Web Environment Integrity API - वेब पर्यावरण इंटीग्रिटी API प्रस्ताव
(github.com/RupertBenWiser)- Web Environment Integrity API वेब पर्यावरण की इंटीग्रिटी का आकलन करने के लिए एक नए API का प्रस्ताव है, और
navigator.getEnvironmentIntegrity("...")कॉल के जरिए attestation प्राप्त करने का तरीका प्रस्तुत करता है - यह प्रस्ताव अब आगे नहीं बढ़ाया जा रहा है, और इसके साथ इस विषय पर फ़ीडबैक और भागीदारी के लिए धन्यवाद संदेश भी दिया गया है
- सार्वजनिक वेब के लिए नहीं होने वाला Android-विशेष API Increasing trust for embedded media में समीक्षा के अधीन एक आइटम है
- spec इस समय Chromium में prototype के रूप में लागू किए जाने वाले तरीके का वर्णन करता है
1 टिप्पणियां
Hacker News की राय
वेब का अंतिम अंजाम लगभग ऐसा ही होना तय था, और विज्ञापन-आधारित बिज़नेस मॉडल ने इसमें बड़ा पैसा लगाया; साथ ही डेवलपर्स ने ऐसे फीचर लगातार ब्राउज़र में ठूँसने की कोशिश की जिन्हें लागू करना उनके लिए मुश्किल था
नतीजे में विज्ञापन कंपनी द्वारा चलाया जाने वाला एक प्रभुत्वशाली ब्राउज़र अब वेब स्पेसिफिकेशन तक पर व्यावहारिक रूप से असर डालने लगा है, और अब दिशा इस तरफ जा रही है कि आप पूरी तरह locked device या locked component के ज़रिए जुड़े हैं, इसका प्रमाण माँगा जाए
Brave भी इस मायने में उसी नाव में है कि वह भी एक विज्ञापन कंपनी है, और लंबे समय से इस पर चर्चा होती रही है कि लंबे समय में “trusted computing के अंदर browser चलाने” के तरीके से ad blocking रोकी जाए। विडंबना यह है कि विज्ञापन से monetization का मूल अनुमान ही आखिरकार self-destructive है, या यही असली समस्या है
ऐसा लग रहा है जैसे किसी बहुत प्रिय चीज़ को हज़ार छोटे घावों से मरते देख रहा हूँ, इसलिए समझ नहीं आता कि विरोध कैसे करूँ। Google Chromium में implementation धकेल देगा, और जब banks या Netflix वगैरह इसका इस्तेमाल शुरू करेंगे, तब बाकी engines पर भी इसे लागू करने का दबाव व्यवहारिक रूप से आ जाएगा
FLoC के समय भी ज़्यादातर लोग विरोध में थे, लेकिन उसे वापस लेने के बाद नाम बदलकर फिर से पेश कर दिया गया। शायद यही एक उम्मीद है कि Firefox इस प्रस्ताव को लागू न करे
[0]: https://github.com/RupertBenWiser
[1]: https://github.com/RupertBenWiser/Web-Environment-Integrity/...
[2]: https://news.ycombinator.com/item?id=26344013
Brave विज्ञापनों को block न कर पाने लायक बनाने की कोशिश नहीं करता। अगर आप उन्हें नहीं देखना चाहते, तो शुरुआत से ही इसे चालू न करें, या इसकी frequency कम कर दें, या पूरी तरह बंद कर दें
Brave मॉडल में device क्षेत्र-आधारित विज्ञापन सूची डाउनलोड करता है, और relevance का आकलन भी device के अंदर ही होता है। उपयोगकर्ता डेटा device से बाहर नहीं जाता, और जब ad notification दिखाई जाती है, तो उपयोगकर्ता को click किए बिना भी संबंधित ad revenue का 70% मिलता है
नए tab की sponsored image भी new tab में दो clicks से बंद की जा सकती है, और उपयोगकर्ता प्रति घंटे ad notifications की संख्या जैसी सेटिंग भी खुद तय करता है। Brave की रुचि उपयोगकर्ताओं को ज़बरदस्ती विज्ञापन दिखाने में नहीं है
ऊपर से यह विज्ञापन बिज़नेस मॉडल की रक्षा जैसा दिखता है, लेकिन असल में यह Google Chrome के एकाधिकार की ओर ले जा सकता है और नए प्रतिस्पर्धियों के आने को रोक सकता है
वेब जैसे सार्वभौमिक पहुँच माध्यम पर DRM-स्तर का नियंत्रण थोपना कोई समाधान नहीं है। हम खुले, निष्पक्ष और स्वतंत्र वेब की रक्षा करना चाहते हैं, और https://github.com/dosyago/BrowserBoxPro पर इसमें साथ दे सकते हैं
यह कहना भी मुझे वास्तविकता से अलग लगता है कि Google लगभग अकेले वेब स्पेसिफिकेशन पर राज करता है। Google कई API प्रस्तावित करता है, लेकिन अगर दूसरे browser vendors उन्हें हानिकारक मानें तो वे अक्सर गायब हो जाते हैं; पहले भी browser में और ad tech डालने की कोशिशें दूसरे vendors के समर्थन की कमी से विफल हुई हैं
वेब स्पेसिफिकेशन को लेकर मौजूदा ढाँचा—जहाँ Google, Mozilla और Apple अलग-अलग हितों के साथ खींचतान करते हैं—शायद संभवतः सबसे अच्छा संतुलन है, और उसी की वजह से वेब बेहतर बनता है
यह WWW के मूल सिद्धांतों के खिलाफ़ एक anti-WWW feature और पीछे की ओर जाना है। उम्मीद है यह लागू न हो, लेकिन जो लोग Chrome को browser features लगे हुए एक ad delivery app से ज़्यादा समझते थे, उनके लिए यह अच्छी चेतावनी है
यह अजीब है कि इस spec के मुख्य लेखक Ben Wiser ने पहले ऐसा लिख चुका है जो बंद walled garden मॉडल के खिलाफ लगता है
“I just spent £700 to have my own app on my iPhone” नाम की पोस्ट में उसने iOS App Store के एकाधिकार की आलोचना की थी, और app install की आज़ादी की वजह से Android पर लौटने पर विचार किया था
लेकिन वह इस spec का मुख्य लेखक होते हुए उन विचारों को इससे कैसे मिलाता है, यह समझ नहीं आता। उसने शिकायत की थी कि Linux laptop से app नहीं बनाया जा सकता, और app को एक महीने से ज़्यादा बनाए रखने और दोस्तों को आसानी से install कराने के लिए हर साल $99 देने पड़ते हैं; यह काफ़ी विडंबनापूर्ण और दुखद है
[1]: http://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-o...
ad वाला उदाहरण भी यही कहता है कि bot views के लिए advertisers से शुल्क न लिया जाए, और यह अभी एक बड़ी समस्या है
लेकिन tools का इस्तेमाल अच्छे और बुरे दोनों कामों में आसानी से हो सकता है, और यह सिर्फ user agent की नकल करने वाले bots को फ़िल्टर करने से आगे बढ़कर जितना ज़्यादा ad blockers को रोकने में इस्तेमाल होगा, उतना ही यह बुरा tool बन जाएगा
भले ही प्रस्ताव का सीमित दायरा ही असली इरादा रहा हो, scope creep रोकने का कोई तंत्र नहीं है। मंशा का अनुमान शायद कुछ हद तक चूक सकता है, लेकिन clients को कौन नियंत्रित करता है, यह मूल भावना इसमें साफ़ दिखती है, और यह कदम नहीं उठना चाहिए
ऊपर से, जब software और content competition में entry barriers कम हो रहे हैं, उसी समय ऐसी चीज़ को ज़बरदस्ती लागू करना भयानक backlash ला सकता है
Google के public web developers या developer relations वाले लोग अक्सर Apple पर लंबी-लंबी पोस्ट लिखते हैं कि वह web को बर्बाद कर रहा है
लेकिन Google ने web को इतना ज़्यादा नुकसान पहुँचाया है कि Apple को उसी स्तर तक पहुँचने में शायद दशकों लग जाएँगे। Google छोड़ने के बाद लोग धीरे-धीरे Google की भी आलोचना करने लगते हैं; उदाहरण के लिए web components वाले Alex Russell ने Microsoft जाने के बाद जो लिखा, वह देखें: https://infrequently.org/2021/07/hobsons-browser/
इस प्रस्ताव को पेश करने का तरीका सचमुच बहुत चालाक है। इसे Google की बजाय GitHub पर डालकर दूरी बनाई गई, और भाषा ऐसी रखी गई जैसे यह users के फ़ायदे के लिए हो, जबकि असलियत में ठीक उल्टा है
यह user agent की पूरी अवधारणा को उलट देता है, और इसे रोका जाना चाहिए क्योंकि यह industry के लिए बड़ा ख़तरा है
अगर tech industry अपनी सबसे बड़ी कमाई के स्रोतों में से एक को छोड़ने वाली नहीं है, तो यही वह दिशा है जो industry चाहती है
authoritarian dystopia के उभार को ढकने वाले विशेषणों की सूची में अब integrity भी जोड़ लेना चाहिए
“trusted computing” में “trusted” का मतलब था “जिसे मालिक नियंत्रित नहीं कर सकता”, और बाद में TPM को “security” के नाम पर बेचते हुए विरोध करने वालों को बुरे इरादे वाले लोगों या conspiracy theorists की तरह दिखाया गया
अब यह सचमुच हो रहा है। वे यह ठीक-ठीक नियंत्रित करना चाहते हैं कि आप कौन-सा hardware और software इस्तेमाल करें, और ऊपर से choice देने का दिखावा करते हुए exclusion के ज़रिए भागीदारी रोकना चाहते हैं
Intel ने processor में unique serial number डालने की कोशिश की थी, लेकिन जन-विरोध के कारण उसे वापस लेना पड़ा था; यानी जनता फ़र्क ला सकती है। लोगों को आने वाली dystopia के बारे में बताना होगा और इतना नाराज़ करना होगा कि वे कार्रवाई करें
इसकी शुरुआत TPM और “secure” boot को बंद करने के तरीक़ों और फ़ायदों को फैलाने से हो सकती है—जैसे custom drivers, अपनी पसंद का operating system चलाना, और वह hardware इस्तेमाल करना जिस पर सचमुच आपका अधिकार हो। corporate-owned security lobby इसे “unsafe” कहेगी, लेकिन यह साफ़ कहना होगा कि आज़ादी के ख़िलाफ़ खड़ी security वह security नहीं है जो हमें चाहिए
“जो लोग सुरक्षा के लिए स्वतंत्रता छोड़ देते हैं, वे दोनों में से किसी के भी हक़दार नहीं हैं”
https://www.gnu.org/philosophy/right-to-read.html
आलोचकों को शांत करने के लिए शुरुआत में इसे ऐसे ही प्रचारित किया गया था, लेकिन अगर इसे लगातार और ईमानदारी से लागू किया जाता, तो यह hardware control के लक्ष्य से टकराता। अगर manufacturers को यह option बिना friction के वास्तव में उपलब्ध कराने के लिए regulate किया जाए, तो यह काफ़ी प्रभावी हो सकता है
एक और चीज़ है जिस पर ध्यान देना चाहिए: warning screens, “nudges”, और जानबूझकर ख़राब किया गया user experience। Surface tablets में secure boot बंद किया जा सकता है, लेकिन हर बार boot करते समय एक भद्दी चमकदार लाल screen दिखाई जाती है। ऐसे उपाय खासकर आम users पर गहरा मनोवैज्ञानिक असर डाल सकते हैं
पसंद आए या न आए, 15 साल लंबी ब्राउज़र रणनीति का विज़न अपने आप में काबिले-तारीफ़ है
इतना अच्छा ब्राउज़र बनाना कि उद्योग पर लगभग एकाधिकार हो जाए, और पहले से यह समझ लेना कि वही एकाधिकार ad tech वर्चस्व को बचाए रखने की कुंजी बनेगा — इस लिहाज़ से यह कम आंकी गई दुष्ट प्रतिभा की एक शाहकार रचना है
Chromium open source है, इससे ज़रा भी फ़र्क नहीं पड़ता। वेब एक protocol है, और अगर आप protocol को control नहीं कर सकते, तो implementation का source होने का भी बहुत मतलब नहीं रह जाता
Chromium को fork करके features हटाए नहीं जा सकते, क्योंकि websites उन features की अपेक्षा करती हैं, और तब browser काम नहीं करता। Features जोड़ने पर भी उनका उपयोग नहीं होता, क्योंकि छोटी forks की परवाह करने वाली websites होती ही नहीं। Chromium को fork करने की नहीं, बल्कि पूरे वेब को fork करने की ज़रूरत पड़ती है
यह ActiveX, Java Web Applets, और Flash के दौर से चला आ रहा लक्ष्य था। लेकिन पूंजीवाद स्वाभाविक एकाधिकार की स्थितियों का फायदा उठाने और उन्हें लंबे समय तक बनाए रखने को तैयार रहता है
इसी वजह से “public utility” जैसे क्षेत्रों में regulation होता है। जहां natural monopoly सबसे उपयुक्त हो, उसे free market की तरह नहीं चलाना चाहिए। यह सोचने का मन होता है कि शायद internet infrastructure को भी public utility माना जाना चाहिए। अगर browser बनाने वाली कंपनियों को non-profit होने के लिए मजबूर किया जाए, तो internet पर business करना चाहने वाली कंपनियों को अपना internet business ही अलग करना पड़ सकता है
आज हम शायद यह कह रहे होते कि “Google Plus लॉन्च करने वाला Google जीनियस था। उसने Facebook वगैरह को रोककर social media पर कब्ज़ा कर लिया”
यह Linux और BSD desktops, दूसरे free/open source clients, custom Android ROMs आदि से वेब उपयोग को “ads बेचने के लिए” censor करने की खुली कोशिश है। इसे छिपाने की कोशिश तक नहीं की गई
“Users उन websites को पसंद करते हैं जिन्हें बनाना और maintain करना महंगा है, लेकिन वे उन्हें सीधे पैसे दिए बिना इस्तेमाल करना चाहते हैं, या ऐसा करना उनके लिए ज़रूरी होता है। ऐसी websites ads से funded होती हैं, लेकिन advertisers तभी भुगतान कर सकते हैं जब ads को bots नहीं बल्कि इंसान देखें…”
“users” से शुरू करके इसे यूज़र की मांग जैसा दिखाना, और अगली पंक्ति में असली लक्ष्य advertisers पर आ जाना, लगभग प्यारा लगने लायक है
ऐसे तरीक़े attest guard की चपेट में आ सकते हैं, और शायद उन्हें “ad business model और dominant browser market की integrity” को बचाने वाले environment के रूप में मान्यता न मिले। अगर आप कुछ करना चाहते हैं, तो हमारे open source browser काम https://github.com/dosyago/BrowserBoxPro में शामिल हों
जैसे कोई kitchen खाना परोसने के लिए डांटा नहीं जाता, वैसे ही HTTP/3 से लेकर Chrome तक Google की किसी भी व्यवस्था को ad sales या data mining का साधन न मानने की कोई वजह नहीं है
यह open web को खत्म करने की दिशा में एक और कदम जैसा लगता है
“माफ़ कीजिए, यह website केवल उन खास devices पर ही उपलब्ध है जिनमें Big Tech द्वारा compile किया गया browser है। यह आपकी भलाई के लिए है” — कुछ ऐसा माहौल बनेगा
और यह दुनिया की सबसे बड़ी ad tech company Google से आ रहा है, इसमें भी हैरानी नहीं है
नया AdWeb app store जैसा होगा। Websites को AdWeb मालिकों को पैसे देने होंगे, और users को smartphone या locked browser इस्तेमाल करना होगा। open web बचा रहेगा और कमाई की चिंता के बिना आगे बढ़ता रहेगा
अब समय आ गया है कि Google को तोड़ा जाए। Google हमारी पीढ़ी का AT&T और Standard Oil है
Ads, YouTube, Search, Cloud, Chrome आदि को सबको अलग-अलग स्वतंत्र कंपनियाँ बना देना चाहिए, और antitrust regulators को कृपया अपना काम करने देना चाहिए
अमेरिका आख़िरी विकल्प से पहले सोने के अंडे देने वाली हंस को नहीं मारता
अमेरिकी antitrust standard उपभोक्ता-हानि है। Google का उन features को implement करना जिनकी दूसरी कंपनियाँ मांग करती रही हैं, किसी भी कंपनी को participate करके अपना attestation signal भेजने देना, और उसके बाद असंबंधित markets की कंपनियाँ unapproved stack को support न करें—इस पूरी दिशा को Google की ज़िम्मेदारी ठहराना आसान नहीं है
Search search ads और core infrastructure अपने पास होने की शर्त पर टिका रहेगा, लेकिन इतना पैसा नहीं कमा पाएगा कि कोई ढंग का product expansion कर सके। quality गिरेगी, talent बाहर जाएगा, और users फिर हर search पर कई search engines इस्तेमाल करने लगेंगे। monopoly टूट जाएगी, लेकिन internet का एक हिस्सा भी टूट जाएगा, और Wikipedia ही वह विजेता बन जाएगा जिसे हम चाहते थे
Display Ads, कंपनी के बाकी हिस्से की बेड़ियाँ हटते ही, और भी अंधेरी दिशा में भागेगा और malicious actors के और क़रीब जाएगा। 20 साल बाद यह multi-directional user sharing के मामले में Lexis-स्तर की बुराई में शामिल हो सकता है
YouTube भी Display Ads के साथ उछलेगा, लेकिन अपना ad market चलाने की वजह से ad quality और खराब होगी और margins डगमगाएँगे। फिर भी उसकी स्थिति और मज़बूत होगी, parent company के निर्देश हटने से वह ज़्यादा agile होगा, और नए competitors को और जल्दी कुचल सकेगा
Workspace धीरे-धीरे सड़ेगा। AI features रुक जाएँगे और हटा दिए जाएँगे, और Drive को बिना internal general-purpose infrastructure के फिर से बनाना पड़ेगा। GMail पर बहुत कम staff के साथ infrastructure का बोझ आ जाएगा और वह अस्थिर हो जाएगा, और forced breakup में production infrastructure को जल्दबाज़ी में काटे जाने से वैश्विक अस्थिरता पैदा होगी। email outages की वजह से bills तक नहीं भरे जा सकेंगे, और अर्थव्यवस्था भी ज़ोर से हिल सकती है
Photos स्वतंत्र होकर जल्दी मर जाएगा। कभी-कभार photo frames बेचने भर से margin नहीं बन सकता
Chrome Microsoft से funding लेने की कोशिश करते-करते पूरा का पूरा acquire किया जा सकता है, और core team टूटने की संभावना है। open source product की किस्मत इस पर निर्भर करेगी कि Microsoft के भीतर कौन-सा executive जीतता है, और आखिर में मुख्य product बंद होकर सिर्फ Edge ही विकल्प के रूप में बच सकता है
communications products और R&D तुरंत बंद कर दिए जाएँगे। AI organization स्वतंत्र होने की कोशिश करेगा, लेकिन business नहीं ढूँढ पाएगा, reputation issues से जूझेगा, और 10 साल बाद बंद हो जाएगा; जबकि उसे acquire करने वाली कंपनी उलटे कई सफल products निकाल सकती है और पहले से स्थापित markets पर बड़ा निशान छोड़ सकती है
Android स्वतंत्र संगठन बन जाएगा और पहले 10 साल internal politics में फँसा रहेगा, लेकिन आखिरकार अपनी open-core जड़ों की ओर लौटकर फिर agile बन सकता है। market fork होकर बँट भी जाए, तब भी western Android world का केंद्र बने रहने की संभावना है
Chromecast, ChromeOS, Nest को भेजने के लिए core ecosystem ही नहीं बचेगा, इसलिए वे बहुत बुरी तरह जूझेंगे। वे Android के साथ जुड़ने की कोशिश करेंगे, लेकिन हर चीज़ को Android-ify करने की कोशिश में user experience या margins खराब होंगे, और अंत में ChromeOS को छोड़कर बाकी बंद हो जाएँगे, तथा ChromeOS business भी खत्म हो जाएगा। हाँ, open source विरासत रह जाएगी, जिससे कुछ छोटे उत्साही समूह Microsoft Edge के वर्चस्व के नीचे किसी तरह इसे ज़िंदा रख सकेंगे
users का data दर्जन भर कंपनियों में बँट जाएगा और SSO integration खराब हो जाएगा। security mistakes बढ़ेंगी और online crime विस्फोटक रूप से बढ़ेगा, जिससे 90s जैसा माहौल बहुत बड़े पैमाने पर लौट आएगा। ISP इस मौके का फायदा उठाएँगे, और बहुत-से users alternative email services ढूँढेंगे, लेकिन discoverability, security और storage की समस्याओं से जूझेंगे। अंत में Amazon, Apple, Microsoft, Cloudflare सबसे बड़े विजेता बनेंगे
इसे तोड़ा जाना चाहिए, इस बात से सहमत हूँ, लेकिन शायद अभी समय गलत है
ये पिछली चर्चाएँ हैं
https://news.ycombinator.com/item?id=36800789
https://news.ycombinator.com/item?id=36785516
https://news.ycombinator.com/item?id=36800744
https://news.ycombinator.com/item?id=36808231
https://news.ycombinator.com/item?id=36791711
https://news.ycombinator.com/item?id=36789691
https://news.ycombinator.com/item?id=36816208
https://news.ycombinator.com/item?id=35862886
HN guidelines के हिसाब से यह repost है, लेकिन इसे हटाना गलती होगी। इसका मतलब open web का अंत हो सकता है, फिर भी यहाँ इसे अजीब तरह से कभी ठीक से सतह पर नहीं लाया गया। इस बार कुछ अलग महसूस हो रहा है
end-to-end block न की जा सकने वाली ad machine के लिए शब्द पहले ही तैनात किए जा चुके हैं
व्यंग्यात्मक नाम वाला “Privacy Sandbox” tracking को सीधे browser में डालता है, browser extensions पर पाबंदियाँ लगाकर ad blockers को बाँधता है, और फिर सिर्फ “verified” clients को access देता है। इससे ऐसी tracking बनेगी जिससे बचा नहीं जा सकेगा, और ऐसे ads जिन्हें block नहीं किया जा सकेगा, और समय के साथ हम इन्हें और ज़्यादा देखेंगे
सिर्फ यही काफ़ी बुरा है, लेकिन Google का इन योजनाओं को इस तरह package करना कि लोग इन्हें बुरी तरह गलत समझें, इससे भी खून खौलता है। “जितना हो सके उतने दुष्ट बनो” Google सच में बेहद घटिया कंपनी है, और अब मैं इससे पूरी तरह तंग आ चुका हूँ