Apple web cihaz doğrulamasını (attestation) çoktan dağıttı, biz neredeyse fark etmedik
(httptoolkit.com)- Google’ın Web Environment Integrity önerisi tartışma yaratırken, Apple benzer bir web cihaz doğrulama sistemi olan Private Access Tokens’ı macOS 13, iOS 16 ve Safari’ye çoktan dağıtmış durumda
- Private Access Tokens, sunucu HTTP 401 ve
PrivateTokenchallenge’ı gönderdiğinde tarayıcı ile işletim sisteminin cihaz durumunu bir attester’a doğrulatıp imzalı token ile isteği yeniden göndermesi şeklinde çalışır - Cloudflare ve Fastly, CAPTCHA’ları azaltmak için bunu entegre etti; ancak aynı yapı, web sunucularının kullanıcı cihazının normal bir istemci olduğunu kanıtlamasını istemesi için de bir temel oluşturur
- Safari’nin payı yaklaşık %20 olduğu için etkisi sınırlı; ancak Chromium tabanlı tarayıcılar %70’in üzerinde olduğundan, Google’ın önerisi de eklenirse web istemcilerinin yaklaşık %90’ı attestation kapsamına girebilir
- Attestation yeni tarayıcıları, işletim sistemlerini, açık kaynaklı yazılımları ve kullanıcı tarafından değiştirilmiş cihazları dışlayabilir; resmi destek süresi veya reklam engelleme eklentisi yüklü olup olmaması gibi koşullarla kuralların sertleşmesi riski vardır
Apple Private Access Tokens’ın dağıtımı ve amacı
- Google yazarları tarafından geliştirilen ve Chromium’da prototiplendiği görülen Web Environment Integrity önerisiyle ilgili endişeler artıyor
- Bu öneri web’de attestation anlamına geliyor; istemcinin güvenilen bir yayıncı tarafından onaylanıp onaylanmamasına göre özelliklere ya da sitenin tamamına erişim kısıtlanabilir
- Gerçek güven yayıncılarının Apple, Microsoft ve Google olma ihtimali yüksek
- Apple, bir yıl önce çok benzer bir sistem olan Private Access Tokens’ı geliştirmiş ve dağıtmıştı; şu anda macOS 13, iOS 16 ve Safari’ye entegre edilmiş durumda
- Apple, Private Access Tokens’ı “kimliği açıklamadan HTTP isteklerinin meşru cihazlardan geldiğini kanıtlayan güçlü bir araç” olarak tanıtıyor
- Bu özelliğin ana amacı CAPTCHA’yı kaldırmak; Cloudflare ve Fastly bunu gerçek istemcileri tanıyan bir mekanizma olarak entegre etti
- Cloudflare açıklaması: Eliminating CAPTCHAs on iPhones and Macs using new standard
- Fastly açıklaması: Private Access Tokens: Stepping into the privacy-respecting CAPTCHA-less
Private Access Tokens nasıl çalışır?
- Private Access Tokens, HTTP üzerinde gerçekleşen görece basit bir alışveriştir; yerleşik tarayıcı API’si tarafından işlenir ve işletim sistemi bileşenleriyle birlikte çalışarak tarayıcı ile işletim sisteminin meşru olup olmadığını doğrular
- Burada “meşru” olma ölçütünü attester, yani Apple gibi bir taraf belirler
- Temel akış şöyledir
- Tarayıcı web sunucusuna HTTP isteği gönderir
- Web sunucusu isteği reddeder, HTTP 401 yanıtı ve
PrivateTokenchallenge’ı döndürür - Tarayıcı challenge’ın bir bölümünü ve işletim sisteminin sağladığı doğrulanmış cihaz bilgisini attester’a gönderir
- Attester cihazın gerçek olduğunu ve değiştirilmediğini doğruladıktan sonra, origin’in güvendiği ve attester’a güvenen bir token yayıncısıyla birlikte imzalı token döndürür
- Tarayıcı, imzalı token’ı
Authorizationheader’ına koyarak isteği yeniden gönderir - Sunucu, istemcinin güven sağlayıcısı tarafından doğrulandığı gerçeğine dayanarak bu istemciye farklı davranabilir
- Bu süreç, Safari kullanan Apple cihazlarında, Fastly veya Cloudflare gibi bu özelliği kullanan servislerin bir isteğin meşruluğundan şüphe duyduğu durumlarda zaten gerçekleşiyor
- Private Access Tokens; origin, issuer ve attester akışını ayırarak gizliliği hedefler, ancak web’de gördüğünüz muamele Apple’ın cihaz, işletim sistemi ve tarayıcı yapılandırmanızı kabul edilebilir bulup bulmamasına bağlıdır
Safari ile Chromium’un yayılma gücü arasındaki fark
- Private Access Tokens tek başına bile web ve sektör genelinde yük oluşturur; ancak Safari’nin pazar payı nedeniyle Google’ın önerisi kadar hızlı yayılması zordur
- Safari’nin tarayıcı pazar payı şu anda yaklaşık %20’dir
- Mobilde yaklaşık %25
- Masaüstünde yaklaşık %15
- Chrome tüm alanlarda %60’ın üzerindedir; Brave, Edge, Opera, Samsung Internet vb. dahil edildiğinde Chromium’un toplamı bunun yaklaşık 10 puan daha üstündedir
- Yalnızca Safari bu özelliği sunduğunda bazı sağlayıcılar bunu kullanabilir, ancak attestation olmayan istemcileri engellemek veya onlara farklı davranmak zordur
- Safari eski işletim sistemi sürümlerini veya tarayıcıları attestation’dan geçirmese bile kullanıcılar üzerinde büyük etki yaratması zordur; kullanıcıların istatistiksel olarak daha fazla CAPTCHA görme olasılığı vardır
- Chromium kullanan web istemcilerinin %70’in üzerinde olduğu bir ortamda Web Environment Integrity devreye girerse web’in ana bölümlerine hızla yayılabilir
- Web Environment Integrity ve Private Access Tokens birlikte var olursa web istemcilerinin yaklaşık %90’ı potansiyel olarak attestation kapsamına girer ve “attestation yoksa şüpheli muamele yapalım” baskısı artabilir
Attestation web’in açıklığını nasıl sarsar?
- Attestation yalnızca onaylı istemcilerin kullanılabilmesini sağladığından rekabet ve inovasyon açısından dezavantajlıdır
- Yeni tarayıcı veya işletim sistemi yapmak zorlaşır
- Açık kaynak, topluluk ve küçük bağımsız girişimler bu tür mekanizmalardan sürekli dışlanabilir
- IE6 döneminde attestation olsaydı Firefox ve Chrome’un yükselişi için büyük bir engel olacağı yönünde bir karşılaştırma yapılıyor
- Bu yapı, tasarımı gereği kullanıcıların kendi cihazlarını kontrol etmesini zorlaştırır
- Değiştirilmiş yazılım kullanan kullanıcıların meşru istemci olarak attestation’dan geçirilmemesi temel hedeflerden biridir
- Root edilmiş Android telefonla web’de gezinme kullanım senaryosu dışlanabilir
- Kullanıcı tarafından tamamen değiştirilebilir işletim sistemleri veya donanımlar, bu önerilerin amaçladığı şekilde attestation’dan geçmekte zorlanır
- Onay sağlayıcıları daha sonra kuralları daha sıkı hale getirebilir
- “Yalnızca resmi 2 yıllık destek süresi içindeki cihazlar attestation’dan geçsin”
- “Reklam engelleme eklentisi yüklü tarayıcılar attestation’dan geçirilmesin”
- Web Environment Integrity destekçileri, bazı isteklerde attestation’ı reddeden holdbacks ile attestation tabanlı engellemeyi önleyebileceklerini düşünüyor
- Ancak iş baskıları nedeniyle holdbacks’in pratikte çalışmasının zor olduğuna dair endişeler var; Google’ın mevcut Android Play Integrity attestation’ı bu yöntemi kullanmıyor
- Web’in başarısı büyük ölçüde farklı istemcileri ve sunucuları özgürce kullanabilmeye dayanıyordu; attestation bu varsayımı tasarım gereği bozar
Android’de halihazırda görülen risk
- Android’de teknik olarak kendi işletim sisteminizi oluşturup çalıştırabilirsiniz; LineageOS gibi Android dağıtımları da normal şekilde çalışır
- Ancak attestation özelliği nedeniyle bankacılık uygulamaları gibi kritik uygulamaların kullanıcıları şüpheli görüp engelleme riski sürekli varlığını korur
- Android sürümleri arasındaki rekabeti engellemek de bir sorundur, ancak web’de hem tarayıcı hem de işletim sistemi tarafındaki rekabeti engellemek çok daha ciddi sonuçlar doğurabilir
- Anti-Fraud Community Group’ta aynı aileden potansiyel web özelliklerini tartışan başka öneriler de bulunuyor
- Web’de dolandırıcılık ve botlar gerçek sorunlardır ve savunma yöntemlerini tartışmak değerlidir; ancak rekabetin engellenmesi, açık kaynak ve açık web’in zayıflatılması, kullanıcıların cihazları üzerindeki kontrolünün ortadan kaldırılması makul bir takas değildir
1 yorum
Hacker News görüşleri
Dün Google’ın ilk önerisine “şirketi bölmek artık epey mantıklı görünmeye başladı”, “defol Google”, “öfkeli ve üzgünüm”, “ilgili kişilerin itibarı tamamen bitti” gibi çok sayıda tepki gelmişti.
Bugün ise Apple’ın geçen yıl aynı özelliği önermekle kalmayıp gerçekten uygulayıp dağıttığı ortaya çıktı; buna karşılık ton “uzun zaman önce kaybolmuş hayalleri yeniden başlatmak için ilginç bir fırsat olabilir”, “iki tarafın pozisyonunu bir ölçüde anlıyorum”, “şimdilik Safari’de açık bırakıp 1-2 yıl izleyeceğim” gibi.
Genel olarak hâlâ olumsuz olsa da Apple ve Google’a yönelik ton farkı fazlasıyla belirgin; gerçeklik çarpıtma alanı hâlâ sapasağlam görünüyor.
İçlerinden biri Hacker News’e de bizzat yazdı; bu da, onlardan hoşlanmayan kişilerin yeterince rahatsız ederlerse ilgili kişilerin vazgeçeceğini düşünmesine ve taciz edici davranışları teşvik etmesine yol açıyor.
Apple böyle şeylere zaman harcamaz; inceler, planlar ve uygular. İlgili kişilerin kimliği bilinmez, genellikle geri bildirim de istemez ve planlarının gerekçesini bile çoğu zaman sunmaz. Web forumlarında Apple’a öfkelenmek, tuğla duvara öfkelenmek kadar faydasızdır.
Yüzsüz şirket klişesi boşuna yok; bu, çalışanları korumaya yönelik bilinçli bir politikadır.
Ama Apple’da durum tersine dönüyor. Üçüncü taraf uygulama yükleme özgürlüğünün tehlikeli olduğunu söylüyorlar, tarayıcıda iMessage kullanma özgürlüğünün anlamsız olduğunu savunuyorlar ve iOS’ta üçüncü taraf tarayıcı kullanma özgürlüğüyle de çoğu kişi ilgilenmiyor gibi görünüyor.
Diğer şirketlerin kilitleme etkisi kötü görülürken, Apple’ın kilitleme etkisinin kullanıcı kitlesi tarafından aktif biçimde savunulması etkileyici.
Apple’ın yöntemi, Apple cihazlarında insan kullanıcıları insan olmayan kullanıcılardan ayırmaya daha yakın; Google’ın önerisindeki gibi hizmetlerin keyfi olarak tarayıcıları veya işletim sistemlerini engellemesine izin vermiyor.
Zaten Apple cihazı kullanıyorsanız, “insan mısın?” güvenlik doğrulaması yapmanız gerekmemesi gibi bir şey.
Referans: https://developer.apple.com/wwdc22/10077
Buna karşılık Google, az sayıdaki gürültülü Google karşıtı kesimin itibarını sürekli aşındırmasına izin veriyor; anlatıyı kontrol edecek halkla ilişkiler çalışmasını ise neredeyse hiç yapmıyor.
Hâlâ tek bir “don’t be evil” yankısının 20 yıl sonra bile çınlayacağına inanıyor gibi.
Microsoft Windows’a IE’yi iliştirdiğinde bu korkunç bir şeydi; ama Apple’ın Safari’yi iliştirip rakip tarayıcıları engellemesi müşteriler için en iyisiymiş gibi sunuluyor.
Bu, internetin gerçekten çatallandığı nokta olabilir. 90’lardan beri sürekli öngörülen bir şey.
Bir tarafta herkesin aşırı derecede kimlik doğrulamasından geçtiği, “temiz”, otorite onaylı kurumsal web; diğer tarafta ise porno ve merkeziyetsiz toplulukların toplandığı daha gevşek bir graynet galaksisi oluşabilir.
Tüm kurcalayıcılar kurumsal ağlardan dışarı itilirse, bu uzun zaman önce kaybolmuş hayalleri yeniden başlatmak için ilginç bir fırsat da olabilir.
İnternetin üzerinde “toplumu” temsil eden baloncuk benzeri bir toplumsal üstyapı oluştuğunu hayal ediyordum. 90’lardan beri bunun küçük sürümleri vardı ama Myspace, Facebook, Twitter gibi sosyal medyanın yükselişiyle asıl hâlini aldı.
“İptal kültürü”nün hemen ardından gelmesinin de tesadüf olmadığını düşünüyorum. Sanallaşmış bir kamusal alan oluştuğunda, mesele artık kimin ve neyin onun içinde yer alacağını belirlemeye dönüşür.
Tavır biraz “Sonunda insanların yıllardır dalga geçtiği becerilerimi sınayabileceğim” gibi.
Her iki durumda da sorun, yeni düzen altında acı çekecek insanların büyük çoğunluğunu görmezden gelmeleri. Kurumsal duvarlı bahçelerden çıkıp özgür bilgi otobanına gidecek kişi sayısı çok az olacaktır.
Kurumsal web’in silik yankıları yalnızca graynet üzerinden korunur ve dijital arkeologlar kurumsal web’de saklı kayıp bilgeliğin “sırlarını” ortaya çıkarmaya çalışır.
Muhtemelen bunu birileri zaten yazmıştır ama iyi oturuyor gibi.
Genel bulut ile kişisel kullanımın kesiştiği ev ortamlarında da, örneğin kişisel amaçlarla kullanılan Cloudflare Access tünelleri ve MS365 iş tenant’larında da bir ölçüde isteniyor.
Ama kişisel web gezintisi deneyimine ya da kişisel tarayıcı ortamına kesinlikle temas etmemesini istiyorum.
Şu anda bu istekler fiilen birbiriyle çatışıyor ve bu teknoloji için cin artık şişeden çıktı.
90’ların siberpunk hayali güzel, ama “net”e bağlanmak için her zaman internet servis sağlayıcısı denen darboğazdan geçmek zorunda olduğumuz fiziksel gerçeğini yok sayıyor gibi görünüyor.
Sonuçta internetin ne kadar sistem karşıtı olabileceği konusunda aşılamaz bir engel var.
Yanılıyor olabilirim ama Web Attestation, Android ya da Chrome OS değil, Linux cihazların web’i eşit bir istemci olarak kullanması için ölüm fermanı olabilir.
Linux, uzaktan doğrulamanın güvenilir biçimde çalışması için fazla çeşitli ve hacklenebilir bir platform; sonunda tamamen dışlanacak.
Birkaç “kutsanmış” dağıtım istisna olacak, ama bu dağıtımlar sektörün kontrolüne gireceği için artık Linux ruhundan epey uzaklaşacak.
Neredeyse her web sitesinin spam önleme sınıflandırıcısına takılırsınız ve korunan yerlere erişmek için 3–5 kez CAPTCHA çözmeniz gerekir.
Wikipedia da düzenlemeyi engelliyor: https://meta.wikimedia.org/wiki/Talk:Apple_iCloud_Private_Re...
Görünüşe göre bu siteleri bırakacak iradeye sahip değilim; belki de karşı taraftan içeriklerin yüklenmesini engellemeleri tam da ihtiyaç duyduğum şeydir.
Artık burada söylediğime göre sır olmaktan çıktı.
https://github.com/jwise/28c3-doctorow/blob/master/transcrip...
Onlar da belirli donanıma sahip olduklarını kanıtlamaları gereken bir gelecekte yetersiz görünecek kadar çeşitli ve hacklenebilir platformlar.
Sektörün kontrolüne giren birkaç “kutsanmış” dağıtım yüzünden Linux ruhunun yok olacağı sık söyleniyor, ama bunun somut olarak nasıl olacağını pek duymuyoruz.
Linux, sektörün kontrol ettiği UNIX yüzünden ortaya çıktı; Linux’tan bu ruh alınırsa başka bir topluluk projesine fork edilir.
GPL lisansı sökülüp atılmadığı sürece Linux, tamamen kullanılmaz hâle gelene kadar “Linux ruhunu” koruyacaktır.
Safari’nin baskın tarayıcı olmadığı için bunun Google’ın önerisi kadar tehlikeli olmadığı iddiasına katılmıyorum.
Gerçekte Apple yapsa da Google yapsa da aynı derecede kötü; Apple tamamen hayal kırıklığı yaratan bir tercih yaptı.
Google bunu dayatsa bile Apple reddetseydi pratikte zorla kabul ettirmek güç olurdu. Rakamlar Chrome kadar yüksek olmasa da tüm iDevice’ları kesip atamayacakları kadar büyük.
Gerçekten önemli şirketler yalnızca Apple, Google ve Microsoft.
Bu kez bir felaketi daha engelleyemeyecek olması üzücü.
Bu yüzden Apple’ın sideloading’e açılmasını talep eden yasalar konusunda da endişeliyim. İnsanların kendi sistemlerini kontrol etmesi fikrini seviyorum, ama pratikte bunun Google’ın web’i istemci ucuna kadar tamamen kontrol etmesini sağlamlaştıran son çivi olmasından korkuyorum.
Onların uyguladığı bir özelliğin birden fazla tarayıcıyla uyumlu olmadığını her söylediğimde, istisnasız Firefox’tan Chrome’a geçmemi söylüyorlar.
Bir şeyi çalıştırmak için Safari’ye geçmem gerektiğini bir kez bile duymadım. Bu başlı başına çok şey anlatıyor.
iOS’te bu özellik kapatılabiliyor gibi görünüyor.
Ayarlar’a gidip en üstteki kullanıcı hesabını seçin, “Password & Security” bölümüne girin, Advanced’a kadar aşağı kaydırıp “Automatic Verification”ı kapatın.
https://blog.cloudflare.com/how-to-enable-private-access-tok...
https://support.apple.com/en-us/HT213449
System Settings -> iCloud Settings(kullanıcı adı) -> Password & Security -> Automatic Verification
Chrome WEI’yi dağıtırsa çeşitli Chromium fork’ları da Chrome yapmasa bile kapatılabilir hâle getirecektir; Firefox da kullanabilirsiniz.
Sorun, bankanız, vergi daireniz ve sevdiğiniz streaming servisi bu özelliği istemeye başladığında ortaya çıkar.
Asıl mesele, sıradan kullanıcıların kayda değer bir kısmının bu özelliğe sahip olacak olması.
Bunu gerçekten fark etmiştim ve bloga yazmayı da düşünmüştüm; ama sorun gibi görünmemesinin tek nedeni, yalnızca Apple platformlarında uygulanmış olması ve bu yüzden servislerin bununla kullanıcıları fiilen kısıtlayacak bir yolunun bulunmamasıydı.
İnsanların başka bir sinyal olarak kullanabileceği ek bir unsurdu sadece.
Buna karşılık Google’ın önerisi, bunu açıkça her zaman açık bir özellik olarak dayatmakla ilgileniyor.
“Belirleyici platform bütünlüğü kanıtı” gibi kullanım örneklerinin şu anda istemci parmak izi toplamaya dayandığı açıklaması, nihayetinde sınırlı entropiye sahip belirleyici bir kanıtın müdahaleci parmak izi toplamayı ikame edeceği ve uzun vadede gizlilik açısından daha dostane uygulamalara kapı açabileceği iddiası.
Apple’ın bunu önce uygulamış olması yalnızca, Apple’ın bizi kurtaracağını bekleyenlerin saf olduğunu kanıtlıyor.
Bu alan gerçekten ilginç ve kutuplaşma yaratmaya çok müsait
Web’de “güvenilir” bir donanım ve yazılım yığınıyla iletişim kurup kurmadığınızı bilmek isteyeceğiniz kullanım senaryoları inanılmaz derecede fazla
Yıllardır yığında neredeyse hiç güven olmadığını varsayarak tasarlayıp inşa ediyoruz; bu da karmaşıklığı ve maliyeti muazzam ölçüde artırıyor, işlevleri sınırlıyor ve güvenilir bir yığını varsayabildiğiniz duruma kıyasla her şeyi çok daha zor hâle getiriyor
Aynı zamanda, şu anda yoğun biçimde işaret edildiği gibi, büyük teknoloji tekelleri işin içine girdiğinde güven kavramı çok zorlaşıyor
Bir yandan, dünyada kalıcı tehdit aktörleriyle başa çıkabilecek büyük teknoloji ekipleri çalıştırabilen çok az şirket var; bu yüzden onların sunduğu güvenlik vaatlerine güvenebilmek iyi olurdu. Bu vaatler güvenilirse, bireylerin kendi yazılımları ve platformları hakkında verebileceği herhangi bir vaatten daha iyidir
Öte yandan, hacker kavramının Platonik anlamıyla bakıldığında “güvenilir” demek “tekel tarafından garanti edilmiş”, “muhtemelen yerel devlet kurumunun bir arka kapısı var” diye okunur; bu da kontrole, inovasyon eksikliğine ve sonunda az sayıda oyuncunun hâkim olduğu faşizan bir teknoloji geleceğine doğru bir adım daha inmek anlamına gelir
Sonuçta başarılı olabilecek çözümün, kayıt defteri tabanlı olmayan, güvenilir açık donanım sertifikasyon teknolojisi içermesi gerektiğini düşünüyorum. Güçlü yerel kanıtlar üretebilmeli ve bunları bağımsız olarak doğrulayabilmeliyiz
Silikon tarafında bu sorunla uğraşan birkaç teknoloji şirketi biliyorum ama bu çok zor bir problem ve şu anda onların hayatta kalmasına yetecek kadar talep olup olmadığından da emin değilim
Şahsen şimdilik Safari’de bunu açık bırakıp önümüzdeki 1-2 yılı izleme tarafındayım
DRM teknolojileri de bu terimlerle tartışılır, ama hedef kullanıcıya güven vermek değil, geliştiriciye ya da içerik sahibine güven vermektir
Bunun gerçekten güvenle ilgili bir mesele olmayabileceği açıkça görülüyor
Devlet sisteminin faydalarından yararlanıp yararlanmayacağınıza ve bunun maliyetine değip değmeyeceğine karar vermelisiniz
Bu tür sistemlerin çoğundaki sorun, istisna durumlarını hiç ele alamamalarıdır
Nüfusun %99’u için iyi çalışır ama kalan %1 için “başının çaresine bak” durumuna dönüşür
Mesai sonrası ofise girmeye çalışırken, yalnızca unuttuğunuz araba anahtarını almak istediğiniz hâlde robotun girişinizi reddetmesi gibidir
Sistem güvenli olacak şekilde tasarlanmıştır, bu yüzden robotu konuşarak ikna edemezsiniz. İnsan olsaydı, genellikle konuşup ikna etmek ve işe yarayan bir çözüm bulmak çok daha kolay olurdu
Teknoloji insanları sonunda yine teknolojiyle çözmeye çalışır. “Bir sorun varsa ben çözerim; DJ çalarken tekniğime bak”
Sırf iyi konuşabildikleri ve insan gatekeeper’ı ikna edecek makul bir hikâye uydurabildikleri için banka hesaplarının hacklenmesi böyle ortaya çıkıyor
“Evet, bu kişi gerçek bir insandır” demenin bir yoluysa faydalı olabilir; ancak bu yalnızca basit bir sistem kanıtı, kötü niyetli aktörleri engelleyip engelleyemeyeceğini ve CORS gibi başka sistemler gibi yanlış anlaşılıp kötüye kullanılıp kullanılmayacağını bilmenin bir yolu yok
Bu sistemin mantıksal sonucu “normal bir sistemin varsa normal bir kullanıcısın, yoksa değilsin” olur
Her iki tarafın pozisyonunu bir ölçüde anlıyorum
Başkalarının niyetlerini iyiye yorarsak, kimliği belirlenmiş insanlar ve onların onaylı temsilcileriyle dolu bir web, görebileceğimiz en “temiz” ideal web alanı olabilir
Sahte hesaplar ve link farm’larla dolu bir web ideal değil
Bu akışın en belirgin varış noktası, kimliği kanıtlayan ve oturum açma rolü de üstlenen devlet tarafından verilen dijital kimlik
Gözlerinizi kısarak bakarsanız bu, oraya giden yolda bir basamak gibi görünebilir
70’ler tarzı idealizmin hayata geçmiş hâli mi? Değil. Ama bir dereceye kadar makul bir uzlaşma olduğunu düşünüyorum
Devlete güvenemiyorsanız? Bunu muhtemelen hiçbir internet çözemez. Bu gerçek dünyanın sorunu
Bana daha çok sterilize edilmiş bir web gibi geliyor
İnsanların sonunda o sistemi de aşmanın bir yolunu bulacağı gerçeğini bir anlığına görmezden gelip bunun en “temiz” web alanı olacağını varsaysak bile, tüketicinin bunu istediğini varsaymış oluyoruz
Yerel uygulama dünyasında App Store, kilitli denetim ve uygulama kimliği zaten var; buna rağmen web hâlâ ticarete hâkim ve Figma gibi örneklerle aksine daha da güçleniyor gibi görünüyor
O hâlde bu “arındırılmış” web’e yönelik talep çığlığı nerede? En azından tüketici tarafındaki talep hiç de böyle görünmüyor
Neden bu kadar saçma derecede güçlü kimlik kanıtına ihtiyaç var? Gerçekten gerekliyse internet bugüne kadar nasıl işledi?
Üstelik şu anda fiilen kimse böyle bir şey önermiyor. Ne Apple’ın ne de Google’ın yaklaşımı bunun yakınına bile geliyor. Yapmak istedikleri şey, platformun “bütünlüğünü” garanti etmek
Tam olarak hangi bütünlük? Örnekte, kullanıcının güvenli bir Android cihazda web istemcisi çalıştırdığını gösterdiği söyleniyor
Yani kullanıcının tekil bir kişi olup olmadığını söylemiyor, kişi hakkında işe yarar bir tanımlayıcı da vermiyor. Bu örnek ve Apple’ın durumunda söylenen tek şey cihazın root’lanmamış ya da jailbreak yapılmamış olduğu
Aslında bu kavram ancak daha büyük bir kedi-fare oyununun parçası olarak işe yarar. Telif hakkı koruması gibi, uzaktan kanıtlama da gerçekte neyi kanıtladığıyla sınırlıdır
Sinemada kamerayla kayıt almayı engellemek zordur; filmlerin nihayetinde ardışık fotoğraflar ve PCM örnek kareleri olmasından yararlanan pek çok ara aşama olduğu gibi, cihaz pahalı olsa bile birilerinin birden fazla cihaz edinip işi yürütmesini engelleyemezsiniz
Zaten sistemi kandırmak için yığınla Android cihaza sahip olan çok kişi var; bazı durumlarda tanesini 50 dolara alabildiğiniz için anlamlı bir engel değil
Sonuçta yalnızca bot işletmenin maliyetini ve karmaşıklığını artırır; başa baş noktasını yeterince yükseltirseniz teoride kazanmış sayılabilirsiniz. Ama spam ve dolandırıcılıktan elde edilecek kâr çok büyük olduğu için bu olmayacak
Yıllarca verilen mücadeleye rağmen hâlâ yakınına bile gelinmedi ve bu tür sistemleri kandırma endüstrisine akan para, bu maliyetleri fazlasıyla karşılar
Devlet kimliğini işin içine katmak da bunu değiştirmez. Neredeyse her spam operasyonunun arkasında gerçek bir insan vardır; dolayısıyla birinin vatandaş olduğuna dair kör bir kanıt alsanız bile o kişi hakkında neredeyse hiçbir şey bilmezsiniz
Yardımcı olması için, meşru bir taraf olduğuna dair kanıt değil, gerçekten her kişinin benzersiz kimliğini almak gibi bir şey gerekir
Ve internetin varacağı yer buysa, açıkçası bu deneyin tamamı buna değmemiştir
Sahte bir fare ya da klavye takıp girdiyi doğrudan da sağlayabilirler
Güvenlik donanımı bir avantaj sunuyor gibi görünmüyor. Belirli bir ölçekte dezenformasyon yayan kişiler için hız kesici tümsek bile olamaz
Yalnızca çok acemi ya da hafif kötü niyetli aktörleri biraz rahatsız eder; buna karşılık tarayıcı yapabilen kişileri ve Linux kullanıcıları ya da Trusted Boot’u kapatanlar gibi güvenilmeyen cihaz kullananları ciddi biçimde sınırlar
AllAdvantage’ı hatırlıyor musunuz bilmiyorum
Yüzyılın dönümüne yakın dönemde masaüstünde reklam gösterip para ödeyen bir hizmetti; yalnızca PC gerçekten kullanılıyorken ödeme yapıyordu
İnsanlar fare hareket ettirme cihazlarıyla bunu kandırdı ve küçük bir silahlanma yarışı yaşandı
Bu teknoloji onlar için rüya gibi bir şey olurdu. İsteğin gerçek bir tarayıcıdan mı yoksa bir betikten mi geldiğini bilebilir; güvenilmeyen bir sürücüyle giriş simüle edildiğinde ya da tarayıcı otomasyona alındığında kanıtlamayı devre dışı bırakabilirdi
Gerçekten rahatsız edici bir teknoloji
Bu, çok popüler bir güvenlik ürünü kategorisini tarayıcının kendisine sıkı biçimde entegre etmeye yakın bir şey
Bugün felsefi bir tavır alıp reCAPTCHA/hCAPTCHA kullanan tüm web sitelerini reddedebilirsiniz; yarın da PAT kullanan tüm web sitelerini reddedebilirsiniz