- Vivaldi, Web Environment Integrity’nin web sitelerine tarayıcı ve platform için güven kararı verme yetkisi tanıyarak açık webin erişilebilirliğini ve rekabetini sarsabileceğini düşünüyor
- Bu öneri, üçüncü taraf bir attester’ın çalışma ortamını doğruladığı bir yapıya dayanıyor; sahte etkileşimleri önlemeyi öne sürse de web siteleri için bir DRM gibi çalışabilir
- Güven kararları az sayıda şirkette yoğunlaşırsa yeni tarayıcıların, küçük tarayıcıların, eski yazılımların ve Linux kullanıcılarının web erişiminden dışlanma riski artar
- Tarayıcılar uygulamayı reddetse bile web siteleri API’yi zorunlu kılarsa kullanıcıları engelleyebilir ve Google servisleri ya da Google Ads benimsetme baskısı aracı olarak işleyebilir
- 3 Kasım 2023 itibarıyla Google, Web Integrity API’yi ilerletmeme kararı aldı; ancak tarayıcı ve tarayıcı motoru çeşitliliğine olan ihtiyaç sürüyor
Web Environment Integrity ne yapmayı amaçlıyor
- Web Environment Integrity, web sitelerinin o anda bağlanan tarayıcıya ve platforma güvenip güvenemeyeceğini bir API üzerinden kontrol etmesini öneren bir girişim
- Güvenilip güvenilmeyeceği kararını, yetkili bir üçüncü taraf olan attester veriyor
- Amaç, çeşitli web sitelerindeki “sahte” etkileşimleri engellemeye yakın görünse de bunun tam olarak nasıl yapılacağı belirsiz
- Kullanım senaryoları yüzeyde makul görünebilir, ancak pratikte etkisi web siteleri için bir DRM’ye daha yakın olabilir
- İlk kullanım senaryosunun reklam etkileşimlerinin gerçekliğini doğrulamak olması, bunun Google’ın reklam platformunu güçlendirmesiyle bağlantılı olabilir
Tarayıcıya güven kararı nasıl dışlama yaratır
- Belirli bir aktör hangi tarayıcıya güvenileceğine karar verirse, hiçbir tarayıcının otomatik olarak kabul edileceği garanti edilemez
- Yeni tarayıcılar varsayılan olarak güvenilmeyen bir konumda başlar ve attester’ı ikna edecek bir yöntemle güvenilirliğini kanıtlamak zorunda kalır
- Spesifikasyonu desteklemeyen eski yazılım kullanıcıları zamanla web’den dışlanabilir
- Spesifikasyon üretici dışlama riskinden söz etse bile, pratikte gerçek bir çözüm üretmeden yumuşak bir tutumla yetinilebilir
Platform bazlı attester’lar ve rekabet kaygısı
- Spesifikasyonda başlıca attester örneği olarak Android’deki Google Play veriliyor
- Bu yapıda Google, kendi platformunda hangi tarayıcılara güvenileceğine karar vermiş oluyor
- Vivaldi, Google’ın buna adil biçimde karar vereceğini beklemenin zor olduğunu düşünüyor
- Windows’ta Microsoft’un Windows Store üzerinden, Mac’te ise Apple’ın benzer bir rol üstlenebileceği belirtiliyor
- Bu akışta en azından Edge ve Safari’nin güvenilir sayılması olası görünüyor
- Diğer tarayıcılar ise Google, Microsoft ve Apple’ın kararlarına bağımlı hale geliyor
- Linux içinse net bir yanıt yok
- Linux’un web gezintisinden tamamen dışlanıp dışlanmayacağı ya da Canonical’ın snaps paket deposu üzerinden karar verici olup olmayacağı belirsiz
- Linux kullanıcıları açısından tablo olumlu değil
İnsan tespiti, otomasyon ve eklentilerdeki belirsizlik
- Spesifikasyon, web sitesiyle gerçekten bir insanın etkileşime girip girmediğini doğrulamayı güçlü biçimde ima ediyor; ancak bunun nasıl başarılacağı açık değil
- Geriye şu sorular kalıyor
- Kullanıcının insan gibi davranıp davranmadığını görmek için davranış verisi kullanılıp kullanılmayacağı
- Bu verinin attester’a verilip verilmeyeceği
- Tarayıcı giriş otomasyonuna dayanan erişilebilirlik araçlarının tarayıcıyı güvenilmez hale getirip getirmeyeceği
- Eklentilerin nasıl etkileneceği
- Mevcut spesifikasyon tarayıcı değişiklikleri ve eklentiler için istisnalar tanıyor, ancak eklentiler web sitesi etkileşimlerini otomatikleştirmeyi kolaylaştırabiliyor
- İstisnalar korunursa saldırganların sistemi aşması kolaylaşabilir; istisnalar azaltılırsa bu kez eklentilere de kısıtlamalar gelebilir
Uygulamayı reddetmenin neden zor olduğu
- Bir tarayıcı Web Environment Integrity’yi uygulamazsa güvenilmeyen bir tarayıcı haline gelebilir
- Web siteleri bu API’yi zorunlu tutarsa o tarayıcının kullanıcılarını reddedebilir
- Google’ın web sitelerinde benimsenmesini zorlayacak araçları bulunuyor
- Kendi servislerini bu özelliğe bağımlı hale getirebilir
- Google sitelerinin kullanılamaması, çoğu tarayıcı için ölümcül olabilir
- Google Ads kullanan sitelere bu API’yi şart koşabilir
- İlk hedef sahte reklam tıklamalarını engellemekse, yalnızca Google Ads ile entegrasyon bile API’nin hızla yayılmasına yol açabilir
Hukuki fren ihtimali ve sınırları
- Vivaldi, AB hukukunun az sayıdaki şirkete hangi tarayıcıların kabul edileceğine karar verme konusunda bu kadar büyük bir yetki tanımasının düşük ihtimal olduğunu düşünüyor
- attester’lar mümkün olduğunca adil davranmaları yönünde güçlü baskı görebilir
- Ancak yasama ve yargı süreçleri yavaş işlediği için, devletler ve mahkemeler incelerken zarar çoktan ortaya çıkmış olabilir
- Öneri ilerlerse açık web için zor bir dönem başlayabilir ve özellikle küçük üreticiler bundan ciddi biçimde etkilenebilir
Google’ın önceki önerileri ve pazar hakimiyeti
- Google’ın tarayıcı pazarındaki hakimiyetinin web için varoluşsal bir tehdit oluşturma potansiyeline sahip olduğu değerlendiriliyor
- Vivaldi, Google’ın daha önce de web için olumsuz öneriler sunduğunu düşünüyor ve örnek olarak FLOC, TOPIC, Client Hints örneklerini veriyor
- Web Environment Integrity, bu çizginin devamı olarak görülüyor ve Microsoft ile Apple’ın Google’la birlikte hareket ederek tarayıcı ve işletim sistemi rekabetini sınırlamasına yol açabileceği için daha büyük bir tehdit olarak ele alınıyor
- Uzun vadede Google’ın daha düz bir rekabet ortamına çekilmesi gerektiği, bunun için hem düzenleme hem de Google’ın pazar payının azalmasının gerekli olduğu savunuluyor
3 Kasım 2023 güncellemesi
- Google, Web Integrity API’yi ilerletmeme kararı aldı
- Vivaldi bunu açık web’in tarafsızlığı açısından çok olumlu bir gelişme olarak görüyor
- Ancak Google’ın web’in genel yararından çok kendi çıkarlarıyla hareket ettiğini düşündüğü için, bunun yerine ne geleceğini izlemek gerektiğini söylüyor
- FLOC’un ardından Topics’in gelmesi gibi, daha az rahatsız edici görünen ama kullanıcıya zarar verebilecek başka spesifikasyonların gelebileceği şüphesi sürüyor
- Bu kararın, Google’ın reklam ücretlendirme modelini tıklama başına ödemeden gösterim başına ödemeye kaydıracağını duyurduğu son açıklamayla çakışması da şüpheli bulunuyor
- Web’in geleceğini tek bir aktörün belirleyememesi için tarayıcı ve tarayıcı motoru çeşitliliği önem taşıyor
1 yorum
Hacker News yorumları
Google’ın böyle bir şey söylemesi özellikle akıl almaz. Android’in SafetyNet’i kâğıt üzerinde güvenlik içindir ama pratikte güvenliği ciddi biçimde düşüren sonuçlar doğuruyor
Güncel ve güvenli üçüncü taraf ROM’ları engellerken, üreticinin sağladığı korkunç derecede zayıf ROM’ları geçiriyor. Engellerse kullanıcı tepkisi büyük olacağı için olduğu gibi bırakıyor
Sonuçta ortalama kullanıcıya anlamlı bir güvenlik iyileştirmesi sunmaktan çok satıcıya bağımlılık olarak işliyor ve ileri düzey kullanıcıların yeni donanım almadan güvenliğini iyileştirme yolunu kapatıyor. Bu tür attestation’ın kullanıcılara meşru bir fayda sağladığı iddiasına çok daha güçlü karşı çıkılmalı
https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
https://github.com/RupertBenWiser/Web-Environment-Integrity
Aşırı veri sızdırmayan web istemcileri kullanabiliriz, ama Google bizim böyle istemciler kullanmamamızı ister. Onaylanmamış tüm web istemcilerini “bot”, kullanıcının ortam bilgilerini gereğinden fazla ifşa etmeyen tüm web kullanımını da “dolandırıcılık” diye paketleyebilir
Tüm web kullanımını ticari bir eylem, tüm web sitelerini de reklam kabı olarak gören ya hep ya hiç düşüncesi neredeyse tipik bir bilişsel çarpıtmadır
https://grapheneos.org/articles/attestation-compatibility-gu...
SafetyNet’in kendisi de zaten kullanımdan kaldırılacak
https://developer.android.com/training/safetynet/deprecation...
Tartışmalı tarayıcı özellikleri hep birbirine benzer. Uygulamazsanız, o özelliği isteyen web sitelerinde kullanıcı deneyimi kötüleşebilir
Ama bir yazılım üreticisiyseniz, müşterileriniz için neyin en iyisi olduğuna kendiniz karar vermelisiniz. Buna uymamak için tek umut AB’nin Google’a haddini bildirmesiyse, kendi başınıza güçlü bir tavır alma iradesi yokmuş gibi görünüyor; bu da kaygı verici
Ama web attestation farklı. Web sitesi bunu ister ve tarayıcı uygulamazsa, azımsanmayacak sayıda durumda kullanıcı o siteden tamamen engellenebilir
Üstelik Vivaldi WEI’yi uygulasa bile, attestation otoritesi olan Google, Microsoft, Apple ya da web sitesinin kendisi Vivaldi’yi geçerli bir ortam olarak kabul etmeyebilir. Reklam engelleme eklentileri, kullanıcı otomasyonu ve scripting gibi kullanıcılara fazla özgürlük veren tarayıcıları “kabul edilebilir ortam” sayıp saymayacakları şüpheli
Encrypted Media Extensions dışında —ki o da WEI’den çok daha sınırlı— bu şekilde çalışan bir web standardı pek bilmiyorum
Zaten tüm reklamları engellediğim için kararlarını reklam gelirini maksimize etmeye göre veren geliştiricilerle tamamen empati kurmuyorum; ama burada yükü geliştiriciye “senin seçimin, o hâlde reddet gitsin” diye yıkmak adil değil
Google pek çok şey deniyor. Mozilla, Microsoft ve Apple hâlâ yeterince güçlü; özellikle ABD dışında, kötü fikir olarak gördükleri şeylere karşı durabiliyorlar
Şimdiye kadarki ilgili thread’ler sanırım bu kadar. Atladığım bir şey var mı?
Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - Temmuz 2023 (705 yorum)
Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - Temmuz 2023 (439 yorum)
Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - Temmuz 2023 (161 yorum)
Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - Temmuz 2023 (413 yorum)
Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - Temmuz 2023 (447 yorum)
Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - Temmuz 2023 (437 yorum)
Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - Temmuz 2023 (44 yorum)
Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Temmuz 2023 (93 yorum)
Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - Mayıs 2023 (1 yorum)
“I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
Yeterli karmaya sahip kullanıcılar flag’lemiş gibi görünüyor; ama bir süre “[flagged]” olarak görünmediği halde ön sayfalarda yer almaması ve daha fazla upvote almaması kafa karıştırıcıydı. “[flagged]” göstergesinin gecikmeli mi çıktığını düşündürdü
Ciddi şekilde itiraz etmek istiyorsanız şöyle yapılabilir: Herkes kendi web sitesine, user agent’ın bu API’yi uygulayıp uygulamadığını kontrol eden bir kod koyar; testten geçerse de o tarayıcının hoş karşılanmadığını, gerekçesiyle birlikte kullanıcıya bildirir
#BoycottGoogle #BoycottChrome #BoycottBullshit
Her zamanki gibi Google’ın WEI’si hakkında uzun bir yazı; ama Apple’ın bu gemiyi zaten sessizce suya indirdiğinden ve bu yüzden neredeyse hiç ilgi ya da tepki çekmediğinden bahsetmiyor
https://httptoolkit.com/blog/apple-private-access-tokens-att...
https://toot.cafe/@pimterry/110775130465014555
Teknoloji haberlerinin ve bloglarının üzücü durumu bu. Büyük resmi görmeden aynı dramayı tekrar edip duruyorlar
Buna karşılık Google Analytics veya Google reklamları kullanan web siteleriyle sürekli etkileşim halindeyim. Bu siteler seçtiğim tarayıcıyı reddetmeye başlarsa internetin önemli bir bölümünde fiilen engellenmiş olurum
Geri kalan internet kullanıcılarının %60’ı da fiilen bu teknolojiyi kabul etmeye zorlanabilir. Etkilenen kullanıcı sayısı bir-iki basamak daha fazla olduğundan alarm zillerini çalmak için yeterli sebep var
İlk kullanım örneğinin reklam etkileşimlerinin gerçek olup olmadığını doğrulamak olması sadece başlangıç. Attestation, eninde sonunda reklamverenlerin kullanıcının gerçekten orada olduğunu ve ekrana baktığını talep etmesine yol açabilir.
Black Mirror’ın “Fifteen Million Merits” bölümü gibi olabilir.
https://www.creativebloq.com/sony-tv-patent
TV izleyicisinin reklamı geçebilmek için marka adını bağırmasını konu alıyor. Big Mac’in kaybolması için “McDonald's!” diye bağırmak zorunda kalmak gibi.
Şirketler engellenmezse en çılgın ve korkunç şeyleri yapar; bunlar gerçekten de olur.
Artık iki şeye ihtiyaç var. Birincisi, Google’ı arama ve reklam olarak ayıran bir antitröst bölünmesi. İkincisi, reklam vergisi.
Arama motorlarının çok fazla reklam göstermesini ekonomik olarak zararlı hâle getirmek gerekir.
Google, en büyük reklam satıcısı olmasının yanı sıra en popüler tarayıcı Chrome/Chromium’un üreticisi olma pazar konumunu kullanarak, kullanıcıların herhangi bir web sitesinde Google reklamlarını görmezden gelememesini sağlamaya çalışıyor.
Bunun yerine taktiksel olarak zarar ettirmeli. Çünkü reklamlar doğruluğu zedeliyor ve kullanıcıları uzaklaştırıyor. Ama çok daha doğru sonuçlar veren bir rakip yoksa uzun süre dayanabilir.
Google Arama için umut verici işaretler de var. Bazıları doğruluğun düştüğünü bildiriyor; Google da spam’den kaçınmak için kendine özgü davranışını sürekli değiştiriyor ve bu süreçte insanların SEO’ya ve Google’da arama yapma inceliklerine harcadığı emeği değersizleştiriyor. Yine de bu ikisi aynı olgunun parçası olabilir.
YouTube’da “Bu web sitesi cihazınızla uyumlu değil” ifadesinin belirdiğini görebiliyorum.
Google’ın kontrolü altında ve kullanıcıların resmi tarayıcıda reklam izlemesini istiyor; bu yüzden şaşırtıcı değil. Başlarda banka uygulamalarına da girebilir.
Uzun vadede ya sönüp ölecek ya da antitröst müdahalelerine yol açacak. Başka bir yol pek görünmüyor.
Bunu önemseyen %1 bunu yapacaktır. Ama eskiden açık web olan bir yerde artık yeraltı “crack” yöntemlerine inmek zorunda kalmak korkunç. Tespit edilirse engellenme riski de var.
WEI’nin kapıdaki gözetleme deliğinden tam olarak ne açıdan daha kötü olduğunu bilmiyorum. Botlar zaten büyük bir sorun ve daha da kötüleşiyor. Alternatif ne?
Gerçek dünyada da web’de de karşındaki kişinin kim olduğunu bilmek gerekir. Belki yalnızım ama WEI’nin iyi bir şey olduğunu düşünüyorum.
Site işletmiş olan biri, botların ne kadar baş ağrıttığını bilir. Botları dert etmeyen siteler WEI kullanmaz olur biter. Tabii gerçekte kullanacaklar. Çünkü botlar baş belası.
Yapay zeka geliştikçe bu zaten kaçınılmazdı. Aksini düşünmek neredeyse sanrı.
WEI’nin “onaylı cihaz” yaklaşımıyla gerçek bir DRM olma potansiyeli var. Çok müdahaleci; büyük şirketlerin keyfine göre ekran okuyucuları, reklam engellemeyi, takip önlemeyi, parmak iziyle izlemeyi önlemeyi, telifli içerik indirmeyi ve gelecekte akla gelecek her türlü kullanım biçimini dışlamak için kullanılabilir.
Kelimenin tam anlamıyla web’i App Store’a, iyi ihtimalle de birden çok uygulama mağazasına dönüştüren bir kapı bekçisi. Sorun botlarsa bunu somut anlatmak gerekir. İyi botlar da çok; ironik olarak bot trafiğinin büyük kısmı böyle şeyleri zorlayan büyük şirketlerden geliyor. Kötü niyetli botlar için IP engelleme listeleri var; gri alandaki manipülasyon botları ise sorun, ama bu neden tüm kullanıcılara zorunlu kelepçe takılması gerektiği sorusundan ayrı.
Bot, yalnızca sahibinin istediği işi yapan bir bilgisayardır. WEI’yi beğenen tutum, başkalarının bilgisayarlarını hoşuna gitmeyen biçimde kullanmasından rahatsız olduğu için o bilgisayarın kontrolünü almak istemek demektir.
Güçlü yapay zeka eşiğe gelmişken, genel amaçlı bilişimi insanların elinden almaya yönelik bir hareket görüyoruz. En kötü sonuçların tümü, insanların kendi bilgisayarlarını kontrol etme becerisini kaybetmesinden doğar.
Kişisel olarak yazdığım birkaç web scraper betiği kullanıyorum. Örneğin tüm maaş bordrolarımın dijital kopyası var. Bunların neredeyse tamamı işe yaramaz hâle gelecek.
Önceki işyerimin emeklilik fonu sitesi aylık hesap özetlerini yalnızca elle indirmeye izin veriyordu ve Mechanize kütüphanesini algılayıp robot yasağı uyarısı gösteriyordu. Her ay bunu elle yapacak kimse yoktur herhâlde; ama robotlara da izin vermiyordu.
Yine de o zamanlar engellemek için bir yerlere özel yazılım kurmaları gerekiyordu; bu ise böyle şeyleri çok daha kolaylaştırıyor. Selenium gibi araçlar için de endişeliyim. Bu SSL değil.
Bu öneriye yönelik ahlaki öfke çok fazla ve haklı. Hatta daha da güçlenmeli. Ancak bundan bağımsız olarak, bu önerinin her hâlükârda iyi işleyeceğini sanmıyorum
İtiraz olmadan uygulanırsa, kapalı döngüden oluşan sağlam bir DRM webe dönüşür ve yasa koyucuların dikkatini çeker. Umarım öyle olur
Karşı çıkan tarayıcılar varlığını sürdürürse, web siteleri açısından pek bir işe yaramaz. Çünkü dolandırıcılık tespiti için yine de yedek mekanizmaları korumaları gerekir. Madem koruyacaklar, çok daha fazla kişisel veri toplayabilen mevcut yöntemleri tek çözüm olarak kullanmayı daha mantıklı göreceklerdir