- Free Software Foundation का मानना है कि Google का Web Environment Integrity(WEI) उपयोगकर्ताओं की अपनी पसंद के browser और operating system से web तक पहुंचने की स्वतंत्रता को खतरे में डालता है
- WEI एक API है जो किसी site को page देने से पहले third-party verification service के जरिए browsing environment में “छेड़छाड़” हुई है या नहीं, यह जांचने देता है
- FSF को चिंता है कि यह verification इस तरह काम कर सकता है कि केवल Google द्वारा मान्य browser configurations ही अनुमति पाएँ, जिससे free browser और free operating system इस्तेमाल करने वाले उपयोगकर्ताओं की पहुंच रुक सकती है
- policy document में बताए गए नाममात्र के use cases की तुलना में इसके वास्तविक दुरुपयोग की संभावना अधिक है, और इसका इस्तेमाल approved browser को अनिवार्य करने, DRM को मजबूत करने, और Google services तक पहुंच सीमित करने में हो सकता है
- FSF का कहना है कि WEI के लिए कोई वैध औचित्य नहीं है, और Google को तुरंत ऐसा standards work रोक देना चाहिए जो मुक्त इंटरनेट के साथ मेल नहीं खाता
WEI मुक्त इंटरनेट से क्यों टकराता है
- FSF का मानना है कि free browser का उपयोग पहले से कहीं अधिक महत्वपूर्ण हो गया है, और वह Google के Web Environment Integrity को हाल के समय में Google की सबसे खराब पहलों में से एक बताता है
- WEI की शुरुआत Microsoft GitHub पर प्रकाशित एक policy document से हुई, और उसके बाद Google ने तेजी से इसके विकास को Chromium browser में लागू करना शुरू किया
- यह API developers को कुछ खास browser configurations को approve करने और बाकी को block करने की सुविधा देता है
- FSF का मानना है कि यह तरीका इंटरनेट की उस मूल अवधारणा से सीधे टकराता है जिसमें अलग-अलग devices, programs, और operating systems के जरिए hyperlink किए गए pages तक पहुंच संभव होती है
- WEI पूरे web को अधिक बंद बनाने वाले DRM के ज्यादा करीब है, और इसे web की “enshittification” की दिशा में एक बड़ा कदम माना जा रहा है
यह कैसे काम करता है और संभावित दुरुपयोग
- WEI में server, web page देने से पहले, third-party “verification” service से यह पुष्टि करने को कहता है कि उपयोगकर्ता के browsing environment में “छेड़छाड़” नहीं हुई है
- FSF का मानना है कि यह verification server Google के स्वामित्व में हो सकता है, और browser की जांच इस आधार पर की जा सकती है कि वह Google द्वारा स्वीकार की गई configuration से थोड़ा भी अलग तो नहीं है
- इसका नतीजा यह हो सकता है कि उपयोगकर्ता four freedoms का सार्थक रूप से उपयोग न कर पाएँ, और free browser या free operating system के साथ कुछ sites पर pages देने से इनकार किया जा सके
- policy document जिन वैध use cases की बात करता है, उनसे कहीं बड़ी समस्या इसके वास्तविक इस्तेमाल की संभावनाएँ हैं
- सरकारें इसका उपयोग केवल आधिकारिक रूप से “approved” browsers को ही इंटरनेट तक पहुंच देने के लिए कर सकती हैं
- Netflix जैसी कंपनियाँ इसका उपयोग Digital Restrictions Management(DRM) को और मजबूत करने के लिए कर सकती हैं
- Google इसका उपयोग उन browsers से Google services की पहुंच रोकने के लिए कर सकता है जो उसके व्यावसायिक हितों के अनुकूल नहीं हैं
- FSF का कहना है कि WEI के लिए “कोई भी वैध आधार नहीं” है, और इसकी असली केंद्रीय उपयोगिता मुक्त इंटरनेट को सीमित करने में है
- Google के decision-makers को web के संस्थापक सिद्धांतों पर विचार करना चाहिए, यह स्वीकार करना चाहिए कि WEI मूल रूप से मुक्त इंटरनेट के साथ असंगत है, और इस standards work को तुरंत रोक देना चाहिए
1 टिप्पणियां
Hacker News की राय
संबंधित लेख। और हों तो बताएं तो अच्छा होगा
Google की browser security योजना की आलोचना—खतरनाक, डरावनी और वेबसाइटों के लिए DRM - https://news.ycombinator.com/item?id=36893071 - जुलाई 2023 (63 comments)
Google Web Environment Integrity नया Microsoft Trusted Computing है - https://news.ycombinator.com/item?id=36888156 - जुलाई 2023 (282 comments)
Google कर्मचारी ने WEI पर negative feedback का जवाब दिया - https://news.ycombinator.com/item?id=36881506 - जुलाई 2023 (25 comments)
Google पहले से ही Chromium में WEI घुसा रहा है - https://news.ycombinator.com/item?id=36876301 - जुलाई 2023 (832 comments)
Google के Web Environment Integrity specification की पड़ताल - https://news.ycombinator.com/item?id=36875940 - जुलाई 2023 (431 comments)
Google engineers ad blocking को लगभग असंभव बनाना चाहते हैं - https://news.ycombinator.com/item?id=36875226 - जुलाई 2023 (468 comments)
Google बनाम open web - https://news.ycombinator.com/item?id=36875164 - जुलाई 2023 (191 comments)
Apple ने web पर attestation पहले ही लॉन्च कर दिया था, और हमें मुश्किल से पता चला - https://news.ycombinator.com/item?id=36862494 - जुलाई 2023 (421 comments)
Google का डरावना “Web Integrity API” web के लिए DRM gatekeeper चाहता है - https://news.ycombinator.com/item?id=36854114 - जुलाई 2023 (456 comments)
Web Environment Integrity API प्रस्ताव - https://news.ycombinator.com/item?id=36817305 - जुलाई 2023 (441 comments)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - जुलाई 2023 (2 comments)
Web Environment Integrity की व्याख्या - https://news.ycombinator.com/item?id=36785516 - जुलाई 2023 (45 comments)
Google Chrome प्रस्ताव – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - जुलाई 2023 (93 comments)
Web Environment Integrity – Google browser को lock down करना चाहता है - https://news.ycombinator.com/item?id=35864471 - मई 2023 (1 comment)
समझ नहीं आता कि Google को यह बेहूदा काम यूं ही करने क्यों दिया जा रहा है। शुरुआत toast component से हुई, फिर notification हटाना, Manifest V3, FLoC, और अब यह
कंपनियां तो कंपनियों जैसी ही व्यवहार करेंगी, लेकिन users और future users के पास क्या विकल्प बचता है? उन लोगों की बात कर रहा हूं जिन्हें अभी रुचि नहीं है, लेकिन जो मौजूदा internet के स्वरूप को उपयोगी पा सकते हैं
Google अपने products को किसी ऐसी दीवार के पीछे छिपाए, जहां सिर्फ non-modifiable proprietary browser से ही पहुंच हो, तो मुझे फर्क नहीं पड़ता, लेकिन काश वह इसे हर जगह न फैलाए। हम अभी भी हर जगह न सुलझने वाले reCAPTCHA का “आनंद” ले रहे हैं
https://httptoolkit.com/blog/apple-private-access-tokens-att...
यह तब दिखने वाले challenge-response verification का हिस्सा है जब server traffic को suspicious मानता है। आम तौर पर login में बने रहें, cookies block न करें, और Tor या कोई दूसरा path-hiding तरीका न इस्तेमाल करें, तो इससे बचा जा सकता है
लेकिन ऐसा लगता है कि बहुत मिलती-जुलती API 2022 से Safari में implement थी। शायद marketing अच्छी हो तो असर बड़ा होता है। इस पर लगभग कोई चर्चा मैंने नहीं देखी
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
दिलचस्प हिस्सा यह है: “हमें इस प्रक्रिया में इकट्ठा किया जाने वाला underlying data वास्तव में न चाहिए और न ही हम उसे चाहते हैं; हम बस यह verify करना चाहते हैं कि visitor अपने device या user agent को spoof कर रहा है या नहीं”
उदाहरण में, जब कोई visitor iPhone पर Safari खोलकर example.com पर जाना चाहता है, तो Cloudflare browser से token मांगता है, और चूंकि Safari PAT support करता है, वह Apple Attester को API call करके attestation मांगता है
Apple attester कई device components की जांच करके validity verify करता है, फिर Cloudflare Issuer को API call करता है; Cloudflare Issuer token बनाकर browser को भेजता है, और browser उसे origin server को forward कर देता है
Cloudflare वह token लेकर तय करता है कि इस user को CAPTCHA दिखाने की जरूरत नहीं है। मुझे यह WAI से बहुत मिलता-जुलता लगता है, लेकिन नाम “Privacy Access Tokens” है, तो जाहिर है अच्छा ही होगा...?
संपादन: कुछ दिन पहले HN thread था, जो मुझसे छूट गया: https://news.ycombinator.com/item?id=36862494
उदाहरण के लिए PAT आखिरकार “bot नहीं है” साबित करने तक सीमित है, इसलिए device और browser environment data exchange की जरूरत नहीं होती। इसके उलट WEI को उन use cases को संभव बनाने के लिए उस data की जरूरत है, जैसे web के लिए DRM, जिसके बारे में हम पढ़ रहे हैं
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
लेकिन browsers दशकों से अपनी पहचान को लेकर झूठ बोलते आए हैं। और fake device/user agent और uncommon device/user agent में फर्क क्या है? उनके नजरिए से शायद कोई फर्क नहीं होगा
इसलिए मैंने gopher देखना शुरू किया। अभी-अभी gemini के बारे में भी पता चला, और मेरे लिए वह शायद और भी दिलचस्प हो सकता है
कंपनियां Apple की सफलता देखकर walled garden बनाने के लिए जो कुछ कर सकती हैं, कर रही हैं। और उससे कुछ कम सही, लेकिन लगता है कि कंपनियों ने Linux development की दिशा को भी प्रभावित करना शुरू कर दिया है
सोचता हूं कि streaming sites को verify करने वाला पूरा built-in DRM कब आएगा
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
जब Android SafetyNet जैसी APIs पहली बार आई थीं, तब बचाव की दलील यही थी कि “अगर app इस्तेमाल नहीं कर सकते, तो browser में website इस्तेमाल कर लो।” कंपनियां तब तक नहीं रुकेंगी जब तक stack की हर layer पर उनका absolute control न हो जाए
और WEI जैसी चीजें उन protocols पर भी उतनी ही आसानी से implement की जा सकती हैं जितनी HTTP पर। यह पूरी तरह अलग concept है
ऐसी चीज़ें पढ़कर मैं बहुत cynical हो जाता हूँ। पहले लगता है, “बिलकुल नहीं, मेरे सामने तो नहीं!” लेकिन फिर समझ आता है कि मैं ज़्यादा से ज़्यादा किसी petition पर sign कर सकता हूँ या किसी ऐसे politician को email भेज सकता हूँ जिसे इसका मतलब ही नहीं पता होगा
मेरे Gen Z भाई/बहन और उनकी उम्र के TikToker लोगों के लिए भी यह महत्वपूर्ण न होने की वजह वही है। लोगों को फ़र्क नहीं पड़ता। उनके पास बड़े मुद्दे हैं, जैसे कल किराया कैसे देना है, और ज़्यादा मज़ेदार तमाशे हैं, जैसे 5 घंटे तक NPC बनने का नाटक कर रहे किसी व्यक्ति को देखकर उसे पैसे देना
जिन कई लोगों के साथ मैंने काम किया है, वे भी कुछ ऐसे ही थे। वे यह समझ लेने के आदी हैं कि उन्हें पूरी तरह ठगा जा रहा है, और शिकायत करने के आदी हैं, लेकिन सिर्फ़ उन बहुत संकरे समूहों के भीतर जहाँ लोग साझा रुचि रखते हैं
यह सबसे हिम्मत तोड़ देने वाली क्रांति है। DNS, JavaScript की अराजकता, net neutrality, browser world—हर जगह हमेशा हंगामा रहता है, लेकिन कुछ हासिल नहीं होता, हमेशा ज़िम्मेदारी टलती रहती है और बाद में किसी और thread में पुराने अच्छे दिनों को याद किया जाता है
लेकिन आख़िर मैं कर ही क्या सकता हूँ? क्या मुझे PR reject करना चाहिए?
industry और regulatory क्षेत्र में पर्याप्त असर रखने वाले लोगों को फ़र्क पड़ना काफ़ी है। और सच में ऐसा हो रहा है। सब इस मुद्दे पर नाराज़ हैं, recommend कर रहे हैं, और कंपनियाँ व organizations इस पर लिख रही हैं
बस ऐसा करते रहना है, दूसरी कंपनियों को reject करने के लिए push करना है या regulation से रोकने का दबाव बनाना है। Google को सबसे ज़्यादा डर breakup से है। अगर वह इसे आगे बढ़ाता है तो lawmakers से संगठित तरीके से संपर्क कर concerns उठा सकते हैं, और Google के anti-competitive व्यवहार पर regulation या breakup की मांग कर सकते हैं
लोगों को फ़र्क पड़ता है। बस public pressure बनाने के लिए चरण होते हैं। जनता को समस्या का पता चलना चाहिए, technical पहलू सीखने और समझने चाहिए, और opposition organize करना चाहिए। यह ज़रूरी नहीं कि तेज़ प्रक्रिया हो
[1] https://news.ycombinator.com/item?id=36877310
अगर मानें कि मुख्य उद्देश्य ad blocking को रोकना है, तो मुझे जानना है कि मेरा pinhole DNS blocker प्रभावित होगा या नहीं। अगर नए standard की वजह से सभी DNS blockers की ओर चले जाएँ, तो user को थोड़ी cost देनी पड़े, फिर भी कुल landscape बेहतर हो सकता है
जब system को free और open माना जाता है और ज़रूरत महसूस नहीं होती, तब privacy tools को adoption या support लगभग नहीं मिलता। सीमा बदलने तक सभी को tin foil hat पहनने वाला समझा जाता है
लोगों को personal data protection, service control जैसी चीज़ें कुल मिलाकर बेहतर समझनी चाहिए, लेकिन जब तक विकल्प खत्म होकर control वापस लेना मजबूरी न बन जाए, वे आलस करते रहेंगे
consumer electronics users content के बारे में “vote” करने वाले लोग नहीं हैं। hierarchical, private और internal decision-making से चलने वाले closed computer systems decision points तक पहुँच रहे हैं
अच्छा है कि ऐसे लोग हैं जो यह सब जानने को value देते हैं। जब मैं इसे फैलाने की कोशिश करता हूँ तो आम तौर पर अज्ञानता ही मिलती है
यह सिर्फ़ Google की बात नहीं है। लगता है वे बस पहले होना चाहते हैं
जिसे मैं digital lockdown कहता हूँ, वह “conspiracy theory” यही है। यह उसी दिशा में एक और कदम है, और यह जो करता है उसे देखकर लगता है कि destination बहुत पास आ गया है
वे ऐसे दिखा रहे हैं जैसे यह verify करना कि हम सब Google browser इस्तेमाल कर रहे हैं, somehow हमें ज़्यादा सुरक्षित बना देगा। मानो उनके developers perfect हों
इस तरह का Big Tech arrogance हैरान करने वाला और चिढ़ाने वाला है
“आप हमारी website पर आ सकते हैं। पहले अपनी digital handcuffs दिखाइए”
क्या कोई पाँच साल के बच्चे को समझाने की तरह बता सकता है? क्या होने वाला है? क्या Firefox ज़्यादातर sites पर काम करना बंद कर देगा? क्या uBlock नहीं चलेगा? क्या World Wide Web sites access करने से पहले retina scan भेजना पड़ेगा?
खैर, हम पहले भी internet के बिना रहते थे। Microsoft Flight Simulator floppy disks से install किया था। इस बार बस floppies थोड़ी ज़्यादा होंगी। कोई बड़ी बात नहीं
Linux शायद Ubuntu और Red Hat builds के अलावा काम न करे। वह भी support जोड़ने के बाद की बात है। browser, operating system, kernel, boot environment, TPM से गुजरने वाली लंबी verification chain चाहिए, और Google को यह समझाना होगा कि वह chain hack होने लायक कमज़ोर नहीं है, इसलिए इसमें समय लग सकता है
ad blockers किसी न किसी point पर बाहर कर दिए जाएँगे। और हम floppy पर Flight Simulator चलाने वाले दिनों में वापस भी नहीं जा सकते। banks, flight tickets और concert tickets, यहाँ तक कि बच्चे का pediatrician भी इसकी मांग करेगा
ऐसा इसलिए नहीं कि doctors नए web spec को बड़े ध्यान से पढ़ेंगे, बल्कि इसलिए कि वे ऐसे healthcare service platforms इस्तेमाल करेंगे जो Cloudflare defaults पर निर्भर होंगे, जिन्हें security वाले लोग bots और DDoS कम करने के कारण पसंद करते हैं
आखिर में हम cable TV की तरह लगातार निगरानी और ads दिखाने वाले walled operating system का इस्तेमाल कर रहे होंगे। बड़ा हंगामा Google को थोड़ा पीछे हटाने या ऐसे वादे करने पर मजबूर कर सकता है जिन्हें वह निभा नहीं सकता और निभाएगा भी नहीं
असली समाधान सिर्फ़ सरकार का इस्तेमाल करके users को control खोने से रोकना है
हाँ! चलो सब Chromium-based browsers इस्तेमाल करते हैं!
क्या गलत हो सकता है?