1 puan yazan GN⁺ 2023-07-27 | 1 yorum | WhatsApp'ta paylaş
  • 4 Google mühendisinin hazırladığı Web Environment Integrity, web sitelerinin kullanıcının istemci ortamına dair kanıt token’ı istemesini sağlayan bir API önerisiydi; Google bunu 2 Kasım 2023’te rafa kaldırdı
  • Görünürdeki amaç, reklam sitelerinde insan kullanıcı doğrulaması, sosyal sitelerde sahte etkileşimin tespiti ve çevrim içi oyunlarda kurallara uyumun kontrolü gibi alanlarda web güvenini ve güvenliğini artırmaktı
  • Mozilla, dolandırıcılık ve geçersiz trafiğin tespitinin çözülmesi gereken sorunlar olduğunu kabul etse de, bu önerinin gerçek kullanım senaryolarında nasıl bir ilerleme sağladığının belirsiz olduğunu ve belirgin dezavantajları bulunduğunu belirterek karşı çıktı
  • Eleştirmenler, token’da benzersiz tanımlayıcı olmasa bile kötüye kullanılması halinde bunun gözetim ve kontrole yol açabileceğinden ve web sayfalarına DRM getirerek tarayıcıda reklam engellemeyi neredeyse imkânsız hale getirebileceğinden endişe etti
  • Attester üzerindeki kontrolün ve temel gereksinimlerin kimin tarafından belirleneceğinin belirsiz olması, büyük teknoloji şirketlerinin güven puanını ve web erişilebilirliğini belirlediği bir açık webin zedelenmesi riski bırakıyor

Web Environment Integrity önerisi ve rafa kaldırılması

  • Google, “Web Environment Integrity Explainer” önerisini sundu; belge 4 Google mühendisi tarafından yazıldı
  • 2 Kasım 2023 tarihli güncellemeye göre Google bu öneriyi rafa kaldırdı ve ilgili devam yazısına ayrıca bağlantı verildi
  • 26 Temmuz 2023 tarihli güncellemede, bu özelliğin Chromium’a girdiğini düşündüren bir commit tanıtıldı
  • Öneriyi yazanlardan Rupert Ben Wiser, GitHub’da tepkiyi hissettiğini belirten bir yorum bıraktı

Token tabanlı doğrulamanın hedeflediği kullanım senaryoları

  • Temel fikir, web sitelerinin istemci kod ortamına dair kanıt içeren bir token isteyerek erişim ortamını daha güvenilir hale getirmesiydi
  • Öneride verilen kullanım senaryoları üç başlıkta özetleniyordu
    • Reklam destekli web siteleri, kullanıcının bot değil insan olduğunu doğrular
    • Sosyal web siteleri, gerçek kullanıcı etkileşimi ile sahte etkileşimi ayırt eder
    • Çevrim içi oyun kullanıcıları, diğer oyuncuların oyun kurallarına uyup uymadığını kontrol eder
  • Google tarafı token’da benzersiz tanımlayıcı bulunmadığını söylese de, eleştirmenler kötüye kullanılması halinde haksız gözetim ve kontrolün mümkün olacağını düşünüyor
  • Mozilla, standart pozisyonu issue’sunda dolandırıcılık ve geçersiz trafiğin tespitinin çözmeye değer olduğunu, ancak bu önerinin pratikte nasıl ilerleme sağlayacağının belirsiz olduğunu ve benimsenmesinin dezavantajlarının açık olduğunu belirterek karşı çıktı

DRM, uzantılar ve attester kontrolüne dair endişeler

  • Eleştirmenler, bu API’nin web’de kullanıcı davranışını kontrol etmek için kullanılabileceğini ve web sayfalarına gizlice DRM getirerek tarayıcı içi reklam engellemeyi neredeyse imkânsız hale getirebileceğini düşünüyor
  • Bu olasılık, kullanıcı deneyiminin yanı sıra ağ tarafsızlığı ve web’in açıklığı konusunda da endişelere yol açıyor
  • İstemci ortamını doğrulayan attester’ı kimin kontrol edeceği, teknik topluluğun temel tartışma konusu haline geldi
    • Google veya başka büyük teknoloji şirketleri attester’ı kontrol ederse güven puanlarını manipüle edebileceklerine dair endişe var
    • Bazı şirketlerin hangi web sitelerinin güvenilir olduğuna karar verdiği bir yapıya dönüşebilir
  • Tarayıcı değişiklikleri ve uzantılar üzerindeki etkisi de belirsiz
    • Öneri, Web Environment Integrity’nin temel donanım ve yazılım yığınının meşruluğunu attestation ile doğruladığını ve gösterilen uygulama özelliklerini sınırlamadığını belirtiyor
    • Uzantılara izin verilen veya değiştirilmiş tarayıcılarda bu açıklamanın nasıl uygulanacağı gri alan olarak kalıyor
  • Öneri, attester’ın belirli temel gereksinimleri karşılayan tüm tarayıcılara aynı koşullarda hizmet sunması gerektiğini söylüyordu; ancak temel gereksinimlerin nasıl belirleneceği ve kimin tarafından uygulanacağı açık değil

1 yorum

 
GN⁺ 2023-07-27
Hacker News yorumları
  • Önceki tartışmalar: Web Environment Integrity API Proposalhttps://news.ycombinator.com/item?id=36817305 (618 puan/4 gün önce/442 yorum), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 puan/7 gün önce/94 yorum), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 puan/6 gün önce/44 yorum)

  • Bu, başlıktaki gibi sadece “reklam engellemeyi neredeyse imkânsız hâle getirmek” değil; interneti yalnızca Chrome, Safari, Edge üzerinden gezilebilir kılmak, değişiklikleri ve uzantıları da engellemek demek
    Bunu yalnızca macOS, Windows, Android, iOS üzerinde mümkün kılıp LineageOS veya GrapheneOS gibi özel Android dağıtımlarını dışarıda bırakmak demek
    İnterneti taramayı da yalnızca Google’ın yapabileceği hâle getirip özel crawler’ları ve rakip arama motorlarını engellemeyi de kapsıyor

    • Web’de gezinmeyi yalnızca Apple, Microsoft ve Google’ın izin verdiği CPU’larda mümkün kılabilirler
      O zaman RISC-V şimdilik olmaz; ileride desteklense bile CPU rekabetine izin verilmez
      SoC’ler de yalnızca onların izin verdikleriyle sınırlı olur; içinde web tarayıcısı olan hesap makinesi gibi form faktörleri de dışlanabilir
      Android’in geçmişte belge odaklı tarayıcı UX’ini benimsemesi gibi, işletim sistemi düzeyindeki UX değişimleri bile kontrol edilebilir
      Android tarafından gelen biri açısından bu tür örnekler zaten Google/Android’e uygulanan durumlar gibi görünüyor
      [0] Bu kısım, Web Environment Integrity uygulamasının onların onayladığı tüm güvenli önyükleme zincirini zorunlu kılıp kılmamasına bağlı
      [1] Android çalıştıran hesap makineleri var, ama Google/Android olmadıkları için Chrome çalıştıramayabilirler. Yürüyen robotlar, diş fırçaları, pisuarlar gibi pek çok tuhaf Android cihazı da var
      [2] Daha iyi örnekler bulunabilir, ama önemli olan bunun tarayıcı rekabetinden ziyade işletim sistemi genelinde bir değişim olması
    • Uzaktan doğrulama (remote attestation) hatırladığım kadarıyla donanım doğrulamasına dayandığı için, böyle web siteleri yalnızca izin verilen DRM dayatmalı donanım ve mimarilerde çalışır hâle gelir
      Yalnızca Intel, AMD, Qualcomm gibileri mümkün olur; açık kaynak firmware, mimariler ve donanım dışlanır
    • Başarılı olursa Microsoft’a karşı açılan antitröst davası çocuk oyuncağı gibi görünür
    • Böyle olursa ABD ile ilişkileri kötü olan ülkeler belki de gerçekten özgür bir internete sahip olabilir
      Bu tür teknoloji hizmetleri ve ürünleri onlar için istenmeyen ya da erişilemez olacak; Üçüncü Dünya da kendi çözümlerini kullanmaya zorlandıkça reklam merkezli olmayan, daha yenilikçi bir yöne gidebilir
    • Sonunda şirketleri memnun eden ticari internet ile özgür düşünce için federatif, açık internet ayrılacak gibi görünüyor
      Bu akımı aşmak için federatif yayın araçlarına odaklanmak en iyi yol
      Şirketlerin interneti bozabilmesi için nükleer savaştan bile daha yıkıcı olmaları gerekir; biz de her zaman onların etrafından yönlendirme yapabiliriz
  • Böyle şeyler geliştiren yazılım mühendislerinin nasıl çalışmaya devam edebildiğini anlamıyorum
    Maaş alan mühendislerin ya da ilgili kişilerin bırakacak cesareti ya da haysiyeti yok mu merak ediyorum
    Bana böyle bir şeyi dayatmam istensaydı hangi teklifi alırsam alayım hemen ayrılırdım; Google içinde kimsenin buna karşı çıkmaması inanılır gibi değil
    Gerçekten yayımlanırsa umarım sonunda Google’a büyük bir ters tepki olur

    • İki üç nesil geliştiricinin, çukur kazıp sonra yeniden doldurmanın daha iyi olacağı bir sektöre kaptırılmış gibi hissediyorum
      Bugün programlamanın yeteneğin en alt %10’uyla üretiliyormuş gibi görünmesinin nedeni de bu olabilir
      Yine de insanlar para için yapıyor. 2015 civarında bir FAANG teklifini reddetmiştim; ABD’nin öbür ucuna taşınmam gerekiyordu ve böyle bir şirkette çalışırsam uyuyamayacakmışım gibi gelmişti
      İlk yıl toplam ücret performansa bağlı olarak 250 bin–350 bin dolardı ve imza bonusu da vardı
      Bugün hâlâ serbest/kontratlı çalışıp her ay iş bulmakta zorlandığımda o karardan yarı yarıya pişman oluyorum
    • Bir süre Google’dan daha kötü sayılabilecek işler yapan bir şirkette çalıştım
      Haysiyet ya da cesaretten bağımsız olarak, bakmak zorunda olduğunuz aile, konut kredisi, sağlık masrafları, evcil hayvanlar, hobiler varsa maaşı öylece “tekmeleyip gitmek” zordur
      İş, zamanın ve sosyal hayatın büyük bir parçasıdır; birlikte çalıştığınız iş arkadaşlarını ve dostları bırakma kararı da kolay değildir
      Mühendislerin bizim yerimize bu tepede ölmelerini beklemek son derece haksız
      Google onları bir anda değiştirebilir; sonuç neredeyse 0 olurken, onur ya da ahlak gerekçesiyle kendisinin ve ailesinin geçimini/sağlığını riske atmadıkları için onları suçlamak bence sorumluluğu başkasına atmaya yakın
    • Sadece bu başlığa bakınca bile Google’ı savunan insanlar var
      Bir mühendisin kendi isteğiyle böyle bir iş yapmak istediğini düşünmek de zor değil
    • Böyle bir proje bana verilseydi %150 destekliyormuş gibi yapıp içeriden sabote eder ve engellerdim
      Şeytandan para alıp onun planıyla savaşmak mümkün değil mi
      Teknoloji sektöründe o kadar çok parlak şey var ki, proje bozulsa bile tesadüf gibi gösterilebilir
      Google içindeki bazı mühendislerin şu anda bunu yapıyor olmasını umuyorum
    • Bugünkü mühendisler olsaydı açık internet diye bir şey var olmazdı
      Büyük para insanları Big Tech’e çekerek bir şeyleri bozdu; bir dahaki sefere en azından iki hamle sonrasını düşünmek gerek
  • Yazının kendisi temkinli ve iyi, ama başlık aptalca bir clickbait
    Bağımsız kurumların attester (kanıtlayıcı) olabilmesini sağlayacak bir plan yoksa, bu açık internetin kalan kısmına yönelik bariz bir tehdit
    Google ya da Apple’ın bunu açıkça vurgulamaması en büyük “ölü kanarya” gibi görünüyor
    İnternetin bazı bölümlerini zaten tekelleştirmiş özel şirketlerin “merak etmeyin, biz hallederiz” diye geçiştirdiği bir durumdayız; kanıtlamayı kesinlikle tam da onların üstlenmemesi gerekir

    • Diyelim ki önyargısız ve nesnel bir kanıtlayıcı var; sorun yine de kriter koşullarında ve bunları kimin tanımladığında
      Risk iki yönlü: “ajan reklam engelleyici içermez”, “açık web sitesi izni olmadan scraping yasaktır” gibi hasmane gereksinimler; bir de “X/Y/Z protokollerini ve A/B/C standartlarını uygular” gibi tek tek bakıldığında makul olsa da bir araya gelince yalnızca büyük tedarikçilerin altından kalkabileceği yasaklayıcı gereksinimler
      Üstelik bu kriterlerin doğrulanabilir olması gerektiğinden, kullanıcı ajanı değiştirirse kanıtlamanın kendisi fiilen geçersizleşir
    • Bir web mağazasına girerken ne kadar kazandığımı ve ne kadar harcayabileceğimi açıklamaktan ne farkı var?
    • Şöyle bir senaryo düşünmek yeterli: Bir içerik sitesi botları engellemek için Web Integrity API’yi uygular, ama trafik kaynağı olan Google crawler’ına izin vermeye devam eder
      O zaman Google’ın rakipleri engellenir. Kanıtlayıcı bu sorunu nasıl çözebilir?
  • Bu yazıyı Chrome ile okuduysanız, bu başlı başına sorunun bir parçası
    Google neredeyse tekel konumunda olmasaydı böyle korkunç bir şeyin ihtimali olmazdı
    Açık internet için başka bir tarayıcıya geçmek gerekiyor. Masaüstünde Firefox en iyisi; Chromium tabanlı olanlar da Chrome olmadığı sürece daha iyi olabilir
    Android’de Firefox, eklentileri çok sınırlı olduğu için zayıf; ama hiç eklentisi olmayan Chrome’dan daha iyi. iOS’ta ise eklentisiz bir Safari sarmalayıcısından ibaret, ama senkronizasyon her yerde iyi çalışıyor

    • Katılıyorum ve Firefox’u her yerde kullanıyorum
      Ancak 2011’de Mozilla gelirinin %85’inin Google ile yapılan varsayılan arama motoru anlaşmasından geldiğini unutmamak gerekir
      Bir dönem 3 yıl için yaklaşık 1 milyar dolar ödendiği, Microsoft’un Bing’i varsayılan yapmak için teklif vermesiyle fiyatın yükseldiği söyleniyor
      Bu yüzden Mozilla Google’ı her eleştirdiğinde, kendisini besleyen eli ısırıyormuş gibi garip görünüyor
      Microsoft, Yahoo, DDG, Baidu ile anlaşma yapabilirler; ama Google’ın ilgisi olmazsa finansman azalacak gibi
      Yine de Firefox ve Chrome’un ikisinin de açık kaynak olması, teknoloji devlerinin özgürlüğü kısıtlama oyunlarına karşı küçük bir sigorta
    • Bunları önemsemeseniz bile Firefox daha hızlı bir tarayıcı
      https://news.ycombinator.com/item?id=36770883
    • Chrome ilk çıktığında neredeyse hemen geçmiştim ve o zamanlar devrim niteliğindeydi
      Ama Chrome fazla baskın hale gelince ve Google standart komitelerinde gücünü aşırı kullanmaya başlayınca birkaç yıl önce Firefox’a geri döndüm
      Chromium’a gerçekten ihtiyaç duyduğumda Edge kullanıyorum; açıkçası oldukça hoşuma gidiyor
    • Android’de aslında daha fazla eklenti de kullanılabiliyor
      Mozilla hesabında bir eklenti koleksiyonu oluşturursanız herhangi bir eklentiyi kullanabilirsiniz; birçok eklenti olduğu gibi çalışıyor
    • Web standartları da insanların pek düşünmediği sorunun bir parçası
      Mevcut render motorları standartlarla birlikte büyüdü; ama özellikle CSS standartları o kadar akıl almaz derecede karmaşıklaştı ki yeni bir motor uygulamak neredeyse imkânsız hale geldi
      Microsoft bile vazgeçti ve Edge fiilen Chrome oldu
      Chrome açık kaynak temelli olsa bile Google’ın gerçek etkisi muazzam
      Google bu plan konusunda ciddiyse bunu projelere sokmaya ve web deneyiminin zorunlu bir parçası haline getirmeye çalışacaktır; Firefox’un da ana destekçilerinden biri olduğu için o tarafta da etkisi var
  • Google mühendisinin son yanıtı gerçeklik duygusundan yoksun: https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • Bekletme işlevinin anlatıldığı gibi uygulanacağına inanmak fazla naifçe
      Uygulansa bile öfke dinince sessizce kaldırılması çok olası
      Kalsa bile oran yeterince düşükse, kanıtlamada başarısız olan kullanıcılar CAPTCHA bombardımanına tutulur ya da kendilerine basitçe çıkıp gitmeleri söylenir
      TOR ile web’de dolaşırsanız nasıl muamele göreceğinizin tadına bakabilirsiniz
      Yazının tamamı “sadece bana güven” diye özetlenebilir
    • Orada, kullanıcı ajanı küçültme, IP küçültme, siteler arası depolamayı önleme, parmak izi rastgeleleştirme gibi gizlilik özelliklerinin tekil istemcileri ayırt etmeyi veya yeniden tanımlamayı zorlaştırdığı için iyi olduğu, ama dolandırıcılık önlemeyi daha zorlaştırdığı söyleniyor
      Yeni bir API olmadan web’i daha özel hale getirmenin temel içerik erişimi için giriş duvarlarını, daha istilacı parmak izi toplamayı, SMS doğrulaması ve CAPTCHA gibi aşırı sınamaları artırabileceğini söylüyorlar; bu iddiaları destekleyen veri olup olmadığını merak ediyorum
    • “Daha büyük bir tartışma gerekiyor” sözü, “neden haklı olduğumu anlayın”a daha yakın; “bu kötü bir fikirdi” anlamına gelmiyor
    • “Doğru yolu birlikte bulalım” sözü zaten issue’ların ulaşmaya çalıştığı şey
      Mevcut yol tamamen yanlış ve pervasız; birlikte çalışmanın ilk adımı bu yaklaşımı tümden terk etmek
      Küresel ısınmayı nükleer kışla çözmeyi önermeye benziyor; yinelemeli iyileştirmelerle ya da orta yol bularak çözülebilecek bir sorun değil
      Bu önerinin öncülü başlı başına tehlikeli, bu yüzden rafa kaldırılmalı
      Kötüye kullanılabileceği ve elbette kötüye kullanılacağı sayısız yolu düşünmek yeterli
      GitHub yorumlarının kapandığını görüp buraya yazıyorum
    • GitHub profil fotoğrafını sarı ördek olarak değiştirmesini sevdim
      Şeytan için çalışıyor olsaydım ve bunun farkında olsaydım ben de öyle yapardım
  • Ne yazık ki bunu hepimiz memnuniyetle kabul edeceğiz
    Çünkü Chrome “kullanışlı”
    İnsanlar kolaylık uğruna her şeyi kabul ediyor; WhatsApp bunun iyi bir örneği. Dünya çapında milyonlarca kişi tüm telefon rehberini Facebook/Meta ile gönüllü olarak paylaşıp senkronize ediyor
    Umursuyorsanız Chrome kullanmamalısınız. Bu kötü niyetli hamleyi eleştirip Chrome kullanmaya devam ediyorsanız sorunun bir parçasısınız

    • Mobil/masaüstü işletim sistemimi, tarayıcımı, neredeyse tüm yazılımlarımı ve bulut dosya depolamamı tamamen açık kaynaklı bir ortama taşıdım
      Yalnız Google Search’ü hâlâ kullandığım bir istisna var
      Büyük dil modelleri geliştikçe, belki bir gün kendi LLM’imi çalıştırarak tekelci şirketlere bağımlılıktan tamamen kurtulabilirim
    • WhatsApp ile Chrome farklı şeyler
      WhatsApp kullanmazsanız, özellikle Almanya veya Hindistan gibi neredeyse herkesin kullandığı ülkelerde sosyal bir bedel oluşur; diğer kullanıcılarla iletişim kuramaz veya grup sohbetlerine katılamazsınız
      Chrome kullanmamanın maliyeti sıfıra yakındır. Aynı web sitelerini kullanıp Firefox kullanmanız yeterli
    • Telefon rehberimi Meta ile paylaşırsam ne gibi korkunç sonuçlar doğacağını açıklamanızı isterim
  • Reklam temelli web sektörü gerçekten insanları ve botları doğrulamaya bu kadar çaresiz değil mi

    • Aslında insanları değil, onaylanmış yazılım ve donanımı doğruluyorlar
      Bir botu video beslemesi ve giriş aygıtlarıyla “kanıtlanabilir” bir cihaza bağlayıp internete sokamamak için bir neden yok
      Bu yalnızca botların karmaşıklık eşiğini yükseltir
      Başka bir başlıkta kamerayı telefona doğrultup robot “parmaklarla” kullanmaktan da söz ediliyordu
      WEI olursa CAPTCHA çıkmayacağı için bu hatta daha kolay bile olabilir. Sonuçta “insan” gibi görünecek
    • Sadece bizim böyle düşünmemizi istiyorlar
      Bot tıklaması da tıklamadır ve ücretlendirilebilir
      Facebook reklam tıklamalarının %80–90’ının bot olduğuna dair bir yazı görmüştüm; benim ilgilendiğim ticari web sitesi trafiğiyle de benzer
      Trafiğin çoğu botlardan, crawler’lardan, tarayıcılardan ve “güvenlik araştırmacılarından” geliyor
      Bazen banner’a tıklayıp sipariş verip ödeme yapmama şeklinde günde 200 kez tekrarlanan affiliate marketing trafik artırıcıları gibi gerçek dolandırıcılıklar da görülüyor; ama istatistikler iyi görünüyorsa kimse umursamıyor
  • Google’a reklam emanet edilmez
    Sadece bugün Macy’s ve Bed Bath & Beyond’muş gibi davranan Hong Kong kaynaklı 3 reklam gördüm; YouTube’da da sahte Mr Beast reklamları geri dönmüş
    Neredeyse porno sayılabilecek Queen's Blade reklamlarından hiç söz etmeyeceğim bile

    • YouTube yatırım tavsiyesi dolandırıcılığı reklamları da gösteriyor
      Bunun nasıl kabul edilebilir görüldüğünü ve Google’ın reklam engelleyicileri engellemeye çalışmasını nasıl haklı çıkarabileceğini bilmiyorum
      Reklam engelleyicileri aşıdan daha önemli bir güvenlik bariyeri olarak görüyorum; benim için neredeyse 10 yıldır böyle
  • Ben üzerime düşeni yaptım; web sitemde “Chrome’da kullanılamaz. Daha modern ve açık bir tarayıcı kullanın…” ifadesini ve bir açıklamayı gösteriyorum
    Biz geliştiricilerin çoğu bunu yaparsa bu değişikliğin şansı kalmaz
    Daha da iyisi, birileri bir JS dosyası hazırlasa da başkaları sadece dahil ederek geleceğin web’inin nasıl görüneceğini gösteren zorunlu bir engelleme açılır penceresi çıkarsa iyi olur
    İyi bir açıklama ve ilgili video bağlantıları da yanında olsa güzel olur