1 puan yazan GN⁺ 2023-08-04 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın Chrome için önerdiği Web Environment Integrity (WEI), web sitelerinin istemci çalışma ortamını doğrulamasına izin vererek web’i fiilen DRM’leştirebileceği gerekçesiyle eleştiriliyor
  • WEI, kullanıcının web istemcisini “güvenli bir Android cihazı” gibi bir ortamda çalıştırdığını kanıtlamayı ve bunu kriptografik olarak imzalanmış bir token ile iletmeyi amaçlayan bir yapı
  • Dolandırıcılığı önleme gerekçesine karşın Mozilla, yardımcı teknolojiler, otomatik test, arşivleme ve arama motoru örümcekleri gibi mevcut web kullanım biçimlerinin engellenebileceğini düşünüyor
  • Brave, WEI’nin gücü kullanıcıdan alıp büyük web siteleri ve platformlara verdiğini söyleyerek bunu Brave tarayıcısına dahil etmeyeceğini açıkladı
  • Uzak doğrulamanın web standartlarına eklenmesi, iyi niyetli kullanım alanlarının yanı sıra tarayıcı engelleme, reklam engelleyicileri kısıtlama ve platform kontrolünü artırma için de kullanılabilir

Chrome’un WEI önerisinin tetiklediği web DRM tartışması

  • Google, Chrome’a Web Environment Integrity eklemeyi önerdi
  • Bu sistem, web sitelerinin istemci kodunun çalıştığı ortamla ilgili temel gerçekleri kanıtlayan bir token isteyebilmesini sağlıyor
    • Örneğin kullanıcının web istemcisini “güvenli bir Android cihazında” çalıştırdığını gösterebilir
    • Token, kriptografik imza ile kurcalamayı önleyecek şekilde tasarlanıyor
  • Web sitesi, attester’ın döndürdüğü sonuca güvenip güvenmeyeceğine kendisi karar veriyor
    • Google’ın açıklamasına göre attester pratikte büyük olasılıkla işletim sistemi ya da platform tarafından sağlanacak
    • Öneri belgesi, Apple’ın App Attest ve Android’in Play Integrity API gibi mevcut yerel doğrulama sinyallerinden ilham alıyor
  • Dolandırıcılığı önleme açısından kesin sonuçlar ve yüksek kapsama oranı yararlı olabilir, ancak web sitelerinin belirli attester’ları veya doğrulanamayan tarayıcıları dışlama riski de sürüyor

Uzak doğrulamanın bilgisayarlardaki yetki ilişkisini nasıl değiştirdiği

  • Cory Doctorow’un anlatımına göre Microsoft, yaklaşık 20 yıl önce Next Generation Secure Computing Base ya da Palladium adlı trusted computing yaklaşımını Electronic Frontier Foundation’a sundu
  • Bunun özü, kullanıcının bilgisayarında ayrı bir bileşen bulundurup önyükleyici, işletim sistemi, uygulamalar, uzantılar ve çekirdek durumunu gözlemleyerek imzalı bir manifestoyu harici bir doğrulayıcıya gönderen uzak doğrulama (remote attestation) fikriydi
  • Uzak doğrulama, birbirine güvenmeyen kişilerin kendi bilgisayar yapılandırmalarını doğrulayabilmesini sağlayan güçlü bir özellik olabilir
    • Şirketin uzaktan çalışan personelin cihaz yapılandırmasını doğrulaması gibi faydalı ve karşılıklı mutabakata dayalı kullanımlar mümkün
    • Aynı zamanda bir Word belgesinin OpenOffice’te açılmasını engellemek veya SMB ile Samba’yı ayırıp ağ erişimini kapatmak gibi dışlayıcı amaçlarla da kullanılabilir
  • Temel mesele, kullanıcı istemediğinde bile bilgisayarın dışarıya “gerçeği” söylemek zorunda olup olmaması ve kullanıcının denetleyemediği işlevlerin başkaları tarafından uzaktan tetiklenip tetiklenememesi

Mozilla ve Brave neden karşı çıktı

  • Mozilla, GitHub tartışmasında WEI’ye açık web ile çeliştiği gerekçesiyle karşı çıktı
  • Mozilla’ya göre seçimi kısıtlayan mekanizmalar web ekosisteminin açıklığına zarar verir ve kullanıcılar için de iyi değildir
    • Önerilen kullanım örnekleri, “insan olmayan trafiği tespit etme” yeteneğine dayanıyor
    • Bu yaklaşım, yardımcı teknolojiler, otomatik test, arşivleme ve arama motoru örümcekleri gibi insanlara yönelik içeriği alıp dönüştüren, test eden, dizine ekleyen ve özetleyen mevcut web kullanım biçimlerini engelleyebilir
    • “holdback” gibi rastgele doğrulama üretmeyen güvenlik önlemlerinin etkisinin sınırlı kalabileceği ve kaygıları gidermeye yetmeyeceği düşünülüyor
  • Brave de Web Environment Integrity’ye karşı çıktığını açıkladı ve WEI’yi Brave tarayıcısına dahil etmeyeceğini belirtti
    • Brave, WEI’nin gücü kullanıcılardan alıp büyük web sitelerine, özellikle de Google’ın işlettiği sitelere kaydırdığını düşünüyor
    • Chromium kullansa bile WEI’yi dahil etmeyi planlamıyor
    • WebAuthn’ın bazı bölümleri veya Privacy Keys gibi WEI’ye benzeyen ancak daha sınırlı özelliklerin, iyi niyetli kullanımları bozmadan sınırlandırılmasının yollarını da değerlendiriyor

Reklam engelleme ve platform kontrolü endişesi

  • Alex Ivanovs, WEI’nin yan etkilerinden birinin Google’ın reklam engellemeyi fiilen önleyebilmesi olduğunu belirtiyor
  • Attester’ı kontrol eden taraf istemci ortamını doğrularsa, Google’ın ya da diğer büyük teknoloji şirketlerinin güven puanlarını manipüle edip hangi web sitesi veya tarayıcı ortamına güvenileceğine karar verebileceği yönünde kaygılar doğuyor
  • Brave, WEI’yi Google’ın son dönemdeki diğer web önerileriyle birlikte değerlendiriyor
    • WebBundles, kullanıcının istemediği sayfa içeriğini engellemeyi veya filtrelemeyi zorlaştırıyor
    • First Party Sets, hangi sitelerin kullanıcıyı takip edebildiğini anlamayı zorlaştırıyor
    • Manifest V3 ile tarayıcı uzantılarının zayıflatılması, uBlock Origin gibi reklam ve izleyici engelleme uzantılarının denetim gücünü azaltıyor
  • Brave, bu tür özellikleri Brave tarayıcısında devre dışı bıraktığını veya değiştirdiğini söylüyor

Açık web’de güç nerede olmalı?

  • WEI’nin çözmeye çalıştığı dolandırıcılık ve kötüye kullanım sorunları gerçekten var, ancak önerilen yaklaşım açık internetin yapısını temelden değiştiriyor
  • Temel eleştiri, gücü ağın kenarına itmek yerine web siteleri ve platformlar tarafında merkezileştirmesi
  • Devlet gözetimi gibi komplo teorilerine başvurmadan da bu önerinin kendisi kötü, tehlikeli ve açık web ilkelerine aykırı olarak görülebilir
  • Google’ın motivasyonu iyi niyetli olsa bile, böyle araçların her zaman yalnızca iyi niyetle kullanılacağının garantisi yok
  • Açık web’i savunmak için WEI’ye karşı çıkmak gerekir ve Google da bu öneriyi geri çevirmeli

1 yorum

 
GN⁺ 2023-08-04
Hacker News yorumları
  • Google'ın antitröst kapsamında parçalanması için güçlü biçimde lobi yapmanın zamanı geldi
    Bu DRM planı, tekel konumunun kötüye kullanılmasıdır ve zorunlu bölünmeyi siyasi olarak zorlamak için daha fazla gerekçe sunuyor. Alphabet, satın almalarla büyümüş bir şirket olduğu için parçalara ayırmak da nispeten net: Google yalnızca arama ve arama reklamları; DoubleClick üçüncü taraf site reklamları; Analytics web sitesi hizmetleri; Cloud veri merkezi hizmetleri; Android cihazlar; Chrome tarayıcı; YouTube streaming; Waymo otonom sürüş; Alphabet de geri kalanlar olacak şekilde ayrılabilir
    Chrome, Google ve DoubleClick'ten ayrılıp pazar payı için rekabet etmek zorunda kalsa, DoubleClick ya da Google reklamlarının engellenmesini önleme teşviki azalır. Texas eyaleti ve birden fazla eyalet başsavcısının davaları da halihazırda sürüyor; Google'ın tekelini teknik olarak pekiştirme yönündeki hamleleri bu davaların lehine işler. Siyasi olarak büyük gürültü koparılırsa, antitröst avukatlarının tavsiyesiyle Google'ın bu öneriyi rafa kaldırması büyük olasılık
    https://www.bloomberg.com/news/articles/2023-06-05/google-an...
    https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...

    • Kulağa iyi gelebilir ama Google'ın gücünün önemli bir kısmı arama + arama reklamları tekelinden geliyor
      Google, dijital bir varlık olan reklamın tek satıcısı ve bu varlığın tek pazar işletmecisi; açık denetimi olmayan kapalı bir algoritmik işlem sistemine sahip ve kimin ne kadar teklif verdiğini gösteren kamuya açık bir defter de yok. Aynı zamanda kendi ürünlerinin reklamını yapan büyük bir müşteri de
      Reklamverenler sitelerine izleme kodu yerleştirmek zorunda kaldığından Google işlemleri, gelirleri ve müşterileri görebiliyor. Kapalı algoritmalar ve reklam piyasası da eklenince manipülasyon ihtimali muazzam hale geliyor. En önemli bölünme, reklam işini arama dâhil geri kalan her şeyden ayırmak olur; kolay olmasa da değişim şart. Gerçekçi olarak, çevrimiçi reklam piyasasında güçlü düzenleme, iş birimleri arasında ayrıştırma duvarları ve platform denetimleri daha olası görünüyor
    • Google gibi tekel şirketlerin enshittification yaşamasından endişeliyim
      Web ve e-posta gibi temel katmanlara kadar derinlemesine hâkim olmuş bir şirketin “dünyanın bilgisini düzenleme” misyonu artık “dünyanın bilgisinin önüne mümkün olduğunca çok ücretli aracı koyma”ya ya da bazı bilgilere erişimi tamamen engellemeye dönüşmüş gibi
      Tek bir şirketin “dünyanın” bilgisini fiilen yönetmesine izin verilmemeli. Alphabet'in tam olarak nasıl parçalanması gerektiğini bilmiyorum ama parçalanması gerektiğine katılıyorum. Bilginin özgür olması gerekiyorsa, Google'ın onun koruyucusu gibi davranmadığı bir dünyada bu özgürlüğü nasıl koruyacağımıza da yeniden bakmalıyız
    • Küçük bir düzeltme: Google Cloud bu yıl kâra geçti
      https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
      Para kaybetmek kendi başına sorun değil. Kâr etmeden önce yatırım yapmak gerekir ve Google Cloud gibi hizmetler tutunduğunda nakit basan makinelere dönüşebilir. Ancak bulut sağlayıcıları, şirketlere satış yaptırmak ve kurulum gerçekleştirtmek için üçüncü taraflara ve iş ortaklarına para akıtıyor. Hollandalı bir çiçek borsası şirketi yüzlerce hizmetini AWS'ye taşıyordu ve yeni bir BT yöneticisinin AWS satışında Amazon'la bağlantısı var gibi görünüyordu. Bir kez içeri girildi mi, tekrar çıkmak milyonlarca dolara ve yıllara mal oluyor; bu yüzden AWS'den GCP gibi yatay geçişlerin sık yaşanacağını sanmıyorum
    • “Chrome - tarayıcı” deniyor ama bu para nereden geliyor?
      Chrome esasen reklam işinin daha fazla veri elde etmesi ve web'in yönü üzerinde etki kurması için var. Bunu ayırırsanız, ChromeOS'ten gelen küçük bir gelir dışında gelir kaynağı kalmaz ve Chrome'un ayakta kalması zorlaşır
      Bunun Google'ı bu öneriden vazgeçmeye zorlamak için siyasi bir araç olduğunu anlıyorum. Ama Google/Alphabet'in parçalanması gerçekçi değil ve Microsoft da aynı anda parçalanmadıkça bunu istemem. Aksi halde Microsoft web'e yeniden hâkim olabilir; o dönemi tekrar yaşamak istemiyorum
    • Tamamen katılıyorum. Düzenleyicilerin SafetyNet attestation konusuna çoktan bakmış olması gerekirdi
      Bu, Google'ın OEM'lerin seçeneği olduğu ve bunun Google tekeli olmadığı yönündeki iddiasını fiilen çökertiyor. Sorun şu ki Google radarın altında kalmakta usta. Bunu yalnızca Apple, Google ve Microsoft ürünlerini kullanmayan küçük bir azınlık fark ediyor; siyasetçilerin, kamuoyunun ve etkili kişilerin çoğu ise neredeyse hiç bilmiyor
      Bu olayda da benzer biçimde kimsenin umursamaması muhtemel. Anlatması fazla karmaşık olduğu için, umursaması gereken kişilerin de yine görmezden geleceğini düşünüyorum. Esas mesele, kaygı duyan azınlığın yeterince gürültü çıkarmaması. de-Googled Android'i engelleyen bankalara ve benzerlerine baskı yapmayı sürdürmeli; geriye kalan “iyi” hizmetlerin herkese açık bir listesine de ihtiyaç var. Şimdilik yapılabilecek tek şey, özgür tarayıcıları ve özgür işletim sistemlerini gerçekten kullanmak ve GitHub gibi yerlerde bile olsa konuyu olabildiğince yüksek sesle gündeme getirmek. Web özgürlüğü konusunda en çok sesi çıkanlar web3 ve crypto çevreleri; bana göre bunlar spekülasyondan para kazanmak isteyen insanların havayı ısıtmasından ibaret
  • Hepimiz Google hizmetlerini ücretsiz ve kullanışlı araçlar gibi gördüğümüz için işin buraya gelmesine izin verdik.
    “Chrome şöyle, Chrome böyle” derken onun aslında dünyanın en büyük reklam ajansının stratejik aracı olduğunu unutuyoruz. Chrome, GMail vb. hepsi şüpheli reklamları iten ve kişisel tanımlayıcı bilgileri emen küresel bir reklam teknolojisi çerçevesine uyuyor.
    Google, tekel ve oligopol gücünü kullanarak hayatlarımızın içine sızıyor. Google’ın şüpheli bir işletme olduğu çerçevesini yaymak gerekiyor. Güvenilir bir şirket değil, bir reklam devi ve dürüstlüğü de yok. Bir banka Google’ın bütünlük özelliğini kullanırsa, müşteri hizmetlerini arayıp “çalışmıyor” diyerek acemi gibi uzun süre oyalamak; sonunda Integrity + Chrome konusu açılınca da “şüpheli bir reklam ajansıyla aynı tarafta mısınız, ben sizi güvenilir bir banka sanıyordum” diye hesap sormak gerekir.

    • Tabandan değişimi destekliyorum ama birinci seviye müşteri destek çalışanlarını bilerek meşgul etme yönteminin gerçek bir değişim yaratacağını sanmıyorum.
      Yardım masasında önemli olan ticket kapatma metrikleri ve görüşme süresidir; duygusal patlamalar hiçbir şeyi değiştirmez.
    • Değişmesi gereken nokta tam da bu. “Ücretsiz” hizmetler asla gerçekten ücretsiz değildir.
      Sonunda önce verinizle ödeme yaparsınız, sonra da parayla tekrar ödersiniz. Ücretsiz internet bazıları için iyi olabilir ama satın aldığımız ürünlerin fiyatına dahil olan reklam vergisini hepimiz ödüyoruz. Bu bütün freemium fiyatlandırma modelini yasaklayıp eskisi gibi şeylerin parasını doğrudan ödesek, birçok sorun çözülebilir.
    • İşin ilginç yanı, Google’ın sadece Apple’ı takip ediyor olması. Apple’ın ABD cep telefonu pazarındaki payı %50’nin üzerinde.
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
      Yakında bankaların yalnızca Apple cihazları istemesinden daha çok korkmamız gerekebilir.
    • Bir reklam ajansından nasıl şüpheli işletme sonucuna varıldığını anlamıyorum. Madison Avenue’daki reklam ajansları genelde şüpheli sayılmaz.
  • 2012’de Google Ireland’da SRE pozisyonu için mülakata girdim.
    Ailevi nedenlerle sonunda gitmedim ama bir süre Google ölçeğinde sorunları çözme ve FAANG seviyesinde para kazanma fırsatını kaçırdığıma üzüldüm.
    Şimdi o üzüntü tamamen kayboldu. Bunun nedeni Google’ın dönüştüğü şey ve dünyadaki rolünü anlama biçiminin değişmiş olması. Ya da belki de şirketin gerçek doğası başından beri daha belirgin hale gelmiştir. 2000’lerde Google’ın kurumsal dünyada iyilik için bir güç olduğuna inanıyordum; artık bunun hiç de öyle olmadığına eminim. Bu yüzden üzgünüm ve sevdiğim internet ile FOSS dünyasına sonunda vereceği zarardan korkuyorum.

    • Google, FOSS için de muazzam bir güç oldu.
      Google’ı tek bir gerçek doğası olan yekpare bir varlık olarak görmüyorum. Sonuçta kararları insanların aldığı bir organizasyon. Bazen VP8’i açık kaynak yapıp dünya çapında değer yaratıyor, bazen de niyetini daha iyi açıklaması gereken deneyler yürütüyor.
    • Eskiden yenilikçi, geleceğe dönük ve yeni teknolojilere katkıda bulunmaktan hoşlanıyor gibi görünüyordu.
      Pichai döneminde ise konumunu sabitlemeye, rakiplerini öldürmeye ve WWW’yi GWWW’ye çevirmeye çalışıyor gibi görünüyor.
    • Google’ın eskiden gerçekten iyilik için bir güç olduğunu düşünüyorum.
      Kötü şöhretli DoubleClick’i satın aldığında bile, çevrimiçi reklam sektörünü daha iyi hale getirebileceğine inandığım için sevinmiştim. Ama öyle olmadı ve Google sonunda o düşük kaliteli çevrimiçi reklam şirketlerinden biri haline geldi.
    • Para berbat bir uyuşturucu.
      İlk dönem Google, samimi ve düzgün insanlardan oluşuyor gibi görünüyordu. Dot-com çöküşünden sonra herkes faturaları ödeyebilmek için para kazanmaya sarıldı; bence bugünün tohumları da orada atıldı.
  • Google bir şeyi koruyormuş gibi yapmış olabilir ama şirketleştiğinden beri sürekli kötü bir şirket oldu. Şirketler tasarım gereği böyle işler.
    İlgili bir örnek olarak Google, kendi hizmetlerinde 10 yılı aşkın süredir “yalnızca IE5+” benzeri şeyler yaptı. Tarayıcı rekabetini iyi bir ürünle öldürmedi; iyi hizmetlere sahip olup ya da onları satın alıp sonra bunları Chrome’u kullanıcılara dayatmak için kullandı. Gönüllü tarafta milyarlarca dolarlık reklamla, gönülsüz tarafta ise uyumluluk ve performans hakkında yalanlarla ya da başka kullanıcı aracılarını engelleyerek.

    • Benim hatırladığım farklı. Chrome gerçekten iyi bir tarayıcıydı ve bir süre daha iyi bir tarayıcı olmaya devam edecek diye düşünüyorum.
      IE, Microsoft’un kazandığını sanıp IE ekibini dağıtarak rehavete kapılması sırasında Firefox’un öncüllerine yenildi. Firefox ise Google’ın Chrome’u deli gibi hızlandırmasıyla rekabeti kaybetti ve sık sık geride kalarak neredeyse tüm pazar payını kaptırdı. Chrome’un hâkimiyeti ve Google’ın pazardaki konumunu kötüye kullanması hoş değil ama ömrünün büyük bölümünde Chrome iyi bir üründü.
    • Doğru, Google her zaman epey şüpheliydi.
      https://www.businessinsider.com/google-sergey-brin-employees...
    • İyilik-kötülük çerçevesi böyle şeyleri açıklamak için fazla basit.
      Şirketler para kazanmaya ya da kaldıraç biriktirmeye çalışır. Elbette bunu uygulamada ya da rekabette iyi beceremeyen şirketler de var. İlk dönemde iyi şeyler yaparak kaldıraç oluşturdu; şimdi ise o kaldıraçla nakit ineğini mümkün olduğunca uzun süre sağma aşamasında.
    • Şirket mottosundan Don’t be evil ifadesini çıkarmaları, madendeki kanarya gibiydi sanki.
  • Bilişim cihazları, doktorlardan, din görevlilerinden ve avukatlardan bile daha yakın kullanıcı vekilleridir.
    Cihazlarımızla çok daha mahrem bilgiler paylaşırız ve cihazlar olmadan sıradan bir hayat sürme becerimiz de çok daha azdır. Bilgisayarlar, diğer insanlarla ve dünyayla etkileşimlerimizin giderek daha büyük bölümüne aracılık ediyor; iletişim ve temel hizmetlere erişim için de gerekli. Evimize ve yatak odamıza kadar soktuğumuz şeyler olduklarından, kullanıcının en iyi çıkarı için hareket etmeli ve en azından kullanıcı aleyhine davranmamalıdırlar.
    Bu özel bir talep değil, temel varsayım olmalı. Özgür yazılım kavramı yeni ortaya çıktığında bile merkezinde kullanıcıya saygı vardı. Eskiden kullanıcıyı umursamama çoğunlukla rant arayışı, aşırı fiyatlandırma, özelliklere ve hatalara ilgisizlik, yazarı kayıran kurallar gibi şeylerdi. Yazılımın aktif ve kasıtlı olarak kullanıcıya karşı çalışabilmesi ihtimali vardı; inceleme, değiştirme ve paylaşma özgürlüğü de teoride bu riske yanıt veriyordu. Ama o zamanlar yaygın bir sorun değildi. Artık kullanıcıya aktif biçimde ihanet eden yazılımlar ve sistemler yaygınlaştı ve normalleşti; çoğu kişi de bunun farkına varmamış gibi görünüyor.

  • Bana göre artık çok geç kalınmış gibi görünüyor
    Büyük çoğunluğun bunu umursamadığı, hatta çoğunun bilmek bile istemediği izlenimi çok güçlü. Tanıdığım insanların çoğu da böyle; neden en yeni uygulamayı yüklemediğimi soruyorlar ama mahremiyet, bağımlılık, kaynaklara erişimin kaybı, onarım hakkı vb. konuları açıklamaya başlamadan sözümü kesiyorlar
    Kişisel olarak Gemini, Fediverse uygulamaları, Linux telefonlar gibi alternatifleri öğrenmeye mümkün olduğunca çok zaman ayırıyorum. Aynı zamanda banka gibi hayatî sayılabilecek hizmetlere özel kullandığım ayrı bir “ana akım” dizüstü bilgisayarım var; üzerine hiçbir şey kurmuyorum ve normalde kapalı tutuyorum

    • İnsanlar mahremiyet, bağımlılık, erişim kaybı ve onarım hakkından çok; plastik kirliliğini, yapısal eşitsizlik ve ırkçılığı, PFAS kaynaklı su kirliliğini, tarım ilaçları ve yüzey akışı nedeniyle ekosistemlerin yok oluşunu bile daha az umursuyor
      Hükümet ve yargının üst kademelerindeki yolsuzluk, gizli gözaltı merkezleri ve işkence, kâr uğruna yürütülen yasa dışı savaşlar da aynı şekilde. Olan biten her şeyle ilgilenmek imkânsız; insanların her şeyi bilmesini ya da umursamasını beklemek de mantıksız
      Üstelik çoğu vatandaş iki maaşını kaybetse yoksulluğa düşer. Buna karşılık lobicilerin karar vericilere erişimi ve nakit gücü var; somut değişiklikleri bastırıyorlar. Bu yapı tasarlanmış bir yapı ve Google da diğer şirketler gibi bundan yararlanıyor. “İnsanları” suçlamak, mağduru suçlamaktır
  • Yazıda Doctorow’un Secure Computing hakkındaki mükemmel alıntısı WEI’ye uygulanmış
    “Bilgisayarınızın sizin için yalan söylemesini isteseniz bile, bilgisayarın gerçeği söylemeye zorlanabilmesi gerekir mi? Bilgisayarınızın içinde, sizin kontrol edemediğiniz ve başka birinin uzaktan çalıştırabileceği bir cihaz olmalı mı?”
    Yerinde bir uygulama; kültüre ve her bireyin/kurumun geçmişte yöneticilerin suistimallerinden yaşadığı deneyimlere göre cevapların ayrışacağı temel bir soru. Kişisel olarak karşıyım

    • Doctorow bu konuda benden çok daha fazlasını biliyor ve düşünmüş olsa da benim cevabım görece basit
      Sökülemeyen lehimli bir çipin çekirdeğin vb. “gerçeğini” bildirdiği bir bağlamdan söz ediyorsak, bilgisayarın gerçeği söyleyip söylemediğini bilemeyeceğimizi düşünüyorum. DEF CON’a bir kez gitmek bile bunu anlamaya yeter. Her zaman içeri girmenin bir yolu vardır, her zaman bir hack vardır. Hacklemeyi ne kadar zorlaştırırsanız, DEF CON’daki tuhaf tipler o kadar daha fazla motive olur
      Ayrıca “başka biri” asla “sadece sizin istediğiniz kişiler” değildir. Buna mutlaka suçlular, sapık takipçiler ve otoriter hükümetler dâhil olur. Bu yüzden cevap basitçe “hayır”dır
    • Bu, otonom araçlardaki ikileme de biraz benziyor
      Otonom araç mutlaka sahibinin çıkarına hareket etmiyor da “doğru olanı”, yani gerçeği izliyorsa, kaçınılmaz bir çarpışma durumunda mevcut sahibin çıkarı, üreticinin çıkarı ve herkesin ortalama çıkarı arasında hangisine öncelik verileceği sorun olur
  • Google aslında en başından beri bir şeyi savunmuş değildi; do no evil büyük ölçüde pazarlamaydı
    Sadece 2010’lara bakmak bile yeterli
    https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
    “Kişisel veri toplamıyoruz”
    https://europe.googleblog.com/2010/04/data-collected-by-goog...
    “Aa, toplamışız”
    https://googleblog.blogspot.com/2010/05/wifi-data-collection...
    Google’ın ücret karteli de 2001’e kadar uzanıyor
    https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...

    • Açık bir ağdaki verileri kaydetmek, bağıran birini kaydetmeye benzer
  • Bu işin bir “yan etkisi”, Google’ın fiilen reklam engellemeyi engelleyebilecek hâle gelmesi
    Elbette birçok kişi bunun bir yan etki değil, nihai hedef olduğunu düşünecektir

    • Bu reklam engellemeyi nasıl engelliyor ki?
  • Herkes bunu DRM olarak doğal kabul ediyor gibi görünüyor
    Asıl iddia, web sitelerinin bu sinyali erişime izin vermek ya da erişimi reddetmek için kullanacağı; bu zaten çeşitli yollarla mümkün. Google ya da başka tarayıcı üreticileri, web sitelerinin bir özelliği nasıl kullanacağına veya kötüye kullanacağına karar veremez
    Dolandırıcılığı önlemek için kesin hüküm ve yüksek kapsama gerekir; ancak web sitelerinin belirli kanıtlayıcıları ya da kanıtlanamayan tarayıcıları dışlama riskiyle bir gerilim vardır. Bu risk zaten var ve gerçekten yaşanıyor. Yaygınlaşmamış olmasının nedeni imkânsız olması değil, popüler olmaması. Zorla kullanmanız gereken bankalar gibi siteler bunu her gün yapıyor; seçenek olmadığı için kabulleniliyor
    Pek çok yazı, bunun nasıl farklı olduğunu, Google’ın web sitelerinin kullanıcılara muamelesiyle ne ilgisi olduğunu ya da hangi çözümün bulunduğunu açıklamadan “DRM” iddiasını tekrarlıyor. Google girişimlerinin hepsinden şüphe etmek gerekir; ama burada eleştirel düşünce olmadan potansiyel kötüye kullanımı papağan gibi tekrarlamaktan başka bir şey görünmüyor. Bu konudaki yazılar yalnızca kelimelerin yerini değiştiriyor, değer katmıyor; yapay zeka ile otomatik üretilseler de faydaları benzer olur gibi görünüyor

    • Fark, şu anda yalan söyleyebiliyor olmanızda
      Hangi parmak izi alma tekniklerinin kullanıldığını anlayıp bunları aşabilirsiniz. Örneğin yt-dlp bunu bir ölçüde yapıyor. Android’de de root veya özel ROM’ları stok Android gibi göstererek banka uygulamalarını kullanmaya devam etmeye yönelik çok destek vardı. Ama uygulamanın kullandığı SafetyNet seviyesine bağlı olarak bu artık kelimenin tam anlamıyla imkânsız
      TPM tabanlı kanıtlamadan önce kendi cihazınızı kontrol edebiliyordunuz. Android SafetyNet kanıtlaması, özel ROM’ların sağlayamayacağı bir güven köküne dayandığı için aşılamaz. Kendi uygulamanızı sunabilseniz bile herkes yalnızca Google’ın sunduğunu destekliyorsa bunun anlamı yoktur. LineageOS’in de kendi SafetyNet uygulaması var, ama benimsenmesi neredeyse yok. WEI fiilen SafetyNet’in web’e genişletilmesidir ve temelde kendi cihazınız üzerindeki kontrolünüzü elinizden alması bakımından farklıdır
    • Bunun DRM olmasının nedeni, bu hamlenin açık hedefinin tam da bu olması
      Teklifin ilk hedefi, “web sunucularının cihazın gerçekliğini, yazılım yığınını ve cihazdan gelen trafiğin dürüst bir temsilini değerlendirebilmesini sağlamak.” Yani web sunucularının, kullanıcının seçtiği cihaz ve yazılım yığını üzerinden içeriğe erişim hakkını dijital olarak kısıtlamasına veya yönetmesine olanak vermek
      Bunun DRM olduğu gerçeğinden şüphe edilemez. Google bunun yalnızca botları ve kötüye kullanım trafiğini ayırt etmek için kullanılacağını iddia ediyor; ancak bu teknoloji kolayca kötüye kullanılabilir ve Google’ın bunu yapacak hem motivasyonu hem de kapasitesi var. “Nasıl bir çözüm öneriyorsun?” sorusu, sokakta biri başınıza silah dayayıp paranızı istediğinde, o kişinin elinde paramın olmaması sorununu nasıl çözerdiniz diye sormaya benziyor. Üstelik bu sorunu çözmeden önce silahı indirmesini isteyemeyeceğiniz koşulu da eklenmiş oluyor
    • Makul bir karşı görüş ortaya koymayı denemeye ne dersiniz?
      En iyi ihtimalle bile aşırı saf bir bakış açısı gibi görünüyor. İçerik kilitleme veya kullanıcı gözetimi için kullanılabilecek özellikler eninde sonunda öyle kullanılır. Bugün var olan her özellik için durum böyle; aksini iddia etmek neredeyse kötü niyetlidir
      “Tarayıcı üreticileri web sitelerinin kötüye kullanımından sorumlu değildir” deniyorsa, dosya sistemi, konum, kamera ve mikrofon erişimini izin penceresi olmadan varsayılan olarak açmak da olur mu? Java ve Flash’ı da geri getirelim o zaman. Web sitelerinin kötüye kullanması tarayıcı üreticisinin suçu değil ya
      Bu farklı. Tarayıcının çalıştığı ortama dair anlamlı bir kanıtlama, güvenli önyüklemeden başlayan tam bir güven zinciri olmadan elde edilemez; bu da Google’ın ve ziyaret edilen sitenin Google onaylı bootloader’ı, Google onaylı işletim sistemini, Google onaylı sürücüleri ve yazılımları doğrulamasına olanak verir. Daha da kötüsü, web sitesinin onayladığı yazılımlar bile istenebilir
    • “Google ya da tarayıcı üreticileri, web sitelerinin özelliği nasıl kullandığına karar veremez” sözü ciddi biçimde tuhaf
      Çocukların eline keskin bıçaklar ve dolu silahlar verip biri yaralanırsa şaşıracak mısınız? Bu özelliğin mümkün olmasına izin verirsek sonuçlarına hepimiz katlanmak zorunda kalırız. Bu sonuçların ne olacağı açıkça görünüyor. Aptalca davranmamak gerek
    • Google’ın YouTube’u var
      YouTube’da bir ürün yöneticisinin reklam engelleyicilerden doğan kaybı hesaplayıp Chrome ekibinden bunu engellemesini istediğini hayal etmek bu kadar mı zor?