- Free Software Foundation, Google’ın Web Environment Integrity (WEI) girişiminin kullanıcıların istedikleri tarayıcı ve işletim sistemiyle web’e erişme özgürlüğünü tehdit ettiğini düşünüyor
- WEI, sitelerin sayfa sunmadan önce üçüncü taraf bir doğrulama hizmeti aracılığıyla gezinme ortamının “değiştirilip değiştirilmediğini” kontrol etmesini sağlayan bir API
- FSF, bu doğrulamanın yalnızca Google’ın onayladığı tarayıcı yapılandırmalarına izin verecek şekilde işleyebileceğinden ve özgür tarayıcılar ile özgür işletim sistemleri kullananların erişimini engelleyebileceğinden endişe ediyor
- Politika belgesinde belirtilen sözde kullanım örneklerinden çok, fiilî kötüye kullanım potansiyeli daha büyük; onaylı tarayıcı zorunluluğu, DRM’in güçlendirilmesi ve Google hizmetlerine erişimin kısıtlanması için kullanılabilir
- FSF, WEI için meşru bir gerekçe olmadığını ve Google’ın özgür internetle bağdaşması zor olan standart çalışmasını derhâl durdurması gerektiğini talep ediyor
WEI neden özgür internetle çatışıyor
- FSF, özgür tarayıcı kullanımının her zamankinden daha önemli hâle geldiğini düşünüyor ve Google’ın Web Environment Integrity girişimini Google’ın son dönemdeki hamleleri arasındaki en kötü örneklerden biri olarak eleştiriyor
- WEI, ilk olarak Microsoft GitHub üzerinde yayımlanan bir politika belgesiyle başladı; daha sonra Google geliştirmeyi hızla Chromium browser’a yansıtmaya başladı
- Bu API, geliştiricilerin belirli tarayıcı yapılandırmalarını onaylayıp diğerlerini yasaklamasına olanak tanıyor
- FSF, bu yaklaşımın çeşitli cihazlar, programlar ve işletim sistemleriyle köprülenmiş sayfalara erişilebildiği yönündeki internetin mevcut kavramıyla doğrudan çatıştığını düşünüyor
- WEI, web’in tamamını daha kapalı hâle getiren DRM’e yakın görülüyor ve web’in “enshittification” sürecine doğru büyük bir adım olarak değerlendiriliyor
Çalışma biçimi ve beklenen kötüye kullanımlar
- WEI’de sunucu, web sayfasını sunmadan önce üçüncü taraf bir “doğrulama” hizmetinden kullanıcının gezinme ortamının “değiştirilmediğini” kontrol etmesini istiyor
- FSF, bu doğrulama sunucusunun Google’a ait olabileceğini ve tarayıcının Google’ın kabul ettiği yapılandırmadan en küçük bir sapma göstermediğini denetleyeceğini düşünüyor
- Sonuç olarak kullanıcıların dört özgürlüğü anlamlı biçimde kullanması zorlaşabilir; özgür tarayıcılar veya özgür işletim sistemleriyle bazı sitelerde sayfa sunumu reddedilebilir
- Politika belgesinin öne sürdüğü meşru kullanım örneklerinden daha büyük bir sorun, fiilî kullanım olasılıkları olarak gösteriliyor
- Hükümetler, yalnızca resmî olarak “onaylanmış” tarayıcıların internete erişmesine izin vermek için kullanabilir
- Netflix gibi şirketler Digital Restrictions Management (DRM)’i güçlendirmek için kullanabilir
- Google, kendi çıkarlarına uygun bir tarayıcı kullanılmadığında Google hizmetlerine erişimi reddetmek için kullanabilir
- FSF, WEI için “hiçbir meşru gerekçe olmadığını” düşünüyor ve asıl temel kullanımının özgür interneti kısıtlamak olduğunu eleştiriyor
- Google’daki karar vericiler web’in kuruluş ilkelerini dikkate almalı, WEI’nin özgür internetle temelden bağdaşmadığını kabul ederek standart çalışmasını derhâl durdurmalı
1 yorum
Hacker News yorumları
İlgili yazılar. Daha fazlası varsa bildirirseniz iyi olur
Google'ın tarayıcı güvenliği planı tehlikeli, korkunç ve web siteleri için DRM olmakla eleştiriliyor - https://news.ycombinator.com/item?id=36893071 - Temmuz 2023 (63 yorum)
Google Web Environment Integrity, yeni Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - Temmuz 2023 (282 yorum)
Bir Google çalışanı WEI hakkındaki olumsuz geri bildirime yanıt veriyor - https://news.ycombinator.com/item?id=36881506 - Temmuz 2023 (25 yorum)
Google zaten WEI'yi Chromium'a dayatıyor - https://news.ycombinator.com/item?id=36876301 - Temmuz 2023 (832 yorum)
Google'ın Web Environment Integrity spesifikasyonunu didik didik etmek - https://news.ycombinator.com/item?id=36875940 - Temmuz 2023 (431 yorum)
Google mühendisleri reklam engellemeyi neredeyse imkânsız hâle getirmeye çalışıyor - https://news.ycombinator.com/item?id=36875226 - Temmuz 2023 (468 yorum)
Google'a karşı açık web - https://news.ycombinator.com/item?id=36875164 - Temmuz 2023 (191 yorum)
Apple web'de doğrulamayı zaten yayımladı ve biz neredeyse fark etmedik - https://news.ycombinator.com/item?id=36862494 - Temmuz 2023 (421 yorum)
Google'ın kâbus gibi “Web Integrity API”si web için bir DRM kapı bekçisi istiyor - https://news.ycombinator.com/item?id=36854114 - Temmuz 2023 (456 yorum)
Web Environment Integrity API önerisi - https://news.ycombinator.com/item?id=36817305 - Temmuz 2023 (441 yorum)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Temmuz 2023 (2 yorum)
Web Environment Integrity açıklaması - https://news.ycombinator.com/item?id=36785516 - Temmuz 2023 (45 yorum)
Google Chrome önerisi – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Temmuz 2023 (93 yorum)
Web Environment Integrity – Google tarayıcıyı kilitlemeye çalışıyor - https://news.ycombinator.com/item?id=35864471 - Mayıs 2023 (1 yorum)
Google'ın böyle saçma sapan şeyleri yapmasına neden izin verildiğini anlamıyorum. İlk başta toast component vardı, sonra bildirimlerin kaldırılması, Manifest V3, FLoC, şimdi de bu
Şirket elbette şirket gibi davranacak, ama kullanıcılar ve gelecekteki kullanıcılar için geriye hangi seçenek kalıyor? Şu anda ilgilenmeyen ama mevcut internetin biçimini faydalı bulabilecek insanlardan söz ediyorum
Google'ın kendi ürünlerini, değiştirilemeyen özel bir tarayıcıyla erişilebilen duvarların arkasına saklaması umurumda değil; yeter ki bunu her yere yaymasın. Hâlâ her yerde çözülemeyen reCAPTCHA'nın “keyfini” çıkarıyoruz
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Sunucu trafiği şüpheli gördüğünde çıkan soru-cevap tarzı doğrulamanın bir parçası. Genelde oturumu açık tutarsanız, çerezleri engellemezseniz, Tor ya da başka rota gizleme araçları kullanmazsanız bundan kaçınabilirsiniz
Ancak çok benzer bir API’nin 2022’den beri Safari’de uygulanmış olduğu anlaşılıyor. Pazarlamayı iyi yapınca etkisi büyük oluyor galiba. Bunun neredeyse hiç tartışıldığını görmedim
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
İlginç kısım şu: “Bu süreçte toplanan temel veriye aslında ne ihtiyacımız var ne de onu istiyoruz; yalnızca ziyaretçinin cihazını veya kullanıcı aracısını kandırıp kandırmadığını doğrulamak istiyoruz” deniyor
Örnekte, bir ziyaretçi iPhone’da Safari’yi açıp example.com’u ziyaret etmek istediğinde Cloudflare tarayıcıdan bir token istiyor; Safari PAT’i desteklediği için bir API çağrısıyla Apple Attester’dan kanıt istiyor
Apple kanıtlayıcısı çeşitli cihaz bileşenlerini kontrol edip geçerliliği doğruladıktan sonra Cloudflare Issuer’a bir API çağrısı yapıyor; Cloudflare Issuer bir token oluşturup tarayıcıya gönderiyor, tarayıcı da bunu kaynak sunucuya iletiyor
Cloudflare bu token’ı alıp bu kullanıcıya CAPTCHA göstermeye gerek olmadığına karar veriyor. Bana WEI’ye fazlasıyla benzer geliyor, ama adı “Privacy Access Tokens” olduğuna göre elbette iyi bir şeydir herhâlde...?
Düzenleme: Birkaç gün önce HN’de bir başlık varmış, kaçırmışım: https://news.ycombinator.com/item?id=36862494
Örneğin PAT nihayetinde “bot değil”i kanıtlama düzeyinde olduğu için cihaz ve tarayıcı ortamı verisi alışverişi gerektirmiyor. Buna karşılık WEI’nin, okuduğumuz web için DRM benzeri kullanım örneklerini mümkün kılmak için bu veriye ihtiyacı var
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Ama tarayıcılar onlarca yıldır kim oldukları konusunda yalan söylüyor. Peki sahte bir cihaz/kullanıcı aracısı ile sıra dışı bir cihaz/kullanıcı aracısı arasındaki fark ne? Onların açısından muhtemelen bir fark yoktur
Bu yüzden gopher’a bakmaya başladım. Az önce gemini’yi de öğrendim; benim için daha ilginç olabilir
Şirketler Apple’ın başarısını görüp duvarlarla çevrili bahçeler oluşturmak için ellerinden gelen her şeyi yapıyor. Ayrıca, daha az ölçüde olsa da şirketler Linux’un geliştirme yönünü de etkilemeye başlamış gibi görünüyor
Streaming sitelerini doğrulayan tamamen yerleşik DRM’nin ne zaman geleceğini merak ediyorum
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
Android SafetyNet gibi API’ler ilk çıktığında savunma mantığı zaten “uygulamayı kullanamıyorsan web sitesini tarayıcıdan kullanırsın” idi. Şirketler yığının her katmanını mutlak biçimde kontrol edene kadar durmayacak
Ayrıca WEI gibi şeyler, HTTP üzerinde olduğu gibi bu tür protokoller üzerinde de gayet uygulanabilir. Tamamen ayrı kavramlar
Böyle şeyleri okuyunca inanılmaz alaycı oluyorum. “Kesinlikle olmaz, benim gözümün önünde olmaz!” diye hissediyorum ama sonra yapabileceğim şeyin bir dilekçeyi imzalamak ya da bunun ne anlama geldiğini hiç bilmeyen bir politikacıya e-posta göndermekten ibaret olduğunu fark ediyorum
Z kuşağından kardeşim ve onun yaşındaki TikToker’lar için de önemli olmamasının nedeni aynı. İnsanlar umursamıyor. Yarın kirayı neyle ödeyecekleri gibi daha büyük sorunları var; ayrıca 5 saat boyunca NPC gibi davranan birini izleyip ona para vermek gibi daha eğlenceli seyirlikler var
Birlikte çalıştığım birçok insan da benzerdi. Kendilerinin tepeden tırnağa oyuna getirildiğini fark etmeye alışkınlar ve şikâyet etmeye bağımlılar; ama bunu yalnızca ortak ilgi alanlarını paylaşan çok dar bir grup içinde yapıyorlar
Bu, insanın en çok hevesini kıran devrim. DNS, JavaScript keşmekeşi, ağ tarafsızlığı, tarayıcı dünyası derken sürekli kıyamet kopuyor ama hiçbir şey başarılamıyor; hep sorumluluk erteleniyor ve sonra başka bir başlıkta güzel eski günler yâd ediliyor
Ama sonuçta ben ne yapabilirim? PR’ı reddetmem mi gerekiyor?
Sektörde ve düzenleyici alanda yeterince etkiye sahip insanların umursaması yeterli. Ve gerçekten de umursuyorlar. Herkes bu konuya öfkeli, önerilerde bulunuyor; şirketler ve kuruluşlar yazılar yayımlıyor
Bunu sürdürmek, diğer şirketleri reddetmeye zorlamak ya da düzenlemeyle engellenmesi için baskı yapmak yeterli. Google’ın en çok korktuğu şey bölünme. Bunu dayatırlarsa milletvekilleriyle örgütlü şekilde iletişime geçip kaygıları dile getirebilir, Google’ın rekabet karşıtı davranışlarına karşı düzenleme ya da bölünme talep edebiliriz
İnsanlar umursuyor. Sadece kamuoyu baskısı oluşturmanın aşamaları var. Halkın sorundan haberdar olması, teknik yönlerini öğrenip anlaması ve muhalefetin örgütlenmesi gerekiyor. Bu illa hızlı bir süreç değil
[1] https://news.ycombinator.com/item?id=36877310
Ana amacın reklam engellemeyi önlemek olduğunu varsayarsak, benim pinhole DNS engelleyicimin etkilenip etkilenmeyeceğini merak ediyorum. Yeni standart yüzünden herkes DNS engelleyicilere yönelirse, kullanıcıya küçük bir bedel ödetse bile genel zemin daha iyi hâle gelebilir
Sistemlerin özgür ve açık olduğuna inanılıp ihtiyaç hissedilmediğinde, gizlilik araçlarının benimsenmesi ya da desteklenmesi neredeyse hiç olmuyor. Sınır çizgisi değişene kadar herkes alüminyum folyo şapkalı biri muamelesi görüyor
İnsanların kişisel veri koruması, hizmet kontrolü gibi şeyleri genel olarak daha iyi anlaması gerekiyor; ama başka seçenekler ortadan kalkıp kontrolü geri almak zorunda kalana kadar tembel davranacaklar
Tüketici elektroniği kullanıcıları içerik konusunda “oy veren” kişiler değil. Hiyerarşik, özel ve kurum içi karar alma süreçleriyle işleyen kapalı bilgisayar sistemleri karar noktalarına geliyor
Bunları bilmeye değer veren insanlar olduğu için seviniyorum. Ben yaymaya çalıştığımda çoğunlukla cehaletle karşılaşıyorum
Bu yalnızca Google’ın işi değil. Onlar sadece ilk olmak istiyor gibi görünüyor
Benim dijital abluka dediğim “komplo teorisi” tam da bu. O yöne atılan bir adım daha ve bunun ne yaptığına bakınca hedefe fazlasıyla yaklaşılıyor
Sanki hepimizin Google tarayıcısı kullanıp kullanmadığını doğrularlarsa somehow daha güvenli olacakmış gibi davranıyorlar. Sanki oradaki geliştiriciler kusursuzmuş gibi
Bu büyük teknoloji şirketi kibri şaşırtıcı ve sinir bozucu
“Web sitemizi ziyaret edebilirsiniz. Önce lütfen dijital kelepçelerinizi gösterin”
Biri bana beş yaşındaki çocuğa anlatır gibi açıklayabilir mi? Ne oluyor? Firefox çoğu sitede çalışmayı mı bırakacak? uBlock çalışmayacak mı? World Wide Web sitelerine erişmeden önce retina taraması mı göndermem gerekecek?
Neyse, eskiden de internetsiz yaşıyorduk. Microsoft Flight Simulator’ı disketlerden kurmuştum. Bu sefer sadece biraz daha fazla disket olur herhâlde. Büyük mesele değil
Linux, Ubuntu ve Red Hat derlemeleri dışında çalışmayabilir. O da destek eklendikten sonrası için geçerli. Tarayıcıdan işletim sistemine, çekirdeğe, önyükleme ortamına ve TPM’ye uzanan uzun bir doğrulama zinciri gerekiyor; ayrıca bu zincirin kırılacak kadar zayıf olmadığına Google’ı ikna etmek gerekeceği için bu uzun sürebilir
Reklam engelleyiciler bir noktada dışarıda bırakılacak. Üstelik disketlerle Flight Simulator oynadığımız günlere de geri dönemeyiz. Bankalar, uçak ve konser biletleri, hatta çocuğunun pediatri kliniği bile bunu isteyecek
Çünkü doktorlar yeni web spesifikasyonlarını hevesle okuyacak diye değil; botları ve DDoS’u azalttığı gerekçesiyle güvenlik sorumlularının sevdiği Cloudflare varsayılanlarına dayanan sağlık hizmeti platformlarını kullanacakları için
Sonunda kablo TV gibi sürekli izleyen ve reklam gösteren duvarlarla çevrili işletim sistemleri kullanır hâle geleceğiz. Büyük bir yaygara Google’ı biraz geri adım attırabilir ya da tutamayacağı ve tutmayacağı sözler vermeye zorlayabilir
Gerçek çözüm, kullanıcıların kontrolü kaybetmesini önlemek için hükümeti kullanmaktan ibaret
Evet! Hep birlikte Chromium tabanlı tarayıcı kullanalım!
Ne ters gidebilir ki?