3 puan yazan GN⁺ 2023-07-26 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın Web Environment Integrity önerisi tartışma yaratırken, Apple benzer bir web cihaz doğrulama sistemi olan Private Access Tokens’ı macOS 13, iOS 16 ve Safari’ye çoktan dağıtmış durumda
  • Private Access Tokens, sunucu HTTP 401 ve PrivateToken challenge’ı gönderdiğinde tarayıcı ile işletim sisteminin cihaz durumunu bir attester’a doğrulatıp imzalı token ile isteği yeniden göndermesi şeklinde çalışır
  • Cloudflare ve Fastly, CAPTCHA’ları azaltmak için bunu entegre etti; ancak aynı yapı, web sunucularının kullanıcı cihazının normal bir istemci olduğunu kanıtlamasını istemesi için de bir temel oluşturur
  • Safari’nin payı yaklaşık %20 olduğu için etkisi sınırlı; ancak Chromium tabanlı tarayıcılar %70’in üzerinde olduğundan, Google’ın önerisi de eklenirse web istemcilerinin yaklaşık %90’ı attestation kapsamına girebilir
  • Attestation yeni tarayıcıları, işletim sistemlerini, açık kaynaklı yazılımları ve kullanıcı tarafından değiştirilmiş cihazları dışlayabilir; resmi destek süresi veya reklam engelleme eklentisi yüklü olup olmaması gibi koşullarla kuralların sertleşmesi riski vardır

Apple Private Access Tokens’ın dağıtımı ve amacı

  • Google yazarları tarafından geliştirilen ve Chromium’da prototiplendiği görülen Web Environment Integrity önerisiyle ilgili endişeler artıyor
  • Bu öneri web’de attestation anlamına geliyor; istemcinin güvenilen bir yayıncı tarafından onaylanıp onaylanmamasına göre özelliklere ya da sitenin tamamına erişim kısıtlanabilir
  • Gerçek güven yayıncılarının Apple, Microsoft ve Google olma ihtimali yüksek
  • Apple, bir yıl önce çok benzer bir sistem olan Private Access Tokens’ı geliştirmiş ve dağıtmıştı; şu anda macOS 13, iOS 16 ve Safari’ye entegre edilmiş durumda
  • Apple, Private Access Tokens’ı “kimliği açıklamadan HTTP isteklerinin meşru cihazlardan geldiğini kanıtlayan güçlü bir araç” olarak tanıtıyor
  • Bu özelliğin ana amacı CAPTCHA’yı kaldırmak; Cloudflare ve Fastly bunu gerçek istemcileri tanıyan bir mekanizma olarak entegre etti

Private Access Tokens nasıl çalışır?

  • Private Access Tokens, HTTP üzerinde gerçekleşen görece basit bir alışveriştir; yerleşik tarayıcı API’si tarafından işlenir ve işletim sistemi bileşenleriyle birlikte çalışarak tarayıcı ile işletim sisteminin meşru olup olmadığını doğrular
  • Burada “meşru” olma ölçütünü attester, yani Apple gibi bir taraf belirler
  • Temel akış şöyledir
    • Tarayıcı web sunucusuna HTTP isteği gönderir
    • Web sunucusu isteği reddeder, HTTP 401 yanıtı ve PrivateToken challenge’ı döndürür
    • Tarayıcı challenge’ın bir bölümünü ve işletim sisteminin sağladığı doğrulanmış cihaz bilgisini attester’a gönderir
    • Attester cihazın gerçek olduğunu ve değiştirilmediğini doğruladıktan sonra, origin’in güvendiği ve attester’a güvenen bir token yayıncısıyla birlikte imzalı token döndürür
    • Tarayıcı, imzalı token’ı Authorization header’ına koyarak isteği yeniden gönderir
    • Sunucu, istemcinin güven sağlayıcısı tarafından doğrulandığı gerçeğine dayanarak bu istemciye farklı davranabilir
  • Bu süreç, Safari kullanan Apple cihazlarında, Fastly veya Cloudflare gibi bu özelliği kullanan servislerin bir isteğin meşruluğundan şüphe duyduğu durumlarda zaten gerçekleşiyor
  • Private Access Tokens; origin, issuer ve attester akışını ayırarak gizliliği hedefler, ancak web’de gördüğünüz muamele Apple’ın cihaz, işletim sistemi ve tarayıcı yapılandırmanızı kabul edilebilir bulup bulmamasına bağlıdır

Safari ile Chromium’un yayılma gücü arasındaki fark

  • Private Access Tokens tek başına bile web ve sektör genelinde yük oluşturur; ancak Safari’nin pazar payı nedeniyle Google’ın önerisi kadar hızlı yayılması zordur
  • Safari’nin tarayıcı pazar payı şu anda yaklaşık %20’dir
    • Mobilde yaklaşık %25
    • Masaüstünde yaklaşık %15
  • Chrome tüm alanlarda %60’ın üzerindedir; Brave, Edge, Opera, Samsung Internet vb. dahil edildiğinde Chromium’un toplamı bunun yaklaşık 10 puan daha üstündedir
  • Yalnızca Safari bu özelliği sunduğunda bazı sağlayıcılar bunu kullanabilir, ancak attestation olmayan istemcileri engellemek veya onlara farklı davranmak zordur
  • Safari eski işletim sistemi sürümlerini veya tarayıcıları attestation’dan geçirmese bile kullanıcılar üzerinde büyük etki yaratması zordur; kullanıcıların istatistiksel olarak daha fazla CAPTCHA görme olasılığı vardır
  • Chromium kullanan web istemcilerinin %70’in üzerinde olduğu bir ortamda Web Environment Integrity devreye girerse web’in ana bölümlerine hızla yayılabilir
  • Web Environment Integrity ve Private Access Tokens birlikte var olursa web istemcilerinin yaklaşık %90’ı potansiyel olarak attestation kapsamına girer ve “attestation yoksa şüpheli muamele yapalım” baskısı artabilir

Attestation web’in açıklığını nasıl sarsar?

  • Attestation yalnızca onaylı istemcilerin kullanılabilmesini sağladığından rekabet ve inovasyon açısından dezavantajlıdır
    • Yeni tarayıcı veya işletim sistemi yapmak zorlaşır
    • Açık kaynak, topluluk ve küçük bağımsız girişimler bu tür mekanizmalardan sürekli dışlanabilir
    • IE6 döneminde attestation olsaydı Firefox ve Chrome’un yükselişi için büyük bir engel olacağı yönünde bir karşılaştırma yapılıyor
  • Bu yapı, tasarımı gereği kullanıcıların kendi cihazlarını kontrol etmesini zorlaştırır
    • Değiştirilmiş yazılım kullanan kullanıcıların meşru istemci olarak attestation’dan geçirilmemesi temel hedeflerden biridir
    • Root edilmiş Android telefonla web’de gezinme kullanım senaryosu dışlanabilir
    • Kullanıcı tarafından tamamen değiştirilebilir işletim sistemleri veya donanımlar, bu önerilerin amaçladığı şekilde attestation’dan geçmekte zorlanır
  • Onay sağlayıcıları daha sonra kuralları daha sıkı hale getirebilir
    • “Yalnızca resmi 2 yıllık destek süresi içindeki cihazlar attestation’dan geçsin”
    • “Reklam engelleme eklentisi yüklü tarayıcılar attestation’dan geçirilmesin”
  • Web Environment Integrity destekçileri, bazı isteklerde attestation’ı reddeden holdbacks ile attestation tabanlı engellemeyi önleyebileceklerini düşünüyor
  • Ancak iş baskıları nedeniyle holdbacks’in pratikte çalışmasının zor olduğuna dair endişeler var; Google’ın mevcut Android Play Integrity attestation’ı bu yöntemi kullanmıyor
  • Web’in başarısı büyük ölçüde farklı istemcileri ve sunucuları özgürce kullanabilmeye dayanıyordu; attestation bu varsayımı tasarım gereği bozar

Android’de halihazırda görülen risk

  • Android’de teknik olarak kendi işletim sisteminizi oluşturup çalıştırabilirsiniz; LineageOS gibi Android dağıtımları da normal şekilde çalışır
  • Ancak attestation özelliği nedeniyle bankacılık uygulamaları gibi kritik uygulamaların kullanıcıları şüpheli görüp engelleme riski sürekli varlığını korur
  • Android sürümleri arasındaki rekabeti engellemek de bir sorundur, ancak web’de hem tarayıcı hem de işletim sistemi tarafındaki rekabeti engellemek çok daha ciddi sonuçlar doğurabilir
  • Anti-Fraud Community Group’ta aynı aileden potansiyel web özelliklerini tartışan başka öneriler de bulunuyor
  • Web’de dolandırıcılık ve botlar gerçek sorunlardır ve savunma yöntemlerini tartışmak değerlidir; ancak rekabetin engellenmesi, açık kaynak ve açık web’in zayıflatılması, kullanıcıların cihazları üzerindeki kontrolünün ortadan kaldırılması makul bir takas değildir

1 yorum

 
GN⁺ 2023-07-26
Hacker News görüşleri
  • Dün Google’ın ilk önerisine “şirketi bölmek artık epey mantıklı görünmeye başladı”, “defol Google”, “öfkeli ve üzgünüm”, “ilgili kişilerin itibarı tamamen bitti” gibi çok sayıda tepki gelmişti.
    Bugün ise Apple’ın geçen yıl aynı özelliği önermekle kalmayıp gerçekten uygulayıp dağıttığı ortaya çıktı; buna karşılık ton “uzun zaman önce kaybolmuş hayalleri yeniden başlatmak için ilginç bir fırsat olabilir”, “iki tarafın pozisyonunu bir ölçüde anlıyorum”, “şimdilik Safari’de açık bırakıp 1-2 yıl izleyeceğim” gibi.
    Genel olarak hâlâ olumsuz olsa da Apple ve Google’a yönelik ton farkı fazlasıyla belirgin; gerçeklik çarpıtma alanı hâlâ sapasağlam görünüyor.

    • Bunun gerçeklik çarpıtma alanından ziyade, Google’ın aşağıdan yukarı örgüt kültürüyle tanınması, açık forumlarda geri bildirim istemesi ve öneriyi sunanların da birey olarak yanıt vermesiyle ilgili olma ihtimali yüksek.
      İçlerinden biri Hacker News’e de bizzat yazdı; bu da, onlardan hoşlanmayan kişilerin yeterince rahatsız ederlerse ilgili kişilerin vazgeçeceğini düşünmesine ve taciz edici davranışları teşvik etmesine yol açıyor.
      Apple böyle şeylere zaman harcamaz; inceler, planlar ve uygular. İlgili kişilerin kimliği bilinmez, genellikle geri bildirim de istemez ve planlarının gerekçesini bile çoğu zaman sunmaz. Web forumlarında Apple’a öfkelenmek, tuğla duvara öfkelenmek kadar faydasızdır.
      Yüzsüz şirket klişesi boşuna yok; bu, çalışanları korumaya yönelik bilinçli bir politikadır.
    • Diğer platformlarda insanlar özgürlük istiyor. Microsoft’un Edge kullanımını dayatmasını istemiyorlar; web sitelerinin Chrome kullanımını dayatmasını istemiyorlar.
      Ama Apple’da durum tersine dönüyor. Üçüncü taraf uygulama yükleme özgürlüğünün tehlikeli olduğunu söylüyorlar, tarayıcıda iMessage kullanma özgürlüğünün anlamsız olduğunu savunuyorlar ve iOS’ta üçüncü taraf tarayıcı kullanma özgürlüğüyle de çoğu kişi ilgilenmiyor gibi görünüyor.
      Diğer şirketlerin kilitleme etkisi kötü görülürken, Apple’ın kilitleme etkisinin kullanıcı kitlesi tarafından aktif biçimde savunulması etkileyici.
    • Niyetler ya da uygulamalar aynı değil.
      Apple’ın yöntemi, Apple cihazlarında insan kullanıcıları insan olmayan kullanıcılardan ayırmaya daha yakın; Google’ın önerisindeki gibi hizmetlerin keyfi olarak tarayıcıları veya işletim sistemlerini engellemesine izin vermiyor.
      Zaten Apple cihazı kullanıyorsanız, “insan mısın?” güvenlik doğrulaması yapmanız gerekmemesi gibi bir şey.
      Referans: https://developer.apple.com/wwdc22/10077
    • Tamamen katılıyorum. Apple’ın pazarlaması tek kelimeyle en iyisi.
      Buna karşılık Google, az sayıdaki gürültülü Google karşıtı kesimin itibarını sürekli aşındırmasına izin veriyor; anlatıyı kontrol edecek halkla ilişkiler çalışmasını ise neredeyse hiç yapmıyor.
      Hâlâ tek bir “don’t be evil” yankısının 20 yıl sonra bile çınlayacağına inanıyor gibi.
    • Apple’ın sert işletim sistemi politikalarıyla ilgili haberlerde de aynı etki görülüyor.
      Microsoft Windows’a IE’yi iliştirdiğinde bu korkunç bir şeydi; ama Apple’ın Safari’yi iliştirip rakip tarayıcıları engellemesi müşteriler için en iyisiymiş gibi sunuluyor.
  • Bu, internetin gerçekten çatallandığı nokta olabilir. 90’lardan beri sürekli öngörülen bir şey.
    Bir tarafta herkesin aşırı derecede kimlik doğrulamasından geçtiği, “temiz”, otorite onaylı kurumsal web; diğer tarafta ise porno ve merkeziyetsiz toplulukların toplandığı daha gevşek bir graynet galaksisi oluşabilir.
    Tüm kurcalayıcılar kurumsal ağlardan dışarı itilirse, bu uzun zaman önce kaybolmuş hayalleri yeniden başlatmak için ilginç bir fırsat da olabilir.

    • Bence bu çatallanmanın bir biçimi zaten birkaç yıldır vardı; yalnızca daha çok toplumsal katmanda gerçekleşti.
      İnternetin üzerinde “toplumu” temsil eden baloncuk benzeri bir toplumsal üstyapı oluştuğunu hayal ediyordum. 90’lardan beri bunun küçük sürümleri vardı ama Myspace, Facebook, Twitter gibi sosyal medyanın yükselişiyle asıl hâlini aldı.
      “İptal kültürü”nün hemen ardından gelmesinin de tesadüf olmadığını düşünüyorum. Sanallaşmış bir kamusal alan oluştuğunda, mesele artık kimin ve neyin onun içinde yer alacağını belirlemeye dönüşür.
    • İnternet anarşistlerinin internetin çatallanmasını bekleyip heyecanlanması, Covid’in başlarında toplumsal çöküş ihtimaline heyecanlanan birçok hayatta kalmacıyı hatırlatıyor.
      Tavır biraz “Sonunda insanların yıllardır dalga geçtiği becerilerimi sınayabileceğim” gibi.
      Her iki durumda da sorun, yeni düzen altında acı çekecek insanların büyük çoğunluğunu görmezden gelmeleri. Kurumsal duvarlı bahçelerden çıkıp özgür bilgi otobanına gidecek kişi sayısı çok az olacaktır.
    • Bir hikâye fikri olarak, kurumsal web arşivlenmediği için sonraki yüzyılda unutulabilir; yalnızca graynet zamana dayanıp hayatta kalır.
      Kurumsal web’in silik yankıları yalnızca graynet üzerinden korunur ve dijital arkeologlar kurumsal web’de saklı kayıp bilgeliğin “sırlarını” ortaya çıkarmaya çalışır.
      Muhtemelen bunu birileri zaten yazmıştır ama iyi oturuyor gibi.
    • Bu web kanıtlama kavramının sorunu şu: Aslında SSO everywhere, Zero Trust at the edge, mTLS everywhere gibi parlak iş ağı ortamlarında gerçekten istenen bir şey.
      Genel bulut ile kişisel kullanımın kesiştiği ev ortamlarında da, örneğin kişisel amaçlarla kullanılan Cloudflare Access tünelleri ve MS365 iş tenant’larında da bir ölçüde isteniyor.
      Ama kişisel web gezintisi deneyimine ya da kişisel tarayıcı ortamına kesinlikle temas etmemesini istiyorum.
      Şu anda bu istekler fiilen birbiriyle çatışıyor ve bu teknoloji için cin artık şişeden çıktı.
    • Böyle bir şey olursa hükümetler internet servis sağlayıcılarına ve mobil operatörlere basitçe graynet erişimini engelleme emri verir.
      90’ların siberpunk hayali güzel, ama “net”e bağlanmak için her zaman internet servis sağlayıcısı denen darboğazdan geçmek zorunda olduğumuz fiziksel gerçeğini yok sayıyor gibi görünüyor.
      Sonuçta internetin ne kadar sistem karşıtı olabileceği konusunda aşılamaz bir engel var.
  • Yanılıyor olabilirim ama Web Attestation, Android ya da Chrome OS değil, Linux cihazların web’i eşit bir istemci olarak kullanması için ölüm fermanı olabilir.
    Linux, uzaktan doğrulamanın güvenilir biçimde çalışması için fazla çeşitli ve hacklenebilir bir platform; sonunda tamamen dışlanacak.
    Birkaç “kutsanmış” dağıtım istisna olacak, ama bu dağıtımlar sektörün kontrolüne gireceği için artık Linux ruhundan epey uzaklaşacak.

    • Private Access Tokens henüz yaygın biçimde benimsenmiş değil; bu yüzden iCloud Private Relay’i açıp web’de gezinirseniz, olası Linux kullanıcı deneyimini bir ölçüde hissedebilirsiniz.
      Neredeyse her web sitesinin spam önleme sınıflandırıcısına takılırsınız ve korunan yerlere erişmek için 3–5 kez CAPTCHA çözmeniz gerekir.
      Wikipedia da düzenlemeyi engelliyor: https://meta.wikimedia.org/wiki/Talk:Apple_iCloud_Private_Re...
    • Web Attestation’ı gerçekten uygulayacak platformların, uzaklaşmaya çalıştığım platformlar olacağını düşündüğüm için içten içe bunun berbat sosyal ağları ve video platformlarını bırakmamı sağlayacak katalizör olmasını umuyorum.
      Görünüşe göre bu siteleri bırakacak iradeye sahip değilim; belki de karşı taraftan içeriklerin yüklenmesini engellemeleri tam da ihtiyaç duyduğum şeydir.
      Artık burada söylediğime göre sır olmaktan çıktı.
    • Cory Doctorow’un 28C3 açılış konuşması The coming war on general computation kehanet gibiydi.
      https://github.com/jwise/28c3-doctorow/blob/master/transcrip...
    • Böyle bir şey olursa Windows ve Android cihazların çoğunun da çalışmaz hâle geleceğini düşünüyorum.
      Onlar da belirli donanıma sahip olduklarını kanıtlamaları gereken bir gelecekte yetersiz görünecek kadar çeşitli ve hacklenebilir platformlar.
      Sektörün kontrolüne giren birkaç “kutsanmış” dağıtım yüzünden Linux ruhunun yok olacağı sık söyleniyor, ama bunun somut olarak nasıl olacağını pek duymuyoruz.
      Linux, sektörün kontrol ettiği UNIX yüzünden ortaya çıktı; Linux’tan bu ruh alınırsa başka bir topluluk projesine fork edilir.
      GPL lisansı sökülüp atılmadığı sürece Linux, tamamen kullanılmaz hâle gelene kadar “Linux ruhunu” koruyacaktır.
    • Elbette bu curcunanın en bariz sonucu da bu.
  • Safari’nin baskın tarayıcı olmadığı için bunun Google’ın önerisi kadar tehlikeli olmadığı iddiasına katılmıyorum.
    Gerçekte Apple yapsa da Google yapsa da aynı derecede kötü; Apple tamamen hayal kırıklığı yaratan bir tercih yaptı.
    Google bunu dayatsa bile Apple reddetseydi pratikte zorla kabul ettirmek güç olurdu. Rakamlar Chrome kadar yüksek olmasa da tüm iDevice’ları kesip atamayacakları kadar büyük.
    Gerçekten önemli şirketler yalnızca Apple, Google ve Microsoft.

    • Doğru. Safari’nin şimdiye kadar bizi kurtardığı Google tarzı saçmalıkların miktarı muazzam.
      Bu kez bir felaketi daha engelleyemeyecek olması üzücü.
      Bu yüzden Apple’ın sideloading’e açılmasını talep eden yasalar konusunda da endişeliyim. İnsanların kendi sistemlerini kontrol etmesi fikrini seviyorum, ama pratikte bunun Google’ın web’i istemci ucuna kadar tamamen kontrol etmesini sağlamlaştıran son çivi olmasından korkuyorum.
    • Web geliştiricisi iş arkadaşlarımla tanışmanız gerek.
      Onların uyguladığı bir özelliğin birden fazla tarayıcıyla uyumlu olmadığını her söylediğimde, istisnasız Firefox’tan Chrome’a geçmemi söylüyorlar.
      Bir şeyi çalıştırmak için Safari’ye geçmem gerektiğini bir kez bile duymadım. Bu başlı başına çok şey anlatıyor.
    • Apple’da PAT var ve bu WEI’nin alternatifi işlevi görebilir.
  • iOS’te bu özellik kapatılabiliyor gibi görünüyor.
    Ayarlar’a gidip en üstteki kullanıcı hesabını seçin, “Password & Security” bölümüne girin, Advanced’a kadar aşağı kaydırıp “Automatic Verification”ı kapatın.
    https://blog.cloudflare.com/how-to-enable-private-access-tok...

    • macOS 13’te de kapatılabiliyor.
      https://support.apple.com/en-us/HT213449
      System Settings -> iCloud Settings(kullanıcı adı) -> Password & Security -> Automatic Verification
    • Kapatılabiliyor olması hiç önemli değil.
      Chrome WEI’yi dağıtırsa çeşitli Chromium fork’ları da Chrome yapmasa bile kapatılabilir hâle getirecektir; Firefox da kullanabilirsiniz.
      Sorun, bankanız, vergi daireniz ve sevdiğiniz streaming servisi bu özelliği istemeye başladığında ortaya çıkar.
      Asıl mesele, sıradan kullanıcıların kayda değer bir kısmının bu özelliğe sahip olacak olması.
  • Bunu gerçekten fark etmiştim ve bloga yazmayı da düşünmüştüm; ama sorun gibi görünmemesinin tek nedeni, yalnızca Apple platformlarında uygulanmış olması ve bu yüzden servislerin bununla kullanıcıları fiilen kısıtlayacak bir yolunun bulunmamasıydı.
    İnsanların başka bir sinyal olarak kullanabileceği ek bir unsurdu sadece.
    Buna karşılık Google’ın önerisi, bunu açıkça her zaman açık bir özellik olarak dayatmakla ilgileniyor.
    “Belirleyici platform bütünlüğü kanıtı” gibi kullanım örneklerinin şu anda istemci parmak izi toplamaya dayandığı açıklaması, nihayetinde sınırlı entropiye sahip belirleyici bir kanıtın müdahaleci parmak izi toplamayı ikame edeceği ve uzun vadede gizlilik açısından daha dostane uygulamalara kapı açabileceği iddiası.
    Apple’ın bunu önce uygulamış olması yalnızca, Apple’ın bizi kurtaracağını bekleyenlerin saf olduğunu kanıtlıyor.

    • Gerçek dünyada kanıt ve parmak izi toplama birlikte kullanılacak
  • Bu alan gerçekten ilginç ve kutuplaşma yaratmaya çok müsait
    Web’de “güvenilir” bir donanım ve yazılım yığınıyla iletişim kurup kurmadığınızı bilmek isteyeceğiniz kullanım senaryoları inanılmaz derecede fazla
    Yıllardır yığında neredeyse hiç güven olmadığını varsayarak tasarlayıp inşa ediyoruz; bu da karmaşıklığı ve maliyeti muazzam ölçüde artırıyor, işlevleri sınırlıyor ve güvenilir bir yığını varsayabildiğiniz duruma kıyasla her şeyi çok daha zor hâle getiriyor
    Aynı zamanda, şu anda yoğun biçimde işaret edildiği gibi, büyük teknoloji tekelleri işin içine girdiğinde güven kavramı çok zorlaşıyor
    Bir yandan, dünyada kalıcı tehdit aktörleriyle başa çıkabilecek büyük teknoloji ekipleri çalıştırabilen çok az şirket var; bu yüzden onların sunduğu güvenlik vaatlerine güvenebilmek iyi olurdu. Bu vaatler güvenilirse, bireylerin kendi yazılımları ve platformları hakkında verebileceği herhangi bir vaatten daha iyidir
    Öte yandan, hacker kavramının Platonik anlamıyla bakıldığında “güvenilir” demek “tekel tarafından garanti edilmiş”, “muhtemelen yerel devlet kurumunun bir arka kapısı var” diye okunur; bu da kontrole, inovasyon eksikliğine ve sonunda az sayıda oyuncunun hâkim olduğu faşizan bir teknoloji geleceğine doğru bir adım daha inmek anlamına gelir
    Sonuçta başarılı olabilecek çözümün, kayıt defteri tabanlı olmayan, güvenilir açık donanım sertifikasyon teknolojisi içermesi gerektiğini düşünüyorum. Güçlü yerel kanıtlar üretebilmeli ve bunları bağımsız olarak doğrulayabilmeliyiz
    Silikon tarafında bu sorunla uğraşan birkaç teknoloji şirketi biliyorum ama bu çok zor bir problem ve şu anda onların hayatta kalmasına yetecek kadar talep olup olmadığından da emin değilim
    Şahsen şimdilik Safari’de bunu açık bırakıp önümüzdeki 1-2 yılı izleme tarafındayım

    • Benim için önemli olan, o “güven” ya da “güvenliğin” kimin için sağlandığı
      DRM teknolojileri de bu terimlerle tartışılır, ama hedef kullanıcıya güven vermek değil, geliştiriciye ya da içerik sahibine güven vermektir
    • Gerçekte “güvenilir Android”, kaldırılamayan Google reklam yazılımları ve casus yazılımlarıyla, muhtemelen daha fazla üreticiye özgü gereksiz uygulamayı içeren Android demektir
      Bunun gerçekten güvenle ilgili bir mesele olmayabileceği açıkça görülüyor
    • “Devlet” toplumunun bir parçası olmak istemiyorsanız, arkadaşlarınızla peer-to-peer iletişim kurabilirsiniz
      Devlet sisteminin faydalarından yararlanıp yararlanmayacağınıza ve bunun maliyetine değip değmeyeceğine karar vermelisiniz
  • Bu tür sistemlerin çoğundaki sorun, istisna durumlarını hiç ele alamamalarıdır
    Nüfusun %99’u için iyi çalışır ama kalan %1 için “başının çaresine bak” durumuna dönüşür
    Mesai sonrası ofise girmeye çalışırken, yalnızca unuttuğunuz araba anahtarını almak istediğiniz hâlde robotun girişinizi reddetmesi gibidir
    Sistem güvenli olacak şekilde tasarlanmıştır, bu yüzden robotu konuşarak ikna edemezsiniz. İnsan olsaydı, genellikle konuşup ikna etmek ve işe yarayan bir çözüm bulmak çok daha kolay olurdu
    Teknoloji insanları sonunda yine teknolojiyle çözmeye çalışır. “Bir sorun varsa ben çözerim; DJ çalarken tekniğime bak”

    • İnternet, insan gatekeeper’larla etkileşimin maliyetini sıfıra indirdiğinizde, yani belirli bir zaman ve yerde bulunmak zorunda kalmadan dünyanın herhangi bir yerinden erişim mümkün olduğunda, sosyal mühendislik saldırılarının kaçınılmaz olarak ortaya çıktığını gösterdi
      Sırf iyi konuşabildikleri ve insan gatekeeper’ı ikna edecek makul bir hikâye uydurabildikleri için banka hesaplarının hacklenmesi böyle ortaya çıkıyor
    • Bir diğer sorun da kanıtın gerçek güven kökünün ne olduğudur
      “Evet, bu kişi gerçek bir insandır” demenin bir yoluysa faydalı olabilir; ancak bu yalnızca basit bir sistem kanıtı, kötü niyetli aktörleri engelleyip engelleyemeyeceğini ve CORS gibi başka sistemler gibi yanlış anlaşılıp kötüye kullanılıp kullanılmayacağını bilmenin bir yolu yok
      Bu sistemin mantıksal sonucu “normal bir sistemin varsa normal bir kullanıcısın, yoksa değilsin” olur
  • Her iki tarafın pozisyonunu bir ölçüde anlıyorum
    Başkalarının niyetlerini iyiye yorarsak, kimliği belirlenmiş insanlar ve onların onaylı temsilcileriyle dolu bir web, görebileceğimiz en “temiz” ideal web alanı olabilir
    Sahte hesaplar ve link farm’larla dolu bir web ideal değil
    Bu akışın en belirgin varış noktası, kimliği kanıtlayan ve oturum açma rolü de üstlenen devlet tarafından verilen dijital kimlik
    Gözlerinizi kısarak bakarsanız bu, oraya giden yolda bir basamak gibi görünebilir
    70’ler tarzı idealizmin hayata geçmiş hâli mi? Değil. Ama bir dereceye kadar makul bir uzlaşma olduğunu düşünüyorum
    Devlete güvenemiyorsanız? Bunu muhtemelen hiçbir internet çözemez. Bu gerçek dünyanın sorunu

    • “İdeal”in tanımına ve böyle bir ideali hedeflemek isteyip istemediğinize bağlı
      Bana daha çok sterilize edilmiş bir web gibi geliyor
      İnsanların sonunda o sistemi de aşmanın bir yolunu bulacağı gerçeğini bir anlığına görmezden gelip bunun en “temiz” web alanı olacağını varsaysak bile, tüketicinin bunu istediğini varsaymış oluyoruz
      Yerel uygulama dünyasında App Store, kilitli denetim ve uygulama kimliği zaten var; buna rağmen web hâlâ ticarete hâkim ve Figma gibi örneklerle aksine daha da güçleniyor gibi görünüyor
      O hâlde bu “arındırılmış” web’e yönelik talep çığlığı nerede? En azından tüketici tarafındaki talep hiç de böyle görünmüyor
    • “Kimliği belirlenmiş insanlar ve onların onaylı temsilcileri” ifadesinin aksine, WEI önerisi ve Apple’ın özelliği gerçek insan kimliğinin belirlenmesine izin vermemek için epey çaba gösteriyor; ikisi de cihazın normal olduğunu kanıtlamaya odaklanıyor
    • Her durumda şirketlerin niyetini iyiye yormak zorunda değiliz
    • Kimse tüm bunların neden “gerekli” hâle geldiğini sormuyor; oysa asıl soru bu
      Neden bu kadar saçma derecede güçlü kimlik kanıtına ihtiyaç var? Gerçekten gerekliyse internet bugüne kadar nasıl işledi?
      Üstelik şu anda fiilen kimse böyle bir şey önermiyor. Ne Apple’ın ne de Google’ın yaklaşımı bunun yakınına bile geliyor. Yapmak istedikleri şey, platformun “bütünlüğünü” garanti etmek
      Tam olarak hangi bütünlük? Örnekte, kullanıcının güvenli bir Android cihazda web istemcisi çalıştırdığını gösterdiği söyleniyor
      Yani kullanıcının tekil bir kişi olup olmadığını söylemiyor, kişi hakkında işe yarar bir tanımlayıcı da vermiyor. Bu örnek ve Apple’ın durumunda söylenen tek şey cihazın root’lanmamış ya da jailbreak yapılmamış olduğu
      Aslında bu kavram ancak daha büyük bir kedi-fare oyununun parçası olarak işe yarar. Telif hakkı koruması gibi, uzaktan kanıtlama da gerçekte neyi kanıtladığıyla sınırlıdır
      Sinemada kamerayla kayıt almayı engellemek zordur; filmlerin nihayetinde ardışık fotoğraflar ve PCM örnek kareleri olmasından yararlanan pek çok ara aşama olduğu gibi, cihaz pahalı olsa bile birilerinin birden fazla cihaz edinip işi yürütmesini engelleyemezsiniz
      Zaten sistemi kandırmak için yığınla Android cihaza sahip olan çok kişi var; bazı durumlarda tanesini 50 dolara alabildiğiniz için anlamlı bir engel değil
      Sonuçta yalnızca bot işletmenin maliyetini ve karmaşıklığını artırır; başa baş noktasını yeterince yükseltirseniz teoride kazanmış sayılabilirsiniz. Ama spam ve dolandırıcılıktan elde edilecek kâr çok büyük olduğu için bu olmayacak
      Yıllarca verilen mücadeleye rağmen hâlâ yakınına bile gelinmedi ve bu tür sistemleri kandırma endüstrisine akan para, bu maliyetleri fazlasıyla karşılar
      Devlet kimliğini işin içine katmak da bunu değiştirmez. Neredeyse her spam operasyonunun arkasında gerçek bir insan vardır; dolayısıyla birinin vatandaş olduğuna dair kör bir kanıt alsanız bile o kişi hakkında neredeyse hiçbir şey bilmezsiniz
      Yardımcı olması için, meşru bir taraf olduğuna dair kanıt değil, gerçekten her kişinin benzersiz kimliğini almak gibi bir şey gerekir
      Ve internetin varacağı yer buysa, açıkçası bu deneyin tamamı buna değmemiştir
    • Trol çiftliklerinin onlarca ucuz güvenilir PC satın alıp ekran paylaşımıyla bolca otomasyon çalıştırmasını engellemenin hiçbir yolu yok
      Sahte bir fare ya da klavye takıp girdiyi doğrudan da sağlayabilirler
      Güvenlik donanımı bir avantaj sunuyor gibi görünmüyor. Belirli bir ölçekte dezenformasyon yayan kişiler için hız kesici tümsek bile olamaz
      Yalnızca çok acemi ya da hafif kötü niyetli aktörleri biraz rahatsız eder; buna karşılık tarayıcı yapabilen kişileri ve Linux kullanıcıları ya da Trusted Boot’u kapatanlar gibi güvenilmeyen cihaz kullananları ciddi biçimde sınırlar
  • AllAdvantage’ı hatırlıyor musunuz bilmiyorum
    Yüzyılın dönümüne yakın dönemde masaüstünde reklam gösterip para ödeyen bir hizmetti; yalnızca PC gerçekten kullanılıyorken ödeme yapıyordu
    İnsanlar fare hareket ettirme cihazlarıyla bunu kandırdı ve küçük bir silahlanma yarışı yaşandı
    Bu teknoloji onlar için rüya gibi bir şey olurdu. İsteğin gerçek bir tarayıcıdan mı yoksa bir betikten mi geldiğini bilebilir; güvenilmeyen bir sürücüyle giriş simüle edildiğinde ya da tarayıcı otomasyona alındığında kanıtlamayı devre dışı bırakabilirdi
    Gerçekten rahatsız edici bir teknoloji

    • Günümüzde web siteleri de reCAPTCHA veya hCAPTCHA ile entegre olursa isteğin gerçek bir tarayıcıdan gelip gelmediğini zaten anlayabiliyor
      Bu, çok popüler bir güvenlik ürünü kategorisini tarayıcının kendisine sıkı biçimde entegre etmeye yakın bir şey
      Bugün felsefi bir tavır alıp reCAPTCHA/hCAPTCHA kullanan tüm web sitelerini reddedebilirsiniz; yarın da PAT kullanan tüm web sitelerini reddedebilirsiniz