2 puan yazan GN⁺ 2023-07-30 | 1 yorum | WhatsApp'ta paylaş
  • Free Software Foundation, Google’ın Web Environment Integrity (WEI) girişiminin kullanıcıların istedikleri tarayıcı ve işletim sistemiyle web’e erişme özgürlüğünü tehdit ettiğini düşünüyor
  • WEI, sitelerin sayfa sunmadan önce üçüncü taraf bir doğrulama hizmeti aracılığıyla gezinme ortamının “değiştirilip değiştirilmediğini” kontrol etmesini sağlayan bir API
  • FSF, bu doğrulamanın yalnızca Google’ın onayladığı tarayıcı yapılandırmalarına izin verecek şekilde işleyebileceğinden ve özgür tarayıcılar ile özgür işletim sistemleri kullananların erişimini engelleyebileceğinden endişe ediyor
  • Politika belgesinde belirtilen sözde kullanım örneklerinden çok, fiilî kötüye kullanım potansiyeli daha büyük; onaylı tarayıcı zorunluluğu, DRM’in güçlendirilmesi ve Google hizmetlerine erişimin kısıtlanması için kullanılabilir
  • FSF, WEI için meşru bir gerekçe olmadığını ve Google’ın özgür internetle bağdaşması zor olan standart çalışmasını derhâl durdurması gerektiğini talep ediyor

WEI neden özgür internetle çatışıyor

  • FSF, özgür tarayıcı kullanımının her zamankinden daha önemli hâle geldiğini düşünüyor ve Google’ın Web Environment Integrity girişimini Google’ın son dönemdeki hamleleri arasındaki en kötü örneklerden biri olarak eleştiriyor
  • WEI, ilk olarak Microsoft GitHub üzerinde yayımlanan bir politika belgesiyle başladı; daha sonra Google geliştirmeyi hızla Chromium browser’a yansıtmaya başladı
  • Bu API, geliştiricilerin belirli tarayıcı yapılandırmalarını onaylayıp diğerlerini yasaklamasına olanak tanıyor
  • FSF, bu yaklaşımın çeşitli cihazlar, programlar ve işletim sistemleriyle köprülenmiş sayfalara erişilebildiği yönündeki internetin mevcut kavramıyla doğrudan çatıştığını düşünüyor
  • WEI, web’in tamamını daha kapalı hâle getiren DRM’e yakın görülüyor ve web’in “enshittification” sürecine doğru büyük bir adım olarak değerlendiriliyor

Çalışma biçimi ve beklenen kötüye kullanımlar

  • WEI’de sunucu, web sayfasını sunmadan önce üçüncü taraf bir “doğrulama” hizmetinden kullanıcının gezinme ortamının “değiştirilmediğini” kontrol etmesini istiyor
  • FSF, bu doğrulama sunucusunun Google’a ait olabileceğini ve tarayıcının Google’ın kabul ettiği yapılandırmadan en küçük bir sapma göstermediğini denetleyeceğini düşünüyor
  • Sonuç olarak kullanıcıların dört özgürlüğü anlamlı biçimde kullanması zorlaşabilir; özgür tarayıcılar veya özgür işletim sistemleriyle bazı sitelerde sayfa sunumu reddedilebilir
  • Politika belgesinin öne sürdüğü meşru kullanım örneklerinden daha büyük bir sorun, fiilî kullanım olasılıkları olarak gösteriliyor
    • Hükümetler, yalnızca resmî olarak “onaylanmış” tarayıcıların internete erişmesine izin vermek için kullanabilir
    • Netflix gibi şirketler Digital Restrictions Management (DRM)’i güçlendirmek için kullanabilir
    • Google, kendi çıkarlarına uygun bir tarayıcı kullanılmadığında Google hizmetlerine erişimi reddetmek için kullanabilir
  • FSF, WEI için “hiçbir meşru gerekçe olmadığını” düşünüyor ve asıl temel kullanımının özgür interneti kısıtlamak olduğunu eleştiriyor
  • Google’daki karar vericiler web’in kuruluş ilkelerini dikkate almalı, WEI’nin özgür internetle temelden bağdaşmadığını kabul ederek standart çalışmasını derhâl durdurmalı

1 yorum

 
GN⁺ 2023-07-30
Hacker News yorumları
  • İlgili yazılar. Daha fazlası varsa bildirirseniz iyi olur
    Google'ın tarayıcı güvenliği planı tehlikeli, korkunç ve web siteleri için DRM olmakla eleştiriliyor - https://news.ycombinator.com/item?id=36893071 - Temmuz 2023 (63 yorum)
    Google Web Environment Integrity, yeni Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - Temmuz 2023 (282 yorum)
    Bir Google çalışanı WEI hakkındaki olumsuz geri bildirime yanıt veriyor - https://news.ycombinator.com/item?id=36881506 - Temmuz 2023 (25 yorum)
    Google zaten WEI'yi Chromium'a dayatıyor - https://news.ycombinator.com/item?id=36876301 - Temmuz 2023 (832 yorum)
    Google'ın Web Environment Integrity spesifikasyonunu didik didik etmek - https://news.ycombinator.com/item?id=36875940 - Temmuz 2023 (431 yorum)
    Google mühendisleri reklam engellemeyi neredeyse imkânsız hâle getirmeye çalışıyor - https://news.ycombinator.com/item?id=36875226 - Temmuz 2023 (468 yorum)
    Google'a karşı açık web - https://news.ycombinator.com/item?id=36875164 - Temmuz 2023 (191 yorum)
    Apple web'de doğrulamayı zaten yayımladı ve biz neredeyse fark etmedik - https://news.ycombinator.com/item?id=36862494 - Temmuz 2023 (421 yorum)
    Google'ın kâbus gibi “Web Integrity API”si web için bir DRM kapı bekçisi istiyor - https://news.ycombinator.com/item?id=36854114 - Temmuz 2023 (456 yorum)
    Web Environment Integrity API önerisi - https://news.ycombinator.com/item?id=36817305 - Temmuz 2023 (441 yorum)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Temmuz 2023 (2 yorum)
    Web Environment Integrity açıklaması - https://news.ycombinator.com/item?id=36785516 - Temmuz 2023 (45 yorum)
    Google Chrome önerisi – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Temmuz 2023 (93 yorum)
    Web Environment Integrity – Google tarayıcıyı kilitlemeye çalışıyor - https://news.ycombinator.com/item?id=35864471 - Mayıs 2023 (1 yorum)

  • Google'ın böyle saçma sapan şeyleri yapmasına neden izin verildiğini anlamıyorum. İlk başta toast component vardı, sonra bildirimlerin kaldırılması, Manifest V3, FLoC, şimdi de bu
    Şirket elbette şirket gibi davranacak, ama kullanıcılar ve gelecekteki kullanıcılar için geriye hangi seçenek kalıyor? Şu anda ilgilenmeyen ama mevcut internetin biçimini faydalı bulabilecek insanlardan söz ediyorum
    Google'ın kendi ürünlerini, değiştirilemeyen özel bir tarayıcıyla erişilebilen duvarların arkasına saklaması umurumda değil; yeter ki bunu her yere yaymasın. Hâlâ her yerde çözülemeyen reCAPTCHA'nın “keyfini” çıkarıyoruz

    • CAPTCHA konusunda ciddi bir sorunum var. Aslında Google'ın görüntü tanıma motorunu bedavaya eğitmiş oluyoruz
    • Apple bunu yaptığında ses çıkarılmadığı için değil mi?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • toast component ile ilgili bir bağlantı var mı?
    • “Her yerde çözülemeyen reCAPTCHA” deniyor ama ben böyle şeylere neredeyse hiç rastlamıyorum
      Sunucu trafiği şüpheli gördüğünde çıkan soru-cevap tarzı doğrulamanın bir parçası. Genelde oturumu açık tutarsanız, çerezleri engellemezseniz, Tor ya da başka rota gizleme araçları kullanmazsanız bundan kaçınabilirsiniz
  • Ancak çok benzer bir API’nin 2022’den beri Safari’de uygulanmış olduğu anlaşılıyor. Pazarlamayı iyi yapınca etkisi büyük oluyor galiba. Bunun neredeyse hiç tartışıldığını görmedim
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    İlginç kısım şu: “Bu süreçte toplanan temel veriye aslında ne ihtiyacımız var ne de onu istiyoruz; yalnızca ziyaretçinin cihazını veya kullanıcı aracısını kandırıp kandırmadığını doğrulamak istiyoruz” deniyor
    Örnekte, bir ziyaretçi iPhone’da Safari’yi açıp example.com’u ziyaret etmek istediğinde Cloudflare tarayıcıdan bir token istiyor; Safari PAT’i desteklediği için bir API çağrısıyla Apple Attester’dan kanıt istiyor
    Apple kanıtlayıcısı çeşitli cihaz bileşenlerini kontrol edip geçerliliği doğruladıktan sonra Cloudflare Issuer’a bir API çağrısı yapıyor; Cloudflare Issuer bir token oluşturup tarayıcıya gönderiyor, tarayıcı da bunu kaynak sunucuya iletiyor
    Cloudflare bu token’ı alıp bu kullanıcıya CAPTCHA göstermeye gerek olmadığına karar veriyor. Bana WEI’ye fazlasıyla benzer geliyor, ama adı “Privacy Access Tokens” olduğuna göre elbette iyi bir şeydir herhâlde...?
    Düzenleme: Birkaç gün önce HN’de bir başlık varmış, kaçırmışım: https://news.ycombinator.com/item?id=36862494

    • Google’ın tanıtım stratejisi “endişelenecek bir şey yok, Apple’ın yaptığına benziyor” demek yönünde. Ancak Google’ın kendi açıklama belgesinde¹ de yazdığı gibi ikisi epey farklı ve Google, PAT’in yapmak istedikleri yaptırım için yetersiz olduğunu düşünüyor
      Örneğin PAT nihayetinde “bot değil”i kanıtlama düzeyinde olduğu için cihaz ve tarayıcı ortamı verisi alışverişi gerektirmiyor. Buna karşılık WEI’nin, okuduğumuz web için DRM benzeri kullanım örneklerini mümkün kılmak için bu veriye ihtiyacı var
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • “Ziyaretçinin cihazını veya kullanıcı aracısını kandırıp kandırmadığını doğrulamak istiyoruz” ne anlama geliyor? Muhtemelen bir cihazın ya da kullanıcı aracısının kendini belirli bir şey olarak tanıtıp gerçekte başka bir şey olduğu durumları kastediyor
      Ama tarayıcılar onlarca yıldır kim oldukları konusunda yalan söylüyor. Peki sahte bir cihaz/kullanıcı aracısı ile sıra dışı bir cihaz/kullanıcı aracısı arasındaki fark ne? Onların açısından muhtemelen bir fark yoktur
    • Geçen yıl Cloudflare’in orijinal yazısında bunu okumuştum. Cloudflare sevilen bir şirket, ama bunun web için tehlikeli bir şey olduğunu düşünmüştüm
    • Bence fark şu: PAT reklam engelleyicilere izin veriyor, ama WEI muhtemelen vermeyecek
  • Bu yüzden gopher’a bakmaya başladım. Az önce gemini’yi de öğrendim; benim için daha ilginç olabilir
    Şirketler Apple’ın başarısını görüp duvarlarla çevrili bahçeler oluşturmak için ellerinden gelen her şeyi yapıyor. Ayrıca, daha az ölçüde olsa da şirketler Linux’un geliştirme yönünü de etkilemeye başlamış gibi görünüyor
    Streaming sitelerini doğrulayan tamamen yerleşik DRM’nin ne zaman geleceğini merak ediyorum
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • Daha da dolambaçlı kaçış yolları bulmaya devam etmek yerine bununla doğrudan yüzleşmeliyiz. Bir gün cihaz kanıtlamayı başaramazsa internet sağlayıcısına bile bağlanamadığı bir gün gelebilir diye düşünüyorum
      Android SafetyNet gibi API’ler ilk çıktığında savunma mantığı zaten “uygulamayı kullanamıyorsan web sitesini tarayıcıdan kullanırsın” idi. Şirketler yığının her katmanını mutlak biçimde kontrol edene kadar durmayacak
    • HTTP’ye alternatiflere karşı değilim, ama bunun bu sorunla pek ilgisi yok. Bir site WEI’den etkilenmek istemiyorsa sadece WEI API’yi kullanmaz
      Ayrıca WEI gibi şeyler, HTTP üzerinde olduğu gibi bu tür protokoller üzerinde de gayet uygulanabilir. Tamamen ayrı kavramlar
  • Böyle şeyleri okuyunca inanılmaz alaycı oluyorum. “Kesinlikle olmaz, benim gözümün önünde olmaz!” diye hissediyorum ama sonra yapabileceğim şeyin bir dilekçeyi imzalamak ya da bunun ne anlama geldiğini hiç bilmeyen bir politikacıya e-posta göndermekten ibaret olduğunu fark ediyorum
    Z kuşağından kardeşim ve onun yaşındaki TikToker’lar için de önemli olmamasının nedeni aynı. İnsanlar umursamıyor. Yarın kirayı neyle ödeyecekleri gibi daha büyük sorunları var; ayrıca 5 saat boyunca NPC gibi davranan birini izleyip ona para vermek gibi daha eğlenceli seyirlikler var
    Birlikte çalıştığım birçok insan da benzerdi. Kendilerinin tepeden tırnağa oyuna getirildiğini fark etmeye alışkınlar ve şikâyet etmeye bağımlılar; ama bunu yalnızca ortak ilgi alanlarını paylaşan çok dar bir grup içinde yapıyorlar
    Bu, insanın en çok hevesini kıran devrim. DNS, JavaScript keşmekeşi, ağ tarafsızlığı, tarayıcı dünyası derken sürekli kıyamet kopuyor ama hiçbir şey başarılamıyor; hep sorumluluk erteleniyor ve sonra başka bir başlıkta güzel eski günler yâd ediliyor
    Ama sonuçta ben ne yapabilirim? PR’ı reddetmem mi gerekiyor?

    • Böyle başlıkların her birinde neden sürekli “insanlar umursamıyor” gibi olumsuz laflar çıktığını anlamıyorum. Sokaktaki herkesin umursaması gerekmiyor
      Sektörde ve düzenleyici alanda yeterince etkiye sahip insanların umursaması yeterli. Ve gerçekten de umursuyorlar. Herkes bu konuya öfkeli, önerilerde bulunuyor; şirketler ve kuruluşlar yazılar yayımlıyor
      Bunu sürdürmek, diğer şirketleri reddetmeye zorlamak ya da düzenlemeyle engellenmesi için baskı yapmak yeterli. Google’ın en çok korktuğu şey bölünme. Bunu dayatırlarsa milletvekilleriyle örgütlü şekilde iletişime geçip kaygıları dile getirebilir, Google’ın rekabet karşıtı davranışlarına karşı düzenleme ya da bölünme talep edebiliriz
    • Şimdiden epey açık tartışma ve tepki olmuş olması aslında cesaret verici. Bu konunun gündeme geleli ancak yaklaşık bir hafta olduğunu unutmamak gerek. Bir gecede kazanamayız
      İnsanlar umursuyor. Sadece kamuoyu baskısı oluşturmanın aşamaları var. Halkın sorundan haberdar olması, teknik yönlerini öğrenip anlaması ve muhalefetin örgütlenmesi gerekiyor. Bu illa hızlı bir süreç değil
    • Politikacıya yazmak yerine uygun rekabet otoritesine göndermek daha iyi. Yakın zamandaki tartışma[1] buna örnek
      [1] https://news.ycombinator.com/item?id=36877310
    • Yapılabilecek şeyler var. Gizlilik araçlarının ileri düzey kullanıcısı olmak, insanların teknolojiyi kullanma ve onunla etkileşim kurma zeminini değiştirmeye yardımcı olur
      Ana amacın reklam engellemeyi önlemek olduğunu varsayarsak, benim pinhole DNS engelleyicimin etkilenip etkilenmeyeceğini merak ediyorum. Yeni standart yüzünden herkes DNS engelleyicilere yönelirse, kullanıcıya küçük bir bedel ödetse bile genel zemin daha iyi hâle gelebilir
      Sistemlerin özgür ve açık olduğuna inanılıp ihtiyaç hissedilmediğinde, gizlilik araçlarının benimsenmesi ya da desteklenmesi neredeyse hiç olmuyor. Sınır çizgisi değişene kadar herkes alüminyum folyo şapkalı biri muamelesi görüyor
      İnsanların kişisel veri koruması, hizmet kontrolü gibi şeyleri genel olarak daha iyi anlaması gerekiyor; ama başka seçenekler ortadan kalkıp kontrolü geri almak zorunda kalana kadar tembel davranacaklar
    • Öfkeli olmanı anlıyorum. Önce empati kuruyorum. Ancak durumun baskısı, sorumluluğu gerçekten bu işi yapanlara değil de tam olarak bunu yapmayan insanlara yıkmaya yol açıyor
      Tüketici elektroniği kullanıcıları içerik konusunda “oy veren” kişiler değil. Hiyerarşik, özel ve kurum içi karar alma süreçleriyle işleyen kapalı bilgisayar sistemleri karar noktalarına geliyor
  • Bunları bilmeye değer veren insanlar olduğu için seviniyorum. Ben yaymaya çalıştığımda çoğunlukla cehaletle karşılaşıyorum
    Bu yalnızca Google’ın işi değil. Onlar sadece ilk olmak istiyor gibi görünüyor
    Benim dijital abluka dediğim “komplo teorisi” tam da bu. O yöne atılan bir adım daha ve bunun ne yaptığına bakınca hedefe fazlasıyla yaklaşılıyor

  • Sanki hepimizin Google tarayıcısı kullanıp kullanmadığını doğrularlarsa somehow daha güvenli olacakmış gibi davranıyorlar. Sanki oradaki geliştiriciler kusursuzmuş gibi
    Bu büyük teknoloji şirketi kibri şaşırtıcı ve sinir bozucu

  • “Web sitemizi ziyaret edebilirsiniz. Önce lütfen dijital kelepçelerinizi gösterin”

  • Biri bana beş yaşındaki çocuğa anlatır gibi açıklayabilir mi? Ne oluyor? Firefox çoğu sitede çalışmayı mı bırakacak? uBlock çalışmayacak mı? World Wide Web sitelerine erişmeden önce retina taraması mı göndermem gerekecek?
    Neyse, eskiden de internetsiz yaşıyorduk. Microsoft Flight Simulator’ı disketlerden kurmuştum. Bu sefer sadece biraz daha fazla disket olur herhâlde. Büyük mesele değil

    • Nihai hedefin, web’in büyük bölümüne erişirken hangi web tarayıcısını kullanabileceğimizi Google ve birkaç şirketin kontrol etmesi olması muhtemel. Mozilla buna ayak uydurabilir de uydurmayabilir de; ama EME zamanında uydurmuştu
      Linux, Ubuntu ve Red Hat derlemeleri dışında çalışmayabilir. O da destek eklendikten sonrası için geçerli. Tarayıcıdan işletim sistemine, çekirdeğe, önyükleme ortamına ve TPM’ye uzanan uzun bir doğrulama zinciri gerekiyor; ayrıca bu zincirin kırılacak kadar zayıf olmadığına Google’ı ikna etmek gerekeceği için bu uzun sürebilir
      Reklam engelleyiciler bir noktada dışarıda bırakılacak. Üstelik disketlerle Flight Simulator oynadığımız günlere de geri dönemeyiz. Bankalar, uçak ve konser biletleri, hatta çocuğunun pediatri kliniği bile bunu isteyecek
      Çünkü doktorlar yeni web spesifikasyonlarını hevesle okuyacak diye değil; botları ve DDoS’u azalttığı gerekçesiyle güvenlik sorumlularının sevdiği Cloudflare varsayılanlarına dayanan sağlık hizmeti platformlarını kullanacakları için
      Sonunda kablo TV gibi sürekli izleyen ve reklam gösteren duvarlarla çevrili işletim sistemleri kullanır hâle geleceğiz. Büyük bir yaygara Google’ı biraz geri adım attırabilir ya da tutamayacağı ve tutmayacağı sözler vermeye zorlayabilir
      Gerçek çözüm, kullanıcıların kontrolü kaybetmesini önlemek için hükümeti kullanmaktan ibaret
  • Evet! Hep birlikte Chromium tabanlı tarayıcı kullanalım!
    Ne ters gidebilir ki?

    • Azınlık tarayıcıların Chromium tabanlı olup olmamasının bu felaketi iki yönde de pek etkileyeceğini sanmıyorum. Sorun Chrome’un fiilî tekeli