Google Chrome में Google से साइन इन करना

Hacker News राय

• अश्लील साइटों जैसी जगहों पर भी इस तरह का पॉपअप दिखना ईमानदारी से बहुत ज़्यादा दखल देने वाला लगता है, खासकर जब लगभग हर विज़िट पर लगभग फुल-स्क्रीन Google login पॉपअप आ जाए तो सच में चौंक जाता हूँ, incognito mode में जाएँ तो हर बार नया session होने की वजह से यह और भी ज़्यादा दिखता है, Reddit जैसी साइट पर भी ऐसे third-party पॉपअप से user experience बर्बाद होना समझ से बाहर है, अगर Facebook, GitHub जैसी दूसरी साइटें भी ऐसा करने लगें तो एक बार में 4 banner बंद करने पड़ेंगे, शायद बहुत से लोग privacy extensions नहीं इस्तेमाल करते इसलिए Reddit लगातार user tracking और one-time dismiss state save कर पाता है, सोचता हूँ क्या किसी को पता है कि ऐसे पॉपअप वास्तव में returning users घटाते हैं या नहीं

  • ऐसे पॉपअप किसी भी साइट पर गंभीर रूप से दखल देने वाले लगते हैं, और बार-बार यह याद दिलाते हैं कि Google जैसी कंपनी मेरी दी हुई सारी personal information इकट्ठा करके मेरी ज़िंदगी के लगभग हर पहलू का personal profile बना रही है

  • Google One Tap की वजह से मेरे SaaS web app पर नए sign-ups एक रात में 8 गुना बढ़ गए, app की न्यूनतम functionality बिना account के इस्तेमाल की जा सकती है लेकिन sign-up करने पर फायदा मिलता है और email के ज़रिए users से संपर्क का रास्ता भी खुल जाता है, इसलिए मुझे लगता है कि यह users और company दोनों के लिए फायदेमंद हो सकता है

  • मैं व्यक्तिगत रूप से अश्लील साइटों पर जाते समय सिर्फ़ उसी तरह की साइटों में logged in रहता हूँ, मैं इस फीचर का बचाव नहीं कर रहा, लेकिन कम से कम सामान्य समझ के साथ आलोचनात्मक तरीके से देखना चाहिए, mobile पर मुझे यह पॉपअप सबसे ज़्यादा इसलिए नापसंद है क्योंकि site load होते ही (0.5~2 सेकंड में) यह सीधे उंगली के नीचे आ जाता है और गलती से tap हो जाता है, और जानकारी तुरंत share हो जाती है, वापस लेने का कोई तरीका नहीं होता, desktop पर भी बुरा लगता है लेकिन mobile पर यह content को पूरी तरह ढक देता है इसलिए गलती से tap होना और आसान हो जाता है, याद है कि इसे Google account या Google Workspace में बंद किया जा सकता था, और भी कई वजहें हैं, Apple, Firefox, Microsoft, Meta जैसे बड़े identity providers भी इसे पेश कर सकते हैं, लेकिन फिर Sign in with Google, Apple, Facebook, Microsoft, Firefox जैसे 5 पॉपअप एक साथ दिखने लगेंगे, इस मायने में यह commons tragedy जैसा लगता है, फिर भी आसान और तेज़ sign-up, login आकर्षक हैं इसलिए privacy-focused Web API हो तो बुरा नहीं, लेकिन Google वाला यह खास पॉपअप हट जाना चाहिए या प्रतिबंधित होना चाहिए

  • अश्लील साइटों वगैरह पर पॉपअप? सच कहें तो यह दिखाता है कि इस तरह की सेवाओं में पॉपअप, ads, clickjacking जैसी तमाम रुकावटें होने पर भी अगर content पर्याप्त आकर्षक हो तो user फिर भी वापस आते रहेंगे

  • इसलिए मैं Meta और Google को वेब पर बहुत ज़्यादा ताकत रखने वाले problematic players मानता हूँ, और neutral/hold पोज़िशन से इनके shares रखता हूँ

• Chrome में दिखने वाला अनुभव Federated Credential Management(संक्षेप में FedCM) नाम के नए standard पर आधारित है, इसमें browser मध्यस्थ बनकर ID provider और web app के बीच ज़रूरी जानकारी का आदान-प्रदान कराता है और साथ ही इंटरनेट पर tracking को रोकने की कोशिश करता है, मैं इसी विषय पर लिख रहा हूँ, अगर और रुचि हो तो हाल का authentication conference video देखें(https://m.youtube.com/watch?v=FBAD4x7MWdI) (वैसे इसे मैंने ही प्रस्तुत किया था), standard पर सक्रिय रूप से काम चल रहा है और Firefox भी इसे अपनाने वाला है, Edge पहले से support करता है, अभी ID providers के feedback का इंतज़ार है, और जानकारी(https://github.com/w3c-fedid/FedCM), हर मंगलवार मीटिंग भी होती है

  • Mozilla ने औपचारिक रूप से सहमति नहीं दी है, लेकिन उसकी आधिकारिक standards position neutral है(https://mozilla.github.io/standards-positions/#fedcm), संबंधित issue tracker में रुचि तो दिखती है लेकिन कई चिंताएँ भी लिखी हैं(https://github.com/mozilla/standards-positions/issues/618), Apple ने 3 साल पहले अस्पष्ट रूप से रुचि जताई थी लेकिन उससे आगे कोई position नहीं आई(https://github.com/WebKit/standards-positions/issues/309), उसके बाद रुख बदला है या नहीं, जानने की उत्सुकता है

  • अगर यह नया standard है तो इसे पूरे industry का समर्थन मिलना चाहिए, लेकिन GitHub contributors(https://github.com/w3c-fedid/FedCM/graphs/contributors) देखें तो ज़्यादातर Google से हैं

  • मूल रूप से अच्छा होगा अगर email address sharing को block किया जा सके, जब भी मैं Google login इस्तेमाल करता हूँ तो बिना मेरी सहमति के site/app से spam mail आना बहुत आम है, इसी वजह से मैं Google login बिल्कुल इस्तेमाल नहीं करता, वजह spam है

  • यह थोड़ा OpenID(अब लगभग खत्म हो चुका) की याद दिलाता है, बस फर्क यह है कि इस बार यह browser native रूप से integrated है

  • इसमें संदेश आता है, "जारी रखने के लिए Google.com आपका नाम, email और profile photo share करेगा", तो समझ नहीं आता कि यह 'privacy-सुरक्षित modern standard' के साथ कैसे compatible है, यह बिल्कुल भी privacy-friendly नहीं लगता

• इस पॉपअप की वजह से कई बार गलत click हो गया और मेरी PII(व्यक्तिगत पहचान योग्य जानकारी) बिना मेरी सहमति के किसी अविश्वसनीय third party को भेज दी गई, मुझे यह लगभग अपराध जैसा लगता है

  • जानकारी के लिए, uBlock Origin में नीचे दिए गए filters लगाने से समस्या हल हो जाती है:

    ||accounts.google.com/gsi/iframe
    ##iframe[src^="http://accounts.google.com/gsi/iframe";]
    ##iframe[src^="https://accounts.google.com/gsi/iframe";]
    ##iframe[src^="//accounts.google.com/gsi/iframe"]
    ###credential_picker_container
    

    स्रोत: stackoverflow, आख़िरी rule मैंने इसलिए जोड़ा कि पॉपअप दिखे नहीं तब भी उसके contents block हो जाएँ

  • वैसे गलती से click हो जाए तो बहुत ज़्यादा चिंतित होने की ज़रूरत नहीं, Google तो web page load होते ही visit information track कर लेता है, Google One Tap यहाँ guide की तरह Google server से script tag के ज़रिए चलता है

  • मैं इस पॉपअप को uBlock से कई सालों से block कर रहा हूँ

  • काश इस thread को PMs ज़रूर पढ़ें, मुझे लगता है trade-off का आकलन गलत किया गया है

  • Google account delete कर दें तो यह समस्या पूरी तरह खत्म हो जाती है

• लगता है यह FedCM API की बात है(https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API), Google के अलावा दूसरी कंपनियों का support भी संभव है लेकिन अभी कोई वास्तविक implementation नहीं है, Google's One Tap library नया api इस्तेमाल करती है, और unsupported browsers में पुराने पॉपअप पर fallback करती है, Chrome में "sign in with google.com" दिखता है जबकि आम तौर पर One Tap में "sign in with Google" दिखता है, Mozilla भी development कर रहा है लेकिन system जटिल है इसलिए समय लगेगा, अगर यह लोकप्रिय हुआ तो Safari भी जोड़ देगा ऐसा लगता है

  • मैं FedCM meetings में शामिल हुआ हूँ, Firefox की तरफ़ का जिम्मेदार developer लगातार भाग लेता है, Safari team की कुछ posts देखी थीं जिनमें कहा गया था "यह ठीक-ठाक idea लगता है, हम समीक्षा करेंगे", लेकिन उसके बाद कोई खास action नहीं देखा, Edge पहले से support करता है और दूसरे Chromium-based browsers में भी इसे जोड़ना अपेक्षाकृत आसान है

  • जानना चाहता हूँ कि इसका alternative क्या है, third-party cookies तो पहले ही block/phase out की जा चुकी होंगी, फिर gsi script को Google session information कैसे मिलती है?

• सबसे हैरानी की बात यह है कि यह पॉपअप DOM structure का हिस्सा नहीं बल्कि browser द्वारा page के ऊपर सीधे draw किया जाता है, अगर यह browser toolbar जैसी किसी जगह होता तो मुझे परवाह नहीं होती, लेकिन page content को ढक देना साफ़ तौर पर antitrust lawsuit वाली बात लगती है, इसी पॉपअप की वजह से 6 महीने पहले Chrome छोड़कर Brave पर चला गया, chrome://settings/content/federatedIdentityApi और मेरे Google account settings दोनों जगह बंद करने के बाद भी यह बार-बार दिखता रहा

  • antitrust वाले दावे पर, दूसरे comments देखें तो वास्तव में यह open standard है और Google के अलावा कई identity providers के लिए खुला ढाँचा है(संबंधित विवरण)

• ||accounts.google.com/gsi/*$xhr,script,3p
  इस UBO filter से सब कुछ block किया जा सकता है, या "annoyances" list enable कर दें तो cookie banners जैसी झुंझलाहटें भी छिप जाएँगी, NoScript भी जोड़ने की सिफारिश है

  • NoScript, uBlock Origin इस्तेमाल करने पर लगभग redundant है, विस्तृत तुलना के लिए यहाँ देखें

• बहुमत के विपरीत, क्या मेरी तरह कोई है जिसे यह पसंद है, sign-up process बहुत झंझट भरी और अक्सर खराब बनी होती है, इसलिए इसे bypass करने का अनुभव मुझे अच्छा लगा

• बहुत से लोगों को पता ही नहीं होता कि Safari या Firefox इस्तेमाल करने पर यह banner दिखता ही नहीं, शायद इसलिए कई साइटों को यह ठीक लगता है, courts और antitrust regulators को ऐसे मामलों पर नज़र रखनी चाहिए, यह एक प्रमुख उदाहरण है कि Google कैसे Chrome के ज़रिए न सिर्फ़ अपने browser को फ़ायदा देता है बल्कि SSO/data collection platform में भी अपने पक्ष में खेलता है

• मेरी समझ थी कि website content area के ऊपर overlay दिखाना taboo माना जाता है, क्योंकि कोई भी HTML/CSS से काफ़ी विश्वसनीय नकली dialog बना सकता है और उसका दुरुपयोग कर सकता है

• ‘Sign in with Google’ prompt बहुत नापसंद है, डर रहता है कि गलती से या अनजाने में click करके मेरा email address और identity किसी अनजान, अविश्वसनीय website के साथ share न हो जाए, browser द्वारा identity management का idea काफ़ी अच्छा है, लेकिन email sharing जैसी दूसरी जानकारी के साथ बंधी मौजूदा implementation user की गलती की संभावना बढ़ाती है, इसलिए यह सच में user-friendly नहीं है