यादा होंगी। कोई बड़ी बात नहीं

    • अंतिम लक्ष्य शायद यह है कि Google और कुछ कंपनियाँ web के ज़्यादातर हिस्से तक पहुँचते समय आप कौन-सा web browser इस्तेमाल कर सकते हैं, इसे control करें। Mozilla साथ दे भी सकता है और नहीं भी, लेकिन EME के समय उसने साथ दिया था
      Linux शायद Ubuntu और Red Hat builds के अलावा काम न करे। वह भी support जोड़ने के बाद की बात है। browser, operating system, kernel, boot environment, TPM से गुजरने वाली लंबी verification chain चाहिए, और Google को यह समझाना होगा कि वह chain hack होने लायक कमज़ोर नहीं है, इसलिए इसमें समय लग सकता है
      ad blockers किसी न किसी point पर बाहर कर दिए जाएँगे। और हम floppy पर Flight Simulator चलाने वाले दिनों में वापस भी नहीं जा सकते। banks, flight tickets और concert tickets, यहाँ तक कि बच्चे का pediatrician भी इसकी मांग करेगा
      ऐसा इसलिए नहीं कि doctors नए web spec को बड़े ध्यान से पढ़ेंगे, बल्कि इसलिए कि वे ऐसे healthcare service platforms इस्तेमाल करेंगे जो Cloudflare defaults पर निर्भर होंगे, जिन्हें security वाले लोग bots और DDoS कम करने के कारण पसंद करते हैं
      आखिर में हम cable TV की तरह लगातार निगरानी और ads दिखाने वाले walled operating system का इस्तेमाल कर रहे होंगे। बड़ा हंगामा Google को थोड़ा पीछे हटाने या ऐसे वादे करने पर मजबूर कर सकता है जिन्हें वह निभा नहीं सकता और निभाएगा भी नहीं
      असली समाधान सिर्फ़ सरकार का इस्तेमाल करके users को control खोने से रोकना है
  • हाँ! चलो सब Chromium-based browsers इस्तेमाल करते हैं!
    क्या गलत हो सकता है?

    • मुझे नहीं लगता कि minority browser Chromium-based हैं या नहीं, इससे इस disaster पर किसी भी तरफ़ बड़ा असर पड़ेगा। समस्या Chrome का de facto monopoly है