- Free Software Foundation cho rằng Web Environment Integrity (WEI) của Google đe dọa quyền tự do truy cập web bằng trình duyệt và hệ điều hành mà người dùng mong muốn
- WEI là một API cho phép trang web kiểm tra liệu môi trường duyệt web có bị “can thiệp” hay không thông qua dịch vụ chứng thực của bên thứ ba trước khi cung cấp trang
- FSF lo ngại cơ chế chứng thực này sẽ vận hành theo hướng chỉ cho phép những cấu hình trình duyệt được Google công nhận, từ đó có thể chặn quyền truy cập của người dùng trình duyệt tự do và hệ điều hành tự do
- Khả năng bị lạm dụng trong thực tế còn lớn hơn các trường hợp sử dụng danh nghĩa trong tài liệu chính sách, và có thể bị dùng để ép buộc trình duyệt được phê duyệt, tăng cường DRM, hoặc hạn chế truy cập vào các dịch vụ của Google
- FSF cho rằng WEI không có cơ sở chính đáng nào, và yêu cầu Google ngay lập tức dừng công việc tiêu chuẩn hóa một đề xuất khó có thể tương thích với Internet tự do
Vì sao WEI xung đột với Internet tự do
- FSF cho rằng việc sử dụng trình duyệt tự do quan trọng hơn bao giờ hết, và chỉ trích Web Environment Integrity của Google là ví dụ tệ hại nhất trong các động thái gần đây của Google
- WEI bắt đầu từ một tài liệu chính sách được đăng trên GitHub của Microsoft, sau đó Google nhanh chóng phản ánh việc phát triển này vào Chromium browser
- API này cho phép nhà phát triển phê duyệt một số cấu hình trình duyệt nhất định và cấm các cấu hình khác
- FSF cho rằng cách làm này đối đầu trực diện với khái niệm vốn có của Internet: có thể truy cập các trang được liên kết bằng siêu liên kết từ nhiều thiết bị, chương trình và hệ điều hành khác nhau
- WEI gần với DRM hơn, khiến toàn bộ web trở nên khép kín hơn, và bị đánh giá là một bước lớn hướng tới sự “enshittification” của web
Cách hoạt động và các hình thức lạm dụng được dự đoán
- Trong WEI, trước khi cung cấp trang web, máy chủ sẽ yêu cầu dịch vụ “chứng thực” của bên thứ ba xác nhận rằng môi trường duyệt web của người dùng không bị “can thiệp”
- FSF cho rằng máy chủ chứng thực này có thể thuộc sở hữu của Google, và trình duyệt sẽ bị kiểm tra xem có lệch dù chỉ một chút khỏi cấu hình mà Google chấp nhận hay không
- Kết quả là người dùng sẽ khó thực thi một cách thực chất four freedoms, và với trình duyệt tự do hoặc hệ điều hành tự do, họ có thể bị từ chối cung cấp trang trên một số website
- Vấn đề được chỉ ra là khả năng sử dụng trong thực tế còn đáng lo hơn những trường hợp sử dụng hợp pháp mà tài liệu chính sách nêu ra
- Chính phủ có thể dùng nó để chỉ cho phép truy cập Internet bằng các trình duyệt “được phê duyệt” chính thức
- Các công ty như Netflix có thể dùng nó để tăng cường Digital Restrictions Management (DRM)
- Google có thể dùng nó để từ chối truy cập các dịch vụ của mình nếu người dùng không sử dụng trình duyệt phù hợp với lợi ích của hãng
- FSF cho rằng WEI “hoàn toàn không có cơ sở chính đáng nào”, và chỉ trích rằng mục đích cốt lõi thực tế của nó là hạn chế Internet tự do
- Những người ra quyết định tại Google cần cân nhắc các nguyên tắc lập quốc của web, thừa nhận rằng WEI về cơ bản không thể tương thích với Internet tự do, và ngay lập tức dừng công việc tiêu chuẩn hóa
1 bình luận
Các ý kiến trên Hacker News
Các bài viết liên quan. Nếu còn bài nào nữa thì mong mọi người cho biết
Kế hoạch bảo mật trình duyệt của Google bị chỉ trích là nguy hiểm, tồi tệ và là DRM cho website - https://news.ycombinator.com/item?id=36893071 - Tháng 7 năm 2023 (63 bình luận)
Google Web Environment Integrity là Microsoft Trusted Computing mới - https://news.ycombinator.com/item?id=36888156 - Tháng 7 năm 2023 (282 bình luận)
Nhân viên Google trả lời phản hồi tiêu cực về WEI - https://news.ycombinator.com/item?id=36881506 - Tháng 7 năm 2023 (25 bình luận)
Google đã nhét WEI vào Chromium - https://news.ycombinator.com/item?id=36876301 - Tháng 7 năm 2023 (832 bình luận)
Mổ xẻ đặc tả Web Environment Integrity của Google - https://news.ycombinator.com/item?id=36875940 - Tháng 7 năm 2023 (431 bình luận)
Các kỹ sư Google muốn khiến việc chặn quảng cáo gần như bất khả thi - https://news.ycombinator.com/item?id=36875226 - Tháng 7 năm 2023 (468 bình luận)
Google đối đầu web mở - https://news.ycombinator.com/item?id=36875164 - Tháng 7 năm 2023 (191 bình luận)
Apple đã triển khai chứng thực trên web, và chúng ta gần như không nhận ra - https://news.ycombinator.com/item?id=36862494 - Tháng 7 năm 2023 (421 bình luận)
“Web Integrity API” ác mộng của Google muốn có người gác cổng DRM cho web - https://news.ycombinator.com/item?id=36854114 - Tháng 7 năm 2023 (456 bình luận)
Đề xuất Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - Tháng 7 năm 2023 (441 bình luận)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Tháng 7 năm 2023 (2 bình luận)
Giải thích về Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - Tháng 7 năm 2023 (45 bình luận)
Đề xuất Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Tháng 7 năm 2023 (93 bình luận)
Web Environment Integrity – Google đang muốn khóa chặt trình duyệt - https://news.ycombinator.com/item?id=35864471 - Tháng 5 năm 2023 (1 bình luận)
Không hiểu sao Google lại cứ được để yên làm những chuyện vô lý như thế này. Đầu tiên là toast component, rồi tiếp đến là gỡ bỏ thông báo, Manifest V3, FLoC, giờ là thứ này
Doanh nghiệp thì sẽ hành xử như doanh nghiệp, nhưng người dùng và người dùng tương lai còn lựa chọn nào? Ý tôi là những người hiện chưa quan tâm nhưng có thể thấy hình thái hiện tại của internet là hữu ích
Nếu Google giấu sản phẩm của họ sau một bức tường chỉ truy cập được bằng trình duyệt độc quyền không thể chỉnh sửa thì tôi không quan tâm, nhưng mong họ đừng phát tán nó khắp nơi. Chúng ta vẫn đang “tận hưởng” reCAPTCHA không thể giải được ở mọi nơi
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Nó là một phần của xác minh dạng hỏi-đáp xuất hiện khi máy chủ xem lưu lượng là đáng ngờ. Thường có thể tránh được nếu duy trì trạng thái đăng nhập, không chặn cookie, và không dùng Tor hay các cách che giấu tuyến truy cập khác
Nhưng có vẻ một API rất giống đã được triển khai trong Safari từ năm 2022. Có lẽ nếu marketing tốt thì hiệu quả rất lớn. Tôi hầu như không thấy chuyện này được bàn luận
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
Phần thú vị là thế này. Nội dung nói rằng “chúng tôi thực ra không cần cũng không muốn dữ liệu nền được thu thập trong quá trình này, mà chỉ muốn kiểm tra xem khách truy cập có đang giả mạo thiết bị hoặc user agent hay không”
Trong ví dụ, khi khách truy cập mở Safari trên iPhone và cố truy cập example.com, Cloudflare yêu cầu trình duyệt cấp token, và vì Safari hỗ trợ PAT nên nó yêu cầu Apple Attester chứng thực thông qua một lệnh gọi API
Bộ chứng thực của Apple kiểm tra nhiều thành phần thiết bị để xác minh tính hợp lệ, rồi gọi API tới Cloudflare Issuer; Cloudflare Issuer tạo token và gửi cho trình duyệt, sau đó trình duyệt chuyển token này tới máy chủ gốc
Cloudflare nhận token đó và quyết định rằng không cần hiển thị CAPTCHA cho người dùng này. Với tôi, nghe quá giống WAI, nhưng tên là “Privacy Access Tokens” nên chắc hẳn là thứ tốt rồi nhỉ...?
Sửa: Vài ngày trước đã có một thread trên HN mà tôi bỏ lỡ: https://news.ycombinator.com/item?id=36862494
Ví dụ, PAT rốt cuộc chỉ ở mức chứng minh “không phải bot”, nên không cần trao đổi dữ liệu về môi trường thiết bị và trình duyệt. Ngược lại, WEI cần dữ liệu đó để có thể hỗ trợ các trường hợp sử dụng như DRM cho web mà chúng ta đang đọc
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Nhưng các trình duyệt đã nói dối về việc chúng là ai suốt hàng chục năm rồi. Và đâu là khác biệt giữa thiết bị/user agent giả với thiết bị/user agent khác thường? Từ góc nhìn của họ, có lẽ chẳng có khác biệt nào
Vì vậy tôi bắt đầu tìm hiểu gopher. Vừa mới biết đến gemini nữa, và có thể nó còn thú vị hơn với tôi
Các công ty đang nhìn vào thành công của Apple và làm mọi thứ có thể để tạo ra khu vườn có tường bao. Và dù ở mức độ thấp hơn, có vẻ các công ty cũng bắt đầu ảnh hưởng đến hướng phát triển của Linux
Tôi tự hỏi khi nào DRM tích hợp hoàn chỉnh để xác minh các trang streaming sẽ xuất hiện
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
Ngay khi các API như Android SafetyNet mới xuất hiện, lập luận phòng thủ đã là “nếu không dùng được app thì dùng website trong trình duyệt là được”. Các công ty sẽ không dừng lại cho đến khi họ kiểm soát tuyệt đối mọi tầng của stack
Và những thứ như WEI hoàn toàn có thể được triển khai trên các giao thức đó giống như trên HTTP. Đây là các khái niệm hoàn toàn tách biệt
Đọc những thứ như thế này khiến tôi trở nên cực kỳ cay đắng. Vừa có cảm giác “Tuyệt đối không được, không được xảy ra trước mắt tôi!”, rồi lại nhận ra điều mình có thể làm chỉ là ký kiến nghị hoặc gửi email cho một chính trị gia hoàn toàn không hiểu chuyện này có nghĩa là gì
Lý do nó không quan trọng với đứa em Gen Z của tôi và đám TikToker cùng lứa cũng giống vậy. Người ta không quan tâm. Họ có những vấn đề lớn hơn, như ngày mai lấy gì trả tiền thuê nhà, và có những trò giải trí thú vị hơn, như xem ai đó giả làm NPC suốt 5 tiếng rồi cho tiền
Nhiều người tôi từng làm việc cùng cũng tương tự. Họ quen với việc nhận ra mình đang bị lợi dụng triệt để, nghiện than phiền, nhưng chỉ làm vậy trong một nhóm rất hẹp có cùng mối quan tâm
Đây là cuộc cách mạng làm nản lòng nhất. DNS, mớ hỗn độn JavaScript, tính trung lập mạng, cho đến thế giới trình duyệt, lúc nào cũng ầm ĩ nhưng chẳng đạt được gì, luôn đùn đẩy trách nhiệm rồi sau này lại hồi tưởng về những ngày xưa tốt đẹp trong một thread khác
Nhưng rốt cuộc tôi có thể làm gì? Có nên từ chối PR không?
Chỉ cần những người có đủ ảnh hưởng trong ngành và trong lĩnh vực quản lý quan tâm là được. Và thực tế họ đang quan tâm. Ai cũng tức giận và đang khuyến nghị về vấn đề này, các công ty và tổ chức thì đang viết bài
Cứ tiếp tục như vậy, thúc đẩy các công ty khác từ chối hoặc gây sức ép để bị chặn bằng quy định. Điều Google sợ nhất là bị chia tách. Nếu họ thúc đẩy chuyện này, có thể liên hệ có tổ chức với các nghị sĩ để nêu lo ngại, yêu cầu quản lý hoặc chia tách Google vì hành vi phản cạnh tranh
Người ta có quan tâm. Chỉ là để tạo sức ép dư luận thì có các bước: công chúng biết đến vấn đề, học và hiểu các khía cạnh kỹ thuật, rồi tổ chức phản đối. Đó không nhất thiết là một quá trình nhanh
[1] https://news.ycombinator.com/item?id=36877310
Nếu giả định mục đích chính là ngăn chặn chặn quảng cáo, tôi tò mò liệu bộ chặn DNS pinhole của mình có bị ảnh hưởng không. Nếu tiêu chuẩn mới khiến mọi người chuyển sang dùng bộ chặn DNS, thì dù người dùng phải chịu một chi phí nhỏ, cục diện chung vẫn có thể tốt lên
Khi mọi người tin rằng hệ thống tự do và mở, và không cảm thấy cần thiết, thì việc chấp nhận hay ủng hộ các công cụ quyền riêng tư rất ít. Trước khi ranh giới thay đổi, ai cũng bị coi như người đội mũ giấy bạc
Mọi người cần hiểu rõ hơn nói chung về bảo vệ dữ liệu cá nhân, kiểm soát dịch vụ và những thứ tương tự, nhưng họ sẽ lười biếng cho đến khi không còn lựa chọn khác và buộc phải giành lại quyền kiểm soát
Người dùng thiết bị điện tử tiêu dùng không phải là những người “bỏ phiếu” cho nội dung. Các hệ thống máy tính đóng vận hành theo cơ chế phân cấp, riêng tư và quyết định nội bộ đang đi tới các điểm ra quyết định
May mà vẫn có những người coi trọng việc biết những chuyện như thế này. Khi tôi cố lan truyền, thường chỉ gặp sự thiếu hiểu biết
Đây không chỉ là chuyện của Google. Có vẻ họ chỉ muốn là người đầu tiên
“Thuyết âm mưu” mà tôi gọi là phong tỏa số chính là những thứ như thế này. Đây là một bước nữa theo hướng đó, và nhìn vào những gì nó làm thì có vẻ chúng ta đang tiến quá gần tới đích
Họ làm như thể việc xác minh tất cả chúng ta có dùng trình duyệt của Google hay không somehow sẽ khiến mọi thứ an toàn hơn. Cứ như các lập trình viên phía đó hoàn hảo vậy
Sự ngạo mạn của Big Tech kiểu này thật đáng kinh ngạc và khó chịu
“Quý vị có thể truy cập website của chúng tôi. Trước tiên xin hãy trình còng tay số của quý vị”
Có ai giải thích như cho trẻ năm tuổi được không? Chuyện gì sẽ xảy ra vậy? Firefox sẽ ngừng hoạt động trên hầu hết các site à? uBlock không dùng được nữa à? Trước khi truy cập các website World Wide Web phải gửi ảnh quét võng mạc à?
Dù sao thì trước đây tôi cũng từng sống không có Internet. Tôi từng cài Microsoft Flight Simulator bằng đĩa mềm. Lần này chắc chỉ là nhiều đĩa mềm hơn thôi. Không có gì to tát
Linux có thể sẽ không hoạt động, ngoại trừ các bản build Ubuntu và Red Hat gì đó. Mà đó là sau khi hỗ trợ được thêm vào. Có thể sẽ mất nhiều thời gian vì cần một chuỗi xác minh dài đi qua trình duyệt, hệ điều hành, kernel, môi trường khởi động, TPM, và phải thuyết phục Google rằng chuỗi đó không yếu đến mức bị hack
Trình chặn quảng cáo đến một lúc nào đó sẽ bị loại trừ. Và ta cũng không thể quay lại thời chỉ chơi Flight Simulator bằng đĩa mềm. Ngân hàng, vé máy bay và vé hòa nhạc, thậm chí cả bác sĩ nhi của con bạn cũng sẽ yêu cầu thứ này
Không phải vì các bác sĩ chăm chỉ đọc đặc tả web mới, mà vì họ sẽ dùng các nền tảng dịch vụ y tế dựa vào mặc định của Cloudflare mà nhân viên bảo mật thích, với lý do giảm bot và DDoS
Cuối cùng chúng ta sẽ phải dùng một hệ điều hành có tường bao quanh liên tục theo dõi và quảng cáo như truyền hình cáp. Một sự ồn ào lớn có thể khiến Google lùi một chút hoặc đưa ra những lời hứa mà họ không thể và cũng sẽ không giữ
Giải pháp thực sự duy nhất là dùng chính phủ để ngăn người dùng đánh mất quyền kiểm soát
Đúng rồi! Tất cả cùng dùng trình duyệt dựa trên Chromium nào!
Có gì có thể sai được chứ?