2 poin oleh GN⁺ 2023-07-30 | 1 komentar | Bagikan ke WhatsApp
  • Free Software Foundation menilai Web Environment Integrity (WEI) dari Google mengancam kebebasan pengguna untuk mengakses web dengan browser dan sistem operasi yang mereka inginkan
  • WEI adalah API yang membuat situs memeriksa apakah lingkungan penjelajahan telah “dimodifikasi” melalui layanan verifikasi pihak ketiga sebelum menyajikan halaman
  • FSF khawatir verifikasi ini akan bekerja dengan cara yang hanya mengizinkan konfigurasi browser yang diakui Google, sehingga dapat menghalangi akses pengguna browser bebas dan sistem operasi bebas
  • FSF menilai potensi penyalahgunaan nyata lebih besar daripada kasus penggunaan resmi yang disebutkan dalam dokumen kebijakan, dan WEI dapat dipakai untuk memaksakan browser yang disetujui, memperkuat DRM, serta membatasi akses ke layanan Google
  • FSF menegaskan WEI tidak memiliki dasar yang sah, dan menuntut Google segera menghentikan pekerjaan standarnya karena sulit dipadukan dengan internet bebas

Mengapa WEI bertentangan dengan internet bebas

  • FSF memandang penggunaan browser bebas kini lebih penting dari sebelumnya, dan mengkritik Web Environment Integrity dari Google sebagai salah satu contoh terburuk dari langkah Google belakangan ini
  • WEI bermula dari dokumen kebijakan yang pertama kali dipublikasikan di GitHub milik Microsoft, dan setelah itu Google dengan cepat mulai menerapkan pengembangannya di browser Chromium
  • API ini memungkinkan pengembang menyetujui konfigurasi browser tertentu dan melarang konfigurasi lainnya
  • FSF menilai pendekatan seperti ini bertabrakan langsung dengan konsep internet yang selama ini memungkinkan akses ke halaman yang ditautkan melalui hyperlink dari beragam perangkat, program, dan sistem operasi
  • WEI dinilai lebih mirip DRM yang membuat web secara keseluruhan menjadi lebih tertutup, dan dianggap sebagai langkah besar menuju “enshittification” web

Cara kerja dan potensi penyalahgunaan

  • Dalam WEI, sebelum server menyajikan halaman web, server akan meminta layanan “verifikasi” pihak ketiga untuk memeriksa apakah lingkungan penjelajahan pengguna tidak “dimodifikasi”
  • FSF menilai server verifikasi ini bisa dimiliki Google, dan browser akan diperiksa apakah tidak menyimpang sedikit pun dari konfigurasi yang dapat diterima Google
  • Akibatnya, pengguna akan sulit menjalankan four freedoms secara bermakna, dan pengguna browser bebas atau sistem operasi bebas bisa ditolak penyajian halamannya oleh sebagian situs
  • Masalah yang disorot adalah bahwa potensi penggunaan nyatanya lebih besar daripada kasus penggunaan sah yang dikemukakan dokumen kebijakan
    • Pemerintah dapat menggunakannya untuk hanya mengizinkan akses internet melalui browser resmi yang “disetujui”
    • Perusahaan seperti Netflix dapat menggunakannya untuk memperkuat Digital Restrictions Management (DRM)
    • Google dapat menggunakannya untuk menolak akses ke layanan Google jika pengguna tidak memakai browser yang sesuai dengan kepentingannya
  • FSF menilai WEI “sama sekali tidak memiliki dasar yang sah”, dan mengkritik bahwa kegunaan inti sebenarnya adalah untuk membatasi internet bebas
  • Para pengambil keputusan di Google harus mempertimbangkan prinsip-prinsip pendirian web, mengakui bahwa WEI pada dasarnya tidak dapat dipadukan dengan internet bebas, dan segera menghentikan pekerjaan standardisasinya

1 komentar

 
GN⁺ 2023-07-30
Komentar Hacker News
  • Tulisan terkait. Kalau ada lagi, beri tahu saya
    Rencana keamanan browser Google dikritik sebagai berbahaya, mengerikan, dan DRM untuk situs web - https://news.ycombinator.com/item?id=36893071 - Juli 2023 (63 komentar)
    Google Web Environment Integrity adalah Microsoft Trusted Computing yang baru - https://news.ycombinator.com/item?id=36888156 - Juli 2023 (282 komentar)
    Karyawan Google menanggapi umpan balik negatif tentang WEI - https://news.ycombinator.com/item?id=36881506 - Juli 2023 (25 komentar)
    Google sudah menyelipkan WEI ke Chromium - https://news.ycombinator.com/item?id=36876301 - Juli 2023 (832 komentar)
    Mengupas spesifikasi Web Environment Integrity dari Google - https://news.ycombinator.com/item?id=36875940 - Juli 2023 (431 komentar)
    Para engineer Google berusaha membuat pemblokiran iklan hampir mustahil - https://news.ycombinator.com/item?id=36875226 - Juli 2023 (468 komentar)
    Google melawan web terbuka - https://news.ycombinator.com/item?id=36875164 - Juli 2023 (191 komentar)
    Apple sudah merilis attestation di web, dan kita hampir tidak menyadarinya - https://news.ycombinator.com/item?id=36862494 - Juli 2023 (421 komentar)
    “Web Integrity API” Google yang seperti mimpi buruk menginginkan penjaga gerbang DRM untuk web - https://news.ycombinator.com/item?id=36854114 - Juli 2023 (456 komentar)
    Proposal Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - Juli 2023 (441 komentar)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Juli 2023 (2 komentar)
    Penjelasan Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - Juli 2023 (45 komentar)
    Proposal Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Juli 2023 (93 komentar)
    Web Environment Integrity – Google berusaha mengunci browser - https://news.ycombinator.com/item?id=35864471 - Mei 2023 (1 komentar)

  • Saya tidak mengerti kenapa Google dibiarkan begitu saja melakukan hal sekonyol ini. Awalnya toast component, lalu penghapusan notifikasi, Manifest V3, FLoC, dan sekarang ini
    Perusahaan memang akan bertindak seperti perusahaan, tapi pilihan apa yang tersisa bagi pengguna dan calon pengguna? Maksud saya orang-orang yang saat ini tidak peduli, tetapi mungkin kelak menganggap bentuk internet saat ini berguna
    Saya tidak masalah kalau Google menyembunyikan produk-produknya sendiri di balik tembok yang hanya bisa diakses lewat browser khusus yang tidak bisa dimodifikasi, tapi saya harap mereka tidak menyebarkannya ke mana-mana. Kita masih “menikmati” reCAPTCHA yang tidak bisa diselesaikan di mana-mana

    • Saya sangat keberatan dengan CAPTCHA. Pada dasarnya kita melatih mesin pengenalan gambar Google secara gratis
    • Bukankah karena Apple melakukannya dan dibiarkan begitu saja?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • Ada tautan terkait toast component?
    • Katanya “reCAPTCHA yang tidak bisa diselesaikan di mana-mana”, tapi saya hampir tidak pernah melihat yang seperti itu
      Itu bagian dari verifikasi tanya-jawab yang muncul ketika server menganggap trafik mencurigakan. Umumnya bisa dihindari kalau tetap login, tidak memblokir cookie, dan tidak menggunakan Tor atau sarana lain untuk menyembunyikan rute
  • Namun, API yang sangat mirip tampaknya sudah diimplementasikan di Safari sejak 2022. Sepertinya kalau pemasarannya bagus, dampaknya besar. Yang ini hampir tidak pernah kulihat dibahas
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    Bagian yang menarik adalah ini. Isinya kira-kira, “Kami sebenarnya tidak membutuhkan ataupun menginginkan data dasar yang dikumpulkan dalam proses ini; kami hanya ingin memastikan apakah pengunjung memalsukan perangkat atau user agent-nya”
    Dalam contohnya, ketika seorang pengunjung membuka Safari di iPhone dan mencoba mengunjungi example.com, Cloudflare meminta token ke browser, dan karena Safari mendukung PAT, Safari meminta attestasi ke Apple Attester melalui panggilan API
    Attester Apple memeriksa berbagai komponen perangkat untuk memvalidasinya, lalu melakukan panggilan API ke Cloudflare Issuer, Cloudflare Issuer membuat token dan mengirimkannya ke browser, dan browser meneruskannya ke server asal
    Cloudflare menerima token itu dan memutuskan bahwa CAPTCHA tidak perlu ditampilkan kepada pengguna ini. Bagiku ini terdengar terlalu mirip dengan WAI, tetapi karena namanya “Privacy Access Tokens”, tentu saja ini pasti sesuatu yang baik...?
    Sunting: Ada thread HN beberapa hari lalu, tapi aku melewatkannya: https://news.ycombinator.com/item?id=36862494

    • Strategi PR Google adalah mengatakan, “tidak perlu khawatir, ini mirip dengan yang dilakukan Apple.” Namun seperti yang Google sendiri tulis dalam dokumen penjelasnya¹, keduanya cukup berbeda, dan Google menganggap PAT tidak memadai untuk penegakan yang ingin mereka lakukan
      Misalnya, PAT pada akhirnya hanya membuktikan tingkat “bukan bot”, sehingga tidak memerlukan pertukaran data perangkat dan lingkungan browser. Sebaliknya, WEI membutuhkan data itu agar dapat memungkinkan use case seperti DRM untuk web yang sedang kita baca ini
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • Apa maksudnya “ingin memastikan apakah pengunjung memalsukan perangkat atau user agent”? Mungkin maksudnya adalah ketika suatu perangkat atau user agent mengaku sebagai sesuatu yang spesifik, tetapi sebenarnya berbeda
      Namun browser sudah berbohong tentang siapa dirinya selama puluhan tahun. Dan apa bedanya perangkat/user agent palsu dengan perangkat/user agent yang tidak biasa? Dari sudut pandang mereka, mungkin tidak ada bedanya
    • Aku membaca ini di tulisan asli Cloudflare tahun lalu. Cloudflare adalah perusahaan yang disukai banyak orang, tetapi menurutku ini berbahaya bagi web
    • Menurutku perbedaannya adalah PAT mengizinkan ad blocker, sedangkan WEI kemungkinan tidak
  • Jadi aku mulai melihat-lihat gopher. Baru saja aku juga mengetahui gemini, dan mungkin itu malah lebih menarik bagiku
    Perusahaan-perusahaan melihat kesuksesan Apple dan melakukan segala yang bisa mereka lakukan untuk membangun taman bertembok. Dan meski tidak sebesar itu, tampaknya perusahaan juga mulai memengaruhi arah pengembangan Linux
    Aku penasaran kapan DRM bawaan penuh untuk memverifikasi situs streaming akan masuk
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • Kita harus menghadapinya secara langsung, bukan terus mencari jalan memutar yang makin rumit. Kupikir suatu hari nanti bisa datang masa ketika perangkat bahkan tidak bisa terhubung ke penyedia internet jika tidak berhasil melakukan attestasi
      Ketika API seperti Android SafetyNet pertama kali muncul, argumen pembelaannya sudah “kalau tidak bisa memakai aplikasinya, pakai saja situs webnya di browser.” Perusahaan tidak akan berhenti sampai mereka mengendalikan setiap lapisan stack secara mutlak
    • Aku mendukung alternatif untuk HTTP, tetapi ini tidak terlalu terkait dengan masalah ini. Jika sebuah situs tidak ingin terdampak WEI, cukup jangan gunakan WEI API
      Dan hal seperti WEI bisa saja diimplementasikan di atas protokol-protokol semacam itu, sama seperti di atas HTTP. Itu konsep yang sepenuhnya terpisah
  • Membaca hal seperti ini membuatku sangat sinis. Awalnya terasa seperti, “Pokoknya tidak boleh, tidak di depan mataku!” tapi lalu sadar bahwa yang bisa kulakukan hanya menandatangani petisi atau mengirim email ke politisi yang sama sekali tidak paham artinya
    Alasan ini juga tidak penting bagi adik Gen Z-ku dan para TikToker seumurnya sama saja. Orang-orang tidak peduli. Mereka punya masalah yang lebih besar, seperti besok mau bayar sewa pakai apa, dan ada tontonan yang lebih seru: menonton orang berpura-pura jadi NPC selama 5 jam sambil diberi uang
    Banyak orang yang pernah bekerja denganku juga mirip. Mereka terbiasa menyadari bahwa mereka benar-benar sedang dikerjai, dan kecanduan mengeluh, tetapi hanya di dalam kelompok yang sangat sempit yang berbagi kepentingan yang sama
    Ini revolusi yang paling melemahkan semangat. DNS, kekacauan JavaScript, net neutrality, sampai dunia browser selalu saja kacau, tetapi tidak ada yang tercapai; tanggung jawab selalu dilemparkan, lalu nanti di thread lain kita mengenang masa lalu yang indah
    Tapi pada akhirnya, apa yang bisa kulakukan? Haruskah menolak PR?

    • Aku tidak mengerti kenapa di setiap thread seperti ini selalu muncul komentar negatif bahwa “orang-orang tidak peduli”. Tidak semua orang di jalan perlu peduli
      Cukup orang-orang yang punya pengaruh memadai di industri dan ranah regulasi yang peduli. Dan kenyataannya memang begitu. Semua orang marah dan merekomendasikan isu ini, dan perusahaan serta organisasi menulis tentangnya
      Terus lakukan itu, dorong perusahaan lain untuk menolak, atau tekan agar diblokir lewat regulasi. Hal yang paling ditakuti Google adalah pemecahan perusahaan. Jika mereka memaksakan ini, kita bisa menghubungi para legislator secara terorganisir untuk menyampaikan kekhawatiran, serta menuntut regulasi atau pemecahan atas praktik antipersaingan Google
    • Justru cukup menggembirakan bahwa sudah ada cukup banyak diskusi publik dan penolakan. Perlu diingat bahwa isu ini baru sekitar seminggu muncul ke permukaan. Kita tidak bisa menang dalam semalam
      Orang-orang peduli. Hanya saja ada tahap-tahap untuk membangun tekanan opini publik. Publik harus tahu masalahnya, mempelajari dan memahami sisi teknisnya, lalu mengorganisir penolakan. Itu tidak selalu proses yang cepat
    • Lebih baik jangan menulis ke politisi, tetapi kirimkan ke otoritas persaingan usaha yang tepat. Diskusi terbaru[1] bisa jadi contoh
      [1] https://news.ycombinator.com/item?id=36877310
    • Ada hal yang bisa dilakukan. Menjadi pengguna mahir alat privasi membantu mengubah lanskap cara orang memakai dan berinteraksi dengan teknologi
      Jika diasumsikan tujuan utamanya adalah mencegah pemblokiran iklan, aku penasaran apakah pemblokir DNS pinhole milikku akan terdampak. Jika standar baru membuat semua orang beralih ke pemblokir DNS, meski membebankan sedikit biaya ke pengguna, lanskap secara keseluruhan bisa membaik
      Saat orang percaya sistem ini bebas dan terbuka serta tidak merasa perlu, adopsi atau dukungan terhadap alat privasi hampir tidak ada. Sampai batasnya bergeser, semua orang diperlakukan seperti orang bertopi aluminium foil
      Orang-orang seharusnya lebih memahami hal-hal seperti perlindungan data pribadi dan kontrol atas layanan secara umum, tetapi mereka akan bermalas-malasan sampai tidak ada pilihan lain dan mereka harus merebut kembali kendali
    • Aku paham kenapa marah. Pertama-tama aku bersimpati. Namun tekanan situasi memang punya sisi yang membuat tanggung jawab dialihkan bukan kepada orang-orang yang benar-benar melakukan ini, melainkan justru kepada orang-orang yang bukan mereka
      Pengguna elektronik konsumen bukanlah orang-orang yang “memilih” konten. Sistem komputer tertutup yang hierarkis, privat, dan digerakkan oleh pengambilan keputusan internal-lah yang sedang mencapai titik keputusan
  • Syukurlah ada orang-orang yang menganggap pengetahuan tentang hal seperti ini bernilai. Saat aku mencoba menyebarkannya, biasanya yang kutemui adalah ketidaktahuan
    Ini bukan cuma urusan Google. Mereka tampaknya hanya ingin menjadi yang pertama
    “Teori konspirasi” yang kusebut penguncian digital adalah hal seperti ini. Ini satu langkah lagi ke arah itu, dan melihat apa yang dilakukannya, kita jadi terlalu dekat dengan tujuannya

  • Mereka bersikap seolah-olah somehow akan jadi lebih aman kalau mereka memverifikasi bahwa kita semua memakai browser Google. Seakan-akan para developer di pihak mereka sempurna
    Kesombongan big tech seperti ini mengejutkan sekaligus menyebalkan

  • “Anda boleh mengunjungi situs web kami. Tolong tunjukkan dulu borgol digital Anda”

  • Bisa ada yang menjelaskan seperti kepada anak lima tahun? Apa yang akan terjadi? Apakah Firefox akan berhenti berfungsi di sebagian besar situs? Apakah uBlock tidak akan bisa dipakai? Apakah sebelum mengakses situs World Wide Web kita harus mengirim pemindaian retina?
    Yah, dulu pun kita pernah hidup tanpa internet. Aku dulu memasang Microsoft Flight Simulator dari floppy disk. Kali ini floppy-nya hanya akan jadi lebih banyak. Bukan masalah besar

    • Tujuan akhirnya kemungkinan besar adalah Google dan beberapa perusahaan mengendalikan browser web apa yang boleh dipakai untuk mengakses sebagian besar web. Mozilla mungkin ikut, mungkin juga tidak, tetapi saat EME dulu mereka ikut
      Linux mungkin tidak akan berfungsi kecuali build Ubuntu dan Red Hat, itu pun setelah dukungan ditambahkan. Karena diperlukan rantai verifikasi panjang yang melewati browser, sistem operasi, kernel, lingkungan boot, dan TPM, serta harus meyakinkan Google bahwa rantai itu tidak cukup lemah untuk diretas, ini bisa memakan waktu lama
      Pemblokir iklan pada suatu titik akan disingkirkan. Dan kita juga tidak bisa kembali ke masa ketika hanya memainkan Flight Simulator lewat floppy. Bank, tiket pesawat dan konser, bahkan dokter anak untuk anakmu akan mewajibkan ini
      Bukan karena para dokter rajin membaca spesifikasi web baru, melainkan karena mereka akan memakai platform layanan kesehatan yang bergantung pada default Cloudflare yang disukai staf keamanan karena katanya mengurangi bot dan DDoS
      Pada akhirnya kita akan memakai sistem operasi bertembok yang terus-menerus mengawasi dan menayangkan iklan seperti TV kabel. Keributan besar mungkin bisa membuat Google sedikit mundur atau membuat janji yang tidak bisa dan tidak akan mereka tepati
      Solusi nyata satu-satunya adalah menggunakan pemerintah untuk mencegah pengguna kehilangan kendali
  • Ya! Mari kita semua pakai browser berbasis Chromium!
    Apa yang mungkin salah?

    • Menurutku apakah browser minoritas berbasis Chromium atau tidak tidak terlalu berpengaruh ke arah mana pun terhadap bencana ini. Masalahnya adalah monopoli de facto Chrome