2 puan yazan GN⁺ 2023-07-25 | 1 yorum | WhatsApp'ta paylaş
  • Google çalışanı 4 kişi tarafından yazılan Web Environment Integrity API, web sitelerinin ziyaretçinin tarayıcı çalışma ortamına güvenilip güvenilemeyeceğini doğrulamasını amaçlayan bir öneri; Chrome’da test için bir prototip de geliştiriliyor
  • Temel kullanım alanı botları ve değiştirilmiş ortamları elemek için ortam doğrulaması; reklam gösterimi ölçümü, sosyal ağlarda bot engelleme, fikrî mülkiyet koruması, web oyunlarında hile önleme ve finansal işlem güvenliğinde kullanılabilir
  • Öneri, Apple App Attest ve Android Play Integrity API’den esinleniyor; Ars Technica bunu, root’lanmış cihazlarda uygulama erişiminin engellendiği yapının web’e taşınması yönünde bir eğilim olarak görüyor
  • Bir web sunucusu içerik sunmadan önce doğrulama isterse, tarayıcı üçüncü taraf bir doğrulama sunucusunda testlerden geçip imzalı bir IntegrityToken alarak bunu sunuyor
  • Belge, parmak izi takibi, eklentileri engelleme veya satıcıları dışlamayı hedeflemediğini söylese de GitHub issue’ları, Hacker News ve Louis Rossmann üzerinden güçlü bir tepki yayılıyor

Web Environment Integrity API ne yapmaya çalışıyor?

  • Web Environment Integrity API önerisi, web sitelerinin kullanıcının istemci ortamına güvenilip güvenilemeyeceğini doğrulamasını hedefleyen bir web standardı önerisi
  • explainer, Google çalışanı 4 kişi tarafından yazıldı; bunlardan en az 1’i Chrome’un Privacy Sandbox ekibinde yer alıyor
  • Varsayım şu: web siteleri, kullanıcı verilerini ve fikrî mülkiyeti korumak ve gerçekten bir insan tarafından kullanılıp kullanılmadığını belirlemek için kullanıcının ortamına güvenebilmelidir
  • Başlıca kullanım senaryoları şöyle
    • Reklamverenlerin reklam gösterimi ölçüm doğruluğunu artırma
    • Sosyal ağlarda bot engelleme
    • Fikrî mülkiyet haklarını uygulama
    • Web oyunlarında hileyi önleme
    • Finansal işlem güvenliğini güçlendirme

Play Integrity web’e taşındığında duyulan kaygılar

  • Öneri belgesi, Apple’ın App Attest ve Android’in Play Integrity API gibi mevcut native doğrulama sinyallerinden ilham aldığını belirtiyor
  • Play Integrity, eski SafetyNet; uygulamaların cihazın root’lanıp root’lanmadığını kontrol etmesini sağlayan bir Android API’si
  • Root işlemi, kullanıcının satın aldığı cihaz üzerinde tam kontrol elde etmesinin bir yolu; ancak root’lanmış bir cihaz Android Integrity API tarafından işaretlenirse bazı uygulamalar çalışmayı reddedebilir
    • Banka uygulamaları, Google Wallet, çevrimiçi oyunlar, Snapchat ve Netflix gibi bazı medya uygulamalarına erişim engellenebilir
    • Root erişimi oyunlarda hile yapmak veya banka verilerini oltalamak için kullanılabilir; ancak cihazı özelleştirme, ön yüklü uygulamaları kaldırma ve yedekleme sistemi kurma için de kullanılır
  • Ars Technica’nın eleştirisi, Google’ın bu erişim kontrolü yapısını web’e de getirmeye çalıştığı noktasına odaklanıyor

Önerilen doğrulama akışı

  • Bir web sayfası işlemi sırasında web sunucusu, verileri sunmadan önce kullanıcının environment attestation testinden geçmesini isteyebilir
  • Bu sırada tarayıcı bir üçüncü taraf doğrulama sunucusuna bağlanır ve bir tür test gerçekleştirir
  • Testi geçerse tarayıcı, ortamın değiştirilmediğini ve kilidi açılmak istenen içeriğe işaret ettiğini gösteren imzalı bir IntegrityToken alır
  • Kullanıcı bu token’ı web sunucusuna geri gönderir; web sunucusu ilgili doğrulama şirketine güveniyorsa içeriğe erişim açılır
  • Yapının kendisi sıradan bir API gibi görünse de gerçek web’de web sitesinin Google, tarayıcının Chrome ve doğrulama sunucusunun da Google olabileceği endişesi sürüyor

Belgenin sınır çizdiği noktalar ve süren tartışma

  • Öneriyi yazanlar, API’nin insanları benzersiz biçimde parmak iziyle takip etmek için kullanılmaması gerektiğini düşünüyor
  • Aynı zamanda fiziksel cihazlara hız sınırı uygulayabilecek bir tür göstergenin gerekli olduğunu belirtiyorlar
  • “non-goals” bölümü, eklentiler ve uzantılar dâhil tarayıcı işlevlerini engellemeyeceğini söylüyor
  • Ars Technica bunu, reklam engelleyicileri öldürmeyeceğine dair dolaylı bir ifade olarak yorumluyor
    • Önerinin hedefleri arasında reklamlara daha iyi destek verilmesi de var
    • Chrome’da, uzantı API’lerinin davranışını değiştirerek web sayfası içeriğini değiştirme kabiliyetini azaltan Manifest V3 planı zaten bulunuyor
  • Önerinin hedefleri arasında diğer satıcıları dışlamamak da yer alıyor

Kamusal tepki ve Chrome prototipi

  • Google bu fikri kamuya açık biçimde çok fazla tanıtmadı; belge de resmi bir Google deposunda değil, çalışanların kişisel GitHub hesaplarında duruyor
  • Doğrulanabilen en erken öneri Nisan 2022 tarihli
  • Hafta sonu güncellenmiş spesifikasyon yayımlandıktan sonra Hacker News ve cihaz tamiri YouTuber’ı Louis Rossmann üzerinden yayıldı
  • GitHub issue’larında güçlü tepkiler sürüyor
    • Issue #134, bu fikri “kesinlikle etik dışı ve açık web’e aykırı” diye eleştiriyor
    • Issue #113, “Bunun önerilmiş olmasına bile inanamıyorum” tepkisini veriyor
    • Issue #127, “Kötü adamların siz olduğu hiç aklınıza geldi mi?” diye yazıyor
  • API hâlâ öneri aşamasında; ancak Google, Mayıs 2023’te Chromium blink-dev’e intent to prototype göndererek Chrome içinde test amaçlı bir uygulama üzerinde çalıştığını duyurdu
  • Özellik geliştirme takip sayfası chromestatus.com üzerinde yer alıyor

1 yorum

 
GN⁺ 2023-07-25
Hacker News yorumları
  • Google, tüm kullanıcıların nefret ettiği bir şey yaptığında kimse bunu engelleyemiyorsa, şirketin bölünmesi fikrinin oldukça ikna edici hâle geldiği nokta burasıdır
    Google’ın pazar hâkimiyeti çok fazla büyümüş görünüyor

    • Aslında tüm kullanıcıların bundan nefret ettiği hiç de doğru değil gibi. Çevremde teknik konulara oldukça hâkim pek çok kişi, hatta bazı yazılım geliştiriciler bile Chrome kullanıyor ve Google ne yaparsa yapsın pek umursamıyor
      “manifest v3” dediğinizde boş boş bakıyorlar; reklam ya da reklam engelleyicilerden söz etseniz de çoğunun pek ilgisini çekmiyor, hatta reklam engelleyici hiç kullanmayanlar da var
      HN gibi yerler gerçekten bir balonun içinde. Çoğu kişi gizliliği, üzerinde neredeyse hiç kontrolü olmayan soyut bir şey olarak görüyor ve genel olarak kabulleniyor
      “Çocukları korumalıyız” gibi gerekçelerle devletin gizliliği zayıflatmasını da, kişisel veriler karşılığında ücretsiz hizmet aldıkları gerekçesiyle şirketlerin gizliliği zayıflatmasını da kabullenenler var
      Acı gerçek bu. İnsanlar bu konulara gerçekten güçlü biçimde önem verseydi neden bu kadar az değişim olduğunu anlamak zor olurdu; ama Firefox gibi yeterli bir alternatif varken bile neredeyse hiç kullanılmadığını görünce şaşırmamak gerek. Çoğunun umurunda değil
    • Müşterilerin nefret ettiği şeyleri yapmak çoğu teknoloji şirketinin varsayılan çalışma biçimi ve buna karşı yapılabilecek pek bir şey de yok
      Örneğin Apple kullanıcıların aleyhine bir donanım değişikliği yaptığında, büyük Android üreticileri birkaç ay içinde onu takip ediyor[0]. Sonraki seçenek ise size başka dertler çıkaracak Çinli niş telefon üreticilerinden biri oluyor
      Şu anda Google ile neredeyse tamamen bağımı koparmış durumdayım. Telefon gereksinimlerim nedeniyle Google Play Services olmayan bir telefon kullanmaya başladım ve Google’ın baskın olmadığı bir ülkede yaşıyorum. Arada bir yalnızca YouTube kaldı. Eski Google Photos arşivimi Photos’tan dışa aktarabilsem iyi olurdu ama Takeout dışa aktarması sürekli hata veriyor
      [0]: Google’da çalıştığım dönemde, büyük bir şirket içi mühendislik e-posta listesinde biri doğrudan “Pixel’den kulaklık girişinin kaldırılması Apple yüzünden mi?” diye sordu; ürün ekibinin yanıtı ise nihayetinde “evet” anlamına gelen muğlak bir kelime oyunuydu
    • Biri “Safari yeni IE” dediği her seferinde tam da bu nokta yüzünden gözlerimi deviriyorum. Safari’nin yalnızca bazı web sitelerinin kullandığı birkaç özelliği eksik bırakmasındansa, baskın tarayıcı şirketinin web’i herkes için aktif biçimde daha kötü hâle getiren yeni bir “standart” yaratabilmesi çok daha büyük bir sorun
      Daha doğrusu “kalitesiz reklamcılar hariç herkes” için kötü
    • Bu önerinin tuhaf çıkarımları var ve ekonomik olarak da uygulanabilir bir gelecek gibi görünmüyor
      EME’den farklı olarak Web Integrity API üçüncü taraf bir hizmet gerektiriyor; yalnızca bakım maliyeti değil, bu denetimi kırmaya çalışan hacker’larla süren silahlanma yarışına karşılık vermek için sürekli geliştirme maliyeti de gerekiyor
      Düzgün çalışan bir doğrulama sektörü olsaydı, birden çok doğrulama sunucusu fiyat rekabetine girerek kullanıcıları doğrular ve ağın verimli ve sağlam olmasını sağlardı; ancak bunun gerçekleşmesini zor görüyorum. İyi bir doğrulama için desteklenen her tarayıcıda son derece karmaşık teknoloji gerekiyor ve anlamlı tarayıcı geliştirmesi yaparken aynı zamanda doğrulama sunucusu da işletmek isteyen şirket fiilen yalnızca bir tane
      Tekelleşmiş bir doğrulama sektöründe Google, internetteki tüm DRM korumalı medya için tek hata noktası hâline gelir. Google çökerse Netflix, Hulu, HBO vb. de onaylı Chrome sürümünü doğrulayamayacağı için birlikte çöker. Ayrıca Google ücretleri ve politikaları tek taraflı değiştirebileceğinden diğer şirketler üzerinde muazzam bir kaldıraç elde eder; şirketlerin kendilerini böyle bir konuma sokmamak için teşviki vardır
      Tüm medya sektörü, internet medyasının tek desteklenen tarayıcısı olarak Google Chrome’u kabul edip Google’a böyle bir pazar gücü ve kaldıraç verirse bu işleyebilir. Ancak dünyadaki tüm büyük düzenleyici kurumların bundan kaçırılabileceğine inanmak zor; pazar kontrolünde anlamlı bir delik varsa bu plan işlemez
    • Şirket bölme, özellikle de böylesine devasa bir şirketle yaklaşık 400 milyon dolarlık bütçeye sahip bir kurumun uğraşması gerektiğinde aşırı derecede zor
      Üstelik Google, Microsoft, Apple, Amazon gibi diğer devleri göstererek bunun tekelci davranış olmadığını savunabilir. Ocak ayındaki davada reklam işinin bölünmesini engellemek için yaptığı gibi
      Buna ek olarak birçok kullanıcının umursamaması da sorun. Sağladığı kolaylık çok büyük ve yalnızca Google gibi şirketler değil, Walmart gibi diğer dev şirketler de kamuoyunu değiştirmeyi çok kolay buluyor
  • Projenin amacı “web’in öte tarafındaki kişiyi daha iyi anlamak” denirken, giriş metni bu verilerin reklam gösterimi sayımı, sosyal ağlarda bot engelleme, fikrî mülkiyet haklarının uygulanması ve web oyunlarında hileyi önleme için yararlı olduğunu söylüyor
    Defol Google. Tarayıcının amacı bana web sayfaları göstermek; benim hakkımda bilgi toplamak değil

    • Google tarayıcı pazar payında önde kaldığı sürece bunu umursamayacak ve bu asla değişmeyecek
  • WEI önerisinin kullanım amacı, açıklama belgesine (https://github.com/RupertBenWiser/Web-Environment-Integrity/) bakınca bile oldukça net
    Google, “istemci kodunun çalıştığı ortamla ilgili temel gerçekleri kanıtlayan bir token talep edebilir”
    Google, “kanıtlayıcının döndürdüğü karara güvenip güvenmeyeceğine dair nihai kararı” verir
    Google’ın “cihazın gerçekliğini ve yazılım yığını ile cihaz trafiğinin dürüst bir temsilini değerlendirmesine” olanak tanır
    Niyeti daha açık kılmak için özgün metindeki “web sitesi” ve “web sunucusu” ifadelerini “Google” diye okuyarak değiştirdim
    Google bir tarayıcıda neden böyle bir yetenek istesin? Ne yapmaya çalışıyor? Sonraki adım ne?
    Google’da bir pazarlama yöneticisi olsaydım, “reklamlardan daha fazla para kazanabilmek için web tarayıcısını kilitlememiz gerekiyor” derdim
    “Reklam engelleyicileri engellemeliyiz. Yeni WEI API, bir reklam engelleyicinin çalışmadığını, reklamların göründüğünü ve DRM’in ihlal edilmediğini garanti edecek”
    “Reklam sahtekârlığını da engellemek istiyoruz. WEI ile reklam tıklamalarının normal olduğunu ve insanların reklamları gördüğünü garanti edebiliriz. Chromebook ve Android telefonlarda olduğu gibi işletim sistemini kontrol edemiyorsak, web tarayıcısını kriptografik kesinlikle kontrol etmeliyiz”

    1. adım, tarayıcıların Web Environment Integrity’yi benimseyip uygulamasını sağlamak
    2. adım, tüm Google web sitelerinin Web Environment Integrity kullanımını şart koşması, aksi hâlde erişimi engellemesi
    3. adım, Google reklamları sunan tüm web sitelerinin Web Environment Integrity kullanımını şart koşması
    4. adım, kâr!
      Web Environment Integrity, web’in daha fazla DRM’leşmesinin ve enshittification’ının başlangıcıdır
    • “Sahtekârlık önleme kullanım alanları için gerekli kesin kararların ve yüksek kapsama oranının faydası ile web sitelerinin bu özelliği belirli kanıtlayıcıları veya kanıtlanamayan tarayıcıları dışlamak için kullanma riski arasında bir gerilim var. Bu konudaki tartışmaları sabırsızlıkla bekliyoruz ve kararların kesin şekilde sunulmadığı durumlarda (örn. direnen kullanıcılar) bile ciddi bir ek değer olduğunu kabul ediyoruz”
      Endişelenmeye gerek yok. Direnen kullanıcıları bile düşünüyorlar
    • Açıklama belgesindeki şu paragraf gözüme çarptı
      “Kullanıcılar, oluşturması ve sürdürmesi pahalı olan web sitelerini ziyaret etmeyi sever; ancak çoğu zaman bunu doğrudan ödeme yapmadan yapmak ister veya buna ihtiyaç duyar. Bu tür web siteleri reklamlarla finanse edilir, fakat reklamverenler maliyeti ancak reklamları robotlar değil insanlar gördüğünde karşılayabilir. Bu yüzden insan kullanıcıların web sitelerine insan olduklarını kanıtlaması gerekir; bu da bazen challenge veya oturum açma gibi işlemlerle yapılır”
      İfade ediliş biçimi, haber sitelerinin ödeme yapmayan kullanıcıları engellemesine imkân tanıyormuş gibi; ancak Internet Archive, diğer web sayfası arşivleri, Reader modu vb. de hedef alınmış olacak
    • “AWS konsoluna erişmeye çalışıyorsunuz, dizüstü bilgisayarınız yamalı mı?” gibi şekillerde kullanılabilir
  • blink-dev tartışmasında şu kısım gözüme çarptı
    “Verebileceğimiz kararlar eninde sonunda gizlilik üzerine daha büyük toplumsal tartışmalardan (regülasyonlar vb.) etkilenecek. Çünkü kusursuz gizlilik, suçlular için kusursuz dokunulmazlık anlamına gelir”
    Cihazımın hükümet veya şirketler adına beni gözetleyememesi, “suçlular için kusursuz dokunulmazlık” anlamına gelmez
    Kanıtlama konusunu bir an için kenara bırakıp modern güvenli alan tabanlı cihaz şifrelemesini ve ona bağlı kendini imha eden parola deneme sınırlarını düşünürsek, bu durum içeri girildiğinde içindekileri otomatik olarak yok edebilen çok iyi bir kasa tasarlamaya benzetilebilir. Öyleyse böyle bir kasa her satıldığında hükümetin mutlaka kendi anahtarına sahip olması mı gerekir?

    • İnsanların haklarının şirketler tarafından kötüye kullanılmasını engellemeye çalışan yasa ve regülasyonları “daha büyük toplumsal tartışma” diye paketlemeleri gülünç
      Tartışma, yalnızca haklarına saygı gösterilmesini isteyen insanlar ile bunu yapmak istemeyen şirketler arasında. Bunu bir tartışmaymış gibi göstermek, lobiciler için kendi konumlarını hikâyeleştirmeye yönelik bariz bir girişim
      “Kusursuz gizlilik” de bir korkuluk safsatası. Gizliliğin olmaması ile kusursuz gizlilik arasındaki uzlaşmanın “Google’ın kullanıcıların iradesine rağmen verilerini toplaması” olması gerekmiyor
    • “Biraz geçici güvenlik satın almak için özsel özgürlüğünden vazgeçenler ne özgürlüğü ne de güvenliği hak eder”
      O çok sorunlu kişinin insan nefreti bir yana, bu alıntı “Ama suçlular!” argümanının sıkça kullanıldığı ama nadiren haklı çıkarıldığı konusunda iyi bir hatırlatma
  • Birkaç gün düşündükten sonra ancak şimdi fark ettim: Bu, genel olarak web scraping’in tamamını dolambaçlı yola yer bırakmadan engelleyen bir mekanizma
    Nitter, Teddit, Invidious, youtube-dl gibi projelerin “hasmane uyumluluğu” tamamen ortadan kalkar. archive.org, archive.ph gibi arşiv siteleri de kanıtlama isteyen siteler tarafından engellenebilir
    Yayıncılık sektörünün korsandan korkup Kindle tarafından “kurtarılması” gibi, iş modeli bulamayan medya kuruluşları da Google’ın kendilerini kurtarmasını umarak ona akın edecek
    Zorlu olacak gibi

    • Böyle bir şey gerçekten olursa “güvenilir cihaz” çiftliklerinin karaborsası büyüyecek. Şu anda zaten olanlardan çok farklı değil, ama ölçeği çok daha büyük olabilir
      Elbette bu durumda parasal motivasyonu olan scraping hizmetleri çalışmaya devam ederken, yalnızca kullanıcı aracısı özgürlüğü isteyen dürüst bireyler zarar görecek. Diğer birçok DRM’de olduğu gibi
    • Tam da mesele bu. Üstelik Google açısından web’in büyük bölümü bu kanıtlamanın arkasına saklanırsa web indeksi oluşturmak imkânsız ya da saçma derecede pahalı hâle gelir
    • Bunun gerçekten kullanılacağını düşünmek, Firefox’a geçmeyi çok daha ciddi şekilde değerlendirmeme neden oluyor
      Hâlâ hoşuma gitmeyen yanları var ve kullandığım eklentilerin önemli bir kısmı Chromium’a özel, ama artık seçeneğim yokmuş gibi hissediyorum
  • Bu meselenin daha fazla dikkat çekmesi iyi. Kullanıcı aracısı ayrımcılığı, yani “en güncel Chrome değilse defol” tarzı davranışlar yasa dışı olmalı.
    Kullanımım hizmeti aşırı yüklemek gibi bir şeye yol açmıyorsa hangi donanımı ya da yazılımı kullandığım kısıtlanmamalı.
    Erişilebilirliği ve birlikte çalışabilirliği bilerek engelleyen diğer bariyerler için de aynısı geçerli. Sadece Google’ın uygulayabileceği ve değişiklikleri takip edebileceği kadar karmaşık ve sık değişen “standartlar” oluşturup, gerçek faydasından bağımsız olarak tüm sitelerin fiilen Chrome’a özel hale gelmesini teşvik etmek engellenmeli.
    Bundan sorumlu herkesi bulup ifade özgürlüğünüzü kullanmanızı öneririm. Siyasetçilerde işe yarıyor; bu başka türden kötü adamlarda da işe yaramalı.
    Bir kez daha Stallman çok ileri görüşlüymüş: https://www.gnu.org/philosophy/right-to-read.html

    • Bir web sitesi sahibinin ya da işletmecisinin verileri kime göndereceğine karar verememesi için neden ne var?
      Eskiden sitelerin kötü niyetle IE’yi engellemesinden kavramsal olarak ne farkı var?
    • Kullanıcı aracısı zaten tamamen çöpe atılmış olmalıydı. Artık amacına nadiren ulaşıyor ve daha iyi alternatifler var.
    • Google’ın bu girişiminden gerçekten nefret ediyorum ve hayata geçirmemesini umuyorum; ama bunun neden yasa dışı olması gerekiyor?
      Yazılım kullanıcı aracısı dizesi, tarayıcının sunucuya bağlam sağlamak için eklediği bir tanımlayıcıdan ibaret; bir koruma katmanı değil.
      Google’ın kendi yazılımının kullanımını istediği şekilde kısıtlama hakkı var; biz de kullanmayız olur biter.
      Açık internete dair temel bir hakkımız yok ve kimse bunu bize borçlu değil. İnternetin çok daha açık ve daha az ticarileşmiş olduğu günlere dönmeyi isterim, ama yasal düzenlemelerle o günler gelmeyecek.
    • Güncel Chrome’u engelleyip eski sürümlere izin verirsen, bu öneri kapsamında buna izin veriliyor mu?
    • Kullanıcı aracısı dizesi en azından taklit edilebiliyor.
  • O kadar çok düzeyde yanlış ki nereden başlayacağımı bile bilmiyorum.
    Öncelikle bu tür “önerilerden” hoşlanmıyorum. Gerçekte tavır şu: “Bunu ana ürünümüze zaten uyguladık, kullanıcılara nazikçe dayatacağız; seçeneğiniz varsa kullanmayabilirsiniz.”
    Sonra “robot olmadığını ve tarayıcının onaylanmamış bir şekilde değiştirilmediğini ya da kurcalanmadığını garanti eder” kısmı var. Chromium tabanlı olmayan açık kaynaklı bir tarayıcı, yani Firefox kullanıyorum ve istediğim gibi değiştirip yeniden derleyebiliyorum. İstersem links, elinks, lynx, dillo da kullanabilirim; hatta kullanıyorum. Siz kimsiniz de kendi bilgisayarımda hangi yazılımı kullanacağımı bana dikte ediyorsunuz?
    Bu, 90’lardaki DRM dalgasının geri gelmesi demek. Açık yazılıma, açık platformlara ve açık protokollere yönelik sürekli bir saldırı.
    Delirtici ve aynı zamanda üzücü.

    • 90’larda en azından bilgisayarımda çalışan kodun %100’ü üzerinde kontrol bende idi.
      Şimdi ise her türden “güvenilir” yürütme ortamı ve TPM gibi hain bilişim var; bunlardan kaçınmak da mümkün değil, başkalarının açık anahtarları silikona gömülü.
  • GitHub issue’sunu[0] kilitleyen öneri yazarı HN’de de yorum yaptı, ancak burada da şu ana kadar sessiz: https://news.ycombinator.com/item?id=36825097
    [0] https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • Önemli davranış kurallarını[1] da ihlal etti ve meşru şikâyetleri[2] bile agresif biçimde kapattı.
      Google çalışanı olan RupertBenWiser[3] ve yoavweiss[4] sadece Google’ın çizgisini izliyor. Özellikle yoavweiss’in, yorumları okumadan zorla kapattığı asıl issue’yu “spam”[5] gibi göstermeye çalışması gerçekten mide bulandırıcı.
      Her iki kullanıcı da çok kötü niyetli davranıyor ve mühendisliğin etik kurallarına düzgün şekilde uymuyor gibi görünüyor.
      GitHub deposunu kilitleme davranışı bile bunu kendilerinin de bildiğini gösteriyor.
      Google’ın ve Google çalışanlarının ne kadar düştüğünü görmek çok moral bozucu. Bir zamanlar inovasyonun, büyümenin ve teknoloji yaratımının evi olan yer, şimdi reklamlardan, tarayıcı savaşlarının geç döneminde Chrome’a pazar konumunu kötüye kullanarak saçma bir avantaj sağlamaktan ve bunun daha fazlasından ibaret.
      Görünüşe göre artık Google’a karşı antitröst adımları atmanın zamanı geldi. Hâlâ geçmediyseniz Firefox’a geçmeli ve Chrome kullanmayı bırakmalısınız. Mozilla bu öneriye ve onu dayatan mühendislere karşı[6].
      [1] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [2] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [3] https://github.com/RupertBenWiser
      [4] https://github.com/yoavweiss
      [5] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [6] https://github.com/mozilla/standards-positions/issues/852#is...
    • Ben Wiser adlı kişinin itibarı şimdiden klozetin o kadar dibine gitmiş durumda ki, ne yaparsa ya da ne söylerse söylesin bunu toparlaması neredeyse imkânsız görünüyor.
      Eski şakadaki gibi: “Bir kez bile keçi…”
  • Kullanıcı açısından bu “kanıt”ın hiçbir değeri yok
    Tarayıcımla istediğim her şeyi yapabilmeliyim. Örneğin reklamları kaldırabilmeli ya da canvas ve WebGL erişimini engelleyebilmeliyim; site de bunu bilememeli
    Üstelik bu kanıtın ek bir tarayıcı parmak izi sinyali sağlaması çok muhtemel; bunu istemiyoruz

    • Kanıt, benim kontrol ettiğim şeyler için harika bir kavram. Çalışan dizüstü bilgisayarları, sunucularım, telefonum vb. her şey olabilir
      Cihazlarımın hâlâ benim kontrolümde olup olmadığını denetlemek ve doğrulamak isteyebilirim; bunu yapmak için her hafta veri merkezine bizzat gidip kontrol etmek zorunda kalmamak güzel olur. Kavramın kendisi kötü değil
      Ancak bu kavram, reklam engelleyicileri engellemeyi ve Brave gibi tarayıcıların Chrome gibi davranıp reklamları eklenti olmadan engellemesini önlemeyi amaçlıyor gibi görünüyor
      Kullanıcı için olumlu bir kullanım alanı olarak aklıma ancak kendi barındırdığı yazılımlar geliyor. Ortadaki adam saldırılarını veya tarayıcıya müdahale eden kötü amaçlı yazılımları tespit etmek için de kullanılabilir belki. Pratikte ise “Firefox yasak, Linux yasak, reklam engelleyici yasak”a dönüşecek
    • Teorik olarak, bir banka web sitesinin tüm işletim sistemi ve tarayıcı yığını kanıttan geçmezse erişimi reddettiği bir senaryo hayal edilebilir
      Böylece keylogger’lar, kötü amaçlı tarayıcı eklentileri, oturum ele geçirme gibi şeyler dışarıda bırakılabilir
      Elbette pratikte içerikleri kilitlemek ve kullanıcılara atlanamayan reklamları dayatmak için kullanılacak
    • Kanıt, şirket ağlarında değerli olabilir. Örneğin yalnızca yamalanmış şirket dizüstü bilgisayarlarının belirli servislere erişmesini garanti edebilir
      Ancak özel ağlarda bunu yapan yazılımlar zaten var. Böyle bir işlevin açık web’de kesinlikle yeri olmadığına güçlü biçimde inanıyorum
      Bu öneri kullanıcıya düşmanca ve web’in geleceği için çok tehlikeli olabilir
  • Şu anda Chrome mu kullanıyorsun? Söylemek istemem ama sen de sorunun bir parçasısın. Başka bir şeye geçebilirsin
    Aşırı Google karşıtı biri değilim. Gmail de kullanıyorum, arama motoru olarak Google da. Ama Firefox iyi bir tarayıcı ve günlük tarayıcı olarak onu kullanıyorum. Edge, Brave, Safari, DDG Browser da seçenekler arasında
    Bugün geçiş yapıp Google’ın kaldıraç gücünü azaltmaya başlamalısın

    • Edge ve Brave, Chromium tabanlı. Brave bir süre bu API’yi engeller; ancak çok fazla site bunu zorunlu kılıp pazar payına zarar verirse durum değişebilir
      Google’ın Chrome’a eklediği değişikliklerin çoğunu engellemedikleri için hâlâ Google’ın internet üzerindeki hâkimiyetine büyük ölçüde katkıda bulunuyorlar
      Web platformu üzerindeki Google kontrolünü gerçekten sarsmak istiyorsan, pratikteki seçenekler yalnızca Firefox ve Safari