2 पॉइंट द्वारा GN⁺ 2023-07-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google के 4 कर्मचारियों द्वारा लिखा गया Web Environment Integrity API एक प्रस्ताव है, जिसके तहत वेबसाइटें यह जांच सकेंगी कि वे visitor के browser execution environment पर भरोसा कर सकती हैं या नहीं; Chrome testing के लिए prototype भी चल रहा है
  • इसका मुख्य उपयोग bot और बदले हुए environments को छांटने वाली environment attestation है, और इसे ad impression counting, social network bots को रोकने, intellectual property protection, web games में cheating रोकने और financial transactions की security में इस्तेमाल किया जा सकता है
  • यह प्रस्ताव Apple App Attest और Android Play Integrity API से प्रेरित है, और Ars Technica इसे उस ढांचे के web पर आने के रूप में देखता है जिसमें rooted devices पर apps तक access रोका जा सकता है
  • अगर web server content देने से पहले attestation मांगे, तो browser third-party attestation server पर test से गुजरकर signed IntegrityToken प्राप्त करेगा और उसे submit करेगा
  • document कहता है कि इसका लक्ष्य fingerprint tracking, extensions में बाधा डालना, या vendors को बाहर करना नहीं है, लेकिन GitHub issues, Hacker News और Louis Rossmann के जरिए इसके खिलाफ कड़ा विरोध फैल गया

Web Environment Integrity API क्या करना चाहता है

  • Web Environment Integrity API proposal एक web standards proposal है, जिसका उद्देश्य websites को यह जांचने देना है कि वे user के client environment पर भरोसा कर सकती हैं या नहीं
  • explainer Google के 4 कर्मचारियों ने लिखा है, जिनमें से कम से कम 1 Chrome की Privacy Sandbox team से है
  • मूल धारणा यह है कि websites को user के environment पर भरोसा करने में सक्षम होना चाहिए, ताकि user data और intellectual property की रक्षा की जा सके और यह तय किया जा सके कि असल में कोई इंसान इस्तेमाल कर रहा है या नहीं
  • मुख्य use cases ये हैं
    • advertisers की ad impressions गिनती की accuracy सुधारना
    • social networks पर bots को रोकना
    • intellectual property rights लागू करना
    • web games में cheating रोकना
    • financial transactions की security मजबूत करना

Play Integrity के web पर आने पर चिंताएं

  • proposal document कहता है कि यह Apple के App Attest और Android के Play Integrity API जैसे मौजूदा native attestation signals से प्रेरित है
  • Play Integrity पहले SafetyNet था, और यह एक Android API है जिससे apps जांच सकती हैं कि device rooted है या नहीं
  • rooting user द्वारा खरीदे गए device पर पूरा control पाने का तरीका है, लेकिन अगर rooted device Android Integrity API में flag हो जाए, तो कुछ apps चलने से मना कर सकती हैं
    • banking apps, Google Wallet, online games, Snapchat, Netflix जैसे कुछ media apps तक access रुक सकता है
    • root access का इस्तेमाल game cheating या banking data phishing में हो सकता है, लेकिन device customization, pre-installed apps हटाने और backup system बनाने में भी होता है
  • Ars Technica की आलोचना इस बात पर केंद्रित है कि Google इसी access control structure को web पर भी लाना चाहता है

प्रस्तावित attestation flow

  • web page transaction के दौरान web server data देने से पहले user से environment attestation test पास करने की मांग कर सकता है
  • इस समय browser third-party attestation server से connect होकर किसी तरह का test करता है
  • test पास करने पर browser को signed IntegrityToken मिलता है, जो बताता है कि environment में tampering नहीं हुई है और यह उस content की ओर संकेत करता है जिसे unlock करना है
  • user यह token फिर web server को submit करता है, और अगर web server उस attestation company पर भरोसा करता है, तो content access खुल जाता है
  • structure अपने आप में आम API जैसा दिखता है, लेकिन वास्तविक web में यह चिंता बनी रहती है कि website Google हो सकती है, browser Chrome हो सकता है, और attestation server भी Google हो सकता है

document ने जहां सीमा खींची और बाकी विवाद

  • proposal authors का मानना है कि API का इस्तेमाल लोगों को uniquely fingerprint track करने के लिए नहीं होना चाहिए
  • साथ ही वे कहते हैं कि physical devices पर rate limit लगाने के लिए कोई न कोई signal जरूरी है
  • “non-goals” section में लिखा है कि यह plugins और extensions सहित browser features में बाधा नहीं डालेगा
  • Ars Technica इसे ad blockers को खत्म न करने के विनम्र बयान के रूप में समझता है
    • proposal के goals में बेहतर ad support शामिल है
    • Chrome के पास Manifest V3 plan पहले से है, जो extension API behavior बदलकर web page content modify करने की क्षमता घटाता है
  • proposal का एक goal यह भी है कि दूसरे vendors को exclude न किया जाए

public backlash और Chrome prototype

  • Google ने इस idea को publicly बड़े स्तर पर promote नहीं किया, और document भी official Google repository में नहीं बल्कि employees के personal GitHub account पर है
  • verify किया जा सकने वाला सबसे शुरुआती proposal April 2022 का है
  • weekend में updated specification public होने के बाद यह Hacker News और device repair YouTuber Louis Rossmann के जरिए फैल गया
  • GitHub issues में कड़ा विरोध जारी रहा
    • Issue #134 ने इस idea की आलोचना करते हुए कहा कि यह “पूरी तरह अनैतिक है और open web के खिलाफ है”
    • Issue #113 ने प्रतिक्रिया दी कि “यकीन नहीं होता कि यह प्रस्तावित भी किया गया”
    • Issue #127 में लिखा गया, “क्या आपने कभी सोचा है कि आप लोग ही villain हैं?”
  • API अभी proposal stage में है, लेकिन Google ने May 2023 में Chromium blink-dev पर intent to prototype post किया, जिससे Chrome के अंदर test implementation चल रहा है
  • feature development tracking page chromestatus.com पर है

1 टिप्पणियां

 
GN⁺ 2023-07-25
Hacker News की रायें
  • अगर Google ऐसा काम करे जिसे सभी users नापसंद करते हों और फिर भी कोई उसे रोक न सके, तो कंपनी को तोड़ने की बात काफी मजबूत लगने लगती है
    लगता है Google की market power बहुत ज्यादा हो गई है

    • असल में ऐसा बिल्कुल नहीं लगता कि सभी users इससे नफरत करते हैं। मेरे आसपास काफी सारे तकनीकी समझ वाले लोग, यहां तक कि कुछ software developers भी Chrome इस्तेमाल करते हैं और Google जो भी करे, उन्हें खास फर्क नहीं पड़ता
      “manifest v3” का नाम लो तो खाली-सा चेहरा बन जाता है, ads या ad blockers की बात करो तो ज्यादातर लोगों को दिलचस्पी नहीं होती, और कुछ लोग तो ad blocker इस्तेमाल ही नहीं करते
      HN जैसी जगहें सचमुच एक bubble में हैं। ज्यादातर लोग privacy को ऐसी अमूर्त चीज मानते हैं जिस पर उनका लगभग कोई control नहीं है, और आम तौर पर उसे स्वीकार कर लेते हैं
      कुछ लोग यह भी स्वीकार कर लेते हैं कि सरकार “बच्चों की रक्षा करनी है” जैसे बहाने से privacy कमजोर करे, या कंपनियां निजी जानकारी के बदले free services देने के बहाने privacy कमजोर करें
      यह दुखद हकीकत है। अगर लोगों को सच में इन मुद्दों की मजबूत परवाह होती, तो यह समझना मुश्किल होता कि बदलाव इतना कम क्यों है; लेकिन Firefox जैसा पर्याप्त विकल्प होने के बावजूद लोग उसे लगभग इस्तेमाल नहीं करते, इसलिए इसमें हैरानी की बात नहीं। ज्यादातर लोगों को परवाह नहीं है
    • ग्राहकों को नापसंद आने वाले काम करना ज्यादातर tech companies का default operating mode है, और जवाबी उपाय भी बहुत कम हैं
      उदाहरण के लिए, Apple अगर users के खिलाफ कोई hardware बदलाव करता है, तो बड़े Android manufacturers कुछ महीनों के भीतर उसकी नकल कर लेते हैं[0]। उसके बाद विकल्प बस किसी चीनी niche phone manufacturer जैसा रह जाता है, जो दूसरी तरह की तकलीफें देगा
      अब मैं Google से लगभग पूरी तरह कट चुका हूं। phone requirements की वजह से मुझे Google Play Services के बिना फोन इस्तेमाल करना पड़ा, और मैं ऐसे देश में रहता हूं जहां Google dominant नहीं है। कभी-कभी बस YouTube रह जाता है। अच्छा होता अगर पुराने Google Photos archive को Photos से export कर पाता, लेकिन Takeout export लगातार error देता है
      [0]: जब मैं Google में काम करता था, एक बड़ी internal engineering mailing list पर किसी ने सीधे पूछा था, “क्या Pixel से headphone port हटाना Apple की वजह से था?” और product team का जवाब आखिरकार “हां” के बराबर एक धुंधला शब्दों का खेल था
    • जब भी कोई कहता है कि “Safari नया IE है”, तो इसी वजह से आंखें घुमाने का मन करता है। Safari में कुछ websites द्वारा इस्तेमाल होने वाले features की कमी से कहीं बड़ी समस्या यह है कि dominant browser company ऐसा नया “standard” बना सकती है जो web को सक्रिय रूप से सबके लिए बदतर बना दे
      ठीक-ठीक कहें तो “घटिया advertisers को छोड़कर बाकी सभी” के लिए बुरा
    • इस proposal के अजीब निहितार्थ हैं, और यह आर्थिक रूप से viable future भी नहीं लगता
      EME के उलट, Web Integrity API को third-party service की जरूरत होती है, और इसमें maintenance cost के साथ-साथ उन hackers के साथ चलती arms race का जवाब देने की development cost भी चाहिए जो इस check को तोड़ने की कोशिश करेंगे
      अगर attestation industry सही तरह से काम करे, तो कई attestation servers price competition करते हुए users को verify करें और network efficient व robust बने; लेकिन मुझे नहीं लगता कि यह reality बनेगा। अच्छे attestation के लिए हर supported browser के लिए बेहद complex technology चाहिए, और meaningful browser development करते हुए attestation server भी चलाना चाहने वाली company वस्तुतः सिर्फ एक ही है
      monopolized attestation industry में Google इंटरनेट के सभी DRM-protected media के लिए single point of failure बन जाता है। Google down हुआ तो Netflix, Hulu, HBO आदि भी approved Chrome versions verify नहीं कर पाएंगे और साथ down हो जाएंगे। साथ ही Google fees और policies को एकतरफा बदल सकता है, जिससे उसे दूसरी companies पर भारी leverage मिलेगा, और companies के पास खुद को ऐसी स्थिति में न रखने की प्रेरणा होगी
      अगर पूरी media industry इंटरनेट media के एकमात्र supported browser के रूप में Google Chrome को स्वीकार कर ले और Google को ऐसी market power व leverage दे दे, तो यह काम कर सकता है। लेकिन यह मानना मुश्किल है कि वह दुनिया भर के प्रमुख regulators से बच निकलेगा, और market control में कोई meaningful छेद हुआ तो यह योजना काम नहीं करेगी
    • company break-up खास तौर पर तब बेहद मुश्किल होता है जब इतनी विशाल company का सामना लगभग 400 million dollar budget वाले संगठन को करना पड़े
      ऊपर से Google Microsoft, Apple, Amazon जैसी दूसरी दिग्गज companies का हवाला देकर बचाव कर सकता है कि यह monopoly behavior नहीं है। जैसे उसने जनवरी के lawsuit में ad business break-up रोकने के लिए किया था
      इसमें यह बात भी समस्या है कि बहुत से users को परवाह नहीं है। convenience बहुत बड़ी है, और सिर्फ Google जैसी companies ही नहीं, Walmart जैसी दूसरी दिग्गज companies के लिए भी public opinion बदलना बहुत आसान है
  • project का goal “web के दूसरी तरफ मौजूद व्यक्ति को बेहतर समझना” बताया गया है, जबकि intro कहता है कि यह data ad impression counting, social network bots रोकने, intellectual property rights enforcement, और web games में cheating रोकने में उपयोगी है
    भाड़ में जाओ Google। browser का मकसद मुझे web pages दिखाना है, मेरे बारे में पता लगाना नहीं

    • जब तक Google browser market share में आगे बना रहेगा, उसे परवाह भी नहीं होगी और यह कभी नहीं बदलेगा
  • WEI प्रस्ताव का उपयोग सिर्फ़ व्याख्या दस्तावेज़ (https://github.com/RupertBenWiser/Web-Environment-Integrity/) देखकर भी काफ़ी स्पष्ट है
    Google “ऐसे token का अनुरोध कर सकता है जो उस environment के मुख्य तथ्यों को प्रमाणित करे जिसमें client code चल रहा है”
    Google “अंतिम निर्णय लेता है कि attester द्वारा लौटाए गए verdict पर भरोसा करना है या नहीं”
    Google “device की वास्तविकता और software stack व device traffic के ईमानदार प्रतिनिधित्व का मूल्यांकन” कर सकता है
    मूल पाठ में “website” और “web server” को मंशा स्पष्ट करने के लिए “Google” मानकर पढ़ा गया है
    Google browser में ऐसी क्षमता क्यों चाहेगा? वह क्या करना चाहता है? अगला कदम क्या है?
    अगर कोई Google marketing executive हो, तो वह कहेगा, “विज्ञापनों से और पैसा कमाने के लिए web browser को lock down करना होगा”
    “Ad blockers को रोकना होगा। नया WEI API यह सुनिश्चित करेगा कि ad blocker नहीं चल रहा है, ads दिख रहे हैं, और DRM का उल्लंघन नहीं हुआ है”
    “हम ad fraud भी रोकना चाहते हैं। WEI से यह सुनिश्चित किया जा सकता है कि ad clicks वैध हैं और लोग ads देख रहे हैं। अगर हम operating system को control नहीं कर सकते, जैसे Chromebook और Android phones पर, तो हमें cryptographic certainty के साथ web browser को control करना होगा”
    चरण 1: browsers से Web Environment Integrity अपनवाना और implement करवाना
    चरण 2: सभी Google websites पर Web Environment Integrity का उपयोग अनिवार्य करना, वरना access block करना
    चरण 3: Google ads देने वाली सभी websites पर Web Environment Integrity का उपयोग अनिवार्य करना
    चरण 4: मुनाफ़ा!
    Web Environment Integrity, web के और ज़्यादा DRM-करण और enshittification की शुरुआत है

    • “fraud रोकने के use cases के लिए ज़रूरी निर्णायक verdicts और बड़े coverage की उपयोगिता, और websites द्वारा इस feature का इस्तेमाल करके कुछ attesters या attest न कर सकने वाले browsers को बाहर करने के जोखिम के बीच तनाव है। हम इस विषय पर चर्चा की अपेक्षा करते हैं, और मानते हैं कि जहाँ verdicts निर्णायक रूप से उपलब्ध नहीं कराए जाते (उदाहरण: डटे रहने वाले users), वहाँ भी काफ़ी अतिरिक्त मूल्य है”
      चिंता करने की ज़रूरत नहीं। वे डटे रहने वाले users के बारे में भी सोच रहे हैं
    • व्याख्या दस्तावेज़ का यह paragraph ध्यान खींचता है
      “Users उन websites पर जाना पसंद करते हैं जिन्हें बनाना और बनाए रखना महंगा पड़ता है, लेकिन अक्सर वे ऐसा सीधे भुगतान किए बिना करना चाहते हैं या उन्हें करना पड़ता है। ऐसी websites विज्ञापनों से funded होती हैं, लेकिन advertisers केवल तब खर्च उठा सकते हैं जब विज्ञापन robots नहीं, humans देखें। इसलिए human users को website के सामने यह साबित करने की ज़रूरत पैदा होती है कि वे human हैं, कभी-कभी challenge या login जैसी क्रियाओं के ज़रिए”
      शब्दों में तो यह ऐसा लगता है कि news sites non-paying users को रोक सकेंगी, लेकिन इसका निशाना Internet Archive, दूसरे webpage archives, Reader mode वगैरह भी बनेंगे
    • इसका इस्तेमाल इस तरह हो सकता है: “आप AWS console में access करने की कोशिश कर रहे हैं; क्या आपका laptop patched है?”
  • blink-dev चर्चा में यह हिस्सा ध्यान खींचता है
    “हम जो निर्णय ले सकते हैं, वे अंततः privacy पर बड़ी सामाजिक बहस (regulation आदि) से प्रभावित होंगे। क्योंकि perfect privacy का मतलब criminals के लिए perfect impunity है”
    मेरे device को सरकार या company की ओर से मेरी निगरानी करने से रोकना “criminals के लिए perfect impunity” नहीं है
    attestation को थोड़ी देर के लिए अलग रखें; आधुनिक security realm-based device encryption और उससे जुड़ी self-destructing password entry limits के बारे में सोचें, तो इसकी तुलना ऐसे बहुत अच्छे safe को design करने से की जा सकती है जो break-in होने पर contents को अपने-आप नष्ट कर सकता है। तो क्या ऐसे हर safe के बिकने पर सरकार के पास अपनी key ज़रूर होनी चाहिए?

    • लोगों के अधिकारों का companies द्वारा दुरुपयोग न हो, इसके लिए बने कानूनों और regulations को “बड़ी सामाजिक बहस” के रूप में पेश करना हास्यास्पद है
      बहस सिर्फ़ उन लोगों के बीच है जो अपने अधिकारों का सम्मान चाहते हैं और उन companies के बीच जो ऐसा नहीं चाहतीं। इसे बहस जैसा बनाना lobbyists के लिए अपनी स्थिति की narrative framing करने की साफ़ कोशिश है
      “perfect privacy” भी straw man है। no privacy और perfect privacy के बीच compromise का “Google users की इच्छा के विरुद्ध उनका data harvest करे” होना ज़रूरी नहीं है
    • “जो लोग थोड़ी अस्थायी सुरक्षा खरीदने के लिए मूलभूत स्वतंत्रता छोड़ देते हैं, वे न स्वतंत्रता के पात्र हैं न सुरक्षा के”
      उस बहुत problematic व्यक्ति की मानव-द्वेषी सोच को अलग रखते हुए, यह quote अच्छी याद दिलाता है कि “लेकिन criminals!” वाला तर्क अक्सर इस्तेमाल होता है, पर शायद ही कभी justified होता है
  • कुछ दिन सोचने के बाद अब समझ आया कि यह सामान्य web scraping को पूरी तरह, बिना किसी workaround के, रोकने का mechanism है
    Nitter, Teddit, Invidious, youtube-dl जैसे projects की “adversarial compatibility” पूरी तरह खत्म हो जाएगी। archive.org, archive.ph जैसी archive sites को भी attest मांगने वाली sites block कर सकती हैं
    जैसे publishing industry piracy से डरकर Kindle द्वारा “बचा ली” गई, वैसे ही business model न ढूँढ पाने वाली media companies भी Google से खुद को बचाने की उम्मीद में उसके पास दौड़ेंगी
    हालात मुश्किल होने वाले हैं

    • अगर ऐसा वाकई हुआ तो “trusted device” farms का underground market बढ़ेगा। अभी जो हो रहा है उससे बहुत अलग नहीं होगा, लेकिन scale कहीं बड़ा हो सकता है
      बेशक, तब financial motivation वाली scraping services चलती रहेंगी, और सिर्फ़ वे ईमानदार individuals नुकसान उठाएँगे जो user agent freedom चाहते हैं। ठीक बहुत सारे दूसरे DRM की तरह
    • बात बिल्कुल वही है। ऊपर से Google के लिए, अगर web का ज़्यादातर हिस्सा इस attestation के पीछे छिपा हो, तो web index बनाना असंभव या बेहिसाब महंगा हो जाने का असर भी पड़ेगा
    • यह सच में इस्तेमाल होने की सोचकर मैं Firefox पर शिफ्ट होने को कहीं ज़्यादा गंभीरता से consider करने लगा हूँ
      अभी भी कुछ बातें पसंद नहीं हैं, और मेरे इस्तेमाल के कई extensions Chromium-only हैं, लेकिन अब लगता है कि कोई विकल्प नहीं बचा
  • अच्छा है कि इस मुद्दे पर ज़्यादा ध्यान जा रहा है। यूज़र एजेंट के आधार पर भेदभाव, यानी “अगर लेटेस्ट Chrome नहीं है तो निकलो” जैसी हरकतें गैरकानूनी होनी चाहिए
    अगर मेरा इस्तेमाल सेवा को overload करने जैसा नहीं है, तो मैं कौन-सा hardware या software इस्तेमाल करता हूँ, इस पर रोक नहीं होनी चाहिए
    accessibility और interoperability को जानबूझकर रोकने वाली दूसरी बाधाओं पर भी यही लागू होता है। ऐसा “standard” बनाना, जिसे सिर्फ Google implement करे और जो इतना जटिल व बार-बार बदलने वाला हो कि बदलावों के साथ चलना मुश्किल हो, और फिर असली उपयोगिता से इतर हर site को व्यवहार में Chrome-only बनाने का प्रचार करना—इसे रोका जाना चाहिए
    मेरी सलाह है कि इस काम के लिए ज़िम्मेदार हर व्यक्ति को खोजकर अपने free speech के अधिकार का इस्तेमाल करें। यह politicians पर असर करता है, तो इस दूसरे तरह के खलनायकों पर भी असर करना चाहिए
    एक बार फिर Stallman बहुत दूरदर्शी थे: https://www.gnu.org/philosophy/right-to-read.html

    • website owner या operator यह तय क्यों नहीं कर सकता कि वह किसे data भेजे?
      पुराने समय में जब sites दुर्भावना से IE को block करती थीं, उससे यह conceptually कैसे अलग है?
    • यूज़र एजेंट को तो पहले ही पूरी तरह खत्म हो जाना चाहिए था। अब यह शायद ही कभी अपना उद्देश्य पूरा करता है, और बेहतर alternatives मौजूद हैं
    • Google की यह कोशिश मुझे वाकई नापसंद है और उम्मीद है कि वे इसे लागू नहीं करेंगे, लेकिन यह गैरकानूनी क्यों होना चाहिए?
      software user agent string तो बस एक identifier है जिसे browser server को context देने के लिए जोड़ता है; यह कोई protection layer नहीं है
      Google को अपने software के इस्तेमाल को अपने मनचाहे तरीके से सीमित करने का अधिकार है, और हम चाहें तो उसे इस्तेमाल न करें
      open internet पर कोई मौलिक अधिकार नहीं है, और कोई भी हमें यह देने का कर्ज़दार नहीं है। मैं भी चाहता हूँ कि हम उस दौर में लौटें जब internet कहीं ज़्यादा open और कम commercialized था, लेकिन legal regulation से वे दिन वापस नहीं आएँगे
    • अगर latest Chrome को block किया जाए और पुराने version को allow किया जाए, तो क्या उस proposal के तहत यह allow होगा?
    • user agent string को कम-से-कम spoof तो किया जा सकता है
  • यह इतने सारे स्तरों पर गलत है कि समझ नहीं आता कहाँ से शुरू करूँ
    सबसे पहले, मुझे ऐसे “proposal” से नफरत है। असल में रवैया यह है: “हमने इसे अपने मुख्य product में पहले ही implement कर दिया है, users पर इसे ‘मित्रवत’ तरीके से थोपेंगे, और अगर आपके पास choice है तो आप न भी इस्तेमाल करें”
    फिर यह हिस्सा है कि “यह गारंटी देता है कि आप robot नहीं हैं और browser को unauthorized तरीके से modify या tamper नहीं किया गया है।” मैं Chromium-based नहीं, बल्कि open-source browser—यानी Firefox—इस्तेमाल करता हूँ और उसे अपनी इच्छा से modify करके फिर compile कर सकता हूँ। चाहूँ तो links, elinks, lynx, dillo भी इस्तेमाल कर सकता हूँ, और असल में करता भी हूँ। आप होते कौन हैं मुझे यह बताने वाले कि मैं अपने computer पर कौन-सा software चलाऊँ?
    यह 90s की DRM wave की वापसी है। open software, open platforms और open protocols पर लगातार हमला है
    यह पागलपन है और दुखद भी

    • 90s में कम-से-कम मेरे computer पर चलने वाले code का 100% नियंत्रण मेरे पास था
      अब हर तरह के “trusted” execution environments और TPM जैसी treacherous computing है, जिनसे बचा भी नहीं जा सकता, और किसी और की public key silicon में गड़ी हुई है
  • GitHub issue[0] को lock करने वाले proposal author ने HN पर भी comment किया था, लेकिन यहाँ भी अब तक चुप हैं: https://news.ycombinator.com/item?id=36825097
    [0] https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • उन्होंने महत्वपूर्ण code of conduct[1] का भी उल्लंघन किया और जायज़ शिकायत[2] को भी आक्रामक तरीके से बंद कर दिया
      Googler RupertBenWiser[3] और yoavweiss[4] बस Google policy का पालन कर रहे हैं। खासकर yoavweiss ने comments पढ़े बिना ही force-close किए गए original issue को “spam”[5] दिखाने की कोशिश की—यह सचमुच घिनौना है
      दोनों users बहुत दुर्भावनापूर्ण तरीके से काम कर रहे हैं, और मुझे लगता है कि वे engineering की ethics code का सही से पालन नहीं कर रहे
      सिर्फ GitHub repository को lock करने की हरकत से ही साफ है कि उन्हें खुद पता है
      यह देखकर बहुत निराशा होती है कि Google और Googlers कितना गिर चुके हैं। जो जगह कभी innovation, growth और technology creation का घर थी, अब वह ads, market position के दुरुपयोग से browser wars के बाद के दौर में Chrome को बेहिसाब advantage देने, और उसी तरह की और चीजों तक सिमट गई है
      लगता है अब Google के खिलाफ antitrust action लेने का समय आ गया है। अगर अभी तक नहीं किया है, तो Firefox पर shift हों और Chrome इस्तेमाल करना बंद करें। Mozilla इस proposal और इसे push करने वाले engineers के खिलाफ है[6]
      [1] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [2] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [3] https://github.com/RupertBenWiser
      [4] https://github.com/yoavweiss
      [5] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [6] https://github.com/mozilla/standards-positions/issues/852#is...
    • Ben Wiser नाम के व्यक्ति की प्रतिष्ठा तो पहले ही टॉयलेट में इतनी नीचे जा चुकी है कि वे कुछ भी करें या कहें, उसे वापस पाना लगभग असंभव लगता है
      पुराने मज़ाक की तरह, “एक बार भी बकरी…”
  • उपयोगकर्ता के नजरिए से इस “attestation” की कोई कीमत नहीं है
    ब्राउज़र से जो चाहें वह कर पाने की आज़ादी होनी चाहिए। उदाहरण के लिए, विज्ञापन हटाए जा सकें या canvas और webgl access को रोका जा सके, और साइट को इसका पता नहीं चलना चाहिए
    इसके अलावा, यह attestation अतिरिक्त browser fingerprint signals देने की काफी संभावना रखता है, और यह हम नहीं चाहते

    • Attestation उन चीज़ों के लिए बेहतरीन concept है जो मेरे नियंत्रण में हैं। employee laptop, मेरा server, मेरा phone—कुछ भी हो सकता है
      मैं यह control और verify करना चाह सकता हूं कि मेरे devices अभी भी मेरे नियंत्रण में हैं या नहीं, और अच्छा होगा अगर इसके लिए हर हफ्ते datacenter में खुद जाकर जांच न करनी पड़े। concept अपने-आप में खराब नहीं है
      लेकिन यह concept ad blockers को रोकने और Brave जैसे browsers को Chrome होने का दिखावा करते हुए extensions के बिना ads block करने से रोकने के लिए लगता है
      उपयोगकर्ता के लिए इसके positive उपयोग के रूप में self-hosted software के अलावा कुछ खास नहीं सूझता। शायद इसे man-in-the-middle attacks या browser में छेड़छाड़ करने वाले malware का पता लगाने में भी इस्तेमाल किया जा सके। असल में यह “Firefox मना, Linux मना, ad blockers मना” बन जाएगा
    • theory में ऐसा scenario सोचा जा सकता है जहां कोई bank website पूरे operating system और browser stack के attestation pass न करने पर access deny कर दे
      तब keyloggers, malicious browser extensions, session hijacking जैसी चीज़ों को बाहर रखा जा सकता है
      बेशक, असल में इसका इस्तेमाल content को lock करने और users पर skip न किए जा सकने वाले ads थोपने के लिए होगा
    • Attestation company network में उपयोगी हो सकता है। उदाहरण के लिए, यह ensure कर सकता है कि सिर्फ patched company laptops ही कुछ services access करें
      लेकिन private networks में ऐसा करने वाला software पहले से मौजूद है। मेरा मजबूत विश्वास है कि ऐसी functionality की open web में बिल्कुल जगह नहीं है
      यह proposal user-hostile है और web के भविष्य के लिए बेहद खतरनाक हो सकता है
  • क्या आप अभी Chrome इस्तेमाल कर रहे हैं? कहना अच्छा नहीं लग रहा, लेकिन आप भी समस्या का हिस्सा हैं। किसी और पर switch कर सकते हैं
    मैं कोई बहुत बड़ा anti-Google व्यक्ति नहीं हूं। Gmail भी इस्तेमाल करता हूं और search engine के रूप में Google भी। लेकिन Firefox एक अच्छा browser है और मैं इसे daily browser के रूप में इस्तेमाल करता हूं। Edge, Brave, Safari, DDG browser भी options हैं
    आज ही switch करके Google की leverage कम करना शुरू करना चाहिए

    • Edge और Brave Chromium based हैं। Brave कुछ समय तक इस API को block करेगा, लेकिन अगर बहुत सारी sites इसे require करने लगें और market share पर असर पड़े, तो बात बदल सकती है
      Google Chrome में जो ज्यादातर बदलाव डालता है, वे इन्हें रोकते नहीं हैं, इसलिए ये अभी भी Google के internet dominance में काफी योगदान देते हैं
      अगर आप सच में web platform पर Google के control को हिलाना चाहते हैं, तो practical choices सिर्फ Firefox और Safari हैं