1 điểm bởi GN⁺ 2023-07-27 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vivaldi cho rằng Web Environment Integrity có thể làm lung lay khả năng tiếp cận và tính cạnh tranh của web mở khi trao cho website quyền đánh giá mức độ tin cậy của trình duyệt và nền tảng
  • Đề xuất này có cấu trúc trong đó bên thứ ba là attester xác minh môi trường thực thi; dù được nêu là để ngăn tương tác “giả”, nó có thể hoạt động giống DRM dành cho website
  • Nếu việc đánh giá độ tin cậy tập trung vào một số ít công ty, nguy cơ các trình duyệt mới, trình duyệt nhỏ, phần mềm legacy và người dùng Linux bị đẩy ra khỏi quyền truy cập web sẽ tăng lên
  • Ngay cả khi trình duyệt từ chối triển khai, nếu website yêu cầu API này thì vẫn có thể chặn người dùng; các dịch vụ của Google hoặc Google Ads có thể trở thành công cụ tạo áp lực áp dụng
  • Tính đến ngày 3 tháng 11 năm 2023, Google đã quyết định không tiếp tục Web Integrity API, nhưng sự đa dạng của trình duyệt và engine trình duyệt vẫn tiếp tục là điều cần thiết

Web Environment Integrity định làm gì

  • Web Environment Integrity là một đề xuất cho phép website dùng API để kiểm tra liệu trình duyệt và nền tảng đang truy cập hiện tại có đáng tin cậy hay không
  • Cấu trúc của nó là một bên thứ ba có thẩm quyền, gọi là attester, sẽ đưa ra phán định về độ tin cậy
  • Mục tiêu của nó gần với việc ngăn các tương tác “giả” trên nhiều website, nhưng cách thức chi tiết vẫn chưa rõ ràng
  • Các trường hợp sử dụng nhìn bề ngoài có thể có vẻ hợp lý, nhưng hiệu quả thực tế có thể gần với DRM dành cho website
  • Việc trường hợp sử dụng đầu tiên là xác minh tính xác thực của tương tác quảng cáo cũng có thể liên hệ với việc củng cố nền tảng quảng cáo của Google

Sự loại trừ do đánh giá độ tin cậy của trình duyệt tạo ra

  • Nếu một chủ thể cụ thể quyết định sẽ tin cậy những trình duyệt nào, thì sẽ không còn bảo đảm rằng bất kỳ trình duyệt nào cũng tự động được chấp nhận
  • Các trình duyệt mới mặc định sẽ khởi đầu ở trạng thái không được tin cậy, và phải chứng minh độ tin cậy theo cách khiến attester chấp nhận
  • Người dùng phần mềm legacy không hỗ trợ đặc tả này có thể dần bị loại khỏi web theo thời gian
  • Dù đặc tả có nhắc đến rủi ro loại trừ nhà cung cấp, cách phản ứng trên thực tế có thể chỉ dừng ở mức dè dặt mà không có giải pháp thực sự

Attester theo từng nền tảng và lo ngại cạnh tranh

  • Ví dụ attester chính trong đặc tả là Google Play trên Android
    • Trong cấu trúc này, Google sẽ quyết định những trình duyệt nào trên nền tảng của mình được coi là đáng tin cậy
    • Vivaldi cho rằng khó có thể kỳ vọng Google sẽ đánh giá một cách công bằng
  • Trên Windows, có đề cập khả năng Microsoft đảm nhận vai trò tương tự thông qua Windows Store; trên Mac, Apple cũng có thể giữ vai trò này
    • Theo xu hướng đó, ít nhất Edge và Safari có khả năng cao sẽ được tin cậy
    • Các trình duyệt khác sẽ phải phụ thuộc vào phán định của Google, Microsoft và Apple
  • Với Linux, không có câu trả lời rõ ràng
    • Chưa rõ Linux có bị loại hoàn toàn khỏi việc duyệt web hay Canonical sẽ trở thành bên quyết định thông qua kho gói snaps
    • Đây vẫn là một tình huống không tốt đối với người dùng Linux

Bất định quanh việc phân biệt con người, tự động hóa và extension

  • Đặc tả ngụ ý khá mạnh rằng mục tiêu là xác minh liệu một con người thực sự có đang tương tác với website hay không, nhưng cách đạt được điều đó thì chưa rõ
  • Những câu hỏi còn lại gồm có
    • Có sử dụng dữ liệu hành vi để xem người dùng có hành động như con người hay không
    • Dữ liệu này có được cung cấp cho attester hay không
    • Các công cụ hỗ trợ tiếp cận phụ thuộc vào tự động hóa đầu vào trình duyệt có khiến trình duyệt trở nên không đáng tin cậy hay không
    • Nó sẽ ảnh hưởng thế nào đến extension
  • Đặc tả hiện tại có ngoại lệ cho việc sửa đổi trình duyệt và extension, nhưng extension có thể khiến việc tự động hóa tương tác với website trở nên dễ dàng
  • Nếu giữ ngoại lệ, kẻ tấn công sẽ dễ lách hơn; nếu giảm ngoại lệ, thì khả năng các hạn chế cũng sẽ áp lên extension sẽ xuất hiện

Vì sao khó từ chối triển khai

  • Nếu trình duyệt không triển khai Web Environment Integrity, nó có thể trở thành một trình duyệt không được tin cậy
  • Nếu website yêu cầu API này, họ có thể từ chối người dùng của trình duyệt đó
  • Google có các phương tiện để thúc đẩy website áp dụng
    • Google có thể khiến chính các dịch vụ của mình phụ thuộc vào tính năng này
    • Việc không thể dùng các website của Google có thể là đòn chí mạng với phần lớn trình duyệt
    • Google cũng có thể yêu cầu các website dùng Google Ads phải sử dụng API này
  • Nếu mục tiêu đầu tiên là ngăn các cú nhấp quảng cáo giả, chỉ riêng việc gắn với Google Ads cũng có thể khiến việc áp dụng API lan rộng rất nhanh

Khả năng bị chặn về pháp lý và các giới hạn

  • Vivaldi cho rằng luật EU nhiều khả năng sẽ không cho phép một số ít công ty nắm quyền quá lớn trong việc quyết định trình duyệt nào được phép hoạt động
  • Attester có thể sẽ chịu áp lực rất lớn phải hành xử công bằng nhất có thể
  • Tuy vậy, quy trình lập pháp và tư pháp diễn ra chậm, nên thiệt hại có thể đã xảy ra trong lúc chính phủ và tòa án còn đang xem xét
  • Nếu đề xuất tiếp tục được triển khai, web mở có thể sẽ trải qua giai đoạn khó khăn, và các nhà cung cấp quy mô nhỏ có thể bị ảnh hưởng đặc biệt nặng

Các đề xuất trước đây của Google và vị thế thống trị thị trường

  • Vị thế thống trị của Google trên thị trường trình duyệt được đánh giá là có tiềm năng trở thành mối đe dọa mang tính sống còn đối với web
  • Vivaldi cho rằng trước đây Google cũng từng đưa ra những đề xuất không tốt cho web, ví dụ như FLOC, TOPIC, Client Hints
  • Web Environment Integrity là phần tiếp nối của xu hướng đó, và còn được xem là mối đe dọa lớn hơn ở chỗ nó có thể khiến Microsoft và Apple hợp tác với Google để hạn chế cạnh tranh giữa các trình duyệt và hệ điều hành
  • Về lâu dài, cần đưa Google vào một môi trường cạnh tranh cân bằng hơn, và điều đó đòi hỏi cả việc lập pháp lẫn giảm thị phần của Google

Cập nhật ngày 3 tháng 11 năm 2023

  • Google đã quyết định không tiếp tục Web Integrity API
  • Vivaldi xem đây là một diễn biến rất tích cực đối với tính trung lập của web mở
  • Tuy vậy, Vivaldi vẫn cho rằng Google bị chi phối mạnh bởi lợi ích riêng hơn là lợi ích của toàn bộ web, nên vẫn cần theo dõi xem nó sẽ được thay thế bằng điều gì
  • Cũng vẫn còn nghi ngờ rằng, giống như Topics xuất hiện sau FLOC, những đặc tả có vẻ ít gây khó chịu hơn nhưng vẫn có hại cho người dùng có thể tiếp tục xuất hiện
  • Họ cũng thấy đáng ngờ khi quyết định này trùng với thông báo gần đây của Google về việc chuyển mô hình tính phí quảng cáo từ tính theo nhấp chuột sang tính theo số lần hiển thị
  • Để một chủ thể duy nhất không thể quyết định tương lai của web, sự đa dạng của trình duyệt và engine trình duyệt là rất quan trọng

1 bình luận

 
GN⁺ 2023-07-27
Ý kiến trên Hacker News
  • Việc Google nói những điều như thế này đặc biệt nực cười. SafetyNet của Android trên danh nghĩa là để bảo mật, nhưng thực tế lại dẫn đến việc làm giảm bảo mật đáng kể
    Nó chặn các ROM bên thứ ba hiện đại và an toàn, trong khi lại cho qua những ROM do nhà sản xuất cung cấp vốn tệ hại và đầy lỗ hổng. Họ để vậy vì nếu chặn thì người dùng sẽ phản đối dữ dội
    Rốt cuộc, thay vì mang lại cải thiện bảo mật có ý nghĩa cho người dùng trung bình, nó hoạt động như một dạng khóa chặt vào nhà cung cấp, và chặn con đường để người dùng nâng cao cải thiện bảo mật mà không phải mua phần cứng mới. Cần phản bác mạnh hơn lập luận rằng dạng attestation như thế này mang lại lợi ích chính đáng cho người dùng

    • Nếu nói về những chiếc điện thoại bị khóa và thù địch với người dùng, thì thật vô cùng mỉa mai khi bài viết mới nhất trên blog của Ben Wiser, nhân viên Google đưa ra đề xuất này, lại là lời than phiền rằng anh ta không thể tự do chạy phần mềm mình muốn trên iPhone của mình
      https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
      https://github.com/RupertBenWiser/Web-Environment-Integrity
    • Hầu như phần mềm hay website nào cũng có thể được tô vẽ là có lợi ích cho người dùng, chẳng hạn như tiện lợi hơn hoặc bảo mật hơn. Câu hỏi quan trọng hơn là người tạo ra nó được lợi gì, và nó thực sự làm gì
      Ta có thể dùng các web client không rò rỉ quá nhiều dữ liệu, nhưng Google hẳn sẽ không muốn chúng ta dùng những client như vậy. Họ cũng có thể gán nhãn toàn bộ web client chưa được phê duyệt là “bot”, và mọi cách dùng web không tiết lộ quá mức thông tin môi trường của người dùng là “gian lận”
      Lối suy nghĩ được ăn cả ngã về không coi mọi hoạt động dùng web là hành vi thương mại và mọi website là vật chứa quảng cáo gần như là một dạng méo mó nhận thức điển hình
    • Đúng vậy. Bản thân việc обход qua thì không đáng kể, nhưng vì phải root thiết bị nên ngay cả trên ROM tùy chỉnh cũng có thể dẫn đến giảm bảo mật
    • Cách giải thích đó không đúng với GrapheneOS
      https://grapheneos.org/articles/attestation-compatibility-gu...
      Bản thân SafetyNet cũng đã được lên kế hoạch ngừng sử dụng
      https://developer.android.com/training/safetynet/deprecation...
  • Các tính năng trình duyệt gây tranh cãi lúc nào cũng tương tự nhau. Nếu không triển khai, trải nghiệm người dùng trên các website yêu cầu tính năng đó có thể trở nên tệ hơn
    Nhưng nếu là nhà sản xuất phần mềm, bạn phải tự phán đoán điều gì là tốt nhất cho khách hàng. Nếu hy vọng duy nhất để không tuân theo chuyện này chỉ là EU phạt Google, thì đáng lo vì điều đó cho thấy dường như họ không có ý chí tự mình giữ lập trường mạnh mẽ

    • Trong số các dịch vụ web lớn, hầu như không nơi nào hành động dựa trên điều gì là tốt nhất cho người dùng. Nếu chuyện này có đà, Google có thể từ chối chi trả AdSense cho các lượt hiển thị phát sinh trên những trang “không được tin cậy”, và các doanh nghiệp lớn phụ thuộc vào doanh thu quảng cáo sẽ lập tức triển khai WEI mà chẳng bận tâm gì đến người dùng
    • Đây gần như là một lỗi phân loại. Hầu hết các tính năng hay API của trình duyệt được xử lý như cải tiến lũy tiến cho đến khi người dùng đủ phổ biến, và kể cả về sau khi giả định tính năng đó tồn tại, thường thì trải nghiệm chỉ kém đi chứ website không hỏng hoàn toàn
      Nhưng web attestation thì khác. Nếu website yêu cầu còn trình duyệt không triển khai, trong không ít trường hợp người dùng có thể bị chặn hoàn toàn khỏi website đó
      Hơn nữa, ngay cả khi Vivaldi triển khai WEI, rất có khả năng các tổ chức attestation như Google, Microsoft, Apple hoặc chính website sẽ không công nhận Vivaldi là một môi trường hợp lệ. Thật đáng nghi liệu họ có xem một trình duyệt trao quá nhiều tự do cho người dùng, như tiện ích chặn quảng cáo, tự động hóa của người dùng, scripting, là “môi trường có thể chấp nhận” hay không
    • Điểm khác của WEI là về thực chất nó kiểm soát cả quyền lựa chọn cách triển khai các tính năng web khác. Ví dụ, nó có thể ảnh hưởng tới cả việc có cho phép chặn phần tử hay có hiển thị console cho nhà phát triển hay không
      Ngoại trừ Encrypted Media Extensions, mà cái đó cũng hạn chế hơn WEI rất nhiều, tôi không biết chuẩn web nào hoạt động theo kiểu này
    • Google cũng kiểm soát công cụ tìm kiếm và mạng quảng cáo phổ biến nhất, nên họ có thể gây sức ép đáng kể lên các nhà phát triển web bằng cách không cấp quảng cáo hoặc lưu lượng truy cập cho những website không tuân theo
      Vì tôi đã chặn tất cả quảng cáo nên không hoàn toàn đồng cảm với các nhà phát triển ra quyết định dựa trên tối đa hóa doanh thu quảng cáo, nhưng ở đây việc đẩy gánh nặng sang nhà phát triển bằng cách nói “đó là lựa chọn của anh, cứ từ chối đi” là không công bằng
    • Google từng thử làm những việc như vậy và đã bị đẩy lùi trước đây. Tôi nghĩ ngay đến hai ví dụ
      1. FLoC: https://www.theverge.com/2022/1/25/22900567/google-floc-aban...
      2. Dart: Google đã cố thay thế JavaScript nhưng bị từ chối vì Mozilla và Microsoft không tham gia, và cuối cùng dự án chết yểu
        Google thử rất nhiều thứ. Mozilla, Microsoft, Apple vẫn đủ mạnh để chống lại những ý tưởng mà họ xem là tệ, đặc biệt là bên ngoài nước Mỹ
  • Có vẻ đến giờ các thread liên quan chỉ chừng này. Mình có bỏ sót gì không?
    Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
    Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
    Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
    Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
    Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
    Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
    Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
    Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
    Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)

    • Có một bài liên quan nhưng đã bị gắn cờ
      “I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
      Có vẻ những người dùng có đủ karma đã gắn cờ nó, nhưng trong một thời gian nó không hiện “[flagged]”, đồng thời không xuất hiện ở các trang đầu và cũng không nhận thêm lượt upvote, nên khá khó hiểu. Mình tự hỏi có phải việc hiển thị “[flagged]” bị trễ không
  • Nếu muốn phản đối một cách nghiêm túc thì có thể làm như sau: mỗi người thêm vào website của mình đoạn mã kiểm tra xem user agent có triển khai API này không, và nếu qua kiểm tra thì thông báo kèm lý do rằng trình duyệt đó không được chào đón
    #BoycottGoogle #BoycottChrome #BoycottBullshit

    • Mình đồng cảm và ước gì tất cả cùng làm như vậy, nhưng không thể tưởng tượng được những người nắm tiền mà mình làm việc cùng sẽ đồng ý
    • Phải nói chuyện đó với sếp thôi. Và nếu Google muốn, có lẽ họ cũng có thể tạo ra cách để che giấu điều này
  • Như thường lệ, đây là một bài dài về WEI của Google, nhưng không nhắc tới việc Apple đã âm thầm đưa con tàu này ra khơi, nên gần như không nhận được sự chú ý hay phản ứng nào
    https://httptoolkit.com/blog/apple-private-access-tokens-att...
    https://toot.cafe/@pimterry/110775130465014555
    Thật là tình trạng đáng buồn của tin tức công nghệ và blog. Không nhìn bức tranh lớn hơn, chỉ lặp lại cùng một màn kịch

    • Vì giống như phần lớn người dùng Internet trên thế giới, tôi không có sản phẩm Apple nên không nhận ra, chưa từng bị ảnh hưởng và có lẽ sau này cũng rất có khả năng là không
      Ngược lại, tôi vẫn liên tục tương tác với các website dùng Google Analytics hoặc quảng cáo Google. Nếu các site đó bắt đầu từ chối trình duyệt tôi chọn, tôi sẽ thực sự bị chặn khỏi một phần đáng kể của Internet
      60% người dùng Internet còn lại cũng có thể trên thực tế bị ép chấp nhận công nghệ này. Số người dùng bị ảnh hưởng lớn hơn ở mức một đến hai bậc độ lớn, nên hoàn toàn có đủ lý do để gióng chuông báo động
    • Bài viết cũng nói điểm đó. Vì Safari không phải trình duyệt web thống trị, nên đây không phải cùng một vấn đề. Quyền lực mà Apple có thể dùng với thứ này rất hạn chế
    • Kiểu biện hộ “có kẻ xấu lớn hơn ở bên kia” không phải là chiến lược có thể thắng
    • Cá nhân tôi cho rằng Private Access Tokens không tệ như WEI. PAT chỉ ở mức vượt qua CAPTCHA, còn WEI có khả năng chặn hoàn toàn mọi người khỏi các website
    • Rõ ràng lẽ ra nó phải nhận được nhiều sự chú ý hơn
  • Việc trường hợp sử dụng đầu tiên là xác minh liệu tương tác với quảng cáo có phải là thật hay không mới chỉ là khởi đầu. Attestation cuối cùng có thể khiến nhà quảng cáo yêu cầu người dùng thực sự đang ngồi đó và nhìn vào màn hình
    Nó có thể trở thành như tập “Fifteen Million Merits” của Black Mirror

    • Sony đã có bằng sáng chế cho đúng kịch bản đó của Black Mirror
      https://www.creativebloq.com/sony-tv-patent
      Nội dung là người xem TV phải hét tên thương hiệu nếu muốn bỏ qua quảng cáo. Kiểu như phải hét “McDonald's!” thì Big Mac mới biến mất
      Nếu không bị ngăn lại, các công ty sẽ làm những chuyện điên rồ và khủng khiếp nhất, và chúng thực sự sẽ xảy ra
    • Trên Android, một số quảng cáo video cũng bị tạm dừng ngay cả khi kéo ngăn thông báo xuống
    • Tôi đang chờ đến ngày có thêm hẳn một engine trình duyệt đầy đủ được triển khai bằng WASM, chạy bên trong một trình duyệt host mà mọi trang media bắt buộc phải dùng
  • Giờ cần hai thứ. Thứ nhất, chia tách chống độc quyền Google thành mảng tìm kiếm và quảng cáo. Thứ hai, thuế quảng cáo
    Cần khiến việc công cụ tìm kiếm hiển thị quá nhiều quảng cáo trở thành bất lợi về mặt kinh tế

    • Tôi đồng ý với điều đầu tiên, nhưng điều thứ hai có vẻ lệch mục tiêu. Chuyện này không liên quan nhiều đến tìm kiếm
      Google đang dùng vị thế thị trường của mình: vừa là bên bán quảng cáo lớn nhất, vừa là nhà sản xuất Chrome/Chromium, trình duyệt phổ biến nhất, để khiến người dùng không thể tránh xem quảng cáo Google trên bất kỳ website nào
    • Tôi nghĩ ý tưởng tách tìm kiếm và quảng cáo có thể thay đổi cuộc chơi, nhưng tìm kiếm sẽ kiếm tiền thế nào nếu không có quảng cáo, và làm sao không làm tổn hại thuật toán xếp hạng?
    • Việc công cụ tìm kiếm hiển thị quảng cáo sẽ không trở thành bất lợi về mặt kinh tế. Các vị trí quảng cáo ở màn hình đầu tiên luôn có thể bán được với giá trị cao
      Thay vào đó, nó phải trở thành bất lợi về mặt chiến thuật. Vì quảng cáo làm giảm độ chính xác và khiến người dùng rời đi. Nhưng nếu không có đối thủ chính xác hơn nhiều, họ có thể trụ được rất lâu
      Google Search cũng có vài tín hiệu đáng hy vọng. Một số người báo cáo rằng độ chính xác đã giảm, còn Google liên tục thay đổi các hành vi đặc trưng để tránh spam, trong quá trình đó làm vô giá trị công sức mà mọi người đã bỏ ra cho SEO và các mẹo dùng Google Search. Tuy nhiên, hai điều này cũng có thể là cùng một hiện tượng
  • Tôi có thể hình dung dòng chữ “Website này không tương thích với thiết bị của bạn” xuất hiện trên YouTube
    Nó nằm dưới sự kiểm soát của Google, và họ muốn bạn xem quảng cáo trên trình duyệt chính thức, nên cũng không lạ. Nó cũng có thể xuất hiện sớm trong các ứng dụng ngân hàng
    Về dài hạn, nó sẽ héo mòn rồi chết, hoặc dẫn đến các biện pháp chống độc quyền. Tôi không thấy nhiều con đường khác

    • Tất cả dịch vụ streaming rất có khả năng sẽ nhanh chóng triển khai dưới danh nghĩa chống sao chép lậu. Nó sẽ không hiệu quả, và chỉ làm hại những người muốn xem bằng các trình duyệt hoặc hệ điều hành tôn trọng tự do hơn
    • Nếu không có một chuỗi tin cậy hoàn chỉnh kéo dài từ lúc khởi động như Android và iOS, và nếu không phải trong trường hợp môi trường desktop độc quyền có thể cung cấp điều đó, thì hẳn phải có cách giả mạo cuộc trao đổi “tôi là một trình duyệt hợp lệ”
      1% những người quan tâm sẽ làm vậy. Nhưng thật khủng khiếp khi từ một nơi từng là web mở, giờ phải đi xuống kiểu “crack” ngầm như vậy. Nếu bị phát hiện thì cũng có nguy cơ bị chặn
    • Ngân hàng không phải là mục tiêu. Nếu ngân hàng áp dụng biện pháp cản trở người khuyết tật, quản trị viên tài khoản pháp nhân bị khuyết tật, hoặc người cao tuổi, họ sẽ bị phản ứng rất mạnh. Họ buộc phải hành động thận trọng
  • Tôi không rõ WEI tệ hơn chính xác ở điểm nào so với lỗ nhòm trên cửa. Bot đã là vấn đề lớn và đang tệ hơn. Phương án thay thế là gì?
    Cả ngoài đời lẫn trên web, ta đều cần biết đối phương là ai. Có lẽ tôi đơn độc, nhưng tôi cho rằng WEI là điều tốt
    Ai từng vận hành website sẽ biết bot gây đau đầu đến mức nào. Website nào không bận tâm đến bot thì không cần dùng WEI. Tất nhiên trên thực tế họ sẽ dùng. Vì bot là chuyện đau đầu
    Khi AI tiến bộ, chuyện này dù sao cũng không thể tránh khỏi. Nghĩ ngược lại gần như là ảo tưởng

    • SSL thực ra chỉ dùng cho chứng chỉ máy chủ. Nó từng không tốt lắm vì các tổ chức cấp chứng chỉ và có nhiều phàn nàn, nhưng Let’s Encrypt xuất hiện đã cải thiện tình hình. Và danh tính chỉ gắn với quyền kiểm soát domain, khác với những thứ xâm phạm hơn nhiều và về cơ bản là một cái chợ buôn bán như chứng chỉ ký mã
      WEI có tiềm năng trở thành DRM thực sự theo kiểu “thiết bị được phê duyệt”. Nó rất xâm phạm, và có thể được dùng để loại trừ trình đọc màn hình, chặn quảng cáo, chống theo dõi, chống lấy dấu vân tay, tải xuống nội dung có bản quyền, và mọi cách sử dụng mà các tập đoàn lớn nghĩ ra trong tương lai, tùy ý họ
      Nói thẳng ra, đó là cánh cổng biến web thành App Store, hoặc nói nhẹ thì thành nhiều app store. Nếu bot là vấn đề thì cần nói cụ thể. Có rất nhiều bot tốt, và mỉa mai là phần lớn lưu lượng bot lại đến từ chính các tập đoàn lớn đang thúc đẩy những thứ như thế này. Với bot độc hại thì có danh sách chặn IP, còn bot thao túng vùng xám đúng là vấn đề, nhưng tại sao phải bắt mọi người dùng đeo còng bắt buộc lại là chuyện khác
    • Bản chất của WEI là ngăn người dùng kiểm soát hoàn toàn thiết bị của chính họ. Nếu trao quyền kiểm soát thiết bị cho con người thì bot sẽ xuất hiện. Vấn đề là bạn có tin rằng loại bỏ bot quan trọng hơn điện toán đa dụng hay không
      Bot chỉ là máy tính làm những việc chủ sở hữu muốn. Lập trường thích WEI về cơ bản là khó chịu vì người khác dùng máy tính theo cách mình không thích, nên muốn tước quyền kiểm soát máy tính đó
      Khi AI mạnh đã ở ngay ngưỡng cửa, ta thấy một xu hướng muốn tước đi điện toán đa dụng. Những kết quả tồi tệ nhất đều đến từ việc con người mất khả năng kiểm soát máy tính của chính mình
    • SSL không yêu cầu một bên thứ ba nào đó phải phê duyệt phần mềm và phần cứng của tôi thì mới hoạt động
    • TLS không khiến website có thể hạn chế việc người dùng sử dụng stack công nghệ mà họ muốn, tức phần cứng, hệ điều hành và trình duyệt. WEI thì có
    • Người dùng trình duyệt không có tính năng này sẽ trở thành công dân hạng hai phải trải qua các thủ tục cực đoan để dùng web, hoặc có thể bị chặn khỏi phần lớn web hoàn toàn
      Cá nhân tôi dùng nhiều script web scraper tự viết. Ví dụ, tôi có bản sao kỹ thuật số của mọi phiếu lương. Những thứ như vậy gần như sẽ trở nên vô dụng
      Trang quỹ hưu trí ở công ty cũ của tôi chỉ cho tải sao kê hằng tháng thủ công, và khi phát hiện thư viện Mechanize thì hiện cảnh báo cấm robot. Chắc chẳng ai làm thủ công mỗi tháng, vậy mà họ cũng không cho phép robot
      Dù vậy, khi đó để chặn thì họ vẫn phải cài phần mềm đặc biệt ở đâu đó, còn thứ này khiến việc đó dễ hơn nhiều. Tôi cũng lo cho các công cụ như Selenium. Đây không phải SSL
  • Có rất nhiều sự phẫn nộ về mặt đạo đức đối với đề xuất này, và điều đó là chính đáng. Thậm chí nó còn nên mạnh mẽ hơn nữa. Tuy nhiên, tách riêng chuyện đó ra, dù sao thì đề xuất này có vẻ cũng sẽ không hoạt động tốt
    Nếu được triển khai mà không gặp phản đối, nó sẽ trở thành một web DRM khép kín, chắc chắn, và sẽ thu hút sự chú ý của các nhà lập pháp. Hy vọng là vậy
    Nếu vẫn còn các trình duyệt phản đối, thì từ góc nhìn của website, nó chẳng mấy hữu dụng. Vì dù sao họ vẫn phải duy trì một cơ chế dự phòng để phát hiện gian lận. Nếu đã phải duy trì, họ có thể sẽ cho rằng tốt hơn nên dùng cách hiện tại — vốn có thể thu thập nhiều dữ liệu cá nhân hơn nhiều — làm giải pháp duy nhất

    • Ngay từ đầu, thứ này không phải dành cho từng website riêng lẻ. Nó thuần túy là biện pháp để bảo vệ mảng kinh doanh quảng cáo của Google