Máy tính nên nói đúng như bạn bảo nó nói
(eff.org)- Đề xuất Web Environment Integrity (WEI) của Google sẽ khiến Chrome gửi cho website thông tin chống giả mạo về trạng thái hệ điều hành và phần mềm, từ đó có thể làm suy yếu quyền của người dùng trong việc kiểm soát những gì máy tính của mình phát biểu
- WEI là remote attestation thông qua TPM hoặc secure enclave, cho phép website xác minh trình duyệt và cấu hình thiết bị bằng bằng chứng mật mã thay vì chỉ dựa vào lời khai của người dùng
- Dù được biện minh là để giảm gian lận quảng cáo, tấn công trung gian, gian lận trong game và tài khoản bot·đánh giá giả, lợi ích thực tế nhiều khả năng chủ yếu sẽ thuộc về các nhà vận hành dịch vụ thương mại
- Website có thể dùng WEI để chặn những trình duyệt hoặc hệ điều hành mà họ không thích, và biện pháp giảm nhẹ do Google đề xuất là “không gửi WEI cho một tỷ lệ nhỏ người dùng Chrome” cũng khó ngăn được việc loại trừ
- Không nhất thiết phải cấm bản thân công cụ remote attestation, nhưng nó không nên được đưa vào web mở, và người dùng phải có quyền tự quyết mình sẽ nói gì về máy tính và phần mềm của mình
Mối quan hệ giữa trình duyệt và website mà Google WEI muốn thay đổi
- Google muốn thêm vào Chrome mã để gửi cho website thông tin chống giả mạo về trạng thái hệ điều hành và phần mềm của người dùng
- Trái với lời giải thích rằng nó giúp giảm gian lận quảng cáo, tính năng này có thể làm giảm khả năng người dùng kiểm soát chính máy tính của mình
- Người dùng không dùng hệ điều hành và trình duyệt được phê duyệt cũng có thể bị chặn khỏi một số website
- Tài liệu giải thích không chính thức do nhân viên Google soạn thảo thừa nhận rằng Web Environment Integrity (WEI) có thể làm tăng rào cản gia nhập đối với các trình duyệt mới
Thông tin trình duyệt gửi cho website
- Khi kết nối tới máy chủ, trình duyệt web tự động gửi thông tin về thiết bị và trình duyệt
- Ví dụ: thông tin như “đang dùng Chrome 116.0.5845.61 trên Google Pixel 4”
- Máy chủ cũng có thể yêu cầu thông tin chi tiết hơn như phông chữ đã cài và kích thước màn hình
- Những thông tin này được website dùng để cung cấp định dạng tệp, độ phân giải và bố cục phù hợp với thiết bị của người dùng
- Cùng những thông tin đó cũng được dùng cho browser fingerprinting
- Có thể nhận diện người dùng đã từ chối cookie hoặc các hình thức theo dõi khác bằng tổ hợp đặc điểm của trình duyệt
- Một số website có thể định giá khác nhau hoặc đưa ra đề nghị tệ hơn·mang tính đánh lừa dựa trên thông tin về trình duyệt và thiết bị
Vì sao người dùng phải có quyền gửi thông tin giả hoặc ngẫu nhiên
- Hiện nay, thông tin mà trình duyệt gửi cho website về cơ bản là tự nguyện
- Người dùng có thể dùng plugin, công cụ quyền riêng tư hoặc thiết lập nâng cao để gửi thông tin họ muốn tới những website mà họ không tin tưởng
- Chỉ đơn giản là không gửi thông tin có thể là chưa đủ
- Vì dịch vụ có thể yêu cầu thông tin thiết bị và từ chối người dùng không cung cấp
- Các công cụ bảo vệ quyền riêng tư·chống theo dõi có thể thay vào đó gửi thông tin thiết bị có vẻ hợp lý nhưng sai
- Đây là cách để dịch vụ không thể phân biệt đối xử chỉ vì lựa chọn quyền riêng tư của người dùng
Remote attestation và cách hoạt động của secure computing
- Phần lớn máy tính, máy tính bảng và điện thoại hiện đại đều được tích hợp một dạng secure computing
- Secure computing đời đầu dùng một bộ xử lý riêng gọi là Trusted Platform Module (TPM), và nhiều thiết bị dùng một hệ thống con được tăng cường gọi là secure enclave
- Những hệ thống này có thể giám sát từng bước của quá trình khởi động để xác nhận rằng mã không bị thay đổi do nhà sản xuất cung cấp đang được thực thi
- Quy trình đó cũng có thể được dùng để ngăn người dùng cố ý chạy mã khác
- Ví dụ: hệ điều hành tự do·mã nguồn mở
- Ví dụ: phần mềm đã được chỉnh sửa để tắt chức năng giám sát hoặc cho phép cài phần mềm ngoài kho ứng dụng của nhà sản xuất
- TPM và secure enclave chứa khóa ký mật mã
- Chúng có thể thu thập thông tin về mã ở mức thấp như phiên bản hệ điều hành, tiện ích mở rộng, phần mềm và bootloader
- Chúng có thể cung cấp thông tin đó dưới dạng chứng thực (attestation) được ký bằng mật mã
- Máy chủ từ xa có thể yêu cầu bằng chứng mật mã từ thiết bị thay vì tin vào những gì trình duyệt của người dùng tự khai
Rủi ro pháp lý đi kèm việc vượt qua bảo vệ và nghiên cứu
- Nếu người dùng không thể vượt qua lớp bảo vệ của secure enclave hoặc TPM, chứng thực sẽ trở thành chỉ báo rất đáng tin cậy về cấu hình thiết bị
- Việc chỉnh sửa TPM hoặc secure enclave có thể mang rủi ro pháp lý
- DMCA Section 1201, bằng sáng chế và bản quyền có thể tạo ra rủi ro dân sự·hình sự cho kỹ sư nghiên cứu các công nghệ này
- Nguy cơ còn lớn hơn nếu công bố cách vô hiệu hóa hoặc vượt qua các tính năng bảo mật
- Việc phân phối công cụ vượt qua có thể buộc người làm phải chấp nhận rủi ro hình sự·dân sự nghiêm trọng, bao gồm cả án tù nhiều năm
Remote attestation cho web mà WEI đề xuất
- WEI là một đề xuất kỹ thuật cho phép máy chủ yêu cầu remote attestation từ thiết bị
- Yêu cầu sẽ được chuyển tới secure enclave hoặc TPM của thiết bị, và thiết bị sẽ phản hồi bằng một mô tả thiết bị có độ tin cậy cao được ký bằng mật mã
- Người dùng có thể chọn không gửi thông tin này tới máy chủ từ xa
- Nhưng họ sẽ mất khả năng gửi thông tin đã bị thay đổi hoặc thông tin ngẫu nhiên về thiết bị và phần mềm của mình khi cho rằng điều đó là cần thiết
Các trường hợp sử dụng Google đưa ra và những giới hạn của chúng
- Các kỹ sư Google cho rằng WEI có thể làm giảm nhiều vấn đề
- Phân biệt người dùng thật đang thao tác trình duyệt thủ công với bot tự động thao tác dịch vụ
- Giảm gian lận quảng cáo để tăng doanh thu cho publisher, từ đó có thể dẫn đến sản xuất nội dung tốt hơn
- Ngăn tấn công trung gian lấy cắp cả mật khẩu dùng một lần của xác thực hai bước rồi dùng nó để đăng nhập vào dịch vụ thật
- Xác minh trong game rằng đối thủ đang chạy bản game chưa bị chỉnh sửa và không dùng cheat
- Phát hiện·chặn công cụ tự động hóa trình duyệt để ngăn gian lận như tạo hàng loạt đánh giá giả hoặc tài khoản bot
- Một số trường hợp sử dụng này có thể có phần hợp lý
- Nhưng trong các vấn đề bảo mật, việc xâm phạm quyền riêng tư và làm suy yếu quyền tự chủ cá nhân thường chỉ giúp giảm bớt một phần của vấn đề thực tế
- Nếu còng tay mọi khách bước vào cửa hàng thì trộm cắp có thể giảm, nhưng trộm cắp là vấn đề của cửa hàng chứ không phải chi phí mà mọi khách hàng phải gánh
WEI có thể bị dùng để chặn trình duyệt và hệ điều hành
- Một phần trong tài liệu của Google thừa nhận website có thể dùng WEI để chặn những trình duyệt và hệ điều hành mà họ không thích
- Là biện pháp giảm nhẹ, Google nói họ đang xem xét để ngay cả sau khi Chrome triển khai WEI, vẫn có “một tỷ lệ nhỏ” trong số các máy tính vốn có thể gửi thông tin WEI sẽ không gửi thông tin đó
- Về lý thuyết, website chặn các trình duyệt không có WEI khi đó cũng sẽ chặn luôn nhóm nhỏ người dùng Chrome này, và áp lực từ sự bất mãn của người dùng có thể khiến họ phải đảo ngược chính sách
- Nhưng nhiều website có thể muốn ép buộc người dùng dùng một trình duyệt và hệ điều hành nhất định
- Trước đây từng có các trường hợp như “website này hoạt động tốt nhất trên Internet Explorer 6.0 chạy trên Windows XP”
- Một số website có thể chấp nhận chi phí mất đi nhóm người dùng thuộc “tỷ lệ nhỏ” đó
- Họ cũng có thể hướng dẫn người dùng xóa dữ liệu trình duyệt rồi thử lại cho đến khi WEI được bật trên website đó
Xung đột lợi ích của Google
- Google có xung đột lợi ích trong việc quyết định “tỷ lệ nhỏ” đó là bao nhiêu
- Nếu đặt tỷ lệ rất thấp, Google có thể xác thực được nhiều lượt nhấp quảng cáo hơn, điều này có lợi cho bộ phận chống gian lận quảng cáo của họ
- Khi số lượt nhấp quảng cáo được xác thực tăng, Google có thể bán quảng cáo với giá cao hơn
- Nếu tăng tỷ lệ lên cao, website sẽ khó triển khai hành vi loại trừ hơn
- Nhưng tỷ lệ cao không mang lại lợi ích trực tiếp cho Google và còn khiến việc tạo ra trình duyệt cạnh tranh trở nên dễ hơn
- Ngay cả khi thực hiện biện pháp giảm nhẹ này, động cơ của Google vẫn nghiêng về việc đặt tỷ lệ quá thấp để có thể bảo vệ web mở
Nguyên tắc người dùng là chủ của máy tính mình
- Máy tính thuộc về người dùng và phải hoạt động theo chỉ dẫn của họ
- Các đạo luật ngăn cản reverse engineering và tái cấu hình máy tính vốn đã là vấn đề, nhưng nguy cơ còn lớn hơn khi chỉ một số ít website lớn nắm giữ các điểm nghẽn của Internet
- Một số ít công ty tạo thành cánh cổng giữa người mua và người bán, nghệ sĩ biểu diễn và khán giả, người lao động và nhà tuyển dụng, gia đình và cộng đồng
- Nếu những công ty này từ chối giao dịch, đời sống số của người dùng có thể bị tê liệt
- Web là nền tảng mở quan trọng cuối cùng còn lại trên Internet
- Đây là nền tảng nơi bất kỳ ai cũng có thể tạo trình duyệt hoặc website và tham gia mà không cần xin phép hay đáp ứng đặc tả của người khác
- Dù website có dựng lên một trạm kiểm soát ảo kiểu “chỉ công nghệ được phê duyệt mới được đi qua”, người dùng vẫn phải có quyền nói với website điều mà website muốn nghe
Ý định của WEI và các hình thức lạm dụng có thể dự đoán trước
- Những người đề xuất WEI nói rằng họ muốn WEI chỉ được dùng cho mục đích thiện chí
- Họ cũng công khai chỉ trích việc dùng WEI để chặn trình duyệt hoặc loại trừ những người dùng muốn bảo vệ quyền riêng tư
- Nhưng các nhà khoa học máy tính không thể quyết định công nghệ trên thực tế sẽ được sử dụng như thế nào
- Nếu thêm cơ chế chứng thực vào web, hoàn toàn có thể dự đoán nguy cơ doanh nghiệp sẽ dùng nó để tấn công quyền của người dùng trong việc cấu hình thiết bị của mình
- Rủi ro này đặc biệt lớn khi nhu cầu của người dùng xung đột với các ưu tiên thương mại của các công ty công nghệ
- WEI không nên được tạo ra, và ngay cả nếu được tạo ra thì cũng không nên được sử dụng
Nên đối xử với công nghệ remote attestation như thế nào
- Không nên cấm bản thân remote attestation
- Code là ngôn luận, và bất kỳ ai cũng phải có tự do nghiên cứu, hiểu và tạo ra các công cụ remote attestation
- Công cụ remote attestation có thể có công dụng trong các hệ thống phân tán
- Nhà sản xuất máy bỏ phiếu có thể dùng nó để xác minh cấu hình thiết bị tại hiện trường
- Một nhà hoạt động nhân quyền đang gặp nguy hiểm có thể gửi remote attestation cho kỹ thuật viên mà họ tin cậy để được giúp xác định liệu thiết bị có bị nhiễm mã độc do nhà nước hậu thuẫn hay không
- Tuy nhiên, các công cụ như vậy không nên được thêm vào web
- Remote attestation không phù hợp với một nền tảng mở
- Người dùng phải có quyền quyết định cuối cùng về việc sẽ nói gì với người khác về máy tính và phần mềm của mình
Quyền tự chủ của người dùng quan trọng hơn vấn đề của doanh nghiệp
- Có thể hiểu được khó khăn của các doanh nghiệp bị ảnh hưởng doanh thu bởi gian lận quảng cáo, các công ty game phải chống cheat và các dịch vụ gặp vấn đề với bot
- Nhưng việc giải quyết những vấn đề đó không thể được đặt cao hơn quyền của người dùng công nghệ
- Người dùng có quyền chọn cách máy tính của mình hoạt động, và máy tính đó sẽ nói gì với người khác
- Quyền kiểm soát thiết bị của chính mình là yếu tố nền tảng của mọi quyền công dân trong thế giới số
- Web mở mang lại nhiều lợi ích hơn là tác hại
- Nếu để các công ty khổng lồ và mang tính độc quyền lật ngược lựa chọn công nghệ của người dùng, có thể vấn đề của doanh nghiệp sẽ được giải quyết nhưng vấn đề của người dùng thì không
1 bình luận
Các ý kiến trên Hacker News
Nhìn từ kinh nghiệm thực tế khi làm kỹ sư bảo mật, có lẽ điều này sẽ giúp hiểu vì sao chuyện này sẽ kết thúc theo hướng tệ
Ngân hàng là những tổ chức cực kỳ nhạy cảm về bảo mật, vì chi phí bị hack là con số khổng lồ và quy định yêu cầu họ phải làm cho hệ thống “an toàn nhất có thể”
Các ngân hàng sẽ không triển khai WEI vì ghét web mở hay người dùng Linux, mà vì nếu không triển khai thì sẽ phát sinh vấn đề trách nhiệm rằng họ “đã không làm mọi việc có thể để bảo mật”, dẫn tới kiện tụng, hình phạt từ cơ quan quản lý và phí bảo hiểm tăng
Hiện tại WEI chưa tồn tại nên chưa phải là yêu cầu, nhưng một khi có, rất có thể nó sẽ trở thành thông lệ tiêu chuẩn, và người phản đối có thể bị nhìn như những người phản đối CCTV vì xâm phạm đời tư: thiếu thực tế
Chẳng bao lâu nữa, các CDN như Cloudflare sẽ cung cấp nó chỉ bằng một ô chọn, và chủ website sẽ khó tắt nó vì trách nhiệm ủy thác
Cho tới 2 năm trước vẫn dùng IE7, phần lớn công việc vẫn là gửi qua lại file Excel bằng email, và chỉ riêng việc email nhận được có đính kèm Excel đã được coi như bằng chứng hợp lệ
Họ cũng đang vận hành relay SMTP không xác thực, và trong khi bỏ qua bảo mật thực sự, lại bắt buộc dùng Windows trên laptop công việc
Lý do là để chạy script PowerShell RAT ưa thích nhằm giải nén đệ quy mọi file jar trong hệ thống để tìm log4shell, và đến giờ họ vẫn làm vậy
Những người tạo ra các quy tắc và thông lệ kiểu này cũng đang vận hành hệ thống lõi thanh toán bù trừ của ngân hàng trung ương Đan Mạch
Ngân hàng không hẳn là an toàn, mà bảo thủ và chính trị; họ khiến người ta khổ sở để duy trì màn kịch bảo mật, nhưng thực chất gần như chỉ là lớp vỏ
WEI chắc chắn sẽ được triển khai, nhưng nó sẽ không mang lại bảo mật
Tuy vậy, ngân hàng có thành tích khá tốt trong việc bảo vệ tiền của mọi người, và đó là nhờ phòng thủ nhiều lớp, trong đó các giao dịch đáng ngờ được nhân viên tuân thủ rà soát thủ công
Nhiều tổ chức lớn vẫn chỉ hỗ trợ xác thực 2 bước qua SMS, mà ngay cả thứ đó cũng mới được bắt buộc chưa lâu
Vì vậy, ngay cả nếu công nghệ này lan rộng, tài khoản ngân hàng nhiều khả năng sẽ không phải nơi đầu tiên mà gần như là nơi cuối cùng bị ép dùng
Việc thẻ tín dụng an toàn một cách tệ hại cũng cùng bối cảnh
Không phải vì họ không quan tâm, mà vì họ xem các biện pháp kỹ thuật chỉ là một phần nhỏ trong chiến lược bảo mật tổng thể, còn truy cập trực tuyến cũng chỉ là một phần nhỏ của hoạt động kinh doanh và về cơ bản là không đáng tin
Phần lớn web tin người dùng đã xác thực, nhưng ngân hàng nhìn chung không tin ngay cả người dùng đã xác thực và xem mọi hành động là rủi ro tiềm tàng, nên việc tăng cường bản thân khâu xác thực có mức ưu tiên tương đối thấp
Dù có giao diện web, vẫn cần ứng dụng di động để đăng nhập
Tuy nhiên, tôi không chắc phần những người phản đối sẽ “trông thiếu thực tế và không trụ được lâu ở vị trí đó”
Những người phản đối giám sát phổ quát đâu có bị đa số xem là thiếu thực tế, và họ cũng không thay đổi lập trường
Đoạn ngắn nói rằng một số ít công ty đã kiểm soát các điểm nghẽn giữa người mua và người bán, nghệ sĩ biểu diễn và khán giả, người lao động và người sử dụng lao động, gia đình và cộng đồng, và nếu họ từ chối giao dịch thì đời sống số sẽ dừng lại, đã tóm tắt rất tốt tình thế kỳ quái mà chúng ta đã trôi vào
Các bên liên quan chịu tác động tiêu cực trên thực tế gần như là toàn xã hội, và những gatekeeper như vậy có các đồng minh tự nhiên như chính trị gia bị chi phối, người phụ trách bảng lương, hay thị trường phớt lờ ngoại tác
Dù vậy, thật kỳ lạ khi họ vẫn có thể khuất phục cả một xã hội có nguồn lực tài chính, chính trị và trí tuệ gần như vô hạn
Đến mức trông như đã có một dạng kiểm soát tâm trí ở quy mô hệ thống đang vận hành
Tôi cho rằng không phải cả xã hội đang bị tống tiền, mà đa số đơn giản là không bận tâm
Điều đó không quá điên rồ; không phải kiểm soát tâm trí, mà là sự thờ ơ và thiếu hiểu biết lâu đời
Nhìn chung tôi đồng ý, nhưng xin chỉ ra một điều: TPM không phải là Technical Protection Module, mà là viết tắt của Trusted Platform Module
Không đến mức như FSF, nhưng họ hay lồng bình luận vào, và trường hợp này nghe như ai đó cố mỉa mai
Tuy nhiên, có vẻ đây là lỗi về TPM, hoặc là nỗ lực đưa vào một cách diễn giải mở rộng thay thế như với các chữ viết tắt khác
Thử đóng vai người phản biện thì công nghệ này đã tồn tại rồi; vấn đề là liệu có thực hiện chứng thực phía client trong trình duyệt hay giả vờ rằng không có chứng thực từ xa hay không
Nếu bị từ chối, các dịch vụ cần “client đáng tin cậy” có thể bỏ web app và dựa vào ứng dụng iOS/Android
Tôi không định bênh vực WEI, nhưng đây không phải vấn đề sẽ biến mất một cách kỳ diệu nếu Google không triển khai nó trong Chrome; nó chỉ chuyển sang chỗ khác mà thôi
Cuộc chiến thật sự đã diễn ra ngay từ lúc triển khai TPM
Tương tự việc chỉ Microsoft có quyền với khóa Secure Boot
Thiết bị di động vốn đã có nhiều khả năng chứng thực như vùng bảo mật, bộ xử lý bảo mật, chức năng mã hóa của SIM
Chúng ta không cần một công nghệ chắc chắn sẽ bị lạm dụng để loại những người rành công nghệ khỏi Internet hằng ngày theo các quy tắc tùy tiện
Không có cơ chế kiểm soát và cân bằng, và đó là một gói quyền hạn rất rộng bị áp đặt lên người dùng
Đây không phải là đề xuất hay thử nghiệm, mà là một nỗ lực ép đẩy
Tài liệu này giải thích rõ vì sao web khác với ứng dụng di động/native, và vì sao các API như chứng thực client dù có thể tồn tại trong môi trường di động lại có hại nếu được triển khai trên nền tảng web
Ví dụ, đề xuất WEI vi phạm nguyên tắc “việc truy cập trang web phải an toàn” (https://www.w3.org/TR/design-principles/#safe-to-browse)
Các tính năng mới phải được thiết kế để bảo toàn kỳ vọng của người dùng rằng việc truy cập một trang web nói chung là an toàn
Để web tiếp tục sống động, người dùng cần có thể kỳ vọng rằng chỉ việc truy cập một liên kết nào đó sẽ không ảnh hưởng đến các khía cạnh cốt lõi của bảo mật máy tính hay quyền riêng tư
Chẳng hạn, một API cho phép bất kỳ website nào phát hiện người dùng có dùng công nghệ hỗ trợ hay không có thể khiến người dùng các công nghệ đó cảm thấy việc truy cập những trang họ không biết là nguy hiểm
Nếu kỳ vọng an toàn như vậy là thực tế, người dùng có thể đưa ra informed decision giữa công nghệ dựa trên web và các công nghệ khác
Cài ứng dụng native rủi ro hơn truy cập trang web, nên người dùng có thể chọn trang đặt đồ ăn dựa trên web thay vì cài ứng dụng
Trong số những người dùng không quá rành công nghệ nhưng thận trọng, nhiều người tuyệt đối từ chối cài ứng dụng di động trừ khi đến từ nguồn họ tin cậy nhất, và nguyên tắc này cung cấp một khung tốt để hiểu vì sao người dùng vẫn ưu tiên web
Venmo trước đây từng có một web app đầy đủ, nhưng giờ trên web không thể gửi hay nhận tiền nữa
Nhiều chức năng của Chase cũng chỉ dành cho điện thoại
Và khá nhiều ứng dụng như vậy sẽ chặn iPhone jailbreak hoặc Android đã root nếu phát hiện được
Nếu ngân hàng yêu cầu thì đơn giản là tôi bị chặn truy cập
Không có daemon chứng thực nào cả, và kể cả có thì ngân hàng cũng sẽ không tin
Firefox có thêm vào thì trên máy tôi nó vẫn không hoạt động
Mọi người chỉ nói về trình duyệt, nhưng tôi muốn tiếp tục dùng một hệ điều hành không tích hợp adware và spyware
Chiếc máy tính tôi sở hữu nằm dưới quyền kiểm soát của tôi, và tính năng chứng thực từ xa chính là để ngăn cản quyền kiểm soát đó
Đây là vấn đề căn bản
Nếu ngân hàng hoặc công ty chứng khoán triển khai, tôi sẽ phải mua một máy tính mới chuyên dụng, hoặc chỉ làm giao dịch ngân hàng qua điện thoại hay trực tiếp
Đó là sự lãng phí khủng khiếp và cũng chẳng giúp ích cho bảo mật, nhưng một khi nó tồn tại, nó sẽ lọt vào checklist mà các ngân hàng làm theo
Mục tiêu ở đây không phải là mở rộng không gian sử dụng chứng thực client, mà là thu hẹp nó
Mỗi lần thu hẹp được dù chỉ một chút đều là thắng lợi; trước tiên đưa nó ra khỏi trình duyệt, rồi sau đó xử lý chứng thực native của ứng dụng
Lập luận “nếu từ chối thì các dịch vụ sẽ chuyển sang ứng dụng native” cũng từng được đưa ra y hệt thời EME
Giờ ta có thể nhìn lại tác động của EME: nó không ngăn được làn sóng chuyển sang ứng dụng native, các công ty như Netflix dù triển khai EME vẫn giữ hầu hết các hạn chế mà họ vốn định áp dụng, và nó làm tổn hại đến sự đa dạng của trình duyệt
Việc nói “đơn giản là không làm” trên web nghe có thể đáng sợ, nhưng chúng ta đã trải qua việc khuất phục trước hù dọa mà chẳng có hiệu quả
Website nào muốn chuyển sang native thì sẽ chuyển, và chỉ riêng WEI không phải là lý do kinh doanh để ở lại hay rời khỏi web
Những nơi muốn chỉ làm native sẽ không đột nhiên tạo website vì có WEI; họ chỉ tiếp tục làm điều vốn định làm và thêm WEI vào hộp công cụ hạn chế quyền tự chủ của người dùng
Việc buộc các công ty muốn dựa vào chứng thực client phải từ bỏ sự hiện diện trên web là điều tốt, và sức mạnh của web đang bị đánh giá thấp
Không hỗ trợ WEI sẽ không làm web chết
Khuyên đọc bài của EFF cũng tốt, nhưng cũng có thể trực tiếp quyên góp để hỗ trợ những chiến dịch như thế này
Họ cũng làm sản phẩm rất chất: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Tôi không hiểu vì sao mình phải quan tâm đến việc giảm gian lận quảng cáo cho Google và giúp mảng kinh doanh quảng cáo của họ
Đây là vấn đề của Google, và không có lý do gì để tôi bị lôi vào việc chuyển thông tin máy tính cá nhân của mình cho bên thứ ba chỉ để Google kiếm thêm tiền
WEI hơi giống chuyện trong mạng điện thoại ngày xưa, khi cá nhân không được sở hữu điện thoại của mình rồi kết nối vào mạng
Cuối cùng chính phủ đã tuyên bố điều đó là bất hợp pháp
Đây là một trong những bài viết chi tiết và cân bằng nhất mà tôi từng đọc về chủ đề này cho đến nay
Tuy nhiên, giống như các bài viết khác, nó thiếu một lời giải thích rất quan trọng về Web Environment Integrity
Đây không phải là một phần của web
Nó hoàn toàn là bản nháp của Google dành cho một tính năng của Google Chrome; dù Google là thành viên W3C, đây không phải là việc họ làm với tư cách thành viên
Tôi nghĩ đề xuất như vậy khó có thể đi đến mức hiến chương của một nhóm làm việc, vì nó bị giới hạn quá nhiều trong lợi ích của Google
Lý do duy nhất nó trở thành mối đe dọa đối với web là vì sức thống trị thị trường áp đảo của Google, vốn đã gần như độc quyền
Tôi lo rằng việc dùng nổi bật thuật ngữ “Web” trong những tài liệu như thế này có thể làm hoen ố uy tín của W3C, tổ chức có quy trình vững chắc[1] nhằm tránh các lợi ích ngắn hạn có nguy cơ gây tổn hại lâu dài đến tính mở của web
[1]: https://www.w3.org/Consortium/Process/
Một phần giải thích được viết rất tốt. Tôi mong được thấy những kiểu giải thích như thế này thường xuyên hơn
Có vẻ mọi người đã hiểu nó như một cơ chế kiểm tra chặn quảng cáo, nhưng đề xuất ban đầu đã nêu rõ rằng tiện ích mở rộng trình duyệt hoàn toàn không liên quan đến WEI
WEI gọi các API chứng thực dựa trên TPM và hệ điều hành hiện có, rồi cung cấp trạng thái chứng thực đó cho trang web
Nó vẫn trông giống như việc những người phản đối mã hóa nói “hãy nghĩ đến trẻ em”
Tôi vẫn chưa thấy lời giải thích nào về việc WEI sẽ thay đổi hành vi của nhà vận hành website một cách kỳ diệu ra sao
Các nhà vận hành hiện đã có thể chặn những client không mong muốn, nhưng họ không làm vậy đến mức thực sự cản trở “internet mở”
Nếu Apple không triển khai, WEI sẽ trở nên vô nghĩa, và tác động duy nhất của cuộc thảo luận hiện tại đối với Apple có lẽ sẽ là cách họ công khai diễn giải lựa chọn đó
Vì hiện tại tôi vẫn có thể bắt máy tính của mình nói những gì tôi bảo nó nói, tôi đã tạo một tiện ích mở rộng Firefox nhỏ để quyết định nó sẽ nói gì
Trẻ con và vụn vặt thôi, nhưng đôi khi thực thi quyền của mình cũng thấy vui
[1] https://github.com/rogual/wei-gfy