- Web Environment Integrity (WEI) yang diusulkan Google untuk Chrome dikritik karena memungkinkan situs web memverifikasi lingkungan eksekusi klien, sehingga web pada praktiknya bisa menjadi bentuk DRM
- WEI dirancang untuk membuktikan bahwa pengguna menjalankan klien web di lingkungan seperti “perangkat Android yang aman”, lalu menyampaikannya melalui token bertanda tangan kriptografis
- Tidak seperti alasan resminya untuk pencegahan penipuan, Mozilla menilai penggunaan web yang sudah ada seperti teknologi bantu, pengujian otomatis, pengarsipan, dan spider mesin pencari bisa terblokir
- Brave menyatakan tidak akan memasukkan WEI ke browser Brave karena WEI memindahkan kekuasaan ke situs web besar dan platform, bukan ke pengguna
- Jika remote attestation dimasukkan ke standar web, itu bisa dipakai bukan hanya untuk tujuan baik, tetapi juga untuk memblokir browser, membatasi pemblokiran iklan, dan memperkuat kontrol platform
Kontroversi DRM web yang dipicu proposal WEI Chrome
- Google mengusulkan untuk menambahkan Web Environment Integrity ke Chrome
- Sistem ini memungkinkan situs web meminta token yang membuktikan fakta-fakta inti dari lingkungan tempat kode klien dijalankan
- Sebagai contoh, ini bisa menunjukkan bahwa pengguna menjalankan klien web pada “perangkat Android yang aman”
- Token tersebut dirancang agar tidak bisa dimanipulasi lewat tanda tangan kriptografis
- Situs web sendiri yang memutuskan apakah akan mempercayai penilaian yang dikembalikan attester
- Menurut penjelasan Google, secara praktis attester kemungkinan besar berasal dari sistem operasi atau platform
- Dokumen proposal ini terinspirasi oleh sinyal pembuktian native yang sudah ada seperti App Attest milik Apple dan Play Integrity API milik Android
- Dalam pencegahan penipuan, penilaian yang tegas dan cakupan yang tinggi bisa berguna, tetapi tetap ada risiko bahwa situs web mengecualikan attester tertentu atau browser yang tidak dapat memberikan pembuktian
Remote attestation mengubah relasi kuasa dalam komputer
- Menurut penjelasan Cory Doctorow, sekitar 20 tahun lalu Microsoft mempresentasikan gagasan trusted computing bernama Next Generation Secure Computing Base, atau Palladium, kepada Electronic Frontier Foundation
- Intinya adalah remote attestation: menempatkan perangkat terpisah di dalam komputer pengguna yang mengamati bootloader, sistem operasi, aplikasi, ekstensi, status kernel, dan lain-lain, lalu mengirim manifest bertanda tangan ke validator eksternal
- Remote attestation bisa menjadi kemampuan yang sangat kuat untuk memungkinkan pihak-pihak yang tidak saling percaya memverifikasi konfigurasi komputer masing-masing
- Ada penggunaan yang bermanfaat dan disepakati, seperti perusahaan memverifikasi konfigurasi perangkat karyawan dalam lingkungan kerja jarak jauh
- Namun pada saat yang sama, itu juga bisa dipakai untuk mengecualikan, misalnya mencegah dokumen Word dibuka di OpenOffice, atau membedakan SMB dan Samba untuk memblokir akses jaringan
- Isu utamanya adalah apakah komputer harus mengatakan “kebenaran” kepada pihak luar meski pengguna tidak menginginkannya, dan apakah orang lain boleh memicu dari jarak jauh fungsi yang tidak bisa dikendalikan pengguna
Mengapa Mozilla dan Brave menolak
- Mozilla menolak WEI dalam diskusi GitHub karena menilainya bertentangan dengan web terbuka
- Posisi Mozilla adalah bahwa mekanisme yang membatasi pilihan merusak keterbukaan ekosistem web dan juga tidak baik bagi pengguna
- Kasus penggunaan yang diajukan bergantung pada kemampuan mendeteksi “trafik non-manusia”
- Pendekatan ini dapat menghalangi penggunaan web yang sudah lazim, seperti teknologi bantu, pengujian otomatis, pengarsipan, dan spider mesin pencari yang menerima konten untuk manusia lalu mengubah, menguji, mengindeks, atau merangkumnya
- Mozilla menilai pengaman seperti “holdback”, yang secara acak tidak membuat pembuktian, kemungkinan memiliki efektivitas terbatas dan tidak cukup untuk mengatasi kekhawatiran tersebut
- Brave juga menentang Web Environment Integrity dan menyatakan tidak akan memasukkan WEI ke browser Brave
- Brave menilai WEI memindahkan kekuasaan dari pengguna ke situs web besar, terutama situs web yang dioperasikan Google
- Meski menggunakan Chromium, mereka tetap berencana untuk tidak menyertakan WEI
- Mereka juga sedang mempertimbangkan pembatasan atas fitur yang mirip WEI tetapi lebih terbatas, seperti sebagian dari WebAuthn atau Privacy Keys, selama tidak merusak penggunaan yang sah
Kekhawatiran soal pemblokiran iklan dan kontrol platform
- Alex Ivanovs menyoroti salah satu efek samping WEI: Google bisa secara efektif memblokir pemblokiran iklan
- Jika pihak yang mengendalikan attester juga memverifikasi lingkungan klien, muncul kekhawatiran bahwa Google atau perusahaan teknologi besar lain bisa memanipulasi skor kepercayaan dan menentukan situs web atau lingkungan browser mana yang layak dipercaya
- Brave menghubungkan WEI dengan rangkaian proposal web Google belakangan ini
- WebBundles dinilai membuat pengguna lebih sulit memblokir atau memfilter konten halaman yang tidak diinginkan
- First Party Sets dinilai membuat pengguna lebih sulit menilai situs mana yang dapat melacak mereka
- Pelemahan ekstensi browser melalui Manifest V3 dinilai mengurangi kendali ekstensi pemblokir iklan dan pelacak seperti uBlock Origin
- Brave menyatakan akan menonaktifkan atau memodifikasi fitur-fitur ini di browser Brave
Di web terbuka, kekuasaan seharusnya berada di mana
- Masalah penipuan dan penyalahgunaan yang ingin ditangani WEI memang nyata, tetapi pendekatan yang diusulkan akan mengubah secara mendasar struktur internet terbuka
- Kritik utamanya adalah bahwa proposal ini memusatkan kekuasaan ke situs web dan platform, alih-alih mendorongnya ke tepi jaringan
- Bahkan tanpa penjelasan bernuansa teori konspirasi seperti pengawasan pemerintah, proposal ini sendiri dinilai buruk, berbahaya, dan bertentangan dengan prinsip web terbuka
- Sekalipun motif Google baik, tidak ada jaminan alat semacam ini akan terus dipakai hanya untuk tujuan baik
- Jika ingin mendukung web terbuka, WEI harus ditolak, dan Google juga seharusnya menarik proposal ini
1 komentar
Komentar Hacker News
Sudah waktunya melobi keras agar Google menjadi target pemecahan antimonopoli
Rencana DRM ini merupakan penyalahgunaan posisi monopoli dan memberi alasan tambahan untuk mendorong pemecahan paksa secara politik. Alphabet adalah perusahaan yang membesar lewat akuisisi, jadi pemisahannya juga relatif jelas: Google hanya untuk pencarian dan iklan pencarian, DoubleClick untuk iklan di situs pihak ketiga, Analytics untuk layanan situs web, Cloud untuk layanan pusat data, Android untuk perangkat, Chrome untuk browser, YouTube untuk streaming, Waymo untuk kendaraan otonom, dan Alphabet untuk sisanya.
Jika Chrome dipisahkan dari Google dan DoubleClick lalu harus bersaing memperebutkan pangsa pasar, insentifnya untuk mencegah pemblokiran iklan DoubleClick atau Google akan berkurang. Gugatan dari Negara Bagian Texas dan jaksa agung beberapa negara bagian juga sudah berjalan, dan langkah Google untuk mengukuhkan monopoli secara teknis akan menguntungkan gugatan semacam itu. Jika isu ini dibuat sangat ramai secara politik, besar kemungkinan Google akan menarik usulan ini atas saran pengacara antimonopolinya.
https://www.bloomberg.com/news/articles/2023-06-05/google-an...
https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...
Google adalah satu-satunya penjual aset digital berupa iklan sekaligus satu-satunya operator pasar untuk aset itu, memiliki sistem perdagangan algoritmik tertutup tanpa audit publik, dan tidak ada buku besar publik yang menunjukkan siapa menawar berapa. Pada saat yang sama, Google juga merupakan pelanggan besar yang mengiklankan produknya sendiri.
Pengiklan harus memasang kode pelacakan di situs mereka, sehingga Google bisa melihat transaksi, pendapatan, dan pelanggan semuanya. Jika digabung dengan algoritma tertutup dan pasar iklan, potensi manipulasinya sangat besar. Pemecahan yang paling penting adalah memisahkan bisnis iklan dari bagian lain, termasuk pencarian. Meski tidak mudah, perubahan memang diperlukan. Secara realistis, regulasi yang kuat terhadap pasar iklan online, firewall pemisah antarunit bisnis, dan audit platform tampaknya lebih mungkin terjadi.
Misi perusahaan yang begitu dalam menguasai fondasi seperti web dan email, yaitu “mengorganisasi informasi dunia”, kini tampaknya telah berubah menjadi “menempatkan sebanyak mungkin perantara berbayar di depan informasi dunia” atau bahkan memblokir sebagian informasi sepenuhnya.
Kita tidak boleh membiarkan satu perusahaan secara praktis mengelola informasi “dunia”. Saya tidak tahu persis bagaimana Alphabet harus dipecah, tetapi saya setuju bahwa perusahaan itu harus dipecah. Jika informasi harus bebas, kita juga perlu meninjau kembali bagaimana menjaga kebebasan itu di dunia tempat Google tidak berpura-pura menjadi penjaganya.
https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
Merugi itu sendiri tidak masalah. Perusahaan perlu berinvestasi sebelum menghasilkan laba, dan layanan seperti Google Cloud bisa menjadi mesin pencetak uang setelah mapan. Namun para penyedia cloud menggelontorkan uang ke pihak ketiga dan mitra agar mereka menjual dan membangun untuk perusahaan. Sebuah perusahaan bursa bunga di Belanda sedang memindahkan ratusan layanan ke AWS, dan seorang manajer TI baru tampaknya punya koneksi dengan Amazon dalam penjualan AWS. Begitu sudah masuk, keluar lagi membutuhkan jutaan dolar dan bertahun-tahun, jadi perpindahan lateral dari AWS ke GCP sepertinya tidak akan sering terjadi.
Chrome terutama ada agar bisnis iklan memperoleh lebih banyak data dan dapat memengaruhi arah web. Jika itu dipisahkan, selain sedikit pendapatan dari ChromeOS, Chrome tidak punya sumber pendapatan sehingga sulit dipertahankan.
Saya mengerti bahwa ini adalah sarana politik untuk menekan Google agar menyerah pada usulan ini. Namun pemecahan Google/Alphabet tidak realistis, dan saya tidak menginginkannya kecuali Microsoft juga dipecah pada saat yang sama. Jika tidak, Microsoft bisa kembali mendominasi web, dan saya tidak ingin mengalami masa itu lagi.
Ini pada dasarnya meruntuhkan klaim Google bahwa OEM punya pilihan dan bahwa ini bukan monopoli Google. Masalahnya, Google sangat pandai tetap berada di bawah radar. Hanya segelintir orang yang tidak memakai produk Apple, Google, atau Microsoft yang menyadarinya, sementara politisi, publik, dan orang-orang berpengaruh hampir tidak tahu.
Kali ini pun kemungkinan tidak ada yang peduli. Terlalu rumit untuk dijelaskan, sehingga orang-orang yang seharusnya peduli pun tampaknya akan kembali mengabaikannya. Intinya, minoritas yang khawatir belum cukup berisik. Kita harus terus menekan bank dan pihak lain yang memblokir Android de-Googled, dan kita juga membutuhkan daftar publik layanan “baik” yang tersisa. Untuk saat ini, satu-satunya pilihan adalah benar-benar memakai browser bebas dan sistem operasi bebas, serta mengangkat masalah ini sekeras mungkin, setidaknya di tempat seperti GitHub. Yang paling berisik soal kebebasan web hanyalah web3 dan crypto, tetapi bagi saya mereka tampak seperti orang-orang yang hanya menghidupkan suasana demi mencari uang dari spekulasi.
Kita semua telah memperlakukan layanan Google seperti alat yang gratis dan berguna, sehingga kita membiarkannya sampai sejauh ini
Saat membicarakan “Chrome begini dan begitu”, kita lupa bahwa itu sebenarnya alat strategis milik biro iklan terbesar di dunia. Chrome, GMail, dan lainnya semuanya cocok ke dalam kerangka teknologi iklan global yang mendorong iklan mencurigakan dan menyedot informasi identitas pribadi
Google memanfaatkan monopoli dan oligopoli untuk meresap ke dalam kehidupan kita. Kita perlu menyebarkan framing bahwa Google adalah bisnis yang mencurigakan. Mereka bukan perusahaan yang bisa dipercaya, melainkan raksasa iklan, dan tidak punya integritas. Jika bank memakai fitur integritas Google, teleponlah layanan pelanggan dan tahan mereka lama-lama seperti pemula dengan mengatakan “ini tidak berfungsi”; lalu ketika akhirnya muncul pembahasan Integrity + Chrome, tanyakan, “kalian berpihak pada biro iklan mencurigakan? Saya kira kalian bank yang bisa dipercaya.”
Yang penting di helpdesk adalah metrik penutupan tiket dan durasi panggilan; ledakan emosi tidak akan mengubah apa pun
Pada akhirnya kita membayar dulu dengan data, lalu nanti membayar lagi dengan uang. Internet gratis mungkin baik bagi sebagian orang, tetapi kita semua membayar pajak iklan yang sudah termasuk dalam harga produk yang kita beli. Jika seluruh model harga freemium ini dilarang dan kita kembali membayar langsung untuk barang seperti dulu, banyak masalah bisa terselesaikan
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Mungkin sebentar lagi kita harus lebih takut pada situasi ketika bank hanya mensyaratkan perangkat Apple
Pada 2012 saya wawancara untuk posisi SRE di Google Ireland
Karena masalah keluarga, akhirnya saya tidak jadi pergi, tetapi untuk beberapa waktu saya menyesali hilangnya kesempatan memecahkan masalah berskala Google dan mendapatkan uang setingkat FAANG
Sekarang penyesalan itu sudah hilang sepenuhnya. Itu karena bagaimana Google telah berubah dan bagaimana mereka memahami perannya di dunia. Atau mungkin sifat korporat aslinya memang menjadi lebih jelas. Pada era 2000-an saya percaya Google adalah kekuatan baik di dunia korporat, tetapi sekarang saya yakin sama sekali bukan begitu. Karena itu saya sedih, dan takut terhadap kerusakan yang pada akhirnya akan ditimbulkannya pada internet yang saya sukai dan dunia FOSS
Saya tidak melihat Google sebagai satu entitas tunggal dengan satu sifat sejati. Pada akhirnya ini adalah organisasi tempat orang-orang membuat keputusan. Kadang mereka merilis VP8 sebagai open source dan menciptakan nilai global; kadang mereka menjalankan eksperimen yang seharusnya menjelaskan niatnya dengan lebih baik
Di bawah Pichai, mereka terlihat seperti ingin mengunci posisinya, membunuh pesaing, dan mengubah WWW menjadi GWWW
Bahkan ketika mereka mengakuisisi DoubleClick yang terkenal buruk, saya senang karena percaya mereka bisa mengubah industri iklan online menjadi lebih baik. Namun itu tidak terjadi, dan Google akhirnya menjadi perusahaan iklan online murahan seperti itu
Google pada masa awal tampak seperti orang-orang yang tulus dan lurus. Setelah gelembung dot-com pecah, semua orang bergulat dengan monetisasi untuk membayar tagihan, dan saya rasa di situlah benih masa kini ditanam
Google mungkin pernah berpura-pura melindungi sesuatu, tetapi sejak menjadi badan hukum, mereka terus menjadi perusahaan jahat. Secara desain, perusahaan memang bergerak seperti itu
Sebagai contoh terkait, selama lebih dari 10 tahun Google telah melakukan hal semacam “khusus IE5+” pada layanannya sendiri. Mereka tidak membunuh persaingan browser dengan produk yang bagus, melainkan dengan memiliki atau membeli layanan yang bagus lalu menggunakannya untuk memaksa Chrome kepada pengguna. Secara sukarela melalui iklan bernilai miliaran dolar, dan secara tidak sukarela melalui kebohongan tentang kompatibilitas dan kinerja, atau dengan memblokir user agent lain
IE lengah karena Microsoft mengira sudah menang lalu membubarkan tim IE, sehingga tersalip oleh para pendahulu Firefox. Firefox kalah bersaing ketika Google membuat Chrome sangat cepat secara gila-gilaan, lalu setelah sering tertinggal akhirnya kehilangan hampir seluruh pangsa pasarnya. Dominasi Chrome dan penyalahgunaan posisi pasar oleh Google memang tidak menyenangkan, tetapi selama sebagian besar masa hidupnya Chrome adalah produk yang bagus
https://www.businessinsider.com/google-sergey-brin-employees...
Perusahaan berusaha menghasilkan uang atau membangun daya ungkit. Tentu ada juga perusahaan yang buruk dalam eksekusi atau persaingan. Pada awalnya mereka membangun daya ungkit sambil melakukan hal-hal baik, dan sekarang mereka berada pada tahap memerah sapi perah itu selama mungkin dengan daya ungkit tersebut
Perangkat komputasi adalah agen pengguna yang lebih dekat daripada dokter, rohaniwan, atau pengacara
Kita membagikan informasi yang lebih intim dengan perangkat, dan kemampuan kita untuk menjalani hidup normal tanpa perangkat juga jauh lebih kecil. Komputer semakin banyak menjadi perantara interaksi kita dengan orang lain dan dunia, serta diperlukan untuk berkomunikasi dan mengakses layanan esensial. Karena ini adalah benda yang kita bawa sampai ke rumah dan kamar tidur, ia harus bertindak demi kepentingan terbaik pengguna, dan setidaknya tidak boleh bertindak merugikan pengguna
Ini seharusnya bukan tuntutan khusus, melainkan premis dasar. Bahkan ketika konsep perangkat lunak bebas baru muncul, penghormatan terhadap pengguna sudah menjadi pusatnya. Pengabaian pada masa lalu umumnya berupa pencarian rente, harga berlebihan, ketidakpedulian terhadap fitur dan bug, serta aturan yang menguntungkan pembuatnya. Kemungkinan bahwa perangkat lunak dapat secara aktif dan sengaja melawan pengguna memang ada, dan kebebasan untuk memeriksa, memodifikasi, serta berbagi secara teoretis menjawab risiko itu. Namun saat itu bukan masalah yang umum. Sekarang perangkat lunak dan sistem yang secara aktif mengkhianati pengguna telah menjadi umum dan dinormalisasi, dan kebanyakan orang tampaknya tidak menyadari fakta itu
Bagi saya, tampaknya sudah terlambat
Kesan kuat saya, mayoritas orang memang tidak peduli, dan kebanyakan bahkan tidak ingin tahu. Kebanyakan orang yang saya kenal juga begitu; ketika bertanya kenapa saya tidak memasang aplikasi terbaru, mereka memotong pembicaraan sebelum saya sempat menjelaskan soal privasi, ketergantungan, hilangnya akses ke sumber daya, hak untuk memperbaiki, dan sebagainya
Secara pribadi, saya menghabiskan waktu sebanyak mungkin untuk mempelajari alternatif seperti Gemini, aplikasi Fediverse, dan ponsel Linux. Di saat yang sama, saya menyimpan laptop “arus utama” terpisah yang hanya dipakai untuk layanan yang nyaris vital seperti perbankan, tidak memasang apa pun di dalamnya, dan biasanya membiarkannya mati
Hal yang sama berlaku untuk korupsi di kalangan tinggi pemerintah dan lembaga peradilan, fasilitas penahanan rahasia dan penyiksaan, serta perang ilegal demi keuntungan. Mustahil untuk peduli pada semua hal yang terjadi, dan tidak masuk akal mengharapkan orang mengetahui atau peduli pada semuanya
Selain itu, sebagian besar warga akan jatuh miskin hanya jika dua kali gaji terhenti. Sementara itu, para pelobi punya akses ke pengambil keputusan dan uang tunai untuk mendorong perubahan konkret. Struktur ini memang dirancang demikian, dan Google, seperti perusahaan lain, hanya memanfaatkannya. Menyalahkan “orang-orang” berarti menyalahkan korban
Tulisan itu menerapkan kutipan bagus Doctorow tentang Secure Computing ke WEI
“Sekalipun Anda ingin komputer berbohong demi Anda, haruskah komputer bisa dipaksa untuk mengatakan kebenaran? Haruskah ada perangkat di dalam komputer Anda yang tidak bisa Anda kendalikan dan bisa dioperasikan dari jarak jauh oleh orang lain?”
Ini penerapan yang tepat, dan merupakan pertanyaan mendasar yang jawabannya akan berbeda tergantung budaya serta pengalaman penyalahgunaan kekuasaan yang pernah dialami tiap individu dan organisasi di masa lalu. Secara pribadi, saya menentangnya
Jika konteksnya adalah chip tersolder yang tidak bisa dilepas melaporkan “kebenaran” tentang kernel dan sejenisnya, saya rasa kita tidak bisa tahu apakah komputer mengatakan kebenaran atau tidak. Cukup sekali saja pergi ke DEF CON untuk paham. Selalu ada cara masuk, selalu ada peretasan. Semakin sulit peretasannya, semakin kuat motivasi para geek DEF CON
Selain itu, “orang lain” tidak pernah berarti “hanya orang-orang yang Anda inginkan”. Itu pasti mencakup kriminal, penguntit, dan pemerintah otoriter. Jadi jawabannya sederhana: “tidak”
Jika mobil otonom tidak selalu bergerak demi pemiliknya, melainkan mengikuti “yang benar”, yaitu kebenaran, maka dalam situasi tabrakan yang tak terhindarkan, masalahnya adalah mana yang harus diprioritaskan: kepentingan pemilik saat ini, kepentingan produsen, atau kepentingan rata-rata semua orang
Sejak awal Google tidak pernah benar-benar memegang suatu prinsip, dan do no evil sebagian besar hanyalah pemasaran
Melihat era 2010-an saja sudah cukup
https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
“Kami tidak mengumpulkan informasi pribadi”
https://europe.googleblog.com/2010/04/data-collected-by-goog...
“Oh, ternyata kami mengumpulkannya”
https://googleblog.blogspot.com/2010/05/wifi-data-collection...
Persekongkolan upah Google juga bisa ditelusuri sampai 2001
https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...
Salah satu “efek samping” dari hal ini adalah Google pada dasarnya akan bisa memblokir pemblokiran iklan
Tentu saja, banyak orang akan melihat itu bukan sebagai efek samping, melainkan tujuan akhirnya
Semua orang tampaknya menerima begitu saja bahwa ini adalah DRM
Klaim sebenarnya adalah bahwa situs web menggunakan sinyal ini untuk mengizinkan atau menolak akses, dan ini sudah mungkin dilakukan dengan berbagai cara. Google atau vendor browser lain tidak bisa menentukan bagaimana situs web memakai atau menyalahgunakan sebuah fitur
Pencegahan penipuan membutuhkan penilaian yang tegas dan cakupan penerapan yang tinggi, tetapi ada ketegangan karena situs web juga berisiko mengecualikan attestor tertentu atau browser yang tidak bisa dibuktikan. Risiko ini sudah ada dan benar-benar terjadi. Alasan ia belum meluas bukan karena tidak mungkin, melainkan karena tidak populer. Situs-situs seperti bank yang wajib dipakai memaksa hal semacam itu setiap hari, dan orang menerimanya karena tidak punya pilihan
Banyak tulisan hanya mengulang klaim “DRM” tanpa menjelaskan apa bedanya ini, apa kaitan Google dengan perlakuan situs web terhadap pengguna, atau solusi apa yang ada. Semua inisiatif Google memang harus dicurigai, tetapi di sini yang terlihat hanya pengulangan seperti burung beo tentang potensi penyalahgunaan tanpa pemikiran kritis. Tulisan-tulisan tentang topik ini hanya menyusun ulang kata-kata tanpa menambah nilai, jadi sepertinya utilitasnya akan mirip saja jika dibuat otomatis dengan AI
Kita bisa mengetahui teknik fingerprinting apa yang dipakai dan mengakalinya. Misalnya, yt-dlp melakukan hal itu sampai batas tertentu. Di Android pun dulu ada banyak dukungan untuk membuat rooting atau custom ROM terlihat seperti Android bawaan agar aplikasi perbankan tetap bisa dipakai. Namun, tergantung level SafetyNet yang digunakan aplikasi, sekarang hal itu secara harfiah mustahil
Sebelum attestation berbasis TPM, kita bisa mengendalikan perangkat sendiri. Attestation Android SafetyNet didasarkan pada root of trust yang tidak bisa disediakan custom ROM, sehingga tidak bisa diakali. Sekalipun kita bisa menyediakan implementasi sendiri, itu percuma jika semua orang hanya mendukung yang disediakan Google. LineageOS juga punya implementasi SafetyNet sendiri, tetapi adopsinya nyaris tidak ada. WEI pada dasarnya adalah perluasan SafetyNet ke web, dan berbeda karena secara fundamental merampas kendali atas perangkat sendiri
Tujuan pertama proposal tersebut adalah “memungkinkan server web mengevaluasi keaslian perangkat serta representasi yang jujur dari software stack dan trafik yang berasal dari perangkat itu”. Dengan kata lain, ini memungkinkan server web membatasi atau mengelola secara digital hak pengguna untuk mengakses konten dari perangkat dan software stack pilihan mereka
Tidak ada keraguan bahwa ini adalah DRM. Google mengklaim ini hanya akan dipakai untuk membedakan bot dan trafik penyalahgunaan, tetapi teknologi ini mudah disalahgunakan, dan Google punya baik motivasi maupun kemampuan untuk melakukannya. Pertanyaan “solusi apa yang Anda usulkan” sama seperti bertanya bagaimana memecahkan masalah bahwa uang saya belum ada di tangan seseorang yang menodongkan pistol ke kepala saya di jalan dan menyuruh saya menyerahkannya. Ditambah lagi, seolah-olah ada syarat bahwa saya bahkan tidak boleh meminta orang itu menurunkan pistol sebelum masalah tersebut diselesaikan
Paling baik pun, ini hanya tampak sebagai pandangan yang sangat naif. Fitur yang bisa dipakai untuk mengunci konten atau mengawasi pengguna pada akhirnya akan dipakai untuk itu. Semua fitur yang ada saat ini begitu, dan mengklaim sebaliknya nyaris terasa jahat
Kalau “vendor browser tidak bertanggung jawab atas penyalahgunaan oleh situs web”, apakah akses filesystem, lokasi, kamera, dan mikrofon boleh dinyalakan secara default tanpa dialog izin? Sekalian saja hidupkan kembali Java dan Flash. Toh kalau situs web menyalahgunakannya, itu bukan salah vendor browser
Ini berbeda. Attestation yang bermakna atas lingkungan tempat browser berjalan tidak bisa dicapai tanpa rantai kepercayaan penuh yang dimulai dari secure boot, dan ini memungkinkan Google serta situs yang dikunjungi memverifikasi bootloader yang disetujui Google, sistem operasi yang disetujui Google, serta driver dan software yang disetujui Google. Lebih buruk lagi, mereka bisa menuntut software yang disetujui situs web juga
Apakah kita akan kaget jika memberikan pisau tajam dan pistol terisi kepada anak-anak lalu ada yang terluka? Jika kita membiarkan fitur ini menjadi mungkin, kita semua harus menanggung konsekuensinya. Sudah jelas seperti apa konsekuensinya. Jangan bertindak bodoh
Apakah begitu sulit membayangkan seorang product manager YouTube menghitung kerugian akibat ad blocker lalu meminta tim Chrome untuk memblokirnya?