- Google’ın Web Environment Integrity (WEI) önerisi, Chrome’un işletim sistemi ve yazılım durumuna ilişkin kurcalamaya dayanıklı bilgileri web sitelerine göndermesini sağlayarak, kullanıcıların kendi bilgisayarlarının ne söyleyeceğini kontrol etme yetkisini zayıflatabilir
- WEI, TPM veya secure enclave üzerinden uzaktan doğrulama (remote attestation) kullanarak web sitelerinin tarayıcı ve cihaz yapılandırmasını kullanıcının beyanıyla değil, kriptografik kanıtla doğrulamasını sağlar
- Reklam sahtekârlığını, ortadaki adam saldırılarını, oyun hilelerini, bot hesapları ve sahte yorumları azaltma gerekçesi sunulsa da gerçek faydanın ağırlıklı olarak ticari hizmet işletmecilerine gitmesi muhtemel
- Web siteleri WEI’yi kullanarak hoşlarına gitmeyen tarayıcıları veya işletim sistemlerini engelleyebilir; Google’ın önerdiği “Chrome kullanıcılarının küçük bir bölümüne WEI göndermeme” hafifletmesi tek başına dışlamayı önlemekte zorlanır
- Uzaktan doğrulama araçlarını tamamen yasaklamak gerekmez; ancak bunlar açık web içine yerleştirilmemeli ve kullanıcılar kendi bilgisayarları ile yazılımları hakkında ne söyleyeceklerine bizzat karar verebilmelidir
Google WEI’nin değiştirmek istediği tarayıcı ve web sitesi ilişkisi
- Google, Chrome’a kullanıcının işletim sistemi ve yazılım durumunu kurcalamaya dayanıklı bilgi olarak web sitelerine gönderen kod eklemek istiyor
- Reklam sahtekârlığını azaltacağı açıklamasının aksine, bu özellik kullanıcının kendi bilgisayarını kontrol etme becerisini azaltabilir
- Onaylanmış işletim sistemi ve tarayıcı kullanmayan kullanıcıların bazı web sitelerinde engellenmesi de mümkün
- Google çalışanlarının yazdığı gayriresmî açıklama belgesi, Web Environment Integrity (WEI)’nin yeni tarayıcılar için giriş engelini yükseltebileceğini kabul ediyor
Tarayıcının web sitelerine gönderdiği bilgiler
- Web tarayıcısı bir sunucuya bağlandığında cihaz ve tarayıcı bilgilerini otomatik olarak gönderir
- Örn: “Google Pixel 4 üzerinde Chrome 116.0.5845.61 kullanılıyor” gibi bilgiler
- Sunucu, yüklü yazı tipleri ve ekran boyutu gibi daha ayrıntılı bilgiler de isteyebilir
- Bu bilgiler, web sitesinin kullanıcı cihazına uygun dosya biçimi, çözünürlük ve düzen sunması için kullanılır
- Aynı bilgiler tarayıcı parmak izi çıkarma için de kullanılır
- Çerezleri veya diğer izlemeyi reddeden kullanıcılar, tarayıcı özelliklerinin birleşimiyle tanımlanabilir
- Bazı siteler, tarayıcı ve cihaz bilgilerine dayanarak farklı fiyat uygulayabilir veya kötü/aldatıcı teklifler sunabilir
Kullanıcıların yanlış veya rastgele bilgi gönderebilmesi neden gerekli
- Bugün tarayıcının web sitelerine gönderdiği bilgiler temelde gönüllüdür
- Kullanıcılar eklentiler, gizlilik araçları ve gelişmiş ayarlar aracılığıyla güvenmedikleri sitelere istedikleri bilgiyi gönderebilir
- Yalnızca bilgiyi göndermemek yeterli olmayabilir
- Çünkü bir hizmet cihaz bilgisini zorunlu tutup bunu sağlamayan kullanıcıları reddedebilir
- Gizlilik ve izleme önleme araçları bunun yerine makul görünen ama yanlış cihaz bilgileri gönderebilir
- Bu, hizmetlerin kullanıcının gizlilik tercihini gerekçe göstererek ayrımcılık yapmasını engelleyen bir yöntemdir
Uzaktan doğrulama ve güvenli bilişimin çalışma biçimi
- Modern bilgisayarların, tabletlerin ve telefonların çoğunda bir tür güvenli bilişim özelliği bulunur
- Erken dönem güvenli bilişim, Trusted Platform Module (TPM) adlı ayrı bir işlemci kullanıyordu; birçok cihaz ise secure enclave adlı güçlendirilmiş bir alt sistem kullanır
- Bu sistemler, önyükleme sürecinin her aşamasını izleyerek üreticinin sağladığı değiştirilmemiş kodun çalıştırıldığını doğrulayabilir
- Aynı süreç, kullanıcının bilerek farklı kod çalıştırmasını engellemek için de kullanılabilir
- Örn: özgür ve açık kaynaklı işletim sistemi
- Örn: gözetim özelliklerini devre dışı bırakacak veya üreticinin uygulama mağazası dışından yazılım kurulumuna izin verecek şekilde değiştirilmiş yazılım
- TPM ve secure enclave, kriptografik imzalama anahtarları içerir
- İşletim sistemi sürümü, uzantılar, yazılım ve bootloader gibi düşük seviyeli kod bilgilerini toplayabilir
- Bu bilgiyi kriptografik olarak imzalanmış bir kanıt (attestation) olarak sağlayabilir
- Uzak sunucu, kullanıcının tarayıcısının söylediğine inanmak yerine cihazın kriptografik kanıtını talep edebilir
Aşma ve araştırmayla gelen hukuki riskler
- Kullanıcı secure enclave veya TPM güvenliğini aşamazsa, doğrulama cihaz yapılandırmasının çok güvenilir bir göstergesi hâline gelir
- TPM veya secure enclave üzerinde değişiklik yapmak hukuken riskli olabilir
- DMCA Section 1201, patentler ve telif hakları, bu teknolojileri inceleyen teknik kişiler için hukuki ve cezai riskler yaratabilir
- Güvenlik özelliklerini devre dışı bırakma veya aşma yöntemlerini yayımlamak riski daha da artırır
- Aşma araçlarını dağıtmak, çok yıllı hapis cezaları dâhil ciddi cezai ve hukuki riskleri üstlenmeyi gerektirebilir
WEI’nin web için önerdiği uzaktan doğrulama
- WEI, sunucunun cihazdan uzaktan doğrulama isteyebilmesini sağlayan bir teknik öneridir
- İstek cihazın secure enclave’ine veya TPM’ine iletilir; cihaz da kriptografik olarak imzalanmış, yüksek güvenilirlikte bir cihaz açıklamasıyla yanıt verir
- Kullanıcı bu bilgiyi uzak sunucuya göndermeyebilir
- Ancak ihtiyaç duyduğunu düşündüğünde cihazı ve yazılımı hakkında değiştirilmiş bilgi veya rastgele bilgi gönderme becerisini kaybeder
Google’ın öne sürdüğü kullanım alanları ve sınırları
- Google mühendisleri WEI’nin çeşitli sorunları azaltabileceğini düşünüyor
- Gerçek bir kullanıcının tarayıcıyı elle mi kullandığını, yoksa bir botun hizmeti otomatik olarak mı manipüle ettiğini ayırt etme
- Reklam sahtekârlığını azaltarak yayıncı gelirini artırma ve bunun daha iyi içerik üretimine yol açabileceği beklentisi
- İki aşamalı kimlik doğrulamanın tek kullanımlık parolasını bile ele geçirip gerçek hizmet oturum açma akışına yerleştiren ortadaki adam saldırılarını önleme
- Oyunlarda rakibin değiştirilmemiş bir oyun çalıştırdığını ve hile kullanmadığını doğrulama
- Tarayıcı otomasyon araçlarını tespit edip engelleyerek sahte yorumlar veya bot hesapların toplu oluşturulması gibi sahtekârlıkları önleme
- Bu kullanım alanlarında bir miktar geçerlilik olabilir
- Ancak güvenlik sorunlarında gizlilik ihlali ve bireysel özerkliğin zedelenmesi, gerçek sorunların bir bölümünü sık sık hafifletebilir
- Bir mağazaya giren tüm müşterilere kelepçe takarsanız hırsızlık azalabilir; ama hırsızlık mağazanın sorunudur, tüm müşterilerin bedel ödemesi gereken bir sorun değildir
WEI tarayıcı ve işletim sistemi engellemek için kullanılabilir
- Google belgesindeki bir bölüm, web sitelerinin WEI’yi hoşlarına gitmeyen tarayıcıları ve işletim sistemlerini engellemek için kullanabileceğini kabul ediyor
- Google, hafifletme olarak Chrome WEI’yi uyguladıktan sonra bile normalde WEI bilgisi gönderebilecek bilgisayarların “küçük bir yüzdesinde” bu bilgiyi göndermemeyi değerlendirdiğini söylüyor
- Teoride, WEI’siz tarayıcıları engelleyen bir site bu küçük Chrome kullanıcı grubunu da engellemiş olacak ve kullanıcı şikâyetleri nedeniyle politikasını geri alabilecektir
- Ancak birçok web sitesi hangi tarayıcı ve işletim sisteminin kullanılacağını dayatmak isteyebilir
- Geçmişte “bu web sitesi en iyi Windows XP üzerinde Internet Explorer 6.0 ile çalışır” gibi örnekler de vardı
- Bazı web siteleri bu “küçük yüzde” içindeki kullanıcıları kaybetmenin maliyetini kabul edebilir
- Kullanıcılara tarayıcı verilerini sıfırlayıp ilgili sitede WEI etkinleşene kadar yeniden denemeleri de söylenebilir
Google’ın çıkar çatışması
- Google, “küçük yüzde”nin ne kadar olacağı konusunda çıkar çatışmasına sahiptir
- Oran çok düşük tutulursa daha fazla reklam tıklaması doğrulanabilir; bu da Google’ın reklam sahtekârlığıyla mücadele biriminin işine gelir
- Doğrulanmış reklam tıklamaları artarsa Google reklamları daha yüksek fiyata satabilir
- Oran yüksek tutulursa web sitelerinin dışlayıcı davranışlar uygulaması zorlaşır
- Ancak yüksek oran Google’a doğrudan fayda sağlamaz ve rakip tarayıcı yapmayı kolaylaştırır
- Bu hafifletme uygulansa bile Google’ın teşviki, açık web’i korumak için fazla düşük kalacak bir oran belirleme yönündedir
Kullanıcının kendi bilgisayarının sahibi olduğu ilkesi
- Bilgisayar kullanıcıya aittir ve kullanıcının talimat verdiği şekilde davranmalıdır
- Tersine mühendisliği ve bilgisayarın yeniden yapılandırılmasını engelleyen yasalar da sorundur; ancak az sayıda büyük web sitesinin internetin darboğazlarını kontrol ettiği koşullarda risk daha da büyür
- Az sayıda şirket alıcılar ile satıcılar, sanatçılar ile izleyiciler, çalışanlar ile işverenler, aileler ve topluluklar arasında geçit noktaları oluşturur
- Bu şirketler işlem yapmayı reddederse kullanıcının dijital hayatı durabilir
- Web, internette kalan son büyük açık platformdur
- Herkesin izin almadan veya başkalarının şartlarını karşılamak zorunda kalmadan tarayıcı ya da web sitesi yapıp katılabildiği bir platformdur
- Web siteleri “yalnızca onaylı teknoloji geçer” diyen sanal kontrol noktaları kursa bile, kullanıcıların sitenin duymak istediği yanıtı söyleme hakkı olmalıdır
WEI’nin amacı ve öngörülebilir kötüye kullanımı
- WEI önerenler, WEI’nin yalnızca iyi niyetli amaçlarla kullanılmasını istediklerini belirtiyor
- WEI’nin tarayıcı engellemek veya gizliliğini korumaya çalışan kullanıcıları dışlamak için kullanılmasını da açıkça eleştiriyorlar
- Ancak bilgisayar bilimciler bir teknolojinin gerçekte nasıl kullanılacağını belirleyemez
- Web’e doğrulama eklemek, şirketlerin bunu kullanıcıların cihazlarını yapılandırma hakkına saldırmak için kullanması riskini yeterince öngörülebilir kılar
- Bu risk, kullanıcıların ihtiyaçları teknoloji şirketlerinin ticari öncelikleriyle çatıştığında özellikle büyür
- WEI oluşturulmamalı; oluşturulsa bile kullanılmamalıdır
Uzaktan doğrulama teknolojisine nasıl yaklaşılmalı
- Uzaktan doğrulamanın kendisi yasaklanmamalı
- Kod bir ifade biçimidir ve herkesin uzaktan doğrulama araçlarını araştırma, anlama ve oluşturma özgürlüğü olmalıdır
- Uzaktan doğrulama araçlarının dağıtık sistemler içinde kullanım alanları olabilir
- Oy makinesi üreticisi, sahadaki cihaz yapılandırmasını doğrulamak için kullanabilir
- Risk altındaki bir insan hakları aktivisti, devlet destekli kötü amaçlı yazılım bulaşıp bulaşmadığını değerlendirmesine yardımcı olması için güvendiği bir teknik kişiye uzaktan doğrulama gönderebilir
- Ancak bu araçlar web’e eklenmemelidir
- Açık platformlarda uzaktan doğrulama uygun değildir
- Kullanıcılar kendi bilgisayarları ve yazılımları hakkında başkalarına ne söyleyecekleri konusunda nihai karar hakkına sahip olmalıdır
Şirket sorunlarından önce kullanıcı özerkliği gelir
- Reklam sahtekârlığı nedeniyle geliri etkilenen şirketlerin, hilecilerle mücadele eden oyun şirketlerinin ve bot sorunu yaşayan hizmetlerin zorlukları anlaşılabilir
- Ancak bu sorunları çözmek, teknoloji kullanıcılarının haklarının önüne geçemez
- Kullanıcılar bilgisayarlarının nasıl çalışacağını ve o bilgisayarın başkalarına ne söyleyeceğini seçme hakkına sahiptir
- Kendi cihazını kontrol etme hakkı, dijital dünyadaki tüm yurttaşlık haklarının temel unsurudur
- Açık web zarardan çok fayda sağlar
- Devasa ve tekelci şirketlerin kullanıcıların teknoloji tercihlerini tersine çevirmesine izin verilirse şirket sorunları çözülebilir, ancak kullanıcı sorunları çözülmez
1 yorum
Hacker News yorumları
Bir güvenlik mühendisi olarak yaşadığım gerçekçi deneyimlerin, bunun neden kötü bir yöne varacağını anlamaya yardımcı olacağını düşünüyorum
Bankalar, hacklenmenin maliyeti astronomik olduğu ve düzenlemeler onları “mümkün olduğunca güvenli” yapmayı gerektirdiği için güvenliğe karşı çok hassas kuruluşlardır
Bankalar açık web’den ya da Linux kullanıcılarından nefret ettikleri için WEI’yi benimsemeye çalışmayacak; benimsemezlerse “güvenlik için yapılabilecek her şeyi yapmadılar” diye bir sorumluluk sorunu doğabileceği ve bunun davalara, düzenleyici cezalara ve sigorta primlerinin artmasına yol açabileceği için benimseyecekler
Şu anda WEI olmadığı için bir gereklilik değil; ama bir kez ortaya çıktığında standart uygulama hâline gelme olasılığı yüksek ve buna karşı çıkanlar, CCTV’ye mahremiyet ihlali diye karşı çıkan insanlar gibi gerçekçilikten uzak görünebilir
Yakında Cloudflare gibi CDN’ler bunu tek bir onay kutusuyla sunacak ve site sahiplerinin emanet sorumluluğu gereği bunu kapatması zorlaşacak
2 yıl öncesine kadar IE7 kullanıyorduk; işlerin önemli bir kısmı hâlâ Excel dosyalarının e-postayla gidip gelmesi şeklinde yürütülüyor ve gelen e-postada Excel eki bulunması gerçeğin kendisi geçerlilik kanıtı gibi kabul ediliyor
Kimlik doğrulamasız bir SMTP relay de çalıştırılıyordu; gerçek güvenlik görmezden gelinirken iş dizüstülerinde Windows zorunlu tutuluyordu
Bunun nedeni, sistemdeki tüm jar’ları özyinelemeli olarak açıp log4shell arayan, tercih edilen RAT PowerShell betiğini çalıştırmaktı; hâlâ da böyle yapılıyor
Bu kuralları ve uygulamaları oluşturan kişiler, Danimarka merkez bankasının ödeme mutabakatı için kritik sistemlerini de işletiyor
Bankalar güvenli olmaktan ziyade muhafazakâr ve politiktir; güvenlik tiyatrosunu sürdürmek için insanların işini zorlaştırırlar ama gerçekte bu daha çok bir dış kabuktan ibarettir
WEI’yi kesinlikle benimseyecekler, ama güvenlik getirmeyecek
Yine de bankaların insanların parasını koruma konusunda sicili oldukça iyi; bu da şüpheli işlemlerin uyum görevlileri tarafından elle incelendiği katmanlı savunma sayesinde
Birçok büyük kurum hâlâ yalnızca SMS ile iki aşamalı kimlik doğrulama destekliyor ve o bile zorunlu hâle geleli çok olmadı
Bu yüzden bu teknoloji yayılsa bile banka hesaplarında bunu ilk değil, neredeyse en son zorunlu kılacaklarını düşünüyorum
Kredi kartlarının korkunç derecede güvensiz olması da benzer bağlamda değerlendirilebilir
Bunun nedeni ilgisizlik değil; teknik önlemleri genel güvenlik stratejisinin küçük bir parçası olarak görmeleri, çevrimiçi erişimi de işin küçük bir bölümü ve temelde güvenilmez bir alan olarak değerlendirmeleri
Web’in büyük kısmı kimliği doğrulanmış kullanıcılara güvenir; bankalar ise kimliği doğrulanmış kullanıcıya da genelde güvenmez ve her eylemi potansiyel risk olarak gördükleri için kimlik doğrulamanın kendisini güçlendirmeye verdikleri öncelik görece düşüktür
Web arayüzü olsa bile giriş yapmak için mobil uygulama gerekiyor
Ancak muhaliflerin “gerçekçilikten uzak görüneceği ve o pozisyonda uzun süre kalamayacağı” kısmından emin değilim
Kitlesel gözetime karşı çıkan insanlar çoğunluğa gerçekçilikten uzak görünmüyor, ayrıca tutumlarını da değiştirmiyorlar
Az sayıda şirketin alıcılarla satıcılar, sanatçılarla izleyiciler, işçilerle işverenler, ailelerle topluluklar arasındaki darboğaz noktalarını ele geçirdiğini ve bunlar işlem yapmayı reddederse dijital hayatın durduğunu söyleyen kısa paragraf, içine sürüklendiğimiz tuhaf durumu iyi özetliyor
Olumsuz etkilenen paydaşlar fiilen toplumun neredeyse tamamı; bu tür kapı bekçilerinin de ele geçirilmiş siyasetçiler ya da maaşlı görevliler, dışsallıkları görmezden gelen piyasalar gibi doğal müttefikleri var
Buna rağmen neredeyse sınırsız mali, siyasi ve entelektüel kaynaklara sahip bütün bir toplumu dize getirebilmeleri tuhaf
Sistem ölçeğinde zihin kontrolü zaten işliyormuş gibi görünecek kadar
Bence bütün toplumun tehdit edilmesinden çok, çoğunluk bununla ilgilenmiyor
O kadar çılgın bir şey değil; zihin kontrolü değil, eski usul kayıtsızlık ve cehalet
Genel olarak katılıyorum, ama bir noktayı belirtmek gerekirse TPM, Technical Protection Module değil; Trusted Platform Module’ün kısaltmasıdır
FSF kadar ileri gitmezler ama yorum katma eğilimleri vardır; bu olayda da biri iğneleme yapmak istemiş gibi geliyor
Yine de TPM hakkında bir hata ya da diğer kısaltmalarda olduğu gibi alternatif bir açılım getirme girişimi gibi görünüyor
Şeytanın avukatlığını yapacak olursak, bu teknoloji zaten var; mesele tarayıcıda istemci kanıtlama yapılıp yapılmayacağı ya da uzaktan kanıtlama yokmuş gibi davranılıp davranılmayacağı
Reddedilirse “güvenilir istemci” gerektiren hizmetler web uygulamalarını terk edip iOS/Android uygulamalarına dayanabilir
WEI’yi savunmaya çalışmıyorum ama Google’ın bunu Chrome’da uygulamamasıyla sorun sihirli şekilde ortadan kalkmayacak; sadece başka bir yere taşınacak
Asıl mücadele en başta TPM uygulanırken verilmeliydi
Bu, yalnızca Microsoft’un Secure Boot anahtar yetkisine sahip olmasına benziyor
Mobil cihazlarda zaten güvenli alan, güvenlik işlemcisi, SIM kartın kriptografik özellikleri gibi pek çok kanıtlama yeteneği var
Keyfi kurallara göre teknik bilgisi yüksek kişileri gündelik internetten dışlamak için kaçınılmaz olarak kötüye kullanılacak bir teknolojiye ihtiyacımız yok
Denetim ve denge yok; kullanıcıya dayatılan çok geniş bir yetki paketi var
Bu bir öneri ya da deney değil, zorla itme girişimi
Web’in mobil ve native uygulamalardan neden farklı olduğunu, istemci kanıtlama gibi API’lerin mobil ortamda mümkün olsa bile web platformunda uygulandığında neden zararlı olduğunu iyi açıklıyor
Örneğin WEI önerisi, “web sayfası ziyareti güvenli olmalıdır” ilkesini (https://www.w3.org/TR/design-principles/#safe-to-browse) ihlal ediyor
Yeni özellikler, kullanıcıların web sayfası ziyaretinin genelde güvenli olduğuna dair beklentisini koruyacak şekilde tasarlanmalı
Web’in canlı kalması için kullanıcılar, herhangi bir bağlantıyı ziyaret etmenin bilgisayar güvenliği veya mahremiyetinin temel yönleri üzerinde etkisi olmayacağını bekleyebilmelidir
Örneğin herhangi bir web sitesinin yardımcı teknoloji kullanılıp kullanılmadığını tespit edebilmesini sağlayan bir API, bu teknolojilerin kullanıcılarına bilmedikleri bir sayfayı ziyaret etmeyi riskli hissettirebilir
Bu güvenlik beklentisi gerçekçiyse kullanıcılar web tabanlı teknolojiler ile diğer teknolojiler arasında informed decision verebilir
Native uygulama yüklemek web sayfası ziyaretinden daha riskli olduğundan, kullanıcı uygulama yüklemek yerine web tabanlı bir yemek sipariş sayfasını seçebilir
Teknolojiye çok hâkim olmayan ama temkinli kullanıcılar arasında, en çok güvendikleri kaynaklar dışında mobil uygulama yüklemeyi kesinlikle reddeden çok kişi var; bu ilke, kullanıcıların neden hâlâ web’i tercih ettiğini değerlendirmek için iyi bir çerçeve sunuyor
Eskiden Venmo’nun eksiksiz bir web uygulaması vardı, ama artık web üzerinden para gönderip almak mümkün değil
Chase’in birçok özelliği de yalnızca telefon için
Üstelik bu uygulamaların önemli bir kısmı, tespit edebiliyorsa jailbreak yapılmış iPhone’ları veya root’lanmış Android’leri engelliyor
Banka isterse erişimim basitçe engellenecek
Kanıtlama daemon’u da yok; olsa bile banka buna güvenmeyecektir
Firefox eklese bile benim bilgisayarımda yine çalışmayacak
İnsanlar sadece tarayıcıdan bahsediyor ama ben reklam yazılımı ve casus yazılım yerleşik olmayan bir işletim sistemini kullanmaya devam etmek istiyorum
Sahip olduğum bilgisayar benim kontrolüm altında; uzaktan kanıtlama işlevi de tam olarak bu kontrolü engellemek için var
Temel sorun bu
Bankalar veya aracı kurumlar bunu uygularsa, özel yeni bir bilgisayar almam ya da bankacılık işlemlerini yalnızca telefonla veya yüz yüze yapmam gerekir
Bu büyük bir israf ve güvenliğe de yardımcı olmaz; ama bir kez var olduğunda bankaların uyacağı kontrol listesine girecek
Buradaki hedef istemci kanıtlamanın kullanıldığı alanı genişletmek değil, daraltmak
En küçük azalma bile bir zaferdir; önce tarayıcıdan çıkarıp sonra uygulamaların native kanıtlamasıyla ilgilenebiliriz
“Reddederseniz hizmetler native uygulamalara gider” argümanı EME zamanında da aynen ortaya atılmıştı
Artık EME’nin etkilerine bakabiliyoruz: native uygulamalara geçişi engellemedi, Netflix gibi şirketler EME’yi uygularken zaten getirecekleri kısıtlamaların çoğunu yine sürdürdü ve tarayıcı çeşitliliğine zarar verdi
Web’de “bunu yapmayacağız” demek korkutucu gelebilir, ama korkutmaya boyun eğmenin işe yaramadığını zaten deneyimledik
Native’e gitmek isteyen siteler gidecek; tek başına WEI, bir işletmenin web’de kalması ya da ayrılması için ticari gerekçe olmayacak
Yalnızca native’e geçmek isteyenler WEI ortaya çıkınca birden web sitesi yapmayacak; zaten yapacakları şeyi yaparken kullanıcı özerkliğini sınırlayan araç kutularına WEI’yi de ekleyecekler
İstemci kanıtlamaya dayanmak isteyen şirketlerin web varlığından vazgeçmeye zorlanması iyi bir şey; web’in gücü hafife alınıyor
WEI’yi desteklememek web’i öldürmez
EFF yazısını önermek de iyi, ama bu tür kampanyalara yardım etmek için doğrudan bağış da yapabilirsiniz
Güzel ürünler de yapıyorlar: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Google’ın reklam dolandırıcılığını azaltıp reklam işine yardımcı olmaya neden önem vermem gerektiğini bilmiyorum
Bu Google’ın sorunu; Google daha fazla para kazansın diye kişisel bilgisayar bilgilerimin üçüncü taraflara aktarılmasına dahil olmam için hiçbir neden yok
WEI, eski telefon ağında bireylerin kendi telefonlarına sahip olup bunları ağa bağlamalarının engellenmesine biraz benziyor
Sonunda hükümet bunu yasa dışı ilan etmişti
Bu konuda şimdiye kadar okuduğum en ayrıntılı ve dengeli yazılardan biri.
Ancak diğer yazılar gibi Web Environment Integrity hakkında çok önemli bir açıklamayı atlıyor.
Bu, web’in bir parçası değil.
Tamamen Google Chrome özelliği için hazırlanmış bir Google taslağı; Google W3C üyesi olsa da bunu üyelik sıfatıyla yapmıyor.
Google’ın çıkarlarına fazlasıyla dar biçimde bağlı olduğu için, böyle bir önerinin bir çalışma grubu tüzüğüne kadar bile gitmesinin zor olduğunu düşünüyorum.
Web için tehdit oluşturmasının tek nedeni, Google’ın zaten tekele yaklaşan ezici pazar hâkimiyeti.
Bu tür belgelerde “Web” teriminin öne çıkarılmasının, web’in açıklığına uzun vadeli zarar verme riski taşıyan kısa vadeli çıkarlardan kaçınmak için sağlam süreçlere[1] sahip W3C’nin itibarını zedelemesinden endişe ediyorum.
[1]: https://www.w3.org/Consortium/Process/
Çok iyi yazılmış bir açıklama. Bu tür açıklamaları daha sık görmeyi isterim.
İnsanlar bunu reklam engelleyici kontrolü olarak anlamış gibi görünüyor, oysa asıl öneri tarayıcı uzantılarının WEI ile hiçbir ilgisi olmadığını açıkça belirtiyordu.
WEI, mevcut işletim sistemi ve TPM tabanlı kanıtlama API’lerini çağırıp bu kanıtlama durumunu siteye sunmaktan ibaret.
Hâlâ şifreleme karşıtlarının “çocukları düşünün” demesine benziyor.
WEI’nin web sitesi işletmecilerinin davranışını sihirli biçimde nasıl değiştireceğine dair hâlâ bir açıklama görmüyorum.
İşletmeciler zaten istemedikleri istemcileri engelleyebiliyor, ancak bunu “açık interneti” fiilen baltalayacak ölçüde yapmıyorlar.
Apple uygulamazsa WEI anlamsız olur; mevcut tartışmanın Apple üzerindeki tek etkisi de muhtemelen bu tercihi kamuoyuna nasıl sunacağı olur.
Bilgisayarıma hâlâ ona söylediğim şeyi söyletebildiğim için, ne söyleyeceğini belirleyen küçük bir Firefox uzantısı yaptım.
Çocukça ve önemsiz ama bazen haklarını kullanmak iyi hissettiriyor.
[1] https://github.com/rogual/wei-gfy