- Google ने Chrome के लिए प्रस्तावित Web Environment Integrity(WEI) को लेकर आलोचना झेली है, क्योंकि यह वेबसाइटों को client execution environment सत्यापित करने देता है और इस तरह वेब को व्यावहारिक रूप से DRM में बदल सकता है
- WEI ऐसी संरचना है जिसमें यह साबित किया जाता है कि उपयोगकर्ता वेब client को “सुरक्षित Android device” जैसे environment में चला रहा है, और यह जानकारी cryptographically signed token के रूप में दी जाती है
- धोखाधड़ी रोकने के दावे के बावजूद, Mozilla का मानना है कि इससे assistive technology, automated testing, archiving, और search engine spiders जैसे वेब के मौजूदा उपयोग रुक सकते हैं
- Brave ने कहा है कि WEI उपयोगकर्ताओं की बजाय बड़ी वेबसाइटों और platforms को ज़्यादा शक्ति देता है, इसलिए इसे Brave browser में शामिल नहीं किया जाएगा
- अगर remote attestation को web standard में शामिल किया गया, तो इसका उपयोग सिर्फ अच्छे कामों के लिए नहीं बल्कि browser blocking, ad blocking पर रोक, और platform control मज़बूत करने के लिए भी हो सकता है
Chrome के WEI प्रस्ताव से उठे वेब DRM विवाद
- Google ने Chrome में Web Environment Integrity जोड़ने का प्रस्ताव दिया है
- यह system वेबसाइटों को ऐसा token मांगने देता है जो उस environment के मुख्य तथ्यों को साबित करे जहाँ client code चल रहा है
- उदाहरण के लिए, यह दिखाया जा सकता है कि उपयोगकर्ता वेब client को “सुरक्षित Android device” पर चला रहा है
- token को छेड़छाड़ से बचाने के लिए cryptographic signature का उपयोग किया जाता है
- वेबसाइटें खुद तय करती हैं कि attester द्वारा लौटाए गए निर्णय पर भरोसा करना है या नहीं
- Google के विवरण के अनुसार, attester व्यावहारिक रूप से operating system या platform की ओर से आने की संभावना है
- प्रस्ताव दस्तावेज़ Apple के App Attest और Android के Play Integrity API जैसे मौजूदा native attestation signals से प्रेरित है
- fraud prevention के मामले में स्पष्ट निर्णय और व्यापक coverage उपयोगी हो सकते हैं, लेकिन यह जोखिम भी है कि वेबसाइटें किसी खास attester या उन browsers को बाहर कर दें जिन्हें attest नहीं किया जा सकता
remote attestation कैसे बदलता है कंप्यूटर पर अधिकार का संबंध
- Cory Doctorow के अनुसार, लगभग 20 साल पहले Microsoft ने Electronic Frontier Foundation के सामने Next Generation Secure Computing Base, यानी Palladium नाम की trusted computing अवधारणा रखी थी
- इसका केंद्र था remote attestation, जिसमें उपयोगकर्ता के कंप्यूटर के अंदर एक अलग device bootloader, operating system, application, extension, kernel state आदि को देखता है और signed manifest किसी बाहरी verifier को भेजता है
- remote attestation एक शक्तिशाली क्षमता हो सकती है, जिससे वे लोग जो एक-दूसरे पर भरोसा नहीं करते, एक-दूसरे के कंप्यूटर configuration की पुष्टि कर सकें
- जैसे work-from-home माहौल में कंपनी कर्मचारियों के devices की configuration जांचे, ऐसे उपयोग लाभकारी और सहमति-आधारित हो सकते हैं
- लेकिन इसका उपयोग Word document को OpenOffice में न खुलने देने या SMB और Samba में फर्क करके network access रोकने जैसे बहिष्करण के लिए भी किया जा सकता है
- मुख्य सवाल यह है कि क्या कंप्यूटर को तब भी बाहरी दुनिया को “सच” बताना चाहिए जब उपयोगकर्ता ऐसा न चाहे, और क्या दूसरे लोग दूर से ऐसी क्षमताएँ trigger कर सकें जिन्हें उपयोगकर्ता नियंत्रित नहीं कर सकता
Mozilla और Brave ने इसका विरोध क्यों किया
- Mozilla ने GitHub चर्चा में WEI का विरोध करते हुए कहा कि यह open web के खिलाफ़ है
- Mozilla का कहना है कि विकल्प सीमित करने वाले तंत्र web ecosystem की openness को नुकसान पहुँचाते हैं और उपयोगकर्ताओं के लिए भी अच्छे नहीं हैं
- प्रस्तावित use cases “non-human traffic detection” क्षमता पर निर्भर हैं
- यह तरीका assistive technology, automated testing, archiving, और search engine spiders जैसे मौजूदा web uses को रोक सकता है, जो इंसानों के लिए बने content को लेकर उसे transform, test, index या summarize करते हैं
- Mozilla का मानना है कि “holdback” जैसे safeguards, जिनमें यादृच्छिक रूप से attestation न बनाया जाए, शायद सीमित प्रभाव वाले हों और चिंताओं को दूर करने के लिए पर्याप्त न हों
- Brave ने भी Web Environment Integrity का विरोध किया है और कहा है कि वह WEI को Brave browser में शामिल नहीं करेगा
- Brave का मानना है कि WEI उपयोगकर्ताओं की बजाय बड़ी वेबसाइटों, खासकर Google द्वारा संचालित वेबसाइटों, की ओर शक्ति स्थानांतरित करता है
- Chromium का उपयोग करने के बावजूद, Brave की योजना WEI को शामिल न करने की है
- Brave, WEI जैसी लेकिन अधिक सीमित क्षमताओं, जैसे WebAuthn के कुछ हिस्से या Privacy Keys, को भी इस तरह सीमित करने पर विचार कर रहा है कि अच्छे उपयोग प्रभावित न हों
ad blocking और platform control को लेकर चिंता
- Alex Ivanovs ने WEI के एक दुष्प्रभाव के रूप में कहा कि Google ad blocking को व्यावहारिक रूप से रोक सकता है
- अगर attester को नियंत्रित करने वाली इकाई client environment सत्यापित करती है, तो यह चिंता पैदा होती है कि Google या अन्य बड़ी tech कंपनियाँ trust score में हेरफेर कर सकती हैं और तय कर सकती हैं कि किन वेबसाइटों या browser environments पर भरोसा किया जाए
- Brave ने WEI को Google के हाल के web proposals की एक व्यापक दिशा से जोड़ा है
- WebBundles के बारे में उसका कहना है कि इससे उपयोगकर्ताओं के लिए अनचाहे page content को block या filter करना कठिन हो जाता है
- First Party Sets के बारे में उसका कहना है कि इससे उपयोगकर्ताओं के लिए यह समझना कठिन हो जाता है कि कौन-सी sites उन्हें track कर सकती हैं
- Manifest V3 के ज़रिए browser extensions को कमज़ोर करने से uBlock Origin जैसे ad और tracker blocking extensions का नियंत्रण घटता है
- Brave ने कहा है कि वह ऐसे features को Brave browser में disable या modify करता है
open web में शक्ति कहाँ होनी चाहिए
- WEI जिन fraud और abuse समस्याओं को संबोधित करना चाहता है, वे वास्तव में मौजूद हैं, लेकिन प्रस्तावित तरीका open internet की संरचना को बुनियादी रूप से बदल देता है
- मुख्य आलोचना यह है that यह शक्ति को network edge की ओर धकेलने के बजाय वेबसाइटों और platforms की ओर केंद्रीकृत करता है
- भले ही government surveillance जैसी षड्यंत्रकारी व्याख्याओं को अलग रख दिया जाए, यह प्रस्ताव अपने आप में खराब, खतरनाक और open web के सिद्धांतों के खिलाफ़ है
- भले ही Google की मंशा अच्छी हो, इसकी कोई गारंटी नहीं कि ऐसे tools का इस्तेमाल हमेशा अच्छे उद्देश्यों के लिए ही होगा
- अगर open web का समर्थन करना है, तो WEI का विरोध करना चाहिए, और Google को भी यह प्रस्ताव वापस लेना चाहिए
1 टिप्पणियां
Hacker News की राय
अब Google को antitrust breakup के लिए ज़ोरदार तरीके से लॉबी करने का समय आ गया है
यह DRM योजना monopoly position के दुरुपयोग जैसी है और forced breakup को राजनीतिक रूप से आगे बढ़ाने का और आधार देती है। Alphabet अधिग्रहणों से बड़ी हुई कंपनी है, इसलिए इसे बाँटना भी तुलनात्मक रूप से स्पष्ट है: Google को सिर्फ search और search ads, DoubleClick को third-party site ads, Analytics को website services, Cloud को datacenter services, Android को devices, Chrome को browser, YouTube को streaming, Waymo को autonomous driving, और Alphabet को बाकी हिस्सों में बाँटा जा सकता है
अगर Chrome को Google और DoubleClick से अलग होकर market share के लिए प्रतिस्पर्धा करनी पड़े, तो DoubleClick या Google ads की blocking रोकने की उसकी प्रेरणा कम हो जाएगी। Texas राज्य और कई state attorneys general के मुकदमे पहले से चल रहे हैं, और Google का तकनीकी रूप से monopoly को मजबूत करने की कोशिश करना ऐसे मुकदमों के पक्ष में जाएगा। अगर इसे राजनीतिक रूप से बहुत बड़ा मुद्दा बनाया जाए, तो antitrust lawyers की सलाह पर Google इस प्रस्ताव को वापस ले सकता है
https://www.bloomberg.com/news/articles/2023-06-05/google-an...
https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...
Google एक digital asset—ads—का अकेला विक्रेता और उसी asset के market का अकेला operator है। उसके पास public audit के बिना एक बंद algorithmic trading system है, और कौन कितना bid कर रहा है यह दिखाने वाला कोई public ledger भी नहीं है। साथ ही वह अपने products का विज्ञापन करने वाला एक प्रमुख customer भी है
Advertisers को अपनी sites पर tracking code लगाना पड़ता है, इसलिए Google transactions, revenue और customers—सब देख सकता है। बंद algorithms और ad market के साथ मिलकर manipulation की संभावना बहुत बड़ी हो जाती है। सबसे अहम breakup ad business को search समेत बाकी हिस्सों से अलग करना है; यह आसान न हो, फिर भी बदलाव ज़रूरी है। व्यावहारिक रूप से online ad market पर कड़े regulations, business units के बीच separation firewalls, और platform audits अधिक संभव लगते हैं
web और email जैसी बुनियादी चीज़ों तक गहराई से नियंत्रण रखने वाली कंपनी का “दुनिया की जानकारी को व्यवस्थित करना” वाला mission अब “दुनिया की जानकारी के सामने जितने हो सकें उतने paid middlemen खड़े करना” या कुछ जानकारी को पूरी तरह रोक देना बन गया लगता है
किसी एक कंपनी को “दुनिया” की जानकारी को व्यावहारिक रूप से manage करने नहीं देना चाहिए। Alphabet को ठीक-ठीक कैसे तोड़ना चाहिए, यह मुझे नहीं पता, लेकिन इसे तोड़ना चाहिए—इससे सहमत हूँ। अगर information free होनी चाहिए, तो हमें यह भी फिर से देखना होगा कि ऐसी दुनिया में उस freedom को कैसे बचाया जाए जहाँ Google उसका guardian होने का दिखावा न करे
https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
पैसा गंवाना अपने-आप में ठीक है। profit कमाने से पहले investment करनी पड़ती है, और Google Cloud जैसी services स्थापित हो जाएँ तो cash machine बन सकती हैं। हालांकि cloud providers third parties और partners पर पैसा बरसा रहे हैं ताकि वे enterprises को बेचें और implementations कराएँ। एक Dutch flower exchange company सैकड़ों services को AWS पर migrate कर रही थी, और एक नया IT manager AWS sales में Amazon से जुड़ा हुआ लगता था। एक बार अंदर चले गए तो बाहर निकलने में millions of dollars और कई साल लगते हैं, इसलिए AWS से GCP जैसी lateral move अक्सर होती नहीं दिखती
Chrome मुख्य रूप से इसलिए मौजूद है ताकि ad business ज्यादा data हासिल कर सके और web की दिशा पर असर डाल सके। उसे अलग कर दें तो ChromeOS से थोड़ी कमाई के अलावा कोई revenue source नहीं बचेगा, इसलिए Chrome को बनाए रखना मुश्किल होगा
मैं समझता हूँ कि यह Google को यह प्रस्ताव छोड़ने पर दबाव डालने का political tool है। लेकिन Google/Alphabet breakup अव्यावहारिक है, और जब तक Microsoft को भी साथ-साथ नहीं तोड़ा जाता, मैं इसे नहीं चाहूँगा। नहीं तो Microsoft फिर से web पर dominate कर सकता है, और मैं वह दौर दोबारा नहीं देखना चाहता
यह Google के उस दावे को व्यावहारिक रूप से ध्वस्त कर देता है कि OEMs के पास विकल्प है और यह Google monopoly नहीं है। समस्या यह है कि Google radar के नीचे रहने में माहिर है। Apple, Google, Microsoft products इस्तेमाल न करने वाला छोटा-सा वर्ग ही इसे नोटिस करता है, और politicians या आम जनता/प्रभावशाली लोगों को लगभग पता ही नहीं चलता
इस बार भी शायद किसी को फर्क नहीं पड़ेगा। इसे समझाना इतना जटिल है कि जिन लोगों को ध्यान देना चाहिए, वे भी शायद फिर नजरअंदाज कर देंगे। असल बात यह है कि चिंतित अल्पसंख्यक पर्याप्त शोर नहीं मचा रहा। de-Googled Android को रोकने वाली banks आदि पर लगातार दबाव बनाना होगा, और बची हुई “अच्छी” services की public list भी चाहिए। फिलहाल तो free browsers और free operating systems को सच में इस्तेमाल करने और GitHub जैसी जगहों पर भी जितना हो सके उतने जोर से मुद्दा उठाने के अलावा रास्ता नहीं है। web freedom को लेकर सबसे ज्यादा शोर web3 और crypto ही करते हैं, लेकिन मुझे वे बस speculation से पैसा कमाने वाले लोग लगते हैं जो माहौल बना रहे हैं
हम सबने Google सेवाओं को मुफ्त और उपयोगी टूल की तरह ट्रीट किया, इसलिए बात यहां तक आने दी
“Chrome ऐसा है, वैसा है” कहते-कहते हम भूल जाते हैं कि वह असल में दुनिया की सबसे बड़ी advertising agency का strategic tool है। Chrome, GMail वगैरह सब एक वैश्विक ad-tech framework में फिट बैठते हैं, जो संदिग्ध विज्ञापन ठेलता है और personally identifiable information खींचता है
Google monopoly और oligopoly का इस्तेमाल करके हमारी जिंदगी में घुसता है। Google को एक संदिग्ध business के रूप में frame करना फैलाना चाहिए। यह भरोसेमंद कंपनी नहीं, बल्कि ad giant है, और इसमें integrity भी नहीं है। अगर कोई बैंक Google का integrity feature इस्तेमाल करे, तो customer care को फोन करके नौसिखिए की तरह “यह काम नहीं कर रहा” कहकर लंबे समय तक पकड़े रखना चाहिए, और जब आखिर में Integrity + Chrome की बात आए तो पूछना चाहिए, “क्या आप संदिग्ध advertising agency के साथ हैं? मुझे लगा था आप भरोसेमंद बैंक हैं”
helpdesk में अहम चीज ticket closure metrics और call time होते हैं, emotional outburst कुछ नहीं बदलता
आखिर में पहले data से भुगतान करते हैं, और बाद में फिर पैसों से भी भुगतान करते हैं। मुफ्त internet कुछ लोगों के लिए अच्छा हो सकता है, लेकिन हम जो products खरीदते हैं उनकी कीमत में शामिल advertising tax हम सब भर रहे हैं। बेहतर होगा इस पूरे freemium pricing model को ही ban कर दिया जाए और पुराने दिनों की तरह चीजों के लिए सीधे पैसे दिए जाएं; इससे कई समस्याएं सुलझ सकती हैं
https://httptoolkit.com/blog/apple-private-access-tokens-att...
जल्द ही शायद हमें इस बात से ज्यादा डरना पड़े कि बैंक केवल Apple devices मांगने लगें
2012 में Google Ireland में SRE role के लिए interview दिया था
पारिवारिक वजहों से आखिर में नहीं गया, लेकिन कुछ समय तक मुझे अफसोस रहा कि Google-scale की समस्याएं हल करने और FAANG-level पैसा कमाने का मौका छूट गया
अब वह अफसोस पूरी तरह खत्म हो गया है। वजह यह है कि Google जैसा बदल गया है और दुनिया में अपनी भूमिका को जिस तरह समझता है, वह बदल गया है। या शायद कंपनी की असली corporate nature और साफ दिखने लगी है। 2000s के Google को मैं corporate दुनिया में एक अच्छी ताकत मानता था, लेकिन अब मुझे पूरा यकीन है कि ऐसा बिल्कुल नहीं है। इसलिए दुख होता है, और जिस internet और FOSS दुनिया को मैं पसंद करता हूं, उन्हें आखिरकार होने वाले नुकसान से डर लगता है
मैं Google को किसी एक असली प्रकृति वाली single entity नहीं मानता। आखिर यह लोगों का संगठन है जो decisions लेते हैं। कभी यह VP8 को open source करके global value बनाता है, और कभी ऐसे experiments चलाता है जिनकी मंशा बेहतर तरीके से समझानी चाहिए थी
Pichai के दौर में लगता है कि यह अपनी position lock करना, competitors को खत्म करना, और WWW को GWWW में बदलना चाहता है
बदनाम DoubleClick को acquire करते समय भी मैं खुश था, क्योंकि लगा कि वह online advertising industry को बेहतर बना पाएगा। लेकिन ऐसा नहीं हुआ, और Google आखिरकार वही घटिया online advertising company बन गया
शुरुआती Google सच्चे और सीधे लोगों जैसा लगता था। dot-com crash के बाद हर कोई bills भरने के लिए monetization में लग गया, और मुझे लगता है वहीं आज के बीज बोए गए
Google ने भले ही किसी चीज की रक्षा करने का दिखावा किया हो, लेकिन corporate entity बनने के बाद से यह लगातार बुरी कंपनी रही है। कंपनियां design से ऐसे ही चलती हैं
संबंधित उदाहरण के तौर पर, Google अपने services में 10 साल से ज्यादा समय से “IE5+ only” जैसी चीजें करता आया है। उसने अच्छे product से browser competition को नहीं मारा, बल्कि अच्छी services बनाईं या खरीदीं और फिर उनका इस्तेमाल users पर Chrome थोपने के लिए किया। स्वेच्छा से यह अरबों डॉलर के advertising के जरिए हुआ, और अनैच्छिक रूप से compatibility/performance के बारे में झूठ या दूसरे user agents को block करके
IE में Microsoft ने समझ लिया कि वह जीत गया है और IE team को भंग कर दिया, इसी लापरवाही के बीच Firefox के predecessors ने उसे पीछे किया। Firefox इसलिए हारा क्योंकि Google ने पागलों की तरह Chrome को तेज बनाया, और बार-बार पीछे रह जाने के बाद उसने लगभग सारा market share गंवा दिया। Chrome का dominance और Google द्वारा अपनी market position का दुरुपयोग पसंद नहीं है, लेकिन अपनी उम्र के ज्यादातर हिस्से में Chrome एक अच्छा product रहा है
https://www.businessinsider.com/google-sergey-brin-employees...
कंपनियां पैसा कमाने या leverage जमा करने की कोशिश करती हैं। बेशक कुछ कंपनियां execution या competition में अच्छी नहीं होतीं। शुरुआत में उसने अच्छे काम करते हुए leverage बनाया, और अब उस leverage से cash cow को जितना हो सके उतने लंबे समय तक दुहने का चरण है
computing devices डॉक्टर, धर्मगुरु और वकील से भी ज्यादा नजदीकी user के agent हैं
हम devices के साथ ज्यादा निजी जानकारी share करते हैं, और उनके बिना सामान्य जीवन जीने की हमारी क्षमता भी कहीं कम है। Computer दूसरों और दुनिया के साथ हमारे interactions को लगातार ज्यादा mediate कर रहे हैं, और communication तथा essential services access करने के लिए भी जरूरी हैं। ये ऐसी चीजें हैं जिन्हें हम अपने घर और bedroom तक लाते हैं, इसलिए इन्हें user के सर्वोत्तम हित में काम करना चाहिए, और कम से कम user के खिलाफ तो नहीं ही काम करना चाहिए
यह कोई खास मांग नहीं, बल्कि basic premise होना चाहिए। free software का concept जब नया-नया बना था, तब भी user respect उसके केंद्र में था। पहले की उपेक्षा आम तौर पर rent-seeking, बहुत ज्यादा कीमत, features/bugs के प्रति उदासीनता, और author के पक्ष में rules जैसी चीजों तक सीमित थी। Software सक्रिय और जानबूझकर user के खिलाफ जा सकता है, यह संभावना थी, और inspect/modify/share करने की freedom ने सिद्धांत रूप में उस risk का जवाब दिया था। लेकिन तब यह आम समस्या नहीं थी। अब users को सक्रिय रूप से betray करने वाले software और systems आम होते जा रहे हैं और normalized हो गए हैं, और लगता है ज्यादातर लोगों ने इस बात पर ध्यान भी नहीं दिया है
मुझे तो लगता है कि अब पहले ही बहुत देर हो चुकी है
मजबूत धारणा यह है कि ज़्यादातर लोग बस परवाह नहीं करते, और अधिकतर जानना भी नहीं चाहते। मेरे जानने वालों में भी ज़्यादातर ऐसे ही हैं; वे पूछते हैं कि मैं नई ऐप क्यों इंस्टॉल नहीं करता, लेकिन privacy, निर्भरता, संसाधनों तक access खोना, repair का अधिकार वगैरह समझाने से पहले ही बात काट देते हैं
व्यक्तिगत रूप से मैं Gemini, Fediverse apps, Linux phones जैसे विकल्प सीखने में जितना हो सके उतना समय लगा रहा हूँ। साथ ही बैंक जैसी जीवन-निर्वाह के करीब services के लिए ही इस्तेमाल होने वाला एक अलग “mainstream” laptop रखता हूँ, जिसमें कुछ भी इंस्टॉल नहीं है और जिसे आम तौर पर बंद रखता हूँ
सरकार और judiciary के ऊपरी स्तरों का भ्रष्टाचार, secret detention facilities और torture, मुनाफे के लिए illegal wars भी इसी तरह हैं। जो कुछ भी हो रहा है, उस सब में रुचि रखना असंभव है, और लोगों से यह उम्मीद करना भी अव्यावहारिक है कि वे सब कुछ जानें या उसकी परवाह करें
ऊपर से, अधिकांश नागरिक सिर्फ दो paychecks रुकने पर गरीबी में गिर जाते हैं। वहीं lobbyists के पास decision-makers तक access और cash होता है, जिससे वे ठोस बदलाव आगे बढ़ाते हैं। यह ढांचा design किया गया है, और Google भी दूसरी कंपनियों की तरह बस उसका फायदा उठाता है। “लोगों” को दोष देना victim blaming है
लेख में Secure Computing पर Doctorow का शानदार quote WEI पर लागू किया गया है
“भले ही आप चाहते हों कि आपका computer आपके लिए झूठ बोले, क्या computer को सच बोलने के लिए मजबूर किया जा सकना चाहिए? क्या आपके computer के अंदर ऐसा device होना चाहिए जिसे आप control नहीं कर सकते और जिसे कोई दूसरा remote से चला सकता है?”
यह उचित application है, और ऐसा बुनियादी सवाल है जिसका जवाब संस्कृति और हर व्यक्ति/संगठन के अतीत में शासकों के abuse के अनुभव के आधार पर अलग-अलग होगा। व्यक्तिगत रूप से मैं इसके खिलाफ हूँ
अगर संदर्भ ऐसे non-removable soldered chip का है जो kernel वगैरह की “सच्चाई” report करता है, तो मुझे लगता है कि हम यह जान ही नहीं सकते कि computer सच बोल रहा है या नहीं। DEF CON में एक बार चले जाइए, समझ आ जाएगा। अंदर घुसने का हमेशा कोई तरीका होता है, हमेशा कोई hack होता है। hack को जितना कठिन बनाएंगे, DEF CON के geeks उतने ही ज़्यादा motivated होंगे
साथ ही “कोई दूसरा” कभी भी “सिर्फ वे लोग जिन्हें आप चाहते हैं” नहीं होता। इसमें अपराधी, stalkers, authoritarian governments जरूर शामिल होंगे। इसलिए जवाब सरल रूप से “नहीं” है
अगर autonomous car जरूरी नहीं कि owner के लिए चले, बल्कि “सही चीज़”, यानी सच का पालन करे, तो अपरिहार्य टक्कर की स्थिति में सवाल यह होगा कि मौजूदा owner के हित, manufacturer के हित, या सबके औसत हित में से किसे प्राथमिकता दी जाए
Google ने शुरू से ही असल में किसी चीज़ का पालन नहीं किया, और do no evil अधिकतर marketing ही था
2010s को देखना ही काफी है
https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
“हम personal information collect नहीं करते”
https://europe.googleblog.com/2010/04/data-collected-by-goog...
“ओह, collect किया था”
https://googleblog.blogspot.com/2010/05/wifi-data-collection...
Google की wage collusion भी 2001 तक जाती है
https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...
इस चीज़ का एक “side effect” यह है कि Google असल में ad blocking रोकने में सक्षम हो जाएगा
बेशक, कई लोग इसे side effect नहीं बल्कि अंतिम लक्ष्य मानेंगे
ऐसा लगता है कि हर कोई इसे स्वाभाविक रूप से DRM मान रहा है
असली दावा यह है कि वेबसाइटें इस signal का उपयोग access की अनुमति देने या रोकने के लिए करेंगी, और यह पहले से ही कई तरीकों से संभव है। Google या अन्य browser vendor यह तय नहीं कर सकते कि कोई वेबसाइट किसी feature का इस्तेमाल या दुरुपयोग कैसे करती है
fraud prevention के लिए निर्णायक verdict और व्यापक coverage चाहिए, लेकिन यह तनाव भी है कि वेबसाइटें किसी खास attester या attest न कर पाने वाले browser को बाहर कर सकती हैं। यह risk पहले से मौजूद है और वास्तव में होता है। इसके व्यापक न होने की वजह यह नहीं कि यह असंभव है, बल्कि यह है कि यह लोकप्रिय नहीं है। जिन sites को आपको मजबूरन इस्तेमाल करना पड़ता है, जैसे banks, वे रोज़ ऐसा करती हैं, और विकल्प न होने के कारण लोग इसे स्वीकार कर लेते हैं
कई लेख यह समझाए बिना कि यह कैसे अलग है, Google का वेबसाइटों द्वारा users के साथ किए जाने वाले व्यवहार से क्या संबंध है, या इसका क्या समाधान है, बस “DRM” वाला दावा दोहराते हैं। Google की हर initiative पर शक करना चाहिए, लेकिन यहां आलोचनात्मक सोच के बिना संभावित misuse को तोते की तरह दोहराने के अलावा कुछ नहीं दिखता। इस विषय पर लेख सिर्फ शब्दों को इधर-उधर करते हैं, कोई value नहीं जोड़ते, इसलिए AI से auto-generate कराने पर भी उपयोगिता लगभग वैसी ही लगेगी
कौन-सी fingerprinting technique इस्तेमाल हो रही है, यह समझकर उसे bypass किया जा सकता है। उदाहरण के लिए yt-dlp कुछ हद तक ऐसा करता है। Android पर भी rooting या custom ROM को stock Android जैसा दिखाकर banking apps का इस्तेमाल जारी रखने के लिए काफी support था। लेकिन app किस SafetyNet level का इस्तेमाल करती है, इस पर निर्भर करते हुए अब यह सचमुच असंभव है
TPM-based attestation से पहले आप अपने device पर control रख सकते थे। Android SafetyNet attestation ऐसे root of trust पर आधारित है जिसे custom ROM provide नहीं कर सकता, इसलिए इसे bypass नहीं किया जा सकता। भले ही आप अपना implementation दे सकें, अगर सभी सिर्फ Google द्वारा दिया गया ही support करें तो उसका कोई फायदा नहीं। LineageOS का अपना SafetyNet implementation भी है, लेकिन adoption लगभग नहीं है। WEI असल में SafetyNet को web तक extend करना है, और यह मूल रूप से अलग है क्योंकि यह अपने device पर control छीन लेता है
proposal का पहला लक्ष्य है “web server को device की authenticity और software stack तथा device से आने वाले traffic की ईमानदार representation का मूल्यांकन करने में सक्षम बनाना।” यानी web server को user द्वारा चुने गए device और software stack से content access करने के अधिकार को digitally restrict या manage करने में सक्षम बनाना
इसमें कोई संदेह नहीं कि यह DRM है। Google दावा करता है कि इसका उपयोग सिर्फ bots और abusive traffic को अलग पहचानने के लिए होगा, लेकिन इस technology का आसानी से दुरुपयोग हो सकता है और Google के पास ऐसा करने की motivation और capability दोनों हैं। “आप कौन-सा समाधान सुझाते हैं” पूछना वैसा ही है जैसे सड़क पर कोई आपके सिर पर बंदूक तानकर पैसे मांग रहा हो और आपसे पूछा जाए कि उसके हाथ में आपके पैसे न होने की समस्या आप कैसे हल करेंगे। ऊपर से शर्त यह भी जोड़ दी गई हो कि उस समस्या को हल करने से पहले आप उसे बंदूक नीचे रखने को भी नहीं कह सकते
सबसे उदार interpretation में भी यह बेहद naive नज़रिया ही लगता है। जिस feature का इस्तेमाल content locking या user surveillance के लिए किया जा सकता है, अंततः वैसा ही इस्तेमाल होगा। आज मौजूद हर feature के साथ यही होता है, और इसके उलट दावा करना लगभग bad faith जैसा है
अगर “browser vendor वेबसाइटों के misuse के लिए ज़िम्मेदार नहीं हैं,” तो क्या filesystem, location, camera, microphone access को permission dialog के बिना default on कर देना चाहिए? Java और Flash को भी वापस जिंदा कर देना चाहिए। आखिर वेबसाइट misuse करे तो वह browser vendor की गलती नहीं है
यह अलग है। जिस environment में browser चलता है, उसके बारे में meaningful attestation secure boot से शुरू होने वाली पूरी chain of trust के बिना हासिल नहीं की जा सकती, और यह Google व visit की गई site को Google-approved bootloader, Google-approved operating system, Google-approved drivers और software verify करने देता है। इससे भी बुरा, वे website-approved software तक मांग सकते हैं
बच्चों के हाथ में तेज़ चाकू और loaded gun देकर अगर कोई घायल हो जाए तो क्या आप हैरान होंगे? अगर हम इस feature को possible होने देते हैं, तो नतीजे हम सभी को भुगतने होंगे। वे नतीजे क्या होंगे, यह साफ दिख रहा है। मूर्खता नहीं करनी चाहिए
क्या यह कल्पना करना इतना मुश्किल है कि YouTube का कोई product manager ad blockers से होने वाले loss का हिसाब लगाए और फिर Chrome team से उसे रोकने को कहे?