1 puan yazan GN⁺ 2023-07-27 | 1 yorum | WhatsApp'ta paylaş
  • Google'ın Web Environment Integrity (WEI) önerisi, web sitelerinin tarayıcı ortamı için kanıt istemesine ve onaylanmamış istemcileri engellemesine olanak tanıyarak açık webi silo haline getirilmiş uygulamalar gibi bir yapıya dönüştürebilir
  • Yapının merkezinde, tarayıcıyı ve eklentileri inceleyen harici bir attestation agent bulunur; web sitesi de bu sonuca göre erişim verip vermeyeceğine karar verir
  • Belirtilen kullanım senaryolarında Google Play bir kanıt sağlayıcısı olarak yer alır ve reklamların otomatik süreçler yerine yalnızca meşru kullanıcılara gösterilmesini hedefleyen reklam gösterimi·bot engelleme senaryosu da buna dahildir
  • Tarayıcı seçimi, reklam engelleyiciler, eski cihazlar ve yardımcı teknolojilere bağımlı kullanıcılar dışlanabilir; bu da erişilebilirlik·kapsayıcılık ile açık webin üretkenliğini birlikte sarsar
  • Google deposunda issue ve yorumların kapatılması, Mozilla'nın muhalefeti, Apple Private Access Tokens ve IETF PrivacyPass'teki attester belirsizliğiyle birlikte standardizasyon ve düzenleyici müdahale konuları yanıtsız kalıyor

WEI açık webi nasıl tehdit ediyor

  • Web Environment Integrity (WEI), web sitelerinin tarayıcı ortamının “bütünlüğüne” dair bir attestation talep edebilmesini sağlayan bir öneridir
  • Web siteleri sayfayı yalnızca belirli cihazlarda veya tarayıcılarda gösterebilir, diğer istemcilere ise hizmet vermeyi reddedebilir
  • Bu yapı, istemci tarafı yazılımı belirli web sitelerine bağlayarak silo haline getirilmiş uygulamalar yaratma etkisi doğurur
  • Tercih edilen istemci yazılımını kullanamayan platformlar ve kullanıcılar dezavantajlı hale gelir
    • Yeterince yeni cihazlara sahip olmakta zorlanan kullanıcılar
    • Özel tarayıcılara veya yardımcı teknolojilere ihtiyaç duyan kullanıcılar
    • Ekran okuyucu performansının ya da eski ve düşük maliyetli cihaz uyumluluğunun önemli olduğu kullanıcılar
  • Bu dışlama ihtimali nedeniyle WEI, webin tasarım ilkelerine aykırı anti-sosyal bir öneri olarak eleştiriliyor

Tarayıcı kanıtlama mekanizması

  • WEI, tarayıcının kendi “bütünlüğü” hakkında harici bir agent'tan attestation alıp bunu web sitesine ilettiği bir yapıdır
  • Agent'ın tarayıcıyı ve eklentileri incelemesi, incelemeyi geçenlere ise onay vermesi öngörülür
  • Web sitesi de bu onay sonucuna bakarak hizmet sağlayıp sağlamayacağına karar verebilir
  • Yüzeyde, kullanıcı için ortamın kurcalanmadığını garanti eden bir özellik gibi görünse de gerçek kullanım senaryoları işletmeciyi korumaya daha yakındır
  • Öneride, Google Play'in bir kanıt sağlayıcısı olabileceği ve reklamların otomatik süreçler yerine yalnızca meşru kullanıcılara sunulmasına yönelik bir örnek yer alır

Reklamlar, botlar ve reklam engelleyiciler

  • Önerinin arka planında reklam gösterimi ve botlarla ilgili çıkar ilişkileri bulunuyor
    • Reklam verenler maliyeti düşürmek ister
    • Web sitesi işletmecileri reklam göstermek ister
    • Google reklam ağı ücreti impression başına alır
    • Botlar impression üretir
  • WEI, botları kanıt yoluyla dışlayıp yalnızca Google Play'e giriş yapmış kullanıcılara reklam gösterimi oluşturacak bir çözüm gibi okunuyor
  • Botlar çoğu zaman yalnızca user agent dizgesi gibi günlük verileriyle bile ayırt edilebilir, ancak user agent sahteciliğe açıktır
  • Yeterince motive olmuş botlar daha güçlü güvenlik önlemlerini de aşabilir ve Selenium WebDriver gibi araçlarla meşru tarayıcılar üzerinden istek gönderebilir
  • Temel zayıflık noktası attester'dır
    • Saldırgan, attester'ı istemcinin meşru göründüğüne ikna edebilir
    • Ya da meşru istemciyi attester'ın sorun etmeyeceği bir biçimde kullanabilir
  • Sonuçta botlar gerçek tarayıcılar kadar sofistike hale gelip attestation'ı geçebilir; bu nedenle WEI'nin botlardan çok reklam engelleyicileri hedeflediği yorumu yapılıyor

Kötüye kullanım ihtimali ve tarayıcı savaşlarının geri dönüşü

  • attestation agent'ın tarayıcıları hangi yöntemle onaylayacağı ya da reddedeceği serbestçe belirlenebilir
  • Bu yapı keyfi kötüye kullanımın önünü açabilir
    • Web siteleri, tekelleşmiş veri toplama agent'larının kurulmasını şart koşabilir
    • Belirli bir tarayıcı kullanılmıyorsa hizmeti reddedebilir
    • 1990'ların sonundaki tarayıcı savaşları yeniden yaşanabilir
  • Reklam ağlarının kullanıcı takibi giderek daha fazla eleştiriliyor ve reklam engelleyiciler güvenlik aracı olarak da öneriliyor
  • Reklamlar, meşru web sitelerine kötü amaçlı yazılımın yan yüklenmesi için bir kanal olabildiğinden, güvenlik uzmanları bazen reklam engelleyici kullanımını tavsiye ediyor
  • WEI'nin benimsenmesi halinde açık webin onlarca yıl geriye gideceği yönünde eleştiriler yapılıyor

Üretken sistemden aygıta

  • Jonathan Zittrain'in 『The Future of the Internet -- And How to Stop It』 kitabı, telefon şebekesini çıkış noktası alarak aygıt ile üretken sistem ayrımı yapar
  • Aygıt, tost makinesi gibi tek bir ana işlev etrafında çalışır; diğer işlevler bunun varyasyonlarına yakındır
  • PC ve internet ise belirli bir ana amaç olmadan temel yetenekler sunar ve amacını kullanıcının belirlediği üretken sistemler olarak sınıflandırılır
  • Açık web, kullanıcıların geliştirdiği mülkiyete kapalı olmayan çerçevelerin toplamıdır ve birlikte çalışabilirlik ile sağlayıcılar ve son kullanıcılar arasındaki veri erişimi ve mülkiyet dengesini vurgular
  • Agent'ın keyfi yargısına dayalı attestation, webi bir aygıta dönüştürür; daha doğrusu tarayıcıyı aygıt tipi web sitelerinin bir uzantısı haline getirir
  • Web sitesi işletmecileri zaten aygıtlar yaratabilir, ancak bu tür değişimler biriktikçe üretken açık webin faydası azalır

Erişilebilirlik ve düzenleme tartışmaları

  • WEI ilke olarak erişilebilirlik sorunlarını doğrudan “yaratmıyor” olabilir, ancak maliyet etkinliği tarayıcı pazarının %20'sine yoğunlaşıp kullanıcıların %80'ine ulaşma mantığıyla işleyebilir
  • Kalan %20'lik kullanıcı kitlesi, destek maliyeti yüksek görüldüğü için göz ardı edilebilir
    • Özel tarayıcıya ihtiyaç duyan kullanıcılar
    • Ekran okuyucu performansının kritik olduğu kullanıcılar
    • Düşük maliyetli ya da eski cihazlarda çalışan tarayıcıya ihtiyaç duyan kullanıcılar
  • Buna karşı, erişim sorunlarının düzenlemeyle çözülmesi gerektiği yönünde bir itiraz da var
  • İyi düzenleyici çerçeveler nadirdir ve teknoloji hukuktan daha hızlı hareket eder
  • Kısa vadede teknolojinin kendisindeki riski ele almak, uzun vadede ise düzenleyici karşılık üretmek gerekir

Kurumsal çıkarları koruma ile açık webin çatışması

  • Şirketler kârlarını korumaya çalışsa da bu insanlara zarar veriyorsa bunu meşrulaştırmak zordur
  • İnternet ve açık web, insanların kullanım biçimini kendilerinin belirleyebilmesi nedeniyle olumlu etki yaratan üretken sistemlerdir
  • Bu karar hakkı azaldığı anda sistem aygıt yönüne kayar
  • Şirketler kârlarını korumak için üretken sistemi bir aygıta indirgerse, bu başlı başına insanlara zarar verir
  • Google, üretken sistemler üzerinde büyümüş bir şirket olarak şimdi aynı sistemi kendi ihtiyaçlarına uygun bir aygıta dönüştürmeye çalışmakla eleştiriliyor

W3C, depo ve Mozilla'nın tepkisi

  • WEI önerisi hakkında W3C davranış kurallarının ihlal edildiği iddiası gündeme geldi ve ilgili grup bunun kendi yetki alanlarında olmadığını söyledi
  • Ardından W3C ombudspeople'a WEI önerisi ve katılımcı davranışlarıyla ilgili kaygılar iletildi
  • Bu kaygılar arasında GitHub deposunun maintainers'larının topluluk issue'larını kapatması da vardı
  • 22 Temmuz 2023'te Google, depoda issue açma ve yorum yapma dahil katkı özelliklerini kapattı
  • Mozilla, WEI'ye karşı çıkıyor ve bu önerinin Mozilla'nın webe dair ilkeleri ve vizyonuyla çeliştiğini söylüyor
  • Chromium'da WEI ile ilgili bir commit zaten bulunuyor; bu da spesifikasyon kesinleşmeden daha erken gelebileceği endişesini doğuruyor

Apple Private Access Tokens ve PrivacyPass

  • Apple yaklaşık bir yıldır benzer bir API olan Private Access Tokens sunuyor
  • Apple geliştirici blogundaki Private Access Tokens, WEI'ye neredeyse aynı bir mekanizmayı uyguluyor
  • Ancak Apple belgeleri, “token challenge gönderirken ana sayfa yüklemesini engellemeyin ve token desteklemeyen istemcilerin de web sitesine erişebilmesini sağlayın” diye yönlendiriyor
  • Apple belgelerinin tonu, WEI'nin motivasyonuyla tezat oluşturuyor; Private Access Tokens ise CAPTCHA gibi daha rahatsız edici kimlik doğrulama araçlarına alternatif bir mekanizma olarak sunuluyor
  • Token issuer, kullanıcının cihazında çalışan opak bir süreç olarak değil, harici bir web hizmeti olarak tanımlanıyor; bu da CDN'in origin sunucuya yönelik istekleri doğruladığı bir mekanizma gibi okunuyor
  • Protokol, IETF PrivacyPass Working Group tarafından tanımlanıyor
  • PrivacyPass protocol draft'a göre istemcinin issuer'a gönderdiği veri, yalnızca sunucu challenge'ının karartılmış hash biçimidir
  • Bu durumda issuer açısından kişisel veri sızmaz ve tarayıcı ile eklenti ortamı denetlenmediğinden belirli tarayıcıların attestation almasını engellemek zorlaşır

PrivacyPass'in tamamlanmamış kısımları ve ayrımcılık ihtimali

  • PrivacyPass'i yalnızca issuer protokolü üzerinden analiz etmek eksik kalır
  • Eksik parça, istemci ile attester'ın nasıl etkileşime girdiğidir
  • Issuer kişisel olarak tanımlayıcı bilgileri bilmese de hangi attester'ın kullanılacağını etkileyebilir
  • Attester, somut davranışı tanımlanmamış bilinmeyen bir unsur olarak kalıyor
  • Spesifikasyonun çeşitli bölümleri olası yöntemlerden söz ediyor, ancak somut prosedürleri boş bırakıyor
  • İstemcinin hassas nitelikleri attester'a göndermemesi mümkün olabilir, fakat bu durumda ne olacağı ele alınmıyor
  • Bu açıklık nedeniyle WEI benzeri modelin aynı sorunları hayata geçirmesi mümkündür
  • PrivacyPass architecture belgesi de section 5.1 “Discriminatory Treatment” bölümünde ayrımcı muamele ihtimalini kabul ediyor

Antitröst, gizlilik ve standardizasyon için müdahale yolları

  • Hacker News'te, GitHub üzerinden Google'a itiraz etmenin tek başına etkili olmayacağına dair bir yorum paylaşıldı
  • İlgili yorum, ABD, AB, Birleşik Krallık, Hindistan ve Kanada'daki antitröst kurumlarının iletişim bilgilerini veriyor
  • Antitröst yalnızca bir yol; PrivacyPass ve Apple Private Access Tokens da benzer sorunlar barındırıyor
  • AB içinde şu kurumlara kaygılar iletilebilir
  • PrivacyPass için IETF PrivacyPass working group posta listesine katılıp kaygılar dile getirilebilir ve draft kabul aşamasında itiraz edilebilir

Google'ın iç süreçlerine dair ek kaygılar

  • Google/Chrome/Blink'ten Alex Russell, WEI'yi web için iyi bir şey yapmaya çalışan insanların “yapabilecekleri şeye” kapılıp “yapmaları gereken şeyi” gözden kaçırdığı bir örnek olarak yeniden çerçevelemeye çalıştı
  • Bu açıklama, Google'da insanları “bunu yapmalı mıyız?” sorusunu sormaya zorlayan bir hiyerarşik yapı bulunmadığı imaını da içeriyordu
  • Acil kaygı iki başlıkta toplanıyor
    • Google'ın süreç düzeyinde “yapmalı mıyız?” sorusunu sormaması
    • Tek tek Googler'ların da Google süreçlerinden bağımsız olarak bu soruyu sormaması
  • Bu iki unsur birlikte ele alındığında, bunun neredeyse bir ahlaki iflas ilanı olduğu yönünde eleştiriler doğuyor
  • O sırada Google'dan henüz resmi bir yanıt gelmemişti

1 yorum

 
GN⁺ 2023-07-27
Hacker News yorumları
  • Bu ciddi mi?

    • Bu yazının yazarı bu konuda utandırıcı derecede bilgisiz
      Botların iki türü var. Meşru botlar site işletmecisine genel olarak olumlu bir takas sunar, kendilerini user agent ile tanıtır, öngörülebilir IP aralıklarından istek yapar ve robots.txt’ye uyar. Arama motoru crawler’larının çoğu, WhatsApp gibi uygulamaların bağlantı önizleme botları ve RSS okuyucuları buna girer.
      Buna karşılık kötü niyetli botlar pahalı ve değerli bilgiler içeren kaynakları hedef alır, robots.txt’ye uymaz, IP engellemelerinden kaçınmak için konut IP’lerinden oluşan botnet’ler kullanır ve normal trafik gibi görünmek için user agent’tan başlayarak her şeyi değiştirir. Sahte hesaplar oluşturmak için insan bile çalıştırırlar.
      Bu yüzden yazarın yaklaşımı döngüsel bir mantık. Botları user agent’a göre tanımladıktan sonra, ayırt edilebilir user agent’a sahip botlar olduğuna göre trafiğin geri kalanının bot olmadığını ilan etmiş oluyor. Üstelik kötü niyetle kazınmaya değer verisi olmayan sunucu günlüklerine bakmış olması da sorun. Ocean’s 11’in mahalle bakkalını değil de kumarhaneyi soyması gibi, profesyonel bot işletmecileri de kişisel blogları değil, savunma altında olan yerlerdeki değerli bilgileri kazır.
    • Burada güvenimi hemen kaybettim.
      Google’da çalışıyorum ama reklamlar, tarayıcılar ve reklam sahtekârlığı tespitiyle hiçbir ilgim olmayan biri olarak şunu söyleyebilirim: Google’dan ve reklamverenlerden para çekerek geçinen saldırganların bu yazar kadar beceriksiz olmasını dileyecek kadar keşke öyle olsaydı diyorum.
    • Kötüye kullanımı önleme alanında çalışan on binlerce kişiye user agent dizgisi meselesini anlatmak gerekecek herhalde.
  • Diğer WEI başlıklarında da söyledim ama burada tekrar söyleyeyim
    Kötü şirketi lanetleyip hep birlikte kollarımızı sallamak yerine, bu önerinin rekabet karşıtı etkileri konusunda FTC ya da Hindistan CCI gibi rekabet otoriteleriyle gerçekten iletişime geçen biri olup olmadığını merak ediyorum

    • Tam olarak aynı fikirdeyim. GitHub protestoları duygusal olarak tatmin edici ama etkisiz. Google umursamıyor ve zaten tekel gücünün sarhoşluğunda
      Antitröst otoritelerinin iletişim bilgileri şöyle
      ABD: https://www.ftc.gov/enforcement/report-antitrust-violation / antitrust@ftc.gov
      AB: https://competition-policy.ec.europa.eu/antitrust/contact_en / comp-greffe-antitrust@ec.europa.eu
      Birleşik Krallık: https://www.gov.uk/guidance/tell-the-cma-about-a-competition... / general.enquiries@cma.gov.uk
      Hindistan: https://www.cci.gov.in/antitrust/
      CCI'ye şikâyet iletmenin kolay bir iletişim yolunu bulamadım ama prosedür şu tarafta gibi görünüyor: https://www.cci.gov.in/filing/atd
      Kanada: https://www.competitionbureau.gc.ca/eic/site/cb-bc.nsf/frm-e...
      Başkaları şablon olarak kullanmak isterse FTC'ye gönderdiğim metni paylaşabilirim
    • Birleşik Krallık'taysanız Competition and Markets Authority ile de iletişime geçebilirsiniz
      Parlamento dilekçesi de oluşturdum ve incelenip yayımlanması için gereken en az 5 destekçiyi topladım. Yayımlanınca HN'de paylaşacağım
      Şimdilik dilekçe bağlantısını kaldırdım, ama yayımlandıktan sonra tekrar koyacağım
    • Resmî kurumlarla iletişime geçmek iyi bir fikir. Başka bir başlıkta yazdığım eylem çağrısını alıntılayıp genişleteyim
      Kişisel hayatınızdan Google'ı tamamen çıkarın. Chrome yok, mazeret yok. Saçmalamayı bırakın ya da bu sektörden çıkın. Arama için Startpage, DuckDuckGo ya da ne isterseniz onu kullanın
      Yalnızca Firefox ve türevlerini hedefleyerek geliştirme yapın, Chrome'a kullanılabilirlik sorunları koyun
      Google'ın kullandığı taktiklerin aynısını kullanın. Dağıttığınız yazılımla Firefox'u paketleyin, Google gibi kullanıcı cihazlarından rakipleri kaldırın. npm modüllerini ya da web sitelerini Chrome'da yavaşlatın ve Chrome kullanmayanlara hizmetin daha ucuz olduğunu söyleyin. Para insanları harekete geçirir
      Kullanıcılara Firefox indirmelerini öneren pop-up'lar gösterin ve bağlantı ya da açıklama sayfası sunun. Chrome'da şu anda güvenlik ve gizlilik riskleri tespit ettiğinizi ve hemen harekete geçmelerini önerdiğinizi söyleyin; sıradan kullanıcılar genelde kolayca korkar ve harekete geçer
      Google'ı mahvetmenin her türlü yolunu düşünün. Arama sonuçlarını bozun, depoları /dev/random ile doldurun, aklınıza gelebilecek her şeyi yapın. Hepiniz zeki olduğunuzu söylediniz, o hâlde gösterin
      Google'ın sermayesi veridir. Oraya vurursanız canavar ölür
    • Birçok eyaletin, web'i kendilerine ait bir kapalı bahçeye dönüştürmeye çalıştıkları gerekçesi de dahil olmak üzere Google'ın önceki planına karşı zaten antitröst davası açtığını hatırlamak gerek
      Project NERA, Google'ın açık interneti kapalı bir ekosisteme dönüştürmeye yönelik asıl planıydı. Google belgeleri, motivasyonun “açık web genelinde kapalı bahçeleri başarıyla taklit ederek marjları korumak” olduğunu ortaya koyuyor
      İç belgelere göre bu strateji Google'ın daha yüksek aracılık ücretleri koparmasını sağlayabiliyordu; bir çalışan Project NERA'nın iddiasını “varlıkların ‘sahibi’ olmadan ve yeni tüketici ürünleri yaratmanın zorluğuna katlanmadan, varlıkları sıkı biçimde ‘işletmenin’ avantajlarını elde etmek” diye tanımladı
      Bunun için temel strateji, popüler tarayıcı Chrome'dan yararlanarak kullanıcıların tarayıcıda oturum açmış hâlde kalmasını sağlamak ve onları izlemekti. Gmail ya da YouTube gibi Google hizmetlerinde oturum açınca tarayıcıda da oturum açtırmak, tarayıcıdan çıkış yapınca hizmetlerden de çıkış yaptırmak şeklindeydi
      https://mspoweruser.com/project-nera-state-attorneys-general...
      https://storage.courtlistener.com/recap/gov.uscourts.nysd.56...
    • Zaten yaptım. Hem de birkaç kez
      Google geçen yıldan beri bu yönde güçlü sinyaller veriyordu. Sadece geçen yıl teknoloji balonu patlamadan önceydi, bu yüzden kimse inanmak istemiyordu. Artık Google eskisi kadar harika görünmediğine göre belki daha fazla kişi temsilcileriyle iletişime geçer
  • Bu yüzden Google'dan aktif olarak nefret ediyorum ve YouTube dışında Google ürünlerinden kaçınıyorum
    Bu 2010'a kadar uzanıyor. Chrome'u açıp denedim; Firefox'ta sorunsuz çalışan YouTube kanal arka planını sağ tıklayıp indirme seçeneği yoktu. Kullanıcının sağ tıklayıp kolayca indirmesini neden bilerek engellesinler ki? Çünkü web'in sahibi olduklarına inanıyorlar
    Chrome'u hiç kullanmadım, bundan sonra da kullanmayacağım. Chrome kullanırsanız, ileride Google yeterince kötü politikalar uygulayıp neredeyse kimsenin kısıtlamaları aşamayacağı hâle getirdiğinde, sonunda kendi geleceğinizi daha kötü hâle getirmiş olursunuz

  • Yoav Weiss'in blog bağlantısı iyiydi
    “Bir web platformu önerisini beğenmediğinizde … içgörülerinizin ve deneyimlerinizin platformun büyük bir hata yapmasını önlemeye yardımcı olmak açısından değerli olabileceğini hissedebilirsiniz. Güzel!! Web platformu tartışmalarına katılmak, platformun herkes için, herkes tarafından yapılması açısından şarttır … Tartışmalı tarayıcı önerilerinde, iyi niyetli görünen kişilerin onlarca, yüzlerce yorumla ekibin fikrini değiştirmeye çalışması nadir değildir. Web platformunda çalıştığım yıllar boyunca bunun işe yaradığını hiç görmedim. Bir kez bile” tarzında
    Kulağa “Herkesin tartışmaya katılmasını gerçekten seviyoruz. Ve bu kararlarımızı bir kez bile etkilemez” gibi geliyor

    • Bunun aslında iki yönü var
      Birincisi, geri bildirim çoğu zaman tamamen yanlış adrese gidiyor. Google'ın Google gibi davranmasını bu şekilde durduramazsınız
      İkincisi, web standartları tartışmalarının yapıldığı derinlik ve seviye çoğu insanı dışarıda bırakıyor. Bu yüzden insanlar “standart yapma” sürecine katılmak yerine başka yerlere yöneliyor
      Web harika; ilk 15 yılında web'in ana yapılarını işletmek gerçekten çok basit olduğu için harika oldu. Ama başarı giderek büyük şirketleri ve karmaşık çıkar ilişkilerini beraberinde getirdi; şimdi web'i daha erişilebilir kılmaya yönelik çalışmalarla aynı anda Web Environment Integrity, DRM gibi şeyleri de görüyoruz
      Kamu denetimi gerektiren süreçler, kamu kendi adına tam zamanlı denetim yapacak birini atayamazsa sonunda başarısız olur
    • Kişisel bir bloga göre epey fazla PR metni var
    • Bu tür işlerin tek çözümü gerçekten kolları sıvayıp alternatifler oluşturmaktır
      Ama çoğu kişinin bunu yapacak becerisi ya da zamanı olmadığından bisiklet kulübesinin rengi tartışmasına saplanıp kalınıyor
    • Açık çıkarım şu: HN'de okuduğunuz tartışmalı bir öneriye bağırmak için uzman tartışmalarına dalarak paydaşları ikna edemezsiniz. Etki istiyorsanız, etkilemek istediğiniz topluluğun içinde güven inşa edip bunu zamanla büyütmeniz gerekir. Bu tartışmalı bir konu bile değil
      Özellikle WEI gibi web içeriği için bot önleme/hile önleme çerçevesi olarak tasarlanmış nispeten kuru bir öneriyi alıp “Google vs. the Open Web” gibi tıklama tuzağı bir başlıkla paketlerseniz, zor sorunlar üzerine her gün derinlemesine düşünen insanların sempatisini kazanmanız zor olur
      İyi bir öneri mi, açıkçası bilmiyorum. Ama çözmeye çalıştığı sorun gerçekten var; bu yüzden alaycı yazılar yazanlardan ziyade iyi niyetle çözmeye çalışanlara şimdilik iyi niyet karinesi tanımak istiyorum
  • Durumun şöyle gelişeceğini düşünüyorum
    WEI kontrolü, teknolojiye hâkim kişilerin veya hacker'ların kolayca aşabileceği kadar basit tasarlanacak. Eleştiriler veya itirazlar “tarayıcıyı şu 50 ayarla başlatmanız yeterli” gibi sözlerle bastırılabilecek
    Buna karşılık sıradan kullanıcılar için aşılamayacak kadar karmaşık olacak ve reklam izlemeye zorlanacaklar
    Böylece hacker'lar “açık” web erişimini korurken, %99'luk çoğunluk “Google” web'inde dolaşacak; kazan-kazan düzeni

    • WEI, teknisyenler için bile etrafından dolaşması zahmetli olan Play Protect'e giden bir proxy zaten
    • Google Play Services'i değiştirmeye çalışıp https://microg.org/ kullanırsanız, bunun ortalama teknik bilgi seviyesi olmadığını anlarsınız
  • Doğrudan Google'ın her şeyi ve herkesi işlettiği ve sahip olduğu, bizim de mahsulün %50'sini teslim etmek zorunda olduğumuz aşamaya geçsek olmaz mı?

    • Google sürümü “ilk gece hakkı” nasıl görünür, merak ediyorum
  • Yakında web siteleri hile yüklü olmadığını doğrulamak için çekirdek erişimi isteyecek. Elbette alay ediyorum

    • Bu zaten WEI'nin kullanım örneklerinden biri olarak gündeme gelmiş durumda. Amaçlanan WEI uygulaması Play Protect ve ARM TrustZone içinde yer aldığı için çekirdeğin üstünde çalışıyor[0]. Yani çekirdek seviyesinde anti-cheat'ten daha da istilacı bir şeye sahip oluyorsunuz
      [0] ARM terminolojisinde çekirdek modu EL1, hipervizör modu EL2, TrustZone modu EL3'tür. Her istisna seviyesi daha yüksek bir yetki seviyesidir
    • O kadar uç değil ama Android'deki bazı banka uygulamaları bir dönem root'lu olup olmadığını kontrol edip çalışmayı reddediyordu; yani emsali olabilir
    • SecuROM, PC oyunları için rootkit kuran bir DRM'dir. 15 yıl önce Spore'da kullanıldığında ilk kez öğrenmiştim ve Windows kurulumumu bozmuştu
    • Pek çok çevrimiçi oyun zaten bunu istiyor. Valve özellikle kötü bir üne sahip
  • Bu, Google’ın zayıflığını gösteren açık bir işaret. Tekelini kaybediyor ve interneti çaresizce elinde tutmaya çalışıyor
    Son haftalarda, reklam engelleyici kuruluysa YouTube videosu izlemek gibi gezinme eylemlerini engellemeye çalışacağını duyurdu
    Fuchsia da başka bir örnek. Android üzerindeki kontrolünü kaybettiği için yeni bir proje başlattı
    Benim reçetem AdGuard Home, Brave tarayıcı (telefon·tablet·masaüstü), Bromite (telefon), Firefox (masaüstü) ve uBlock Origin, masaüstünde de FreeTube. Telefonda sadece Brave kullanmak bile tüm reklamları ve izleyicileri öldürmeye yeter
    Açık kaynak topluluğunda her zaman Google’ın düşündüğünden daha akıllıca kapıları dolanacak biri çıkar. Birkaç gün önce Kevin Mitnick’in aramızdan ayrılması üzücü, ama her zaman başka bir Kevin Mitnick çıkacaktır
    Google topluluğun tüm saygısını kaybetti ve yakında çökecek

    • Fuchsia üzerinde çalışıyorum ve açıkçası ne demek istediğini anlamıyorum. Fuchsia ve Android rakip olmaktan çok birbirini tamamlayan şeyler
      Bilgi eksik olduğunda insanların kendi anlatılarına uyan hikâyeler uydurma eğilimi var; bu gerçekten tehlikeli bir alışkanlık
    • HN’in tamamının, en azından sesini en çok çıkaran çoğunluğun yaşadığı küçük balon ilginç. Google yakın zamanda çökmeyecek ve ürünleri dünya çapında milyonlardan milyarlara uzanan kullanıcılar tarafından seviliyor
      Google’ın tekelini kaybettiği de yok. Brave Browser, Google’ın Chromium’u üzerinde çalışıyor; Firefox da Google’ın parası üzerinde dönüyor. Arama üstünlüğü de yakında ortadan kalkacak gibi görünmüyor. Dünyadaki neredeyse herkesin arama motoru olarak Google’ı kullanmasının bir nedeni var; YouTube’da video izlemesinin de bir nedeni var; telefon kullanıcılarının %70’inin Google işletim sistemi kullanmasının da bir nedeni var. Gmail’in kişisel e-postada ezici lider olmasının da bir nedeni var
      Reklam engelleyici kullanıcılarını YouTube’dan engellemek de meşru biçimde yapılabilir. YouTube’u kullanmak zorunda değilsiniz; kullanıyorsanız ya reklam izlemeli ya da YouTube Premium’a ödeme yaparak maliyetini karşılamalısınız
      HN Google’a ne kadar söverse sövsün, Google interneti gerçekten internet gibi yapan az sayıdaki şirketten biri. İnsanlık üzerindeki etkisi şu ana kadar kesinlikle net pozitif tarafa yakın ve kimse Google ürünlerini kullanmak zorunda değil. Gmail’in ücretsiz katmanı ya da Android’in açıklığı gibi, Google’ın sunduğu ürünlerde lider olmasının bir nedeni var
    • Reklam gösterilmesi ya da bilgi toplanması konusunda bu kadar paranoyaksanız, Brave en iyi seçenek olmayabilir. Geçmişte iki eli kurabiye kavanozundayken yakalanmışlığı var
      Üstelik zaten başka yerlerde Firefox kullanıyorsunuz. Bu arada Mozilla da bilgi topluyor
    • “Tekelini kaybediyor”, “Android üzerindeki kontrolünü kaybediyor” ne demek ve Android’in interneti elinde tutmaya çalışmasıyla bunun ne ilgisi var, anlamıyorum
    • Bromite 1 yıldır bakımı yapılmıyor. Resmî olmayan derlemeleri kullanmıyorsanız, kullanmak kötü bir fikir
  • Google’ın son birkaç yılda bu yöne sürüklenmesini görmek üzücü
    Google, 2000’ler~2010’larda açık web’i ileri iten başlıca güçlerden biriydi. Arama için veriye ihtiyacı vardı ve her şey açık olduğunda her şeye erişebiliyordu
    Ama Facebook gibi yeni Web 2.0 şirketleri interneti silo hâline getirdikçe durum değişmeye başladı. Facebook’a karşı olmamın nedeni de veri madenciliği değil; şirketlerin web sitesi yerine Facebook sayfaları açmasına ve giriş yapmadan verilere erişilememesine yol açan değişimin nedeni olmasıydı

    • Doğru. Google PWA’leri zorlayan başlıca güçlerden biri değil miydi? Web uygulamalarının yerel uygulamalar ve yerel API’lerle rekabet edebilmesi için WebUSB dâhil pek çok yeni web API’si getirdi
      Bu çelişkiyi çözmek için Google’ın tamamının açık web’den “yana” ya da “karşı” olduğunu söyleyemeyiz. Kötü şöhretli iç çekişmeler yüzünden Google’ın bazı kısımlarının açık web’den yana, bazı kısımlarının karşı olduğunu ve bazen bir tarafın üstün geldiğini düşünmek gerekir
  • Şeytanın avukatlığını yapmak istemem ama kişisel bilişimin tarihine bakınca, bunun geçmemesi beni daha çok şaşırtırdı
    Kilitli akıllı telefonların standart hâline gelmesi ve Windows’un bir reklam taşıyıcısına dönüşmesi akışına bakınca, bu IT’nin kaçınılmaz evrimindeki bir sonraki adım gibi görünüyor
    Basın kuruluşları bunun hâlâ erken aşama bir öneri olması nedeniyle pek ilgi göstermiyor olabilir; ama sonuçları düşünüldüğünde web’de Hacker News dışında neredeyse hiç konuşulmaması çarpıcı. YouTube’da bu konuda video yayımlayan kişi sanırım sadece Rossmann. Twitter’da “web environment integrity api” aratınca da sadece birkaç sonuç çıkıyor ve neredeyse hiç yanıt yok. Reddit’te temel dizgeyi aradığınızda anlamlı tartışma içeren sonuçlar WEI ile ilgisiz
    Bunun nedeni sosyal medyanın son demlerinde olması da olabilir, ama eski web ya da genel amaçlı bilişim için savaşmak isteyen pek fazla kişi kalmamış gibi görünüyor