Google mühendisleri, reklam engellemeyi neredeyse imkânsız hale getirebilecek Web Environment Integrity önerdi
(stackdiary.com)- 4 Google mühendisinin hazırladığı Web Environment Integrity, web sitelerinin kullanıcının istemci ortamına dair kanıt token’ı istemesini sağlayan bir API önerisiydi; Google bunu 2 Kasım 2023’te rafa kaldırdı
- Görünürdeki amaç, reklam sitelerinde insan kullanıcı doğrulaması, sosyal sitelerde sahte etkileşimin tespiti ve çevrim içi oyunlarda kurallara uyumun kontrolü gibi alanlarda web güvenini ve güvenliğini artırmaktı
- Mozilla, dolandırıcılık ve geçersiz trafiğin tespitinin çözülmesi gereken sorunlar olduğunu kabul etse de, bu önerinin gerçek kullanım senaryolarında nasıl bir ilerleme sağladığının belirsiz olduğunu ve belirgin dezavantajları bulunduğunu belirterek karşı çıktı
- Eleştirmenler, token’da benzersiz tanımlayıcı olmasa bile kötüye kullanılması halinde bunun gözetim ve kontrole yol açabileceğinden ve web sayfalarına DRM getirerek tarayıcıda reklam engellemeyi neredeyse imkânsız hale getirebileceğinden endişe etti
- Attester üzerindeki kontrolün ve temel gereksinimlerin kimin tarafından belirleneceğinin belirsiz olması, büyük teknoloji şirketlerinin güven puanını ve web erişilebilirliğini belirlediği bir açık webin zedelenmesi riski bırakıyor
Web Environment Integrity önerisi ve rafa kaldırılması
- Google, “Web Environment Integrity Explainer” önerisini sundu; belge 4 Google mühendisi tarafından yazıldı
- 2 Kasım 2023 tarihli güncellemeye göre Google bu öneriyi rafa kaldırdı ve ilgili devam yazısına ayrıca bağlantı verildi
- 26 Temmuz 2023 tarihli güncellemede, bu özelliğin Chromium’a girdiğini düşündüren bir commit tanıtıldı
- Öneriyi yazanlardan Rupert Ben Wiser, GitHub’da tepkiyi hissettiğini belirten bir yorum bıraktı
Token tabanlı doğrulamanın hedeflediği kullanım senaryoları
- Temel fikir, web sitelerinin istemci kod ortamına dair kanıt içeren bir token isteyerek erişim ortamını daha güvenilir hale getirmesiydi
- Öneride verilen kullanım senaryoları üç başlıkta özetleniyordu
- Reklam destekli web siteleri, kullanıcının bot değil insan olduğunu doğrular
- Sosyal web siteleri, gerçek kullanıcı etkileşimi ile sahte etkileşimi ayırt eder
- Çevrim içi oyun kullanıcıları, diğer oyuncuların oyun kurallarına uyup uymadığını kontrol eder
- Google tarafı token’da benzersiz tanımlayıcı bulunmadığını söylese de, eleştirmenler kötüye kullanılması halinde haksız gözetim ve kontrolün mümkün olacağını düşünüyor
- Mozilla, standart pozisyonu issue’sunda dolandırıcılık ve geçersiz trafiğin tespitinin çözmeye değer olduğunu, ancak bu önerinin pratikte nasıl ilerleme sağlayacağının belirsiz olduğunu ve benimsenmesinin dezavantajlarının açık olduğunu belirterek karşı çıktı
DRM, uzantılar ve attester kontrolüne dair endişeler
- Eleştirmenler, bu API’nin web’de kullanıcı davranışını kontrol etmek için kullanılabileceğini ve web sayfalarına gizlice DRM getirerek tarayıcı içi reklam engellemeyi neredeyse imkânsız hale getirebileceğini düşünüyor
- Bu olasılık, kullanıcı deneyiminin yanı sıra ağ tarafsızlığı ve web’in açıklığı konusunda da endişelere yol açıyor
- İstemci ortamını doğrulayan attester’ı kimin kontrol edeceği, teknik topluluğun temel tartışma konusu haline geldi
- Google veya başka büyük teknoloji şirketleri attester’ı kontrol ederse güven puanlarını manipüle edebileceklerine dair endişe var
- Bazı şirketlerin hangi web sitelerinin güvenilir olduğuna karar verdiği bir yapıya dönüşebilir
- Tarayıcı değişiklikleri ve uzantılar üzerindeki etkisi de belirsiz
- Öneri, Web Environment Integrity’nin temel donanım ve yazılım yığınının meşruluğunu attestation ile doğruladığını ve gösterilen uygulama özelliklerini sınırlamadığını belirtiyor
- Uzantılara izin verilen veya değiştirilmiş tarayıcılarda bu açıklamanın nasıl uygulanacağı gri alan olarak kalıyor
- Öneri, attester’ın belirli temel gereksinimleri karşılayan tüm tarayıcılara aynı koşullarda hizmet sunması gerektiğini söylüyordu; ancak temel gereksinimlerin nasıl belirleneceği ve kimin tarafından uygulanacağı açık değil
1 yorum
Hacker News yorumları
Önceki tartışmalar: Web Environment Integrity API Proposal – https://news.ycombinator.com/item?id=36817305 (618 puan/4 gün önce/442 yorum), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 puan/7 gün önce/94 yorum), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 puan/6 gün önce/44 yorum)
Bu, başlıktaki gibi sadece “reklam engellemeyi neredeyse imkânsız hâle getirmek” değil; interneti yalnızca Chrome, Safari, Edge üzerinden gezilebilir kılmak, değişiklikleri ve uzantıları da engellemek demek
Bunu yalnızca macOS, Windows, Android, iOS üzerinde mümkün kılıp LineageOS veya GrapheneOS gibi özel Android dağıtımlarını dışarıda bırakmak demek
İnterneti taramayı da yalnızca Google’ın yapabileceği hâle getirip özel crawler’ları ve rakip arama motorlarını engellemeyi de kapsıyor
O zaman RISC-V şimdilik olmaz; ileride desteklense bile CPU rekabetine izin verilmez
SoC’ler de yalnızca onların izin verdikleriyle sınırlı olur; içinde web tarayıcısı olan hesap makinesi gibi form faktörleri de dışlanabilir
Android’in geçmişte belge odaklı tarayıcı UX’ini benimsemesi gibi, işletim sistemi düzeyindeki UX değişimleri bile kontrol edilebilir
Android tarafından gelen biri açısından bu tür örnekler zaten Google/Android’e uygulanan durumlar gibi görünüyor
[0] Bu kısım, Web Environment Integrity uygulamasının onların onayladığı tüm güvenli önyükleme zincirini zorunlu kılıp kılmamasına bağlı
[1] Android çalıştıran hesap makineleri var, ama Google/Android olmadıkları için Chrome çalıştıramayabilirler. Yürüyen robotlar, diş fırçaları, pisuarlar gibi pek çok tuhaf Android cihazı da var
[2] Daha iyi örnekler bulunabilir, ama önemli olan bunun tarayıcı rekabetinden ziyade işletim sistemi genelinde bir değişim olması
Yalnızca Intel, AMD, Qualcomm gibileri mümkün olur; açık kaynak firmware, mimariler ve donanım dışlanır
Bu tür teknoloji hizmetleri ve ürünleri onlar için istenmeyen ya da erişilemez olacak; Üçüncü Dünya da kendi çözümlerini kullanmaya zorlandıkça reklam merkezli olmayan, daha yenilikçi bir yöne gidebilir
Bu akımı aşmak için federatif yayın araçlarına odaklanmak en iyi yol
Şirketlerin interneti bozabilmesi için nükleer savaştan bile daha yıkıcı olmaları gerekir; biz de her zaman onların etrafından yönlendirme yapabiliriz
Böyle şeyler geliştiren yazılım mühendislerinin nasıl çalışmaya devam edebildiğini anlamıyorum
Maaş alan mühendislerin ya da ilgili kişilerin bırakacak cesareti ya da haysiyeti yok mu merak ediyorum
Bana böyle bir şeyi dayatmam istensaydı hangi teklifi alırsam alayım hemen ayrılırdım; Google içinde kimsenin buna karşı çıkmaması inanılır gibi değil
Gerçekten yayımlanırsa umarım sonunda Google’a büyük bir ters tepki olur
Bugün programlamanın yeteneğin en alt %10’uyla üretiliyormuş gibi görünmesinin nedeni de bu olabilir
Yine de insanlar para için yapıyor. 2015 civarında bir FAANG teklifini reddetmiştim; ABD’nin öbür ucuna taşınmam gerekiyordu ve böyle bir şirkette çalışırsam uyuyamayacakmışım gibi gelmişti
İlk yıl toplam ücret performansa bağlı olarak 250 bin–350 bin dolardı ve imza bonusu da vardı
Bugün hâlâ serbest/kontratlı çalışıp her ay iş bulmakta zorlandığımda o karardan yarı yarıya pişman oluyorum
Haysiyet ya da cesaretten bağımsız olarak, bakmak zorunda olduğunuz aile, konut kredisi, sağlık masrafları, evcil hayvanlar, hobiler varsa maaşı öylece “tekmeleyip gitmek” zordur
İş, zamanın ve sosyal hayatın büyük bir parçasıdır; birlikte çalıştığınız iş arkadaşlarını ve dostları bırakma kararı da kolay değildir
Mühendislerin bizim yerimize bu tepede ölmelerini beklemek son derece haksız
Google onları bir anda değiştirebilir; sonuç neredeyse 0 olurken, onur ya da ahlak gerekçesiyle kendisinin ve ailesinin geçimini/sağlığını riske atmadıkları için onları suçlamak bence sorumluluğu başkasına atmaya yakın
Bir mühendisin kendi isteğiyle böyle bir iş yapmak istediğini düşünmek de zor değil
Şeytandan para alıp onun planıyla savaşmak mümkün değil mi
Teknoloji sektöründe o kadar çok parlak şey var ki, proje bozulsa bile tesadüf gibi gösterilebilir
Google içindeki bazı mühendislerin şu anda bunu yapıyor olmasını umuyorum
Büyük para insanları Big Tech’e çekerek bir şeyleri bozdu; bir dahaki sefere en azından iki hamle sonrasını düşünmek gerek
Yazının kendisi temkinli ve iyi, ama başlık aptalca bir clickbait
Bağımsız kurumların attester (kanıtlayıcı) olabilmesini sağlayacak bir plan yoksa, bu açık internetin kalan kısmına yönelik bariz bir tehdit
Google ya da Apple’ın bunu açıkça vurgulamaması en büyük “ölü kanarya” gibi görünüyor
İnternetin bazı bölümlerini zaten tekelleştirmiş özel şirketlerin “merak etmeyin, biz hallederiz” diye geçiştirdiği bir durumdayız; kanıtlamayı kesinlikle tam da onların üstlenmemesi gerekir
Risk iki yönlü: “ajan reklam engelleyici içermez”, “açık web sitesi izni olmadan scraping yasaktır” gibi hasmane gereksinimler; bir de “X/Y/Z protokollerini ve A/B/C standartlarını uygular” gibi tek tek bakıldığında makul olsa da bir araya gelince yalnızca büyük tedarikçilerin altından kalkabileceği yasaklayıcı gereksinimler
Üstelik bu kriterlerin doğrulanabilir olması gerektiğinden, kullanıcı ajanı değiştirirse kanıtlamanın kendisi fiilen geçersizleşir
O zaman Google’ın rakipleri engellenir. Kanıtlayıcı bu sorunu nasıl çözebilir?
Bu yazıyı Chrome ile okuduysanız, bu başlı başına sorunun bir parçası
Google neredeyse tekel konumunda olmasaydı böyle korkunç bir şeyin ihtimali olmazdı
Açık internet için başka bir tarayıcıya geçmek gerekiyor. Masaüstünde Firefox en iyisi; Chromium tabanlı olanlar da Chrome olmadığı sürece daha iyi olabilir
Android’de Firefox, eklentileri çok sınırlı olduğu için zayıf; ama hiç eklentisi olmayan Chrome’dan daha iyi. iOS’ta ise eklentisiz bir Safari sarmalayıcısından ibaret, ama senkronizasyon her yerde iyi çalışıyor
Ancak 2011’de Mozilla gelirinin %85’inin Google ile yapılan varsayılan arama motoru anlaşmasından geldiğini unutmamak gerekir
Bir dönem 3 yıl için yaklaşık 1 milyar dolar ödendiği, Microsoft’un Bing’i varsayılan yapmak için teklif vermesiyle fiyatın yükseldiği söyleniyor
Bu yüzden Mozilla Google’ı her eleştirdiğinde, kendisini besleyen eli ısırıyormuş gibi garip görünüyor
Microsoft, Yahoo, DDG, Baidu ile anlaşma yapabilirler; ama Google’ın ilgisi olmazsa finansman azalacak gibi
Yine de Firefox ve Chrome’un ikisinin de açık kaynak olması, teknoloji devlerinin özgürlüğü kısıtlama oyunlarına karşı küçük bir sigorta
https://news.ycombinator.com/item?id=36770883
Ama Chrome fazla baskın hale gelince ve Google standart komitelerinde gücünü aşırı kullanmaya başlayınca birkaç yıl önce Firefox’a geri döndüm
Chromium’a gerçekten ihtiyaç duyduğumda Edge kullanıyorum; açıkçası oldukça hoşuma gidiyor
Mozilla hesabında bir eklenti koleksiyonu oluşturursanız herhangi bir eklentiyi kullanabilirsiniz; birçok eklenti olduğu gibi çalışıyor
Mevcut render motorları standartlarla birlikte büyüdü; ama özellikle CSS standartları o kadar akıl almaz derecede karmaşıklaştı ki yeni bir motor uygulamak neredeyse imkânsız hale geldi
Microsoft bile vazgeçti ve Edge fiilen Chrome oldu
Chrome açık kaynak temelli olsa bile Google’ın gerçek etkisi muazzam
Google bu plan konusunda ciddiyse bunu projelere sokmaya ve web deneyiminin zorunlu bir parçası haline getirmeye çalışacaktır; Firefox’un da ana destekçilerinden biri olduğu için o tarafta da etkisi var
Google mühendisinin son yanıtı gerçeklik duygusundan yoksun: https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Uygulansa bile öfke dinince sessizce kaldırılması çok olası
Kalsa bile oran yeterince düşükse, kanıtlamada başarısız olan kullanıcılar CAPTCHA bombardımanına tutulur ya da kendilerine basitçe çıkıp gitmeleri söylenir
TOR ile web’de dolaşırsanız nasıl muamele göreceğinizin tadına bakabilirsiniz
Yazının tamamı “sadece bana güven” diye özetlenebilir
Yeni bir API olmadan web’i daha özel hale getirmenin temel içerik erişimi için giriş duvarlarını, daha istilacı parmak izi toplamayı, SMS doğrulaması ve CAPTCHA gibi aşırı sınamaları artırabileceğini söylüyorlar; bu iddiaları destekleyen veri olup olmadığını merak ediyorum
Mevcut yol tamamen yanlış ve pervasız; birlikte çalışmanın ilk adımı bu yaklaşımı tümden terk etmek
Küresel ısınmayı nükleer kışla çözmeyi önermeye benziyor; yinelemeli iyileştirmelerle ya da orta yol bularak çözülebilecek bir sorun değil
Bu önerinin öncülü başlı başına tehlikeli, bu yüzden rafa kaldırılmalı
Kötüye kullanılabileceği ve elbette kötüye kullanılacağı sayısız yolu düşünmek yeterli
GitHub yorumlarının kapandığını görüp buraya yazıyorum
Şeytan için çalışıyor olsaydım ve bunun farkında olsaydım ben de öyle yapardım
Ne yazık ki bunu hepimiz memnuniyetle kabul edeceğiz
Çünkü Chrome “kullanışlı”
İnsanlar kolaylık uğruna her şeyi kabul ediyor; WhatsApp bunun iyi bir örneği. Dünya çapında milyonlarca kişi tüm telefon rehberini Facebook/Meta ile gönüllü olarak paylaşıp senkronize ediyor
Umursuyorsanız Chrome kullanmamalısınız. Bu kötü niyetli hamleyi eleştirip Chrome kullanmaya devam ediyorsanız sorunun bir parçasısınız
Yalnız Google Search’ü hâlâ kullandığım bir istisna var
Büyük dil modelleri geliştikçe, belki bir gün kendi LLM’imi çalıştırarak tekelci şirketlere bağımlılıktan tamamen kurtulabilirim
WhatsApp kullanmazsanız, özellikle Almanya veya Hindistan gibi neredeyse herkesin kullandığı ülkelerde sosyal bir bedel oluşur; diğer kullanıcılarla iletişim kuramaz veya grup sohbetlerine katılamazsınız
Chrome kullanmamanın maliyeti sıfıra yakındır. Aynı web sitelerini kullanıp Firefox kullanmanız yeterli
Reklam temelli web sektörü gerçekten insanları ve botları doğrulamaya bu kadar çaresiz değil mi
Bir botu video beslemesi ve giriş aygıtlarıyla “kanıtlanabilir” bir cihaza bağlayıp internete sokamamak için bir neden yok
Bu yalnızca botların karmaşıklık eşiğini yükseltir
Başka bir başlıkta kamerayı telefona doğrultup robot “parmaklarla” kullanmaktan da söz ediliyordu
WEI olursa CAPTCHA çıkmayacağı için bu hatta daha kolay bile olabilir. Sonuçta “insan” gibi görünecek
Bot tıklaması da tıklamadır ve ücretlendirilebilir
Facebook reklam tıklamalarının %80–90’ının bot olduğuna dair bir yazı görmüştüm; benim ilgilendiğim ticari web sitesi trafiğiyle de benzer
Trafiğin çoğu botlardan, crawler’lardan, tarayıcılardan ve “güvenlik araştırmacılarından” geliyor
Bazen banner’a tıklayıp sipariş verip ödeme yapmama şeklinde günde 200 kez tekrarlanan affiliate marketing trafik artırıcıları gibi gerçek dolandırıcılıklar da görülüyor; ama istatistikler iyi görünüyorsa kimse umursamıyor
Google’a reklam emanet edilmez
Sadece bugün Macy’s ve Bed Bath & Beyond’muş gibi davranan Hong Kong kaynaklı 3 reklam gördüm; YouTube’da da sahte Mr Beast reklamları geri dönmüş
Neredeyse porno sayılabilecek Queen's Blade reklamlarından hiç söz etmeyeceğim bile
Bunun nasıl kabul edilebilir görüldüğünü ve Google’ın reklam engelleyicileri engellemeye çalışmasını nasıl haklı çıkarabileceğini bilmiyorum
Reklam engelleyicileri aşıdan daha önemli bir güvenlik bariyeri olarak görüyorum; benim için neredeyse 10 yıldır böyle
Ben üzerime düşeni yaptım; web sitemde “Chrome’da kullanılamaz. Daha modern ve açık bir tarayıcı kullanın…” ifadesini ve bir açıklamayı gösteriyorum
Biz geliştiricilerin çoğu bunu yaparsa bu değişikliğin şansı kalmaz
Daha da iyisi, birileri bir JS dosyası hazırlasa da başkaları sadece dahil ederek geleceğin web’inin nasıl görüneceğini gösteren zorunlu bir engelleme açılır penceresi çıkarsa iyi olur
İyi bir açıklama ve ilgili video bağlantıları da yanında olsa güzel olur